«Мы помогаем цифровому предприятию стать реальностью»
Продукты ИнфоТеКС позволяют делать безопасными любые сценарии эксплуатации и обслуживания промышленных предприятий. На вопросы BIS Journal отвечает руководитель направления отдела развития продуктов «ИнфоТеКС» Марина Сорокина.
— Марина, мы бы хотели задать вам несколько вопросов о защите АСУ ТП. Что сегодня предлагает ИнфоТеКС в части обеспечения кибербезопасности?
— В продуктовом портфеле ИнфоТеКС есть две специализированные линейки для защиты АСУТП: наложенные средства защиты и встраиваемые.
— Расскажите, пожалуйста, про наложенные средства защиты. Как с их помощью можно защитить промышленные системы?
— Прежде всего, речь идёт об индустриальных шлюзах безопасности ViPNet Coordinator IG, предназначенных для установки на всех уровнях АСУ и АСУ ТП и позволяющих построить эффективную систему информационной безопасности предприятия.
Технология ViPNet VPN, использующаяся в шлюзах, обеспечивает безопасную передачу данных, а функция межсетевого экрана защищает объекты от несанкционированного доступа.
Индустриальный дизайн ViPNet Coordinator IG позволяет устанавливать его рядом с промышленным оборудованием и эксплуатировать в сложных климатических условиях.
Важную роль играет то, что шлюзы безопасности могут работать как с проводными (Ethernet), так и с беспроводными (Wi-Fi, 3G/LTE) каналами связи. Кроме этого, в них поддерживается работа с последовательными (RS‑485/232) интерфейсами.
Отдельно хочу подчеркнуть, что ViPNet Coordinator IG полностью совместим с другими продуктами ViPNet VPN: шлюзами безопасности, используемыми для защиты ИТ-инфраструктуры разного масштаба (от маленьких офисов до ЦОДов) и программными VPN-клиентами, предназначенными для компьютеров и мобильных устройств, работающих на всех распространённых ОС. Также возможно централизованное управление ключами и политиками безопасности.
— Получается, что вы предлагаете сквозную безопасность целиком для промышленного предприятия, а не только для части АСУ?
— Да, именно так. Продукты позволяют делать безопасными практически любые сценарии эксплуатации и обслуживания промышленных предприятий. Все технологии, которые предлагает так называемая четвёртая промышленная революция (Industry 4.0) и которые невозможно было использовать ранее из-за отсутствия инструментов по защите информации, становятся доступны.
Не побоюсь сказать, что мы помогаем цифровому предприятию стать реальностью в соответствии с жёсткими требованиями наших ИБ-регуляторов. Например, в проектах «цифровой монтёр или обходчик» информация с датчиков, расположенных на касках персонала, попадает в планшет и позволяет отслеживать состояние их здоровья или обслуживаемого ими оборудования. Используя планшет, персонал может подключаться к контроллерам для просмотра журнала событий. Так как эти данные носят конфиденциальный характер, встают вопросы информационной безопасности. Функционал наших продуктов позволяет их решить.
— Интересно. Есть уже проекты, реализованные в этом ключе?
— Пока не буду раскрывать все карты, но есть ряд очень интересных проектов, в том числе и «цифровые монтёры», о которых я упоминала ранее. Есть проект по безопасному управлению беспилотным транспортом, где тоже используется ViPNet Coordinator IG.
Сейчас мы работаем над расширением сценариев и предлагаем защищать каналы до самих устройств автоматизации. Для этого в 2020 году было разработано и сертифицировано ПО ViPNet Client 4U, который может работать в том числе на контроллерах c архитектурой ARMv5, ARMv7, ARMv8, MIPS под ОС Linux.
— Мы обсудили наложенные средства защиты, давайте теперь перейдём к встраиваемым. Что вы предлагаете в этой области?
— Мы часто слышим о том, как важно прийти к реализации концепции secure by design, но мало кто представляет, как это сделать. В нашем продуктовом портфеле есть уникальное решение — единственный в России сертифицированный криптомодуль ViPNet SIES Core, предназначенный для защиты устройств нижнего уровня АСУ, меж-машинного взаимодействия (M2M) и промышленного интернета вещей (IIoT): ПЛК, терминалов, интеллектуальных устройств и пр.
Криптомодуль встраивается в различные защищаемые устройства независимо от их производительности, архитектуры и операционной системы, по сути, речь идёт о криптографическом сервисе для устройства. Идея в том, что все криптографические преобразования, а также хранение ключей шифрования выполняются внутри ViPNet SIES Core, который интегрируется с защищаемыми устройствами через межплатные интерфейсы. Защищаемые устройства запрашивают у встроенного криптомодуля выполнение криптографических операций с данными, а потом используют результат для построения собственной защиты. Например, для безопасной передачи данных, а также для доверенного обновления или доверенной загрузки.
ViPNet SIES Core — часть решения ViPNet SIES (Security for Industrial and Embedded Solutions), объединяющего криптографические средства защиты информации в АСУ и М2M-системах для всех уровней. Кроме криптомодуля, в него также входят программный комплекс ViPNet SIES Unit, обеспечивающий защиту устройств уровня оперативно-диспетчерского управления АСУ, и центр управления жизненным циклом компонентов решения ViPNet SIES — программно-аппаратный комплекс ViPNet SIES MC.
— В каком случае рекомендуется использовать наложенные средства, а в каком лучше подходят встраиваемые? Когда эффективней комплексный подход?
— Сложно сказать, что лучше, — всё зависит от задачи. Иногда эффективней использовать встраиваемые средства, иногда наложенные. Одно другого не исключает. Например, каналы защищаются наложенными средствами, так как это проще, а доверенная загрузка или обновление контроллеров обеспечивается встроенными средствами. Бывает так, что каналы нельзя защитить наложенными средствами, так как сеть не TPC/IP или даже не Ethernet, тогда для защиты остаётся один вариант — ViPNet SIES.
Я, например, поддерживаю рекомендации, сформулированные в Приказе № 239 ФСТЭК России от 25.12.2017, где приоритет отдаётся встраиваемым средствам защиты информации. Те механизмы ИБ, что привнесли сами разработчики средств автоматизации, более инвазивны по отношению к АСУ из-за глубокого понимания технологического процесса. Вендоры, разрабатывающие средства защиты информации, не так погружены в АСУ. Другое дело, что на стороне разработчиков устройств автоматизации пока не хватает специалистов ИБ, поэтому таких решений крайне мало. Наш ViPNet SIES Core был создан как раз для того, чтобы помочь разработчикам средств автоматизации делать их безопасными.
— Задам провокационный вопрос… Считается, что в АСУ вмешиваться нежелательно — можно прервать технологические процессы, поэтому в основном все говорят про мониторинг и обнаружение вторжений, почему вы развиваете проактивные продукты?
— По моему мнению, тема с инвазивностью для АСУ преувеличена. Во-первых, на момент становления рынка кибербезопасности средства ИБ, особенно некорректно внедрённые и настроенные, действительно могли оказывать негативное влияние на техпроцесс. Эти времена ушли в далёкое прошлое, а миф остался.
Во-вторых, если разбираться, страхи связаны не с влиянием средств защиты информации, а с надёжностью системы после их внедрения. Вопросы надёжности и отказоустойчивости в АСУ позволяют решить механизмы резервирования. В ответственных АСУ резервируется всё — начиная от каналов связи и заканчивая самими устройствами. И мы учитываем это, разрабатывая свои продукты. Так, индустриальный шлюз ViPNet Coordinator IG может работать в режиме кластера, поддерживает резервирование каналов, может переключать проводной канал на беспроводной, если первый перестаёт работать. В решении ViPNet SIES мы поддерживаем работу устройств автоматики, имеющих резервирование.
Говоря про надёжность, хочу подчеркнуть, что мы проектируем решения с учётом наработки на отказ и подбираем соответствующую элементную базу.
И, в‑третьих, проактивные средства ИБ уже давно применяются внутри АСУ. Просто раньше они назывались иначе и не учитывали требования российской нормативной базы. Например, в промышленных маршрутизаторах давно есть функции межсетевого экранирования и VPN.
— Вы говорили ранее, что подбираете компоненты для платформ своих продуктов. Вы сами проектируете и производите «железо»?
— Да, все аппаратные платформы для индустриального направления мы проектируем сами и являемся владельцами конструкторской документации. Изготавливает их контрактное производство, расположенное в России.
Это позволило нам в прошлом году включить все исполнения ПАК ViPNet Coordinator IG в реестр телекоммуникационного оборудования российского происхождения (ТОРП), являющего частью реестра российского радиоэлектронного оборудования (РЭП). ViPNet Coordinator IG официально стал первым российским индустриальным шлюзом безопасности, так как ранее он был включён и в единый реестр российского ПО.
— Как вы смотрите на будущее развития кибербезопасности в разрезе защиты АСУ ТП?
— На будущее смотрим с оптимизмом: рынок кибербезопасности очень активно развивается. Конечно, всех серьёзно стимулирует законодательство по КИИ и импортозамещение. Интересное время — много изменений. Приходится постоянно быть в тонусе и подстраиваться, проявляя гибкость.