Контакты
Подписка 2025

Повышение защищенности автоматизированных систем управления технологическими процессами

Валерий Конявский, 15/05/23

При несанкционированном изменении характеристик производственных процессов многие из них могут нанести серьезный вред окружающей среде, животным и людям. В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне. Неизменность (целостность) потока управляющих сигналов, поступающих на конечные механизмы, необходимо контролировать, иначе внешние воздействия могут привести к катастрофическим последствиям.

Авторы: Валерий Конявский, д.т.н., Светлана Конявская, к.ф.н.

Программно-управляемое оборудование следует считать подконтрольными объектами (ПКО), а каналы связи с вычислительными средствами управления технологическими процессами – информационной инфраструктурой. Эта инфраструктура является критической, если вмешательство в ее использование может привести к значительным проблемам.

Защита критических информационных инфраструктур (КИИ) является сложной задачей, так как:

  • огромное количество КИИ не проектируется изначально, а уже создано и нуждается в модернизации;
  • могут использоваться различные каналы связи с различными протоколами информационного взаимодействия;
  • зачастую КИИ характеризуются жесткими требованиями ко времени и порядку выполнения автоматизированных функций;
  • зачастую в составе КИИ применяются множество разнородных ПКО, распределенных в пространстве;
  • отключение ряда ПКО для проведения мероприятий по технической защите информации на длительный срок нежелательно, так как может привести к значительным издержкам.

Это далеко не полный перечень особенностей, но и он дает представление о сложности задачи.

В описанных случаях точно потребуется криптографическая защита. Для этого необходимо в состав ПКО включить средства защиты информации (СЗИ) и средства криптографической защиты информации (СКЗИ). К слову, все существующие сегодня сертифицированные СКЗИ сертифицированы для работы в контролируемой зоне.

ПКО, как правило, имеют разнообразные габариты и свободные места для установки СКЗИ. В связи с этим может случиться так, что потребуется множество средств защиты, имеющих примерно одинаковые функции, но различные формфакторы. С учетом того что разработка СКЗИ и последующая сертификация – процесс трудоемкий и длительный, необходимо найти универсальное решение, что позволит значительно сократить затраты на защиту значимых объектов критических информационных инфраструктур.

Особенности и варианты решений

КИИ в "классическом" смысле, и особенно в части АСУ ТП, характеризует следующее:

  • основной защищаемой информацией в них является технологическая (обеспечивающая управление технологическими процессами), программно-техническая (программы системного и прикладного характера, обеспечивающие функционирование АСУ ТП), командная (управляющая) и измерительная;
  • средства защиты должны работать без вмешательства человека, в автоматическом режиме;
  • средства защиты, в том числе криптографической, должны функционировать в общем случае вне контролируемой зоны, то есть необходимо предусмотреть физическую защиту криптографических ключей от инвазивных воздействий;
  • опасность последствий вывода из строя и (или) нарушения функционирования АСУ ТП.

Негативные последствия выхода из строя не только АСУ ТП, но и КИИ других типов могут быть отнесены к несущим определенного рода опасность, например при выходе из строя системы обеспечения платежей финансовой организации заметным образом пострадают интересы большого числа граждан. Но именно выход из строя объектов АСУ ТП зачастую связан с угрозой жизни и здоровью людей, что закономерно трактуется как более высокая степень опасности последствий. Речь идет именно о выходе из строя и нарушении нормального функционирования в результате непредвиденного сбоя или вредоносного внешнего вмешательства, а не о переводе системы в нештатный режим функционирования, что, конечно, нежелательно и должно быть сведено к минимуму, однако в некоторых случаях обеспечивает достаточный уровень безопасности.

Большая часть этих особенностей определяет, по существу, лишь одно требование общего характера к используемым средствам защиты информации: они должны создаваться с повышенным вниманием к качеству на всех этапах, от проектирования до производства. Как правило, гарантия особенно высокого качества связана с более высокой ценой продукта, а значит, данный сегмент должен быть крайне привлекательным для производителя, что, в свою очередь, обеспечит конкуренцию, а та повысит общий уровень качества и т.д.

На деле так, к сожалению, не всегда происходит, потому что в основе находятся именно те особенности объектов КИИ, которые характеризуют их техническую, а не организационную уникальность. В первую очередь это то, что вычислительные ресурсы объектов КИИ – не офисные компьютеры общего назначения, на работу с которыми ориентированы в основном производители средств защиты информации. И смежная с нею особенность – вид обрабатываемых на этих вычислительных ресурсах данных. Основания для этого вывода дают следующие рассуждения.

Иметь в своей продуктовой линейке варианты исполнения СЗИ с огромным разнообразием интерфейсов, в том числе довольно экзотических, производителю сложно и невыгодно, ведь многотысячные продажи обеспечивают стандартные интерфейсы, свойственные офисным компьютерам. Аналогично обстоит дело с форматами данных, с файловыми системами, с поддержкой подключаемого оборудования. Поэтому эксплуатирующая или подрядная организация при создании проекта подсистемы защиты информации вынуждена использовать то, что есть, и за ту цену, которую назначит подчас единственный поставщик, а не то, что соответствует высоким требованиям к качеству, надежности и живучести.

Какие существуют решения?

Структурно в КИИ может быть выделена совокупность ПКО и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО.

Это достаточно очевидная схема для любой информационной инфраструктуры, а нетривиальной задачу делает не что иное, как необходимость внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать:

  • криптографическую защиту информации о состоянии ПКО и управляющих сигналов для них (а не файлов, как это делается большинством СКЗИ);
  • информационное взаимодействие с ПКО через каналы взаимодействия разных типов (USB, Ethernet и др.);
  • возможность использования стандартных цифровых каналов;
  • использование разнородных приборных интерфейсов (RS-232, RS-435 и др.).

Очевидно, что большинство имеющихся в настоящее время на рынке средств защиты информации при их внедрении потребуют в лучшем случае некоторой доработки отдельных ПКО, а в худшем случае – изменения функциональной структуры и замены ПКО на другие, совместимые со средствами защиты. Оба варианта связаны с существенными финансовыми и временными затратами, вплоть до приостановки функционирования, что зачастую неприемлемо. Актуальным становится вариант разработки СЗИ для конкретной системы под заказ. Этот вариант тоже связан с временными и финансовыми затратами, причем успех разработки, разумеется, не гарантирован (хотя обращение к проверенному разработчику существенно повышает его вероятность). Зато заметно снижается травматичность внедрения такой подсистемы для системы в целом. Решение могло бы сочетать плюсы использования серийного продукта и индивидуальной разработки, не сочетая их минусов, если положить в его основу адаптацию к оборудованию конкретного объекта КИИ серийного средства защиты информации. Обязательным условием для того, чтобы такая адаптация не равнялась разработке новой аппаратной платформы, является архитектура, разделяющая интерфейсную и функциональную части изделия.

Пример такого решения на рынке уже есть и в КИИ (особенно в связанных с различного рода транспортом) успешно применяется – это реализация защищенного микрокомпьютера "Новой гарвардской архитектуры" с аппаратной защитой данных в форме постоянного вычислительного компонента и интерфейсной док-станции, специфичной для каждого конкретного типа оборудования. Универсальное СЗИ, выполненное на базе защищенного микрокомпьютера, устанавливается на целевое оборудование через адаптируемую именно к нему интерфейсную док-станцию. Сертифицируется – СЗИ, адаптируется – докстанция, и задача решена. Это все, что допустимо рассказать в рамках статьи нерекламного характера, однако sapienti sat, решение уже известно на рынке.

Что еще не сделано?

Нет нормального определения "контролируемая зона".

"Контролируемая зона" – термин из понятийной системы ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении". Контролируемая зона: пространство, в пределах которого осуществляется контроль над пребыванием и действиями лиц и/или транспортных средств [1]. Очевидно, что понятие имеет весьма опосредованное отношение к защите информации. Привязывает его к этой области, во-первых, стандарт, которым понятие введено, и затем – приказы ФСТЭК России, где к людям и транспортным средствам в число контролируемого включены еще технические и материальные средства [2], то есть, иначе говоря, зона, где контролируется все.

Создать такие условия для работы СКЗИ в КИИ почти невозможно.

Нет также исполняемых требований к защите ключей: имеющиеся требования предусматривают использование микроконтроллеров, которых еще нет в природе. Таким образом, методологический вакуум необходимо заполнить, а пока нужно предложить совокупность компенсирующих мер, позволяющих обеспечить достаточный уровень защищенности.

Например, построить систему инженерной защиты, которая позволит защитить систему от инвазивных атак, обеспечив некоторую степень контролируемости оборудования, расположенного вне контролируемой зоны. Это позволит удалять криптографические ключи в случае детектирования вскрытия корпуса устройства на основании показаний совокупности различных датчиков и т.п.

В целом уже понятно, что необходима разработка новых типов датчиков, интегрированных с устройствами обеспечения неизвлекаемости ключей. Работы в этом направлении уже ведутся.

И разумеется, обязательной мерой должно стать страхование информационных рисков, так как абсолютной защищенности техническими мерами достичь невозможно [3].


  1. ГОСТ Р 52863–2007 “Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования" [электронный ресурс]. URL: https://docs.cntd.ru/document/1200065692 (дата обращения: 23.01.2023).
  2. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" [электронный ресурс]. URL: https://fstec.ru/Normotvorcheskaya/akty/53prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 23.01.2023).
  3. Вусс Г., Конявский В., Хованов В. Система страхования информационных рисков // Финансовый бизнес. 1998. № 3. С. 34–36.
Темы:ОКБ САПРКИИАСУ ТПЖурнал "Информационная безопасность" №1, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.
  • Как на практике устранять разрывы между защитой ИТ и AСУ ТП?
    Несмотря на очевидную техническую разницу между ИТ и АСУ ТП, именно организационные барьеры чаще всего мешают выстроить устойчивую систему кибербезопасности в промышленности. Недостаточно просто поделить ответственность между подразделениями: требуется новая модель совместной работы, в которой ИТ, ИБ и технологи не просто "сотрудничают", а действуют как единая команда с общими целями и пониманием процессов. 
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...