Управление ИТ-активами в АСУ ТП: базовые задачи промышленной кибербезопасности
Positive Technologies, 10/07/25
Современные предприятия сталкиваются с необходимостью пересмотра подходов к кибербезопасности, фундаментальное значение приобретает точный учет активов – промышленных контроллеров, серверов SCADA, сетевого оборудования и других компонентов инфраструктуры. Рассмотрим, почему стандартные методы управления ИТ-активами не подходят для АСУ ТП и как грамотно провести инвентаризацию на производстве.
Авторы:
Дмитрий Даренский, руководитель практики промышленной кибербезопасности Positive Technologies
Евгений Орлов, руководитель направления информационной безопасности промышленных систем Positive Technologies
Согласно исследованию [1] Positive Technologies, степень проникновения автоматизированных систем управления технологическим процессами в России достигает 93% в добывающей и 79% в обрабатывающей промышленности, что делает проблему защиты критически важной.
Особенность промышленных систем заключается в их технологической неоднородности: современные решения соседствуют с устаревшими программируемыми логическими контроллерами (ПЛК) и SCADA. При этом последствия сбоев крайне серьезны – авария на предприятии может привести к большим финансовым потерям и даже к техногенной катастрофе.
Без карты активов нет защиты: почему безопасность АСУ ТП начинается с инвентаризации
Кибербезопасность промышленных систем строится на принципе: нельзя защитить то, о чем не знаешь. Причина появления слепых зон в сети заключается в том, что в АСУ ТП часто встречаются устаревшее оборудование и ПО. Например, ПЛК и SCADA-системы двадцатилетней давности, а также "невидимые" IoT-устройства без встроенных средств защиты или возможности обновления.
Стандарты различных регуляторов и международных ассоциаций, таких как приказы ФСТЭК России № 31 и № 239, NIST CSF, IEC 62443, прямо предписывают инвентаризацию ИТ-активов как обязательное условие работы. Однако проблема слепых зон на объектах критической информационной инфраструктуры остается актуальной. Как правило, предприятия совершают следующие ошибки:
- Применяют ИТ-подходы и инструменты в ОТ-среде, например, используя активное автоматизированное сканирование инфраструктуры (иногда это приводит к сбоям в работе оборудования, поэтому эксплуатация сканеров в АСУ ТП не так широко распространена).
- Ведут учет вручную с помощью Excel и Visio, в результате чего данные устаревают быстрее, чем завершается заполнение базы.
- Фокусируются только на самых важных ИТ-активах, хотя опыт показывает, что хакеры часто атакуют ничем не примечательные устройства вроде сетевых принтеров или устаревших контроллеров.
- Используют недостоверные и устаревшие данные об оборудовании.
Особенности OT-среды: почему стандартные методы инвентаризации не работают
Аудит ИТ-активов в промышленных сетях часто вызывает у предприятий сложности, которые можно условно разделить на две группы: технические и организационные.
Технические ограничения учета активов АСУ ТП
- Гетерогенность оборудования и протоколов. Промышленные сети объединяют оборудование разных лет – от современных ПЛК до устаревших контроллеров и систем, работающих на MS DOS или Windows XP. Инструменты автоматизированного сканирования типа Nmap часто не распознают такие устройства, к тому же активное сканирование может привести к аварийным остановкам, например из-за перехода контроллеров в сервисный режим. Сбор инвентаризационной информации с помощью программных агентов на конечных узлах или извлечение такой информации из сетевого трафика технологической сети позволяют получить полный объем данных об активах. К тому же такие способы более безопасны, чем сетевое сканирование.
- Жесткие ограничения на мониторинг. Из-за непрерывности производства предприятия не могут останавливать техпроцессы для проведения аудита, а ограничения, закрепленные производителем системы автоматизации, или другие технические особенности часто не позволяют установить на устройства агентское ПО. Поэтому для сбора информации приходится использовать исключительно пассивный метод – анализ копии сетевого трафика АСУ ТП.
- Проблемы идентификации. Некоторые производители используют одинаковые MAC-адреса для устройств одной модели, а маршрутизаторы при трансляции пакетов из одной сети в другую заменяют эти адреса на свои. Часто в производственных сетях нет DNS-сервера, а значит искать оборудование приходится по IP-адресам вместо удобных имен. Сложность также добавляют изолированные сегменты и подключение через последовательные порты.
Организационные барьеры в защите АСУ ТП
- Разрыв между ИТ- и OT-подразделениями. Специалисты по ИБ и ИТ редко разбираются в промышленных протоколах, тогда как инженеры АСУ ТП могут не иметь подготовки в кибербезопасности. Это разделение создает в инфраструктуре серые зоны, где оборудование "выпадает" из-под ответственности обеих служб.
- Динамичность промышленной среды. Введенное без уведомления службы ИБ-оборудование, перемещаемые контроллеры и несанкционированные подключения ноутбуков инженеров обесценивают результаты даже самой тщательной инвентаризации.
- Консервативность промышленных предприятий. Руководство часто избегает глубокого аудита, опасаясь выявления дорогостоящих несоответствий. Среди технического персонала укоренился принцип "работает – не трогай", а иногда отсутствие учета намеренно используют для раздувания бюджета на закупки и обслуживание.
Построение системы управления активами: с чего начать
Для эффективного управления ИТ-активами в АСУ ТП, необходим комплексный подход: нужны и технологические решения, и организационные меры. Начинать лучше с небольшого участка, например с одного цеха или технологической линии, чтобы опробовать новые методы с минимальными рисками.
Следующий шаг – создание междисциплинарной команды, где специалисты по ИБ и ИТ работают вместе с инженерами АСУ ТП. Такой подход поможет преодолеть традиционный разрыв между ИТ- и ОТ-подразделениями, а также избавиться от слепых зон. Собранные данные нужно использовать не как формальный отчет, а как инструмент для автоматического поиска уязвимостей и планирования обновлений ПО и замены оборудования.
При инвентаризации полезно сочетать автоматизированные и ручные методы мониторинга, а также использовать специализированные решения, такие как PT Industrial Security Incident Manager (PT ISIM) [2].
Как PT ISIM помогает проводить аудит ИТ-активов
PT ISIM использует два метода сбора информации об активах:
- Анализирует копию сетевого трафика, не мешая работе оборудования.
- Собирает необходимый объем информации с помощью программных агентов на конечных сетевых узлах (серверах и рабочих станциях). Это позволяет обнаруживать все подключенные устройства – от промышленных контроллеров до инженерных станций и сетевого оборудования, отслеживать изменения в инфраструктуре и определять все сетевые взаимодействия как между узлами технологической сети, так и с внешними сетями, например с корпоративной сетью или Интернетом.
Интеграция с другими продуктами, например с MaxPatrol SIEM или PT Sandbox, превращает PT ISIM в основной элемент системы промышленной кибербезопасности. Совместная работа этих инструментов:
- автоматизирует процесс формирования паспортов устройств с указанием ответственных лиц и местоположения оборудования;
- оперативно выявляет уязвимости в промышленном оборудовании и ПО;
- обнаруживает сложные целевые атаки, независимо от их источника.
PT ISIM поможет создать полную и достоверную карту промышленной сети, которая станет основой защиты критически важной инфраструктуры предприятия.
Однако важно понимать, что даже самая совершенная система учета бесполезна, если не поддерживать ее в актуальном состоянии. Чтобы данные не устарели, необходимо назначить ответственного за учет и обновлять сведения об оборудовании хотя бы раз в квартал.
Инвентаризация – не формальность, а необходимость
Инвентаризация ИТ-активов в промышленных сетях – это фундаментальная задача, важность которой часто недооценивают. Без точных данных об оборудовании и ПО даже самые продвинутые средства защиты – межсетевые экраны, системы обнаружения атак или сканеры уязвимостей – не смогут работать эффективно.
Чтобы справиться с этой задачей нужно знать оборудование, находящееся в сети, преодолеть организационные барьеры и следить за актуальностью данных. Тут помогут специализированные инструменты, такие как PT ISIM для пассивного мониторинга и автоматического обнаружения всех устройств в сети – от промышленных контроллеров до инженерных станций. Вместе с другими средствами защиты система превращает учет оборудования в инструмент управления киберрисками, обеспечивая безопасность критически важных объектов и непрерывность технологических процессов в них.
- https://www.ptsecurity.com/ru-ru/research/analytics/issledovanie-rynka-asu-tp-v-rossii/
- https://www.ptsecurity.com/ru-ru/products/isim/
Реклама: АО «Позитив Текнолоджиз». ИНН 7718668887. Erid: 2SDnjdLC1MQ