Системный интегратор «Крок» провел 25 февраля семинар под названием «Информационная безопасность промышленных систем», на котором рассказал о решениях для обеспечения защиты автоматических систем управления технологическими приборами (АСУ ТП). По словам Вячеслава Максимова, директора по промышленным решениям «Крок», основной проблемой при внедрении ИТ-проектов на подстанциях высокого напряжения были вирусы. «Все специалисты переносили информацию на флэшках, – пояснил он. – В результате достаточно часто еще не запущенные системы оказывались зараженными достаточно старыми и примитивными вирусами. В некоторых случаях приходилось заново начинать установку программного обеспечения». Сейчас производители средств защиты пытаются адаптировать уже готовые продукты для работы в промышленных сетях, что не всегда возможно. Поэтому некоторые производители приняли решение разрабатывать специализированные проекты для защиты конкретных АСУ ТП.
Проблема промышленных систем – работа в режиме реального времени, что не допускает даже простого замедления реакции системы. Для информационной безопасности АСУ ТП характерно то, что любое вмешательство в работу промышленного оборудования может привести к плохо предсказуемым результатам. Если на узле управления, например, атомным реактором, заработает антивирус и его реакция на поступающие от датчиков сигналы замедлится, последствия могут быть самыми серьезными. Поэтому для защиты промышленного оборудования применяется подход пассивного мониторинга событий, который не должен влиять на основные производственные процессы.
Ключевым элементом пассивной защиты является так называемый диод данных, который передает сигналы только в одну сторону – как правило, из промышленной сети в сегмент мониторинга. В этом устройстве просто нет приемника оптического сигнала для оптоволокна или АЦП для электронной сети. Сегменты данных, передаваемые в однонаправленную линию, размечаются таким образом, чтобы приемник всегда мог определить, какой сегмент не получен или искажен.
Через такое однонаправленное соединение передается информация из сети АСУ ТП, забираемая с дублирующего порта коммутатора (SPAN). Пройдя через диод данных, информация попадает на специальный анализатор, который фиксирует все происходящие в промышленной сети процессы и подает сигналы обслуживающему персоналу в случае обнаружения проблем. Автоматического исправления проблем в системе не предусмотрено – обслуживание выполняется вручную инженерами, которые эксплуатируют промышленную систему. О начале продаж такого аналитического продукта недавно объявила компании Positive Technologies, хотя аналогичные решения есть и у других производителей средств защиты.
Однако следует отметить, что подобная схема защиты характерна для унаследованных систем, созданных до эпохи Интернета. Современная промышленная платформа (Industrial IoT – IIoT) предполагает, что все промышленные датчики и исполнительные устройства подключаются к системе управления через Интернет. При этом предполагается не иерархическая система управления, как это реализовано в классических АСУ ТП, а одноранговая сеть интеллектуальных устройств, которые самостоятельно инициируют соединения с центром управления. Обеспечение безопасности такой среды – задача более сложная, требующая разработки комплексной системы защиты.
Именно для такой среды и предназначены новые продукты «Лаборатории Касперского» из серии Kaspersky Industrial Cybersecurity (KICS). В серию входит модуль для контроля отдельного узла KICS for Nodes и сетевого взаимодействия KICS for Networks. Оба продукта интегрируются с корпоративным инструментом управления «Лаборатории Касперского» и позволяют уже не только пассивно мониторить ситуацию, но и активно защищать промышленный сегмент сети. Компания тестирует свои продукты на совместимость с устройствами таких производителей, как Siemens, Emerson, Rockwell и др. Таким образом, и для новых решений класса АСУ ТП уже разрабатываются средства защиты.
Валерий Коржов