Мир IIoT-решений просит защиты. Прежде всего адекватной

Мир IIoT-решений просит защиты. Прежде всего адекватной

Промышленный интернет вещей (IIoT), будучи новой и легкодоступной технологией, сегодня обещает революцию в производстве, энергетике и других ключевых отраслях. Практически все эксперты сходятся на том, что рынок IIoT-устройств и решений будет только увеличиваться. Особый вклад в его рост внесут интеграция с искусственным интеллектом, системами аналитики, применение высокоскоростных систем и сетей связи для оперативного сбора данных.

Однако этот значительный потенциал может быть сведён на нет в случае, если не будет обеспечена хотя бы базовая информационная безопасность применяемых решений и технологий. Постараемся разобраться, почему это так и в чём состоят проблемы построения безопасных решений IIoT сейчас, а также какие доступные на рынке решения могут нивелировать возникающие риски.

ПРЕИМУЩЕСТВА

IIoT-решения и устройства обладают очевидными преимуществами для потребителей, которым необходим оперативный сбор данных, аналитики и «быстрая» автоматизация. Прежде всего это:

1. Стоимость и доступность решений. Огромное количество производителей предлагают хотя и не всегда надёжные, но низкобюджетные решения, которые позволяют добиться эффекта «низкой базы» — когда даже самые простые устройства при минимуме инвестиций могут дать значительное количество данных, аналитики для дальнейших решений и изменений, экономии или получения дополнительных средств.

2. Актуальные и простые протоколы интеграции типа ZigBee и LoRaWAN, MQTT, CoAP, AMQP, которые опираются на современные сети и системы связи и позволяют легко и без ёмких инвестиций настроить сбор и передачу важных данных уже на существующих (иногда низкропроизводительных) ethernet и беспроводных сетях.

3. Достаточно высокая производительность в части обмена данными на высокопроизводительных сетях. За счёт современных протоколов обмена становится возможным собрать и передать большое количество структурированных данных в самых разных форматах, что ранее было недоступно или достаточно трудоёмко.

В КОНТЕКСТЕ ИБ

Однако современные устройства IIoT часто становятся слабым звеном в системе из-за архитектурных особенностей и условий эксплуатации в контексте информационной безопасности:

• Значительное количество небольших вендоров предлагают дешёвые и простые устройства, при этом вся инфраструктура сбора и передачи данных построена, что называется, «на коленке». Промежуточные данные о регистрируемом в сети устройстве могут уходить на непроверенные и недоверенные серверы и прокси-серверы далеко за пределы организации, а устройство может устанавливать связь с внешним миром произвольным образом.
• Многие устройства создаются с упором на функциональность, а безопасность отходит на второй план. Часто такие устройства не поддерживают установку наложенных средств защиты, не имеют даже базовых механизмов аутентификации, способны выполнять неконтролируемо загружаемые скрипты и компоненты стороннего ПО, невозможен контроль за их состоянием.
• IIoT-устройства часто спроектированы или как «одноразовые» решения (запустил, забыл, сломалось, заменил) или, наоборот, рассчитаны для работы десятилетиями (запустил и забыл), и акцент в их «конструкции» делается на простоте и надёжности в ущерб иным аспектам функционирования. В частности, обновление встроенного ПО в таких типах устройств либо вообще не предполагается, либо, наоборот, предполагается в онлайн-режиме с промежуточных серверов малоизвестных вендоров без каких- либо ограничений и контроля в части ИБ. Это приводит к тому, что в обоих случаях эти устройства, будучи легко компрометируемыми, могут столь же легко выступать в качестве источника угрозы для сети, в которой они располагаются.
• В ряде случаев устройства выпускаются с поддержкой современных каналов и систем связи, стандартов, но изначальная цель их создания — работать на устаревших и уязвимых протоколах в переходный период трансформации предприятия, например, поддержать работу протокола Modbus поверх TCP. В таких случаях устройства изначально поставляются с игнорированием требований безопасности, таких как шифрование, аутентификация и др.
• Для сегмента IIoT характерно повсеместное использование устройств со стандартными или слабыми учётными данными, настройками и паролями по умолчанию, дефолтными IP-адресами, DNS-серверами, что предоставляет злоумышленникам простой путь для доступа к ним.

БЕЗОПАСНЫЙ СБОР ДАННЫХ

Каким же образом можно обеспечить безопасный сбор данных с использованием данного типа устройств, когда практически каждое из них является уязвимым и требует передачи данных в менее доверенные сети?

Решение в значительной степени зависит от критичности того сегмента, в котором собираются данные. Если речь идёт о достаточно автономных датчиках, основная цель которых — только собрать данные, сеть их сбора достаточно автономна, не сопрягается с иными сетями, а потеря самих данных (или прерывание процесса сбора) не является критичным аспектом — можно ограничиваться типовыми и хорошо зарекомендовавшими себя мерами защиты с использованием межсетевых экранов, базовых логических средств сегментации сетей. С ростом значимости сети — источника данных с IIoT-устройствами, особенно с ростом конфиденциальности данных, в этой схеме появляются системы и узлы шифрования, которые позволяют эффективно исключить раскрытие данных злоумышленниками посередине. В особенности это актуально, если передача данных ведётся по недоверенным каналам.

Если же речь идёт о критических объектах автоматизированных систем управления технологическими процессами (АСУТП), наиболее эффективным средством обеспечения безопасности становятся диоды данных [1], обеспечивающие физическую изоляцию среды сбора данных от получателей, которые находятся в менее доверенных сегментах (облака, корпоративные сети, центры аналитики, системы управления производственными процессами в реальном времени (MES-системы), ситуационные центры, AI-системы, системы больших данных). Одной из базовых задач диодов данных является передача промышленных протоколов, хотя пока не так много производителей готовы обеспечивать даже передачу основных промышленных протоколов: OPC UA/DA, Modbus, не говоря уже о том, чтобы передать достаточно экзотические и новые MQTT, AMQP или обеспечить сквозное взаимодействие с интеграционными шинами типа RabbitMQ, Kafka. Между тем именно такие решения становятся всё более востребованными по мере роста количества внедрений IIoT-устройств в контексте проблем безопасности, обозначенных выше.

ДИОДЫ ДАННЫХ

Диоды данных, которые умеют передавать, например, MQTT-трафик, решают одну из главных проблем IIoT в критических сегментах: как передавать данные из защищённой операционной (Operational technology, OT) сети для анализа в ИТ-системы, не подвергая производственное оборудование риску кибератак извне, в условиях, когда само оборудование и IIoT-элементы являются легко компрометируемыми устройствами.

Основное преимущества диодов данных — физическая невозможность обратной связи. Поэтому такие решения являются идеальным для объектов энергетики, водоснабжения, транспорта и промышленности.

Отдельным преимуществом диодов данных для критических сегментов и сетей является высокая прозрачность и контроль за передачей данных. Это означает, что если какое-то IIoT-устройство попытается установить соединение с внешним миром в попытке запросить обновление или просто передать данные на сервер малоизвестного вендора, то такие попытки будут легко обнаружены и однозначно заблокированы. Это возможно благодаря тому, что никакого прямого физического соединения с внешним миром для конкретного IIoT-устройства не существует. Таким образом, и руководство, и службы мониторинга получают полную прозрачность происходящего на производстве в реальном времени, но без риска, что случайная ошибка или злонамеренное действие из офисной сети повлияют на работу оборудования, а само оборудование, будучи достаточно производительным и массово применённым, не попытается самостоятельно связываться с внешними серверами и системами.

Современный мир IIoT-решений требует адекватных мер защиты. Скорость и объёмы передачи, разнообразие IIoT-устройств, простота и доступность протоколов должны быть эффективно компенсированы адекватными решениями в области информационной безопасности. В ряде случаев диоды данных становятся обязательным стандартом безопасности для IIoT, потому что они предлагают единственное на сегодня решение, которое на физическом уровне полностью блокирует возможность внешнего кибервоздействия через IIoT-устройства на критически важные технологические процессы, в которых эти устройства участвуют, позволяя при этом в полном объёме использовать собираемые ими данные для аналитики и оптимизации.

[1] Data diode (диод данных), или однонаправленный шлюз, — устройство, передающее данные только в одном направлении (обратная передача данных исключена на физическом уровне).

Реклама. АО «АМТ-ГРУП», ИНН: 7703025499, Erid: 2VfnxvhAGGy