За последнее время значительно изменилось отношение к вопросам обеспечения безопасности инфраструктуры и защиты информации. Владельцы промышленных и иных объектов, поставщики технологий, средств автоматизации заинтересованы в использовании инструментов и средств информационной безопасности. Среди предпосылок этого эксперты называют требования регуляторов, реализованные сценарии взломов АСУ ТП, а также перспективные направления развития технологий защиты в современных условиях. О тенденциях, доминирующих в данном сегменте, роли нормативных требований, решениях, доступных на российском рынке, рассказала руководитель направления индустриальных решений отдела развития продуктов компании «ИнфоТеКС» Марина Сорокина.

– Как за прошедший год изменился рынок средств защиты АСУ ТП по вашим оценкам?

– Рынок АСУ ТП за последние два года сделал качественный переход к осознанию необходимости обеспечения защиты информации. Сегодня уже не нужно убеждать владельцев инфраструктуры и производителей средств автоматизации внедрять средства информационной безопасности, они сами заинтересованы в этом. Наличие требований регуляторов, осознанность и реальные кейсы взломов АСУ ТП привели к повышенному спросу на средства защиты информации (СЗИ). При этом интересно отметить, что многие компании обращаются с запросами на СЗИ, которых на рынке ИБ АСУ ТП пока нет или практически нет. Точнее, СЗИ с необходимым функционалом есть, но в связи со специальными требованиями к среде эксплуатации или спецификой используемых технологий их использование в АСУ ТП невозможно. Сюда же можно отнести и запрос на защиту информации, например, для не IP-устройств, функционирующих на устаревших последовательных сетях или на современных LPWAN-каналах.

Требования по обеспечению ИБ интеллектуальных систем учета электроэнергии (ИСУЭ) в рамках Постановления Правительства РФ № 890 «О порядке предоставления доступа к минимальному набору функций ИСУЭ» привели к бурному развитию встраиваемых средств криптографической защиты информации (СКЗИ), в том числе и для применения в приборах учета. Эта тема стала драйвером как для роста количества вендоров, готовых разрабатывать такие СКЗИ, так и многих работ по оттачиванию практик по защите IIoT в России целом. По сути, ИСУЭ – это миллионы разбросанных по территории устройств, расположенных вне контролируемой зоны, частично использующих протоколы типа ZigBee, Lora, XNB, PLC и работающих без обслуживания свыше десяти лет. Это одновременно и вызов, и мощный двигатель для рынка ИБ АСУ ТП, так как решение данной задачи вынуждает всех участников, включая регуляторов, корректировать свои представления о работе СЗИ.

– В каком направлении развиваются технологии защиты АСУ ТП в России и мире?

– Общие тенденции связаны с движением АСУ ТП в сторону IIoT, это приводит к увеличению количества отдельно стоящих устройств и размыванию периметра. Кроме того, АСУ ТП начинают сильнее интегрироваться друг с другом и становятся базой для предоставления дополнительных сервисов или информации смежным системам. Набирают обороты цифровые модели, системы предиктивной аналитики.

Интересно, что интеграция функций ИБ и практики безопасной разработки – важное направление развития АСУ ТП. Многие мировые вендоры уже сертифицировали или в данный момент сертифицируют свою продукцию в соответствии с требованиями безопасности IEC 62443-4-1 и IEC 62443-4-2. В России еще мало таких прецедентов, но разработчики задумываются об этом.

– В чем особенность организации защищенного удаленного доступа для промышленных предприятий?

– Вопрос организации удаленного доступа к АСУ ТП до пандемии многими воспринимался негативно. Но два последних года «удаленки» показали, что эта задача актуальна, и во многих случаях доступ необходим, потому что это, прежде всего, экономически оправдано. Более того, во всех случаях удаленный доступ – это, по сути, подключение к сетям связи общего пользования объекта АСУ ТП. Методы обеспечения ИБ хорошо известны: защита периметра объекта и рабочего места, с которого осуществляется доступ, защита канала передачи данных и установка антивирусов и систем обнаружения вторжений.

– Насколько популярно использование криптографии в средствах защиты промышленных сетей? Какова специфика использования криптографии в системах реального времени?

– Криптография де-факто является стандартом для защиты любых сетей, в том числе промышленных. СКЗИ довольно широко применяются в АСУ ТП, особенно это касается систем, которые используют сети связи общего пользования. Помимо защиты каналов передачи данных криптография широко применяется и для дистанционной аутентификации.

Однако криптография – это не только шифрование. Для многих систем обеспечение целостности передаваемой информации и защита от навязывания ложных данных важнее обеспечения конфиденциальности. Для АСУ ТП целесообразнее использовать имитозащиту. Кроме того, важно правильно выбрать криптографический алгоритм, где жестко определены допустимые задержки при передаче данных, что особенно актуально для систем реального времени. Здесь ключевым параметром будет значение размера накладных расходов на передаваемую информацию: чем меньше – тем лучше. Для систем реального времени лучше использовать встраиваемые СКЗИ. В таком случае интеграция будет более глубокая, а нефункциональные характеристики не будут зависеть от внешней настройки.

Для промышленных предприятий у «ИнфоТеКС» есть линейка Industrial Security, включающая как наложенные, так и встраиваемые средства защиты информации.

Наложенные средства сегодня крайне востребованы, поэтому мы предлагаем индустриальные шлюзы безопасности ViPNet Coordinator IG. Их можно эксплуатировать в промышленной среде, они позволяют быстро построить эффективную систему информационной безопасности предприятия. Шлюзы используют технологию ViPNet VPN, которая обеспечивает безопасную передачу данных, а реализованный в ViPNet Coordinator IG межсетевой экран защищает объекты от несанкционированного доступа. Благодаря поддержке каналов Ethernet, GSM/UMTS/LTE, Wi-Fi, RS-232/RS485, шлюз безопасности позволяет реализовать большое количество сценариев безопасности, в том числе удовлетворяющих требования приказов ФСТЭК России № 239 от 25.12.2017, № 31 от 14.03.2014 и требования серии стандартов ГОСТ Р МЭК 62443.

Решение универсально и может быть использовано как для создания новых, так и для модернизации существующих систем АСУ ТП в различных отраслях промышленности: на объектах нефтегазотранспорта, нефтегазодобычи, нефтегазопереработки, а также химической, металлургической, атомной промышленностей, горнодобычи и переработки, в машиностроении и на прочих критически важных инфраструктурных объектах.

В качестве встраиваемого средства защиты мы предлагаем решение ViPNet SIES, позволяющее обеспечить защищенность устройств АСУ ТП «из коробки», реализуя концепцию secure by design. ViPNet SIES – полностью законченное и сертифицированное решение, которое подходит для защиты систем АСУ, IIoT, M2M, в том числе для защиты интеллектуальных систем учета электроэнергии.

Кроме того, встраивание компонентов решения ViPNet SIES позволяет выполнить требования ФЗ № 187-ФЗ, приказов ФСТЭК России № 235 от 21.12.2017, № 239 от 25.12.2017, № 31 от 14.03.2014.

– Есть ли в промышленных системах реального времени место для использования квантовой криптографии?

– Квантовые коммуникации – молодая отрасль, которая развивается стремительными темпами. Квантовая криптография в будущем может стать фундаментом системы информационной безопасности России. В перспективе технология квантового распределения ключей может быть использована и для защиты промышленных систем. Важно отметить, что реальных разработок квантового оборудования и примеров промышленной эксплуатации в России не так уж много.

В портфеле «ИнфоТеКС» есть квантовая криптографическая система, выполняющая протокол квантового распределения ключей и работающая в топологии «точка-точка» ViPNet Quandor и квантовая криптографическая система ViPNet QSS, работающая в топологии «звезда».

Система ViPNet Quandor успешно прошла ряд испытаний: в Санкт-Петербургском информационно-аналитическом центре, на сети связи между МГТС и ГВЦ ОАО «РЖД», а также на линиях связи, принадлежащих ПАО «Ростелеком». На основе ViPNet QSS была запущена университетская квантовая сеть.

 

– Какие решения ваша компания будет предлагать своим клиентам в 2022 году?

– В 2022 году мы представим новые продукты линейки ViPNet SIES. Во-первых, крипточип ViPNet SIES Core Nano – СКЗИ российского производства, реализованное по принципу System-on-a-Chip. Его компактный размер (3х3 мм) позволяет встраивать крипточип практически в любое конечное оборудование, в том числе в приборы учета электроэнергии.

Второй новый продукт – ПАК ViPNet SIES Core NR, выполненный в виде платы для встраивания. Решение подходит для использования в устройствах сбора и передачи данных на уровне информационно-вычислительного комплекса электроустановки – ИВКЭ.

Проверенные временем продукты – шлюзы ViPNet Coordinator IG – также получат развитие. В 2022 году выпустим еще три новых исполнения: два будут работать с технологией PoE, в третьем предусмотрена возможность подключения оптических каналов.