Контакты
Подписка 2023

Решение для киберзащиты без потери автономности сегмента АСУ ТП

Вячеслав Половинко, 10/03/23

Обеспечение информационной безопасности и защита АСУ ТП предприятия является уже устоявшейся областью знаний. По этому направлению в образовательных заведениях существуют отдельные специальности и стандарты, ведется обучение специалистов, регулярно проводятся семинары и конференции. На каждом предприятии есть сотрудники и организационные единицы, которые отвечают за функционирование АСУ ТП и обеспечение ее безопасности.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

В реальной жизни, с точки зрения реализации практических мер защиты, границы АСУ ТП не всегда могут быть установлены однозначно.

В классическом виде термин АСУ ТП трактуется как некая группа решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом. Но в реальном применении АСУ ТП имеет интеграционные связи и с другими решениями в рамках одного сетевого домена (системами мониторинга, контроллерами домена, системами резервного копирования, более общей автоматизированной системой управления предприятием, внешними потребителями – контрагентами, подрядчиками, центрами мониторинга, центрами безопасности, ситуационными центрами, центрами принятия решений и т.п.). Какие смежные сети и ПО являются частью группы решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом, а какие – нет, устанавливают специалисты, отвечающие за АСУ ТП. Поэтому в итоге их набор решений может не совпадать (не пересекаться один к одному) с набором решений специалиста по ИБ.

Наибольшие сложности при формировании множества решений возникают, когда специалисты обсуждают правила сетевой сегментации и внедрение продуктов защиты сетевого периметра, передаваемых данных (межсетевых экранов, криптошлюзов и т.п). Свою лепту в эту задачу вносят территориальная распределенность и удаленность объектов, на которых функционирует АСУ ТП, наличие или отсутствие резервных каналов связи, а также степень использования общедоступных сетей передачи данных или использование собственных сетей передачи данных.

Учитывая ситуацию, специалистам по безопасности требуются общие подходы, которые могли бы повысить качество принятия решений относительно точек применения продуктов для сетевой сегментации АСУ ТП и объекта, на котором АСУ ТП функционирует. Для этого рекомендуются следующие базовые пошаговые практики сегментации сети и выбора характерных точек применения мер защиты:

  1. Определить, где именно (программно) сосредоточены функции управления технологическим процессом, обеспечивающие их старт и остановку, а также реализацию кризисных мер в отношении технологического процесса(ов).
  2. Определить, где проходит граница физической изоляции сети АСУ ТП. Граница должна быть выбрана таким образом, чтобы объект оставался автономным и безопасно функционирующим в условиях отсутствия связи с внешним миром.
  3. Определить перечень информации прикладного уровня (промышленные, файловые, технологические протоколы), используемой внешними по отношению к АСУ ТП потребителями.
  4. Убедиться, что в условиях пп. 1, 2 и 3 функционирование АСУ ТП происходит надежно и безопасно. Пп. 1–4 могут быть выполнены без приобретения и применения дополнительных средств и мер защиты и завершаться организацией воздушного зазора между защищаемым объектом/АСУ ТП и иными доменами.
  5. Применить средства защиты соответствующего класса, обеспечивающие передачу данных потребителям без потери автономности объекта защиты.

Соблюсти указанные практики поможет применение решений класса "диоды данных". Основной тактикой при внедрении решений класса "диод" является определение границ АСУ ТП в условиях сохранения ее полной автономности. Диоды данных физически изолируют одну сеть от другой, сохраняя однонаправленный канал связи, – такое устройство может быть установлено только в условиях полной автономной изоляции объекта защиты и не может "разрывать" (разделять) функции управления объектом, которые полагаются на двунаправленные каналы и являются классической системой с обратной связью.

Отдельно отмечу, что централизованные диспетчерские центры, региональные диспетчерские центры и центры SOC в большинстве случаев не относятся к системе АСУ ТП и могут быть изолированы диодами. Современные диоды уже давно успешно решают задачи передачи файловых потоков, реплик баз данных, копий виртуальных машин, передачи промышленных протоколов с минимальными таймингами. Поэтому внешние потребители могут получать всю информацию из защищенного сегмента АСУ ТП практически в режиме реального времени, причем для разного класса потребителей могут быть использованы разные типы решений класса "диод", например:

  • АК InfoDiode – чисто аппаратные диоды, которые решают задачу передачи UDP, syslog, SPAN-трафика для целей подразделений SOC и NOC;
  • АПК InfoDiode PRO – аппаратно-программное решение, которое решает задачи передачи файлового трафика по протоколам CIFS/SFTP/SMTP/FTP(S) от потребителей, функционирующих под ОС Windows, Linux, что позволяет эффективно передавать бэкапы и инкременты СУБД, реплики ВМ, отчеты и телеметрию в виде файловых потоков;
  • АПК InfoDiode SMART – аппаратно-программное решение, решающее задачи передачи промышленных протоколов в копии SCADA-систем, ERP- и MES-системы, Historian, задачи создания цифровых двойников.

ris1-Mar-10-2023-07-11-18-7021-AMРис. 1. АК InfoDiode MINI (аппаратный диод)

ris2-Mar-10-2023-07-11-54-4054-AMРис. 2. АК InfoDiode RACK single (аппаратный диод)

ris3_proРис. 3. АПК InfoDiode PRO (аппаратно-программное решение)

ris4_1Рис. 4. АПК InfoDiode SMART (аппаратно-программное решение)

В ряде случаев применение диодов подталкивает специалистов по ИБ к развитию самых разных проектов по повышению информационной и общей безопасности на предприятии, вплоть до создания новой структурированной физической среды передачи данных.

Повышение автономности АСУ ТП таким образом не означает ее изоляцию в информационном плане, а лишь определяет границы ее функционирования, повышая надежность за счет исключения непрогнозирумых вторжений злоумышленников. Такие проекты особенно актуальны сейчас, когда огромное количество объектов промышленности, транспорта и энергетики являются потенциальными целями кибератаки. Объекты критической инфраструктуры де-факто и де-юре являются изолированными и автономными, а все, что их соединяет с внешним миром, – это информационные потоки, которые должны быть тщательно проанализированы с точки зрения информационной безопасности.

Темы:АМТ-ГРУПInfoDiodeАСУ ТПЖурнал "Информационная безопасность" №6, 2022

Безопасный удаленный доступ.
Меры защиты информационной инфраструктуры от кибератак

12 октября 2023 

Жми для участия
Онлайн-конференция. Доверенные решения в области ИБ
11 октября 2023. Доверенные решения в области ИБ и импортозамещение в госсекторе и ключевых отраслях
Жми, чтобы участвовать
Статьи по той же темеСтатьи по той же теме

  • Актуальные вопросы построения защиты АСУ ТП
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    АСУ являются одними из наиболее критичных систем, требующих внимания. Реализация СБ АСУ, как правило, связана с определенными ограничениями и сложностями.
  • Кибербезопасность объектов ТЭК в 2023 году
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Предприятия ТЭК являются одними из наиболее критических объектов, которые требуют самых серьезных мер защиты от современных кибератак. Однако бок о бок с критичностью и актуальностью защиты предприятий ТЭК идут сложности организации комплексной системы информационной безопасности.
  • Повышение защищенности автоматизированных систем управления технологическими процессами
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне.
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов
  • Тренды развития SIEM-решений в России
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Внедрение SIEM в рамках КИИ, особенно при наличии сегмента АСУ ТП, имеет целый ряд особенностей, которые рассматриваются в статье.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
itsec-cybersecurity-04-1
5 апреля 2023
Внедряем UEBA и DLP-системы
Жми, чтобы участвовать

More...
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 2023: информационная и кибербезопасность России
Жми, чтобы участвовать