Промышленная кибербезопасность

В условиях цифровизации промышленных предприятий тема кибербезопасности АСУ ТП требует повышенного внимания. Современные автоматизированные системы давно не ограничиваются физической изоляцией от внешних сетей. Автоматизация промышленных объектов требует построения эффективной информационной инфраструктуры, которая предполагает управление территориально-распределенными объектами, внедрение «безлюдной технологии», интеграцию с корпоративными системами консолидации данных и многое другое. Таким образом в автоматизированных системах возникает множество уязвимостей, вероятность использования которых при различных инцидентах ИБ прямо пропорциональна важности объекта.

К вопросу информационной безопасности АСУ ТП компания «КРУГ» подходит комплексно:

  • Во-первых, проводятся работы по приведению функционала программно-аппаратного (программно-технического) комплекса (ПАК ПТК КРУГ-2000), на базе которого строятся АСУ ТП, в соответствие с требованиями нормативных правовых документов, в т.ч. № 187-ФЗ, приказа ФСТЭК России № 31 и № 239
  • Во-вторых, проводятся комплексные испытания на совместимость ПАК ПТК КРУГ-2000 со специализированными наложенными средствами защиты АСУ ТП, в т.ч.:
    • Kaspersky Industrial CyberSecurity («Лаборатория Касперского»);
    • InfoWatch ARMA Industrial Firewall («ИнфоВотч АРМА»);
    • ViPNet Coordinator («ИнфоТеКС»).

Вышеперечисленные средства защиты обладают сертификатами соответствия ФСТЭК/ФСБ России, а их совместимость с программно-аппаратным (программно-техническим) комплексом КРУГ-2000 уже подтверждена в ходе испытаний. Каждое средство защиты обладает своим функционалом и может быть использовано при построении АСУ ТП различной архитектуры и функциональности. Краткое описание функционала и пример их использования в АСУ ТП на базе ПАК ПТК КРУГ-2000 представлены ниже.

Kaspersky Industrial CyberSecurity for Nodes

Рисунок 1 – Пример совместного использования ПАК ПТК КРУГ-2000 и KICS for Nodes

Рисунок 1 – Пример совместного использования
ПАК ПТК КРУГ-2000 и KICS for Nodes

Kaspersky Industrial CyberSecurity for Nodes (KICS for Nodes) представляет собой средство антивирусной защиты серверов, станций оператора и инженерных станций в АСУ ТП от информационных угроз. KICS for Nodes защищает от вредоносных программ, ведет контроль подключаемых устройств, запускаемых приложений, контролирует целостность файлов/каталогов, анализирует события системных журналов Windows, шифровальщиков и вирусных эпидемий.

KICS for Nodes может взаимодействовать с Kaspersky Security Center – утилитой, которая, как правило, устанавливается на автоматизированное рабочее место (АРМ) Администратора безопасности для мониторинга и управления процессами информационной безопасности всех АСУ ТП предприятия. В случае возникновения инцидента информационной безопасности на защищаемом устройстве его статус защищенности изменяется, и данная информация передается не только на АРМ Администратора безопасности, но и в SCADA КРУГ-2000, где это событие может быть зафиксировано в Протоколе событий, а также выведена световая/звуковая сигнализация.

Акт совместимости с ПО АО «Лаборатория Касперского»

InfoWatch ARMA Industrial Firewall

Рисунок 2 – Пример совместного использования ПАК ПТК КРУГ-2000 и InfoWatch ARMA Industrial Firewall

Рисунок 2 – Пример совместного использования
ПАК ПТК КРУГ-2000 и InfoWatch ARMA Industrial Firewall

InfoWatch ARMA Industrial Firewall позволяет обнаруживать и блокировать атаки на сети АСУ ТП, а также защитить их от несанкционированного доступа. InfoWatch ARMA Industrial Firewall позволяет также контролировать информационный обмен между сетью АСУ ТП и Аналитическим центром предприятия.

В составе InfoWatch ARMA Industrial Firewall можно выделить четыре ключевые технологии:

  • Система обнаружения и предотвращения вторжений (СОВ) – детектирует и блокирует вредоносные программы, атаки на сервера SCADA КРУГ-2000 и Систему Реального Времени Контроллера (СРВК) на сетевом и прикладном уровнях
  • Межсетевой экран – контролирует доступ к сетевым ресурсам, защищает от несанкционированных действий в сети АСУ ТП и фиксирует все информационные потоки
  • Глубокая инспекция трафика — позволяет не только детектировать промышленные протоколы, но и разбирать конкретные команды. За счёт контроля отдельных команд протоколов и их значений можно блокировать неавторизованные действия и запрещать недопустимые операции с СРВК, такие как загрузка программы КРУГОЛ в контроллер
  • Модуль организации виртуальной частной сети обеспечивает безопасное удалённое подключение к промышленному сегменту, например, для работы технической поддержки.

Заявление о совместимости с межсетевым экраном ООО ИнфоВотч APMA

ViPNet Coordinator

Рисунок 3 – Пример совместного использования<br>ПАК ПТК КРУГ-2000 и ViPNet Coordinator

Рисунок 3 – Пример совместного использования
ПАК ПТК КРУГ-2000 и ViPNet Coordinator

ViPNet Coordinator – это программно-аппаратный комплекс, выступающий в качестве шлюза безопасности, который предназначен для построения безопасных каналов связи.

ViPNet Coordinator совместно с ПАК ПТК КРУГ-2000 обеспечивает эффективную реализацию множества сценариев защиты АСУ ТП, например:

  • Построение защищенных каналов связи между Диспетчерским пунктом и территориально-распределенными объектами автоматизации без организации виртуальной частной сети (VPN)
  • Возможность резервирования защищенных каналов связи проводной/беспроводной для повышения надежности и отказоустойчивости
  • Защищенный контролируемый доступ в Интернет.

Программный комплекс ViPNet Client 4U, интегрированный в состав Системы Реального Времени Контроллера, обеспечивает защиту информации при её передаче на сервера SCADA КРУГ-2000 по открытым каналам связи. При этом установка дополнительного аппаратного криптошлюза на стороне контроллера не требуется, что обеспечивает повышенную надежность защищенного канала связи без дополнительных затрат.

Протокол совместимости с СЗИ VipNeT АО ИнфоТеКС

АПК InfoDiode SMART

Рисунок 4 – Пример совместного использования<br>SCADA и АПК InfoDiode SMART

Рисунок 4 – Пример совместного использования
SCADA КРУГ-2000 и АПК InfoDiode SMART

InfoDiode – отечественная система однонаправленной передачи данных, обеспечивающая высочайший уровень изоляции критичных информационных систем, с сохранением при этом нужного уровня их функциональности для взаимодействия со смежными информационными системами.

Совместное применение InfoDiode и SCADA КРУГ-2000 позволяет решить следующие задачи:

  • Защита и мониторинг критической информационной инфраструктуры (КИИ). Обеспечивается физическая изоляция объекта наблюдения от сети наблюдателя с одновременным сохранением возможности получать данные
  • Высоконадёжный отказоустойчивый обмен данными между SCADA и контроллерами в сегменте АСУ ТП, а также однонаправленная передача данных за границы периметра для мониторинга, обработки и анализа
  • Однонаправленная передача данных в централизованные диспетчерские и ситуационные центры. Центры обеспечиваются реальными онлайн-данными, в условиях гарантированной изоляции объектов наблюдения.

Заявление о совместимости с комплексом однонаправленной передачи данных InfoDiode

UDV DATAPK Industrial Kit

Рисунок 5 – пример совместного использования<br> ПАК ПТК КРУГ-2000 и UDV DATAPK Industrial Kit

Рисунок 5 – пример совместного использования
ПАК ПТК КРУГ-2000 и UDV DATAPK Industrial Kit

CyberLympha DATAPK, выпускаемый компанией «СайберЛимфа» (входит в UDV Group) под торговым наименованием UDV DATAPK Industrial Kit — комплекс решений для мониторинга состояния защищенности и оперативного обнаружения инцидентов информационной безопасности в промышленных сетях.

Применение UDV DATAPK Industrial Kit в связке с ПАК ПТК КРУГ-2000 позволяет построить всесторонне защищенную автоматизированную систему.

Комплекс предоставляет защищаемой системе возможности для решения следующих задач:

  • Выявление и инвентаризация узлов, обнаружение инцидентов, управление конфигурациями и уязвимостями
  • Обнаружение вторжений в промышленных сетях
  • Выполнение требований регулятора и реализация мер 31 и 239 приказов ФСТЭК России.

При анализе сетевого трафика используется пассивное получение данных посредством SPAN или зеркальных портов сетевого оборудования. Обнаружение инцидентов ИБ реализовано на базе экспертных правил, причем для подключения новых источников событий не требуется доработка продукта. Не требуется доработка и для расширения списка поддерживаемых объектов при управлении конфигурациями.

Важным преимуществом UDV DATAPK Industrial Kit является возможность работы в полностью пассивном режиме, не оказывая влияния на защищаемую АСУ ТП.

Заявление о совместимости с комплексом CyberLympha DATAPK (торговое наименование UDV DATAPK Industrial Kit)