Контакты
Подписка 2025

Решение для киберзащиты без потери автономности сегмента АСУ ТП

Вячеслав Половинко, 10/03/23

Обеспечение информационной безопасности и защита АСУ ТП предприятия является уже устоявшейся областью знаний. По этому направлению в образовательных заведениях существуют отдельные специальности и стандарты, ведется обучение специалистов, регулярно проводятся семинары и конференции. На каждом предприятии есть сотрудники и организационные единицы, которые отвечают за функционирование АСУ ТП и обеспечение ее безопасности.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

В реальной жизни, с точки зрения реализации практических мер защиты, границы АСУ ТП не всегда могут быть установлены однозначно.

В классическом виде термин АСУ ТП трактуется как некая группа решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом. Но в реальном применении АСУ ТП имеет интеграционные связи и с другими решениями в рамках одного сетевого домена (системами мониторинга, контроллерами домена, системами резервного копирования, более общей автоматизированной системой управления предприятием, внешними потребителями – контрагентами, подрядчиками, центрами мониторинга, центрами безопасности, ситуационными центрами, центрами принятия решений и т.п.). Какие смежные сети и ПО являются частью группы решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом, а какие – нет, устанавливают специалисты, отвечающие за АСУ ТП. Поэтому в итоге их набор решений может не совпадать (не пересекаться один к одному) с набором решений специалиста по ИБ.

Наибольшие сложности при формировании множества решений возникают, когда специалисты обсуждают правила сетевой сегментации и внедрение продуктов защиты сетевого периметра, передаваемых данных (межсетевых экранов, криптошлюзов и т.п). Свою лепту в эту задачу вносят территориальная распределенность и удаленность объектов, на которых функционирует АСУ ТП, наличие или отсутствие резервных каналов связи, а также степень использования общедоступных сетей передачи данных или использование собственных сетей передачи данных.

Учитывая ситуацию, специалистам по безопасности требуются общие подходы, которые могли бы повысить качество принятия решений относительно точек применения продуктов для сетевой сегментации АСУ ТП и объекта, на котором АСУ ТП функционирует. Для этого рекомендуются следующие базовые пошаговые практики сегментации сети и выбора характерных точек применения мер защиты:

  1. Определить, где именно (программно) сосредоточены функции управления технологическим процессом, обеспечивающие их старт и остановку, а также реализацию кризисных мер в отношении технологического процесса(ов).
  2. Определить, где проходит граница физической изоляции сети АСУ ТП. Граница должна быть выбрана таким образом, чтобы объект оставался автономным и безопасно функционирующим в условиях отсутствия связи с внешним миром.
  3. Определить перечень информации прикладного уровня (промышленные, файловые, технологические протоколы), используемой внешними по отношению к АСУ ТП потребителями.
  4. Убедиться, что в условиях пп. 1, 2 и 3 функционирование АСУ ТП происходит надежно и безопасно. Пп. 1–4 могут быть выполнены без приобретения и применения дополнительных средств и мер защиты и завершаться организацией воздушного зазора между защищаемым объектом/АСУ ТП и иными доменами.
  5. Применить средства защиты соответствующего класса, обеспечивающие передачу данных потребителям без потери автономности объекта защиты.

Соблюсти указанные практики поможет применение решений класса "диоды данных". Основной тактикой при внедрении решений класса "диод" является определение границ АСУ ТП в условиях сохранения ее полной автономности. Диоды данных физически изолируют одну сеть от другой, сохраняя однонаправленный канал связи, – такое устройство может быть установлено только в условиях полной автономной изоляции объекта защиты и не может "разрывать" (разделять) функции управления объектом, которые полагаются на двунаправленные каналы и являются классической системой с обратной связью.

Отдельно отмечу, что централизованные диспетчерские центры, региональные диспетчерские центры и центры SOC в большинстве случаев не относятся к системе АСУ ТП и могут быть изолированы диодами. Современные диоды уже давно успешно решают задачи передачи файловых потоков, реплик баз данных, копий виртуальных машин, передачи промышленных протоколов с минимальными таймингами. Поэтому внешние потребители могут получать всю информацию из защищенного сегмента АСУ ТП практически в режиме реального времени, причем для разного класса потребителей могут быть использованы разные типы решений класса "диод", например:

  • АК InfoDiode – чисто аппаратные диоды, которые решают задачу передачи UDP, syslog, SPAN-трафика для целей подразделений SOC и NOC;
  • АПК InfoDiode PRO – аппаратно-программное решение, которое решает задачи передачи файлового трафика по протоколам CIFS/SFTP/SMTP/FTP(S) от потребителей, функционирующих под ОС Windows, Linux, что позволяет эффективно передавать бэкапы и инкременты СУБД, реплики ВМ, отчеты и телеметрию в виде файловых потоков;
  • АПК InfoDiode SMART – аппаратно-программное решение, решающее задачи передачи промышленных протоколов в копии SCADA-систем, ERP- и MES-системы, Historian, задачи создания цифровых двойников.

ris1-Mar-10-2023-07-11-18-7021-AMРис. 1. АК InfoDiode MINI (аппаратный диод)

ris2-Mar-10-2023-07-11-54-4054-AMРис. 2. АК InfoDiode RACK single (аппаратный диод)

ris3_proРис. 3. АПК InfoDiode PRO (аппаратно-программное решение)

ris4_1Рис. 4. АПК InfoDiode SMART (аппаратно-программное решение)

В ряде случаев применение диодов подталкивает специалистов по ИБ к развитию самых разных проектов по повышению информационной и общей безопасности на предприятии, вплоть до создания новой структурированной физической среды передачи данных.

Повышение автономности АСУ ТП таким образом не означает ее изоляцию в информационном плане, а лишь определяет границы ее функционирования, повышая надежность за счет исключения непрогнозирумых вторжений злоумышленников. Такие проекты особенно актуальны сейчас, когда огромное количество объектов промышленности, транспорта и энергетики являются потенциальными целями кибератаки. Объекты критической инфраструктуры де-факто и де-юре являются изолированными и автономными, а все, что их соединяет с внешним миром, – это информационные потоки, которые должны быть тщательно проанализированы с точки зрения информационной безопасности.

Темы:АМТ-ГРУПInfoDiodeАСУ ТПЖурнал "Информационная безопасность" №6, 2022

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
itsec-cybersecurity-04-1
5 апреля 2023
Внедряем UEBA и DLP-системы
Жми, чтобы участвовать

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...