Контакты
Подписка 2025

Решение для киберзащиты без потери автономности сегмента АСУ ТП

Вячеслав Половинко, 10/03/23

Обеспечение информационной безопасности и защита АСУ ТП предприятия является уже устоявшейся областью знаний. По этому направлению в образовательных заведениях существуют отдельные специальности и стандарты, ведется обучение специалистов, регулярно проводятся семинары и конференции. На каждом предприятии есть сотрудники и организационные единицы, которые отвечают за функционирование АСУ ТП и обеспечение ее безопасности.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

В реальной жизни, с точки зрения реализации практических мер защиты, границы АСУ ТП не всегда могут быть установлены однозначно.

В классическом виде термин АСУ ТП трактуется как некая группа решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом. Но в реальном применении АСУ ТП имеет интеграционные связи и с другими решениями в рамках одного сетевого домена (системами мониторинга, контроллерами домена, системами резервного копирования, более общей автоматизированной системой управления предприятием, внешними потребителями – контрагентами, подрядчиками, центрами мониторинга, центрами безопасности, ситуационными центрами, центрами принятия решений и т.п.). Какие смежные сети и ПО являются частью группы решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом, а какие – нет, устанавливают специалисты, отвечающие за АСУ ТП. Поэтому в итоге их набор решений может не совпадать (не пересекаться один к одному) с набором решений специалиста по ИБ.

Наибольшие сложности при формировании множества решений возникают, когда специалисты обсуждают правила сетевой сегментации и внедрение продуктов защиты сетевого периметра, передаваемых данных (межсетевых экранов, криптошлюзов и т.п). Свою лепту в эту задачу вносят территориальная распределенность и удаленность объектов, на которых функционирует АСУ ТП, наличие или отсутствие резервных каналов связи, а также степень использования общедоступных сетей передачи данных или использование собственных сетей передачи данных.

Учитывая ситуацию, специалистам по безопасности требуются общие подходы, которые могли бы повысить качество принятия решений относительно точек применения продуктов для сетевой сегментации АСУ ТП и объекта, на котором АСУ ТП функционирует. Для этого рекомендуются следующие базовые пошаговые практики сегментации сети и выбора характерных точек применения мер защиты:

  1. Определить, где именно (программно) сосредоточены функции управления технологическим процессом, обеспечивающие их старт и остановку, а также реализацию кризисных мер в отношении технологического процесса(ов).
  2. Определить, где проходит граница физической изоляции сети АСУ ТП. Граница должна быть выбрана таким образом, чтобы объект оставался автономным и безопасно функционирующим в условиях отсутствия связи с внешним миром.
  3. Определить перечень информации прикладного уровня (промышленные, файловые, технологические протоколы), используемой внешними по отношению к АСУ ТП потребителями.
  4. Убедиться, что в условиях пп. 1, 2 и 3 функционирование АСУ ТП происходит надежно и безопасно. Пп. 1–4 могут быть выполнены без приобретения и применения дополнительных средств и мер защиты и завершаться организацией воздушного зазора между защищаемым объектом/АСУ ТП и иными доменами.
  5. Применить средства защиты соответствующего класса, обеспечивающие передачу данных потребителям без потери автономности объекта защиты.

Соблюсти указанные практики поможет применение решений класса "диоды данных". Основной тактикой при внедрении решений класса "диод" является определение границ АСУ ТП в условиях сохранения ее полной автономности. Диоды данных физически изолируют одну сеть от другой, сохраняя однонаправленный канал связи, – такое устройство может быть установлено только в условиях полной автономной изоляции объекта защиты и не может "разрывать" (разделять) функции управления объектом, которые полагаются на двунаправленные каналы и являются классической системой с обратной связью.

Отдельно отмечу, что централизованные диспетчерские центры, региональные диспетчерские центры и центры SOC в большинстве случаев не относятся к системе АСУ ТП и могут быть изолированы диодами. Современные диоды уже давно успешно решают задачи передачи файловых потоков, реплик баз данных, копий виртуальных машин, передачи промышленных протоколов с минимальными таймингами. Поэтому внешние потребители могут получать всю информацию из защищенного сегмента АСУ ТП практически в режиме реального времени, причем для разного класса потребителей могут быть использованы разные типы решений класса "диод", например:

  • АК InfoDiode – чисто аппаратные диоды, которые решают задачу передачи UDP, syslog, SPAN-трафика для целей подразделений SOC и NOC;
  • АПК InfoDiode PRO – аппаратно-программное решение, которое решает задачи передачи файлового трафика по протоколам CIFS/SFTP/SMTP/FTP(S) от потребителей, функционирующих под ОС Windows, Linux, что позволяет эффективно передавать бэкапы и инкременты СУБД, реплики ВМ, отчеты и телеметрию в виде файловых потоков;
  • АПК InfoDiode SMART – аппаратно-программное решение, решающее задачи передачи промышленных протоколов в копии SCADA-систем, ERP- и MES-системы, Historian, задачи создания цифровых двойников.

ris1-Mar-10-2023-07-11-18-7021-AMРис. 1. АК InfoDiode MINI (аппаратный диод)

ris2-Mar-10-2023-07-11-54-4054-AMРис. 2. АК InfoDiode RACK single (аппаратный диод)

ris3_proРис. 3. АПК InfoDiode PRO (аппаратно-программное решение)

ris4_1Рис. 4. АПК InfoDiode SMART (аппаратно-программное решение)

В ряде случаев применение диодов подталкивает специалистов по ИБ к развитию самых разных проектов по повышению информационной и общей безопасности на предприятии, вплоть до создания новой структурированной физической среды передачи данных.

Повышение автономности АСУ ТП таким образом не означает ее изоляцию в информационном плане, а лишь определяет границы ее функционирования, повышая надежность за счет исключения непрогнозирумых вторжений злоумышленников. Такие проекты особенно актуальны сейчас, когда огромное количество объектов промышленности, транспорта и энергетики являются потенциальными целями кибератаки. Объекты критической инфраструктуры де-факто и де-юре являются изолированными и автономными, а все, что их соединяет с внешним миром, – это информационные потоки, которые должны быть тщательно проанализированы с точки зрения информационной безопасности.

Темы:АМТ-ГРУПInfoDiodeАСУ ТПЖурнал "Информационная безопасность" №6, 2022

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Роль аудита в оценке соответствия нормативным требованиям и обеспечении безопасности
    Екатерина Степанова, начальник отдела аудита и консалтинга АМТ-ГРУП
    Термины “аудит” и “оценка соответствия” иногда используются как взаимозаменяемые. Но насколько допустимо такое смешение понятий? И главное – какую роль действительно играет аудит в обеспечении информационной безопасности и выполнении требований законодательства?
  • Управление ИТ-активами в АСУ ТП: базовые задачи промышленной кибербезопасности
    Инвентаризация ИТ-активов в промышленных сетях – это фундаментальная задача, важность которой часто недооценивают. Без точных данных об оборудовании и ПО даже самые продвинутые средства защиты – межсетевые экраны, системы обнаружения атак или сканеры уязвимостей – не смогут работать эффективно.
  • MISRA: повышение безопасности встраиваемых систем через SAST
    Михаил Гельвих, руководитель отдела технического сопровождения ООО “ПВС”
    Встраиваемые системы управляют автомобилями, медицинским оборудованием и промышленными объектами, где ошибки могут приводить не только к финансовым потерям, но и угрожать жизням людей. Рассмотрим, как стандарт MISRA и статические анализаторы, такие как PVS-Studio, помогают обеспечить надежность и безопасность кода в критически важных приложениях.
  • Без полумер и человека: грамотная автоматизация спасет АСУ ТП от киберугроз
    Андрей Кузнецов, менеджер продукта “Синоникс” в компании “АйТи Бастион”
    Минимизация участия человека в производственных процессах – один из главных пунктов обеспечения информационной безопасности АСУ ТП. Человеческий фактор в мире автоматизированных систем до сих пор остается ключевой уязвимостью крупных организаций. Несмотря на то, что многие предприятия до сих пор сопротивляются глобальной цифровизации, нужно смотреть правде в глаза: тренд на автоматизацию производств был, есть и, с учетом развития технологий сегодня, абсолютно точно останется. С этим можно спорить, трепетно вычитывая регуляторные требования, а можно поддаться благому течению технологий и жить. Тем более, что для этого есть необходимые и удобные инструменты даже в случае АСУ ТП. Об этих инструментах и грамотном пути к безопасному обмену данными на производствах и поговорим.
  • Переход на отечественные АСУ ТП: опыт, ошибки, рекомендации
    Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений всё ещё неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки. 
  • Киберустойчивость в энергетике: как избежать иллюзий?
    Евгений Генгринович, советник генерального директора компании “ИнфоТеКС”
    Когда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
itsec-cybersecurity-04-1
5 апреля 2023
Внедряем UEBA и DLP-системы
Жми, чтобы участвовать

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...