Дмитрий Гусев
Заместитель генерального директора АО «ИнфоТеКС», к.т.н.
Спрос на решения
в области ИБ в АСУ усилится и создаст новый рынок
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Рассуждения о будущем информационной безопасности в АСУ ТП и IoT важно начать с базовых определений. АСУ ТП будем трактовать в классическом понимании, а вот под термином IoT — имеем в виду распределенные системы автоматического сбора и обработки разнообразной технологической информации, а также управления технологическим оборудованием. Для краткости будем все это называть просто АСУ. Хорошим примером такой АСУ является интеллектуальная система учета электроэнергии (ИСУЭ).
Имеет смысл ограничить и географию прогнозирования — будем говорить о развитии ИБ в АСУ в России, учитывая происходящие в стране процессы необратимого импортозамещения и обретения технологической независимости.
В ближайший год ничего революционного в теме ИБ в АСУ не произойдет
Процессы осознания и внедрения методов и средств обеспечения ИБ в АСУ были запущены с принятием ФЗ № 187 «О безопасности критической информационной инфраструктуры РФ», либо еще раньше в рамках нормативных требований по защите транспортной инфраструктуры и топливно-энергетического комплекса. После 2022 года значимые субъекты КИИ ощутили на себе воздействие не только нормативных документов, но и реальных хакерских атак. Поэтому сейчас можно говорить о смене фазы осознания и принятия необходимости реализации мер ИБ в АСУ на фазу постановки специфических требований по защите таких объектов, а в ряде случаев — перехода к реализации мер защиты.
“
Современная АСУ — это не только специализированное промышленное оборудование или сети передачи данных, это объединение информационных и операционных технологий
Только такой подход несет в себе весь необходимый потенциал для реализации задач цифровизации той или иной отрасли. Но и здесь появляется множество путей реализации угроз информационной безопасности, так как зачастую не учитываются требования ИБ. Это естественный процесс в современных экономических условиях, когда организации ведут деятельность в быстро меняющихся условиях экспортно-импортных процедур, введения все новых санкций, появления коопераций и процессов замещения зарубежного на отечественное.
Поэтому в ближайшем будущем мы будем продолжать наблюдать растущее число атак на различные АСУ — от уровня отдельных предприятий до национальных систем, блокировку их работы как на технологическом уровне, так и на уровне систем управления и обеспечения. Все эти процессы будут способствовать увеличению запросов со стороны операторов АСУ к интеграторам и разработчикам средств ИБ. Начавший формироваться постоянный спрос на решения в области ИБ в АСУ усилится, и мы получим новый, стабильно растущий рынок для ИБ отрасли в целом.
Проблемы обеспечения ИБ в АСУ и пути их решения
Как ни странно, импортозамещение не способствует этому процессу. Операторы АСУ вынуждены сейчас очень оперативно, часто в ущерб качеству и безопасности, замещать импортное оборудование в используемых АСУ. Так как оно массово снимается зарубежными вендорами с технической поддержки, его невозможно или сложно купить для восполнения, выходящего из строя.
Кроме этого, вводятся нормативные требования о переходе на отечественное оборудование в ближайший год. Но оно не становится автоматически надежным и безопасным. Часто в российское оборудование из-за требований по скорости разработки и вывода на рынок попадают непроверенные программные open-source компоненты. Как следствие, будет продолжать расти доля атак на АСУ через «цепочку поставки» — через заимствованный зараженный код или нерадивых подрядчиков-разработчиков, оставивших себе технологические учетки для доступа к элементам построенной АСУ. Поэтому должно пройти два-три года минимум, пока отечественное оборудование в АСУ пройдет обкатку в реальных условиях, будут выявлены и устранены большинство ошибок, в том числе уязвимости, произведены доработки для соответствия требованиям заказчика.
Справедливости ради следует отметить, что и импортное оборудование в АСУ неидеально, его разработчики постоянно устраняют выявленные уязвимости. В совокупности все эти факторы ставят перед ИБ-специалистами на ближайшие два-три года задачи по защите существующих рабочих АСУ без их серьезной модернизации.
Что нам поможет разобраться с этими проблемами? Подходы безопасной разработки программного кода и устройств начнут осознаваться и внедряться не только разработчиками и регуляторами в области ИБ, но и разработчиками промышленной автоматики и АСУ. Продолжат развиваться и промышленные средства защиты информации. Уже сейчас мы имеем два параллельных трека развития, хорошо дополняющих друг друга: наложенные и встраиваемые СЗИ.
Наложенные СЗИ и их вектор развития
Наложенные СЗИ пришли в АСУ из IT-сферы — это межсетевые экраны, системы обнаружения и предотвращения компьютерных атак, системы управления СЗИ, анализа и выявлений событий ИБ, средства контроля защищенности.
Далеко не все подобные СЗИ могут легко интегрироваться в АСУ, особенно учитывая дополнительно возникающие требования, например климатическое исполнение, поддержку специализированных протоколов и сред передачи данных, массогабаритные и другие эксплуатационные ограничения, длительные (до десятка лет) сроки работы в необслуживаемом режиме. Поэтому уже не первый год некоторые российские разработчики СЗИ создают специальные исполнения своих продуктов, рассчитанные на эксплуатацию в подобных условиях. К примеру, «ИнфоТеКС» предлагает линейку промышленных шлюзов безопасности ViPNet Coordinator IG.
Направление наложенных СЗИ будет продолжать развиваться, но темпы этого развития будут уменьшаться
Практически все инструменты из IT-сферы уже попробовали в АСУ, но далеко не все попытки увенчались успехом. Проблема в сильной дифференциации АСУ разного назначения. Межсетевой экран (шлюз безопасности) всегда будет оставаться обязательным элементом при построении комплексной системы защиты, так как принцип сегментирования систем и разграничения доступа к тем или иным объектам АСУ останется базовым требованием. Но системам обнаружения компьютерных атак и уж тем более их предотвращения вместе с аналитическими системами будет все сложнее эффективно работать в составе АСУ.
От разработчиков таких СЗИ будет требоваться все больше усилий для поддержки отраслевых версий своих продуктов в ущерб обеспечения их безопасности. Поэтому в перспективе ближайших трех-четырех лет будут сформулированы практические рекомендации по использованию наложенных СЗИ в составе АСУ, вполне естественным образом ограничивающие возможности их применения.
“
Если в этом направлении заглянуть лет на пять вперед, то, вероятно, механизмы обнаружения и реагирования на события ИБ будут освоены и реализованы другими участниками рынка АСУ — разработчиками систем и оборудования противоаварийной защиты (ПАЗ)
Во-первых, это направление реализации мер защиты на опасных технологических объектах (функциональная безопасность) сформировалось задолго до появления всей темы ИБ, здесь есть свои стандарты, методики и свои лидеры. В России это направление сейчас тоже активно развивается в рамках темы импортозамещения.
Во-вторых, разработчики ПАЗ — это те же инженеры-разработчики АСУ, глубоко понимающие специфику той или иной отраслевой АСУ, чего так сильно не хватает и никогда не будет хватать ИБ-специалистам.
Встраиваемые СЗИ — второй трек развития ИБ в АСУ
Стратегическим направлением развития мер ИБ в АСУ, на мой взгляд, должен стать второй трек — это встраиваемые в оборудование АСУ механизмы защиты информации наравне с уже ранее упомянутыми мною практиками разработки безопасного программного обеспечения и оборудования. Ведь именно сами разработчики лучше других знают область применения своих продуктов, режимы работы и ограничения.
И наша задача, как специалистов по ИБ, подсказывать им, как не допускать при разработке тех или иных ошибок, способных стать уязвимостями
Как использовать базовые механизмы разграничения доступа к технологической информации. Как правильно применять криптографические механизмы защиты информации, альтернативы которым в АСУ, по сути, нет. Потому что не получится в контроллере управления технологическим объектом или тем более интеллектуальном датчике распределенной системы сбора информации реализовать полноценный сетевой экран по всем требованиям регулятора или систему обнаружения вторжений, а вот применить программные или аппаратные СКЗИ можно относительно просто: для защиты удаленных каналов управления и телеметрии, для защиты обновлений самого оборудования, для аутентификации обслуживающего персонала.
Уже сейчас некоторые российские разработчики СКЗИ совместно с разработчиками технологического оборудования занимаются интеграцией своих продуктов. Так, например, идет активное внедрение СКЗИ в интеллектуальные приборы учета электроэнергии и сбора данных (ИСУЭ). Например, «ИнфоТеКС» предлагает сертифицированное по требованиям ФСБ России специализированное криптографическое решение ViPNet SIES.
“
ИСУЭ стало первой АСУ государственного масштаба, по отношению к которой было принято решение о необходимости внедрения криптографических механизмов защиты информации
И если вначале казалось возможным решить задачу наложенными СЗИ (криптошлюзами), то после нескольких лет обсуждения и экспериментов стало понятно, что задача может быть эффективно решена только за счет встраиваемых СКЗИ.
С каждым годом подобных практических примеров будет становиться все больше. Доказательством этого прогноза служат обращения в «ИнфоТеКС» компаний-разработчиков промышленной аппаратуры с просьбой помочь разобраться с криптографией. Их число стало больше, чем за все предыдущие годы, хотя решение ViPNet SIES представлено на рынке уже более пяти лет.
Техническое регулирование
Тесная интеграция двух отраслей неизменно приведет к появлению большого числа технических рекомендаций и национальных стандартов, регламентирующих технические аспекты реализации мер ИБ в АСУ.
Важной вехой развития нормативной базы стал выход в 2024 году национального стандарта ГОСТ Р 71 252−2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем», описывающего первый в России (как и в мире) промышленный криптографический протокол прикладного уровня CRISP, специально спроектированный для эффективной реализации мер криптографической защиты информации в различных АСУ. Протокол CRISP является основой криптографического решения ViPNet SIES.
Кадровый вопрос
Еще одним важным вопросом остается подготовка кадров. В профессиональном ИБ-сообществе совсем недавно начал формироваться новый подход к подготовке кадров ИБ для АСУ.
Пришло понимание, что не нужно из ИБ-специалиста делать инженера — это по факту невозможно из-за принципиально разных программ образования
Специалистам по АСУ необходимо в рамках образовательных программ давать основы ИБ и учить грамотно проектировать и производить оборудование АСУ. Образно говоря, информационная безопасность наравне с функциональной должна быть заложена в генотип промышленного оборудования, а не добавляться как вынужденная мера уже на этапах внедрения и эксплуатации.
Начало подготовки инженеров-отраслевиков, владеющих основами ИБ, уже началось: компания «ИнфоТеКС» совместно со специалистами кафедры релейной защиты и автоматики Центра компетенций НТИ МЭИ открыли в мае 2024 года первую отраслевую лабораторию встраиваемых средств криптографической защиты информации автоматизированных и автоматических систем управления объектов электроэнергетики.
Теперь любой действующий специалист по релейной автоматике может пройти курс повышения квалификации, в рамках которого ему расскажут об основах ИБ и дадут на практике освоить подходы по встраиванию СКЗИ в понятное ему оборудование защиты систем передачи электроэнергии. По моим прогнозам, уже в ближайшие два-три года на базе различных отраслевых вузов таких лабораторий будет становиться все больше, а новое оборудование российских инженеров-разработчиков АСУ все безопаснее и надежнее.