Одной из главных проблем остается импортозамещение. Сложности затрагивают как системы управления, так и средства защиты информации, поскольку обеспечить продление лицензий и технической поддержки часто бывает сложно или невозможно. Это приводит к использованию уязвимого оборудования и ПО, а также препятствует решению возникающих технических проблем. Еще одной сложностью является недостаточная проверка импортозамещающих решений на наличие уязвимостей. Недооценка рисков может привести к слабому инвестированию в проекты по обеспечению безопасности АСУ ТП.
Вопросы с поддержкой установленного оборудования и программного обеспечения покинувших российский рынок производителей за прошедшие два года в целом удалось так или иначе решить. Сейчас в приоритете вопросы, связанные с реализацией систем защиты для АСУ ТП, модернизируемых в связи с необходимостью импортозамещения и реализации требований по переходу на доверенные программно-аппаратные комплексы (ПАК).
Главной проблемой остается большое количество устаревших систем АСУ ТП, на которых сложно поддерживать необходимый уровень безопасности. Процесс модернизации двигается небыстро и требует большого количества оборудования и человеческих ресурсов. Остро стоит вопрос сегментирования технологических сетей и выделения буферных зон для взаимодействия технологического и корпоративного сегментов, чтобы выстроить защиту от атак извне.
Возрастающая сложность сетевой инфраструктуры и использование новых технологий, среди которых, например, частные облака, контейнеризация критичных приложений, анализ больших данных, Интернет вещей, открытые технологии обработки технологических данных, а также рост числа киберугроз и расширение технических возможностей у злоумышленников делают технологическую сеть любого предприятия более уязвимой к кибератакам. Проблемы заключаются в недостаточной защите от распространенных угроз, слабой аутентификации и авторизации, трудностях с обновлением систем. Остро стоит вопрос с надежностью и защищенностью новых технологий и систем, построенных с их использованием. Сегодня мы наблюдаем недостаточную готовность предприятий к поддержанию непрерывности работы своих критичных систем и оперативному восстановлению после киберинцидентов.
В 2024 г. проблемы защиты АСУ ТП остаются крайне актуальными и сложными. Среди ключевых проблем можно выделить следующие:
Безопасность – это постоянная работа, и эта тема требует и будет требовать серьезного внимания и ресурсов.
В настоящее время в рамках проектов по защите АСУ ТП мы сталкиваемся у некоторых заказчиков с использованием устаревших (неподдерживаемых) версий ОС (например, Windows XP, поддержка которых закончилась еще в 2019 г.), старого оборудования (на которое зачастую затруднительно установить наложенное средство защиты) и наличием устаревшего сетевого оборудования, не поддерживающего технологии SPAN/RSPAN.
Наиболее остро стоит вопрос импортозамещения самих компонентов АСУ ТП. В промышленности львиная доля систем работает на ушедших с рынка Emerson, Yokogawa, Siemens, Schneider и пр. Их уход критичен не только с точки зрения отсутствия комплектующих, но прежде всего из-за отсутствия обновлений прикладного ПО, закрывающих найденные уязвимости.
Первоочередные задачи в защите АСУ ТП в 2024 г. включают таргетированные атаки, распространение вредоносного ПО (в частности, шифровальщиков), утечки данных и атаки на системы управления технологическим процессом.
В связи с активным импортозамещением систем АСУ ТП одной из ключевых проблем в аспекте защиты является совместимость средств защиты информации с новыми отечественными SCADA-системами и ПЛК. СрЗИ должны взаимодействовать с АСУ ТП, но при этом не должны оказывать влияния на технологический процесс при выполнении функций безопасности. Производителям компонентов АСУ ТП необходимо плотно сотрудничать с производителями СрЗИ по вопросам интеграции оборудования и ПО.
Мы считаем, что на текущий момент на рынке присутствует недостаточное количество решений класса Deception, обеспечивающих эмуляцию АРМ, серверов АСУ ТП и поддерживающих достаточно широкий перечень ПЛК.
Мы наблюдаем нехватку решений, которые обеспечивают киберустойчивость технологических сетей с возможностью комплексной защиты от современных киберугроз. Это в первую очередь продвинутые системы мониторинга и обнаружения инцидентов, средства анализа угроз и реагирования. Кроме этого – интегрированные решения для защиты от внутренних и внешних угроз, являющиеся полнофункциональными элементами систем промышленной автоматизации предприятий.
Самая острая потребность сегодня наблюдается в таких решениях, как виртуальные частные сети (VPN) для промышленных сегментов (территориально распределенных АСУ ТП), где для передачи технологической информации (в том числе управляющих сигналов) применяются каналы связи сторонних поставщиков услуг и, как следствие, требуется защита этих каналов связи. Сложность таких решений обусловлена не только требованиями к наличию сертификата ФСБ России, но и необходимыми характеристиками (низкое энергопотребление, высокая отказоустойчивость, быстродействие).
Если рассматривать классические АСУ ТП, коих на сегодняшний момент абсолютное большинство, то набор решений по защите информации примерно одинаковый и во всех классах существуют отечественные продукты. Но в некоторых сегментах наблюдается отсутствие конкуренции, решения представлены одним, максимум двумя вендорами. Особенно остро это чувствуется в системах резервного копирования и хостовых средствах антивирусной защиты.
Наиболее острая потребность ощущается в сетевых решениях, которые хотя и присутствуют в портфелях уже многих отечественных производителей (и число их только растет), но пока не в достаточной степени апробированы на реальных объектах, часто не имеют широкой поддержки специфичных промышленных протоколов, да и в целом пока – давайте это признаем – по набору своих возможностей и стабильности явно имеют потенциал для дальнейшего роста и развития.
Сегодня промышленный сегмент сети остро нуждается в следующих классах российских решений по обеспечению безопасности:
Импортозамещение сильно подстегнуло развитие отечественного рынка средств защиты информации. Сейчас на нем представлены разные решения, начиная от защиты конечных устройств и заканчивая системами мониторинга событий информационной безопасности и управления инцидентами. Однако на рынке практически не существует конкуренции: в некоторых сегментах представлено всего 1–2 продукта с богатым функционалом. Но многие вендоры начинают активно выпускать новые достойные решения, поэтому со временем ситуация нормализуется.
На данный момент в России существует широкий спектр решений в области ИБ для промышленного сегмента, включая системы уровня Enterprise, например SIEM, NGFW, EDR. Однако стоит отметить нехватку локализованных аппаратных платформ, что может затруднять полноценную защиту промышленных сетей. Необходимые решения на рынке существуют, могут быть приобретены и приносить пользу. Но их внедрение требует готовности инфраструктуры и процессов внутри предприятий, а также значительных бюджетов на закупку и техподдержку. Важно отметить, что в условиях санкционных ограничений растет спрос на российские решения и многие из них уже доступны на рынке благодаря достойным отечественным ИБ-разработчикам.
Для защиты промышленного сегмента чаще всего используется принцип блокирования всего, чего нет в списке разрешенных устройств и ПО – как в сети, так и на рабочих станциях и серверах соответственно. Второй принцип – выявление отклонений от эталона. На российском рынке достаточно средств защиты информации для этого. Большая проблема заключается в том, что не все можно сертифицировать, так как, например, Windows недоступен для России, а соответственно, и сертифицировать, поддерживать ПО под него достаточно проблематично.