Контакты
Подписка 2024

Решение для киберзащиты без потери автономности сегмента АСУ ТП

Вячеслав Половинко, 10/03/23

Обеспечение информационной безопасности и защита АСУ ТП предприятия является уже устоявшейся областью знаний. По этому направлению в образовательных заведениях существуют отдельные специальности и стандарты, ведется обучение специалистов, регулярно проводятся семинары и конференции. На каждом предприятии есть сотрудники и организационные единицы, которые отвечают за функционирование АСУ ТП и обеспечение ее безопасности.

Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП

В реальной жизни, с точки зрения реализации практических мер защиты, границы АСУ ТП не всегда могут быть установлены однозначно.

В классическом виде термин АСУ ТП трактуется как некая группа решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом. Но в реальном применении АСУ ТП имеет интеграционные связи и с другими решениями в рамках одного сетевого домена (системами мониторинга, контроллерами домена, системами резервного копирования, более общей автоматизированной системой управления предприятием, внешними потребителями – контрагентами, подрядчиками, центрами мониторинга, центрами безопасности, ситуационными центрами, центрами принятия решений и т.п.). Какие смежные сети и ПО являются частью группы решений технических и программных средств, предназначенных для автоматизации управления технологическим процессом, а какие – нет, устанавливают специалисты, отвечающие за АСУ ТП. Поэтому в итоге их набор решений может не совпадать (не пересекаться один к одному) с набором решений специалиста по ИБ.

Наибольшие сложности при формировании множества решений возникают, когда специалисты обсуждают правила сетевой сегментации и внедрение продуктов защиты сетевого периметра, передаваемых данных (межсетевых экранов, криптошлюзов и т.п). Свою лепту в эту задачу вносят территориальная распределенность и удаленность объектов, на которых функционирует АСУ ТП, наличие или отсутствие резервных каналов связи, а также степень использования общедоступных сетей передачи данных или использование собственных сетей передачи данных.

Учитывая ситуацию, специалистам по безопасности требуются общие подходы, которые могли бы повысить качество принятия решений относительно точек применения продуктов для сетевой сегментации АСУ ТП и объекта, на котором АСУ ТП функционирует. Для этого рекомендуются следующие базовые пошаговые практики сегментации сети и выбора характерных точек применения мер защиты:

  1. Определить, где именно (программно) сосредоточены функции управления технологическим процессом, обеспечивающие их старт и остановку, а также реализацию кризисных мер в отношении технологического процесса(ов).
  2. Определить, где проходит граница физической изоляции сети АСУ ТП. Граница должна быть выбрана таким образом, чтобы объект оставался автономным и безопасно функционирующим в условиях отсутствия связи с внешним миром.
  3. Определить перечень информации прикладного уровня (промышленные, файловые, технологические протоколы), используемой внешними по отношению к АСУ ТП потребителями.
  4. Убедиться, что в условиях пп. 1, 2 и 3 функционирование АСУ ТП происходит надежно и безопасно. Пп. 1–4 могут быть выполнены без приобретения и применения дополнительных средств и мер защиты и завершаться организацией воздушного зазора между защищаемым объектом/АСУ ТП и иными доменами.
  5. Применить средства защиты соответствующего класса, обеспечивающие передачу данных потребителям без потери автономности объекта защиты.

Соблюсти указанные практики поможет применение решений класса "диоды данных". Основной тактикой при внедрении решений класса "диод" является определение границ АСУ ТП в условиях сохранения ее полной автономности. Диоды данных физически изолируют одну сеть от другой, сохраняя однонаправленный канал связи, – такое устройство может быть установлено только в условиях полной автономной изоляции объекта защиты и не может "разрывать" (разделять) функции управления объектом, которые полагаются на двунаправленные каналы и являются классической системой с обратной связью.

Отдельно отмечу, что централизованные диспетчерские центры, региональные диспетчерские центры и центры SOC в большинстве случаев не относятся к системе АСУ ТП и могут быть изолированы диодами. Современные диоды уже давно успешно решают задачи передачи файловых потоков, реплик баз данных, копий виртуальных машин, передачи промышленных протоколов с минимальными таймингами. Поэтому внешние потребители могут получать всю информацию из защищенного сегмента АСУ ТП практически в режиме реального времени, причем для разного класса потребителей могут быть использованы разные типы решений класса "диод", например:

  • АК InfoDiode – чисто аппаратные диоды, которые решают задачу передачи UDP, syslog, SPAN-трафика для целей подразделений SOC и NOC;
  • АПК InfoDiode PRO – аппаратно-программное решение, которое решает задачи передачи файлового трафика по протоколам CIFS/SFTP/SMTP/FTP(S) от потребителей, функционирующих под ОС Windows, Linux, что позволяет эффективно передавать бэкапы и инкременты СУБД, реплики ВМ, отчеты и телеметрию в виде файловых потоков;
  • АПК InfoDiode SMART – аппаратно-программное решение, решающее задачи передачи промышленных протоколов в копии SCADA-систем, ERP- и MES-системы, Historian, задачи создания цифровых двойников.

ris1-Mar-10-2023-07-11-18-7021-AMРис. 1. АК InfoDiode MINI (аппаратный диод)

ris2-Mar-10-2023-07-11-54-4054-AMРис. 2. АК InfoDiode RACK single (аппаратный диод)

ris3_proРис. 3. АПК InfoDiode PRO (аппаратно-программное решение)

ris4_1Рис. 4. АПК InfoDiode SMART (аппаратно-программное решение)

В ряде случаев применение диодов подталкивает специалистов по ИБ к развитию самых разных проектов по повышению информационной и общей безопасности на предприятии, вплоть до создания новой структурированной физической среды передачи данных.

Повышение автономности АСУ ТП таким образом не означает ее изоляцию в информационном плане, а лишь определяет границы ее функционирования, повышая надежность за счет исключения непрогнозирумых вторжений злоумышленников. Такие проекты особенно актуальны сейчас, когда огромное количество объектов промышленности, транспорта и энергетики являются потенциальными целями кибератаки. Объекты критической инфраструктуры де-факто и де-юре являются изолированными и автономными, а все, что их соединяет с внешним миром, – это информационные потоки, которые должны быть тщательно проанализированы с точки зрения информационной безопасности.

Темы:АМТ-ГРУПInfoDiodeАСУ ТПЖурнал "Информационная безопасность" №6, 2022

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Комплексная защита КИИ на производственном объекте
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    создание эффективной системы защиты объектов КИИ является многоэтапным процессом, включающим в себя определение объектов защиты, аудит текущего состояния, проектирование, внедрение средств защиты и их ввод в эксплуатацию
  • Dr.Web Industrial: защита серверов и рабочих станций в промышленных системах управления
    Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"
    Dr.Web Industrial обнаруживает подозрительную активность на серверах и рабочих станциях внутри промышленного сегмента сети, не приводя к остановке непрерывного технологического процесса
  • Экосистемы ИБ-решений в России: типы и уровни зрелости
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Стимулируемые рынком и требованиями регуляторов производители СЗИ и иных классов решений движутся к формированию устойчивых и проверенных типовых архитектур и экосистем, которые приходят на замену архитектурам, предлагавшимся рынку зарубежными вендорами в период их активного присутствия.
  • И снова про ZeroTrust: реализуема ли концепция без защиты периметра?
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Чем точно не является концепция ZeroTrust, и как создать предпосылки для ее использования
  • Новинки компании "ИнфоТеКС" на Большом Московском ИнфоТеКС ТехноФест 2023
    Были представлены все решения ИнфоТеКС, в том числе ViPNet Coordinator HW, ViPNet Coordinator IG, ViPNet CSS Connect, ViPNet xFirewall, системы квантового распределения ключей и новый крипточип для промышленных систем.
  • Подходы и проблематика моделирования угроз для объектов КИИ
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
itsec-cybersecurity-04-1
5 апреля 2023
Внедряем UEBA и DLP-системы
Жми, чтобы участвовать

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать