Автоматизация как ключевой фактор безопасности

ЦИФРОВАЯ

ТРАНСФОРМАЦИЯ

Автоматизация как ключевой
фактор безопасности

Кибербезопасность

электроэнергетике

сегодня

глав

ным

образом

сводится

минимизации

участия

человека

производственных

процессах

Человеческий

фактор

оставался

остается

ключевым

аспектом

уязвимости

крупных

организаций

Даже

если

приобретать

дорого

стоящие

функциональные

ИТ

решения

забывая

при

этом

главном

источнике

уязвимостей

то

риск

потра

тить

средства

время

впустую

кратно

возрастает

Се

годня

технологичным

предприятиям

необходима

полная

автоматизация

производственных

процессов

при

соблю

дении

строгих

параметров

информационной

безопасно

сти

поскольку

требования

кибербезопасности

от

ношении

важных

для

экономики

организаций

постоянно

растут

то

мыслить

этом

вопросе

необходимо

на

пер

спективу

грамотном

пути

светлому

безопасному

будущему

для

объектов

цифровизации

рассказал

специалист

по

развитию

продукта

компании

АйТи

Бастион

Андрей

КУЗНЕЦОВ

2014

года

наша

коман

да

регулярно

посещала

различные

промышлен

ные

энергетические

предприятия

видела

чему

некоторых

организациях

может

приводить

отсутствие

автома

тизированного

обмена

данны

ми

Главное

средство

обмена

—

флеш

накопитель

которым

сотрудники

вынуждены

пере

мещаться

из

промышленного

сегмента

корпоративный

об

ратно

сеансы

передачи

запи

сываются

на

бумажные

носители

электронные

таблицы

дру

гие

средства

учета

требующие

активного

человеческого

уча

стия

Когда

сотрудник

вовлечен

подобные

процессы

нередко

встречаются

случаи

халатности

Зачастую

происходящее

связано

рутинностью

самого

процесса

наложенной

на

высокую

перио

дичность

пересечение

основ

ными

задачами

связи

этим

организациях

часто

стали

по

являться

собственные

отделы

разработки

которых

пишут

создают

решения

помогающие

автоматизировать

такую

переда

чу

файлов

не

противореча

при

этом

предписаниям

регуляторов

Чаще

всего

можно

встретить

ком

пьютер

двумя

сетевыми

карта

ми

которые

не

работают

одно

временно

но

изобретательность

людей

на

местах

никогда

не

зна

ла

границ

наше

время

по

давно

Конечно

даже

подобные

са

мописные

средства

информа

ционного

обмена

(

СИО

)

нужны

не

всем

Решающим

фактором

явля

ется

количество

задач

примеру

если

подобные

операции

произ

водятся

низкой

регулярностью

сами

объемы

передаваемых

объектов

не

такие

большие

то

целесообразно

ли

приобретать

дорогостоящий

продукт

для

ав

томатизации

этого

процесса

Тем

не

менее

большинстве

случа

ев

возникает

обратная

ситуация

задачи

поступают

практически

каждый

новый

день

человече

ского

ресурса

не

хватает

тому

же

после

самой

передачи

(

или

во

время

)

обязательно

нужно

прово

дить

различные

проверки

так

как

всегда

есть

опасность

передачи

вредоносного

кода

святая

свя

тых

организации

ее

изолиро

ванную

сеть

При

этом

даже

если

самопис

ные

СИО

выполняют

свои

функ

ции

ними

возникает

другая

про

блема

как

их

сертифицировать

случае

защитой

объектов

КИИ

подобный

продукт

не

может

суще

ствовать

без

сертификации

На

основе

увиденного

мы

пришли

составлению

опреде

ленного

списка

задач

которые

итоге

помогли

бы

решить

про

блему

отсутствия

автоматизации

на

производствах

–

задавать

вектор

движения

файлов

данных

;

–

автоматизировать

контроль

безопасной

передачи

;

–

документировать

обмен

ин

формацией

между

сетями

;

–

доставлять

до

конечной

цели

Все

это

—

минимальным

участием

человека

Так

пришла

идея

Синоникса

» —

программ

но

аппаратного

средства

инфор

мационного

обмена

основным

назначением

которого

является

автоматизация

процессов

пере

дачи

файловой

потоковой

ин

формации

между

сетевыми

при

ложениями

Решение

позволяет

организовать

автоматизирован

ную

однонаправленную

или

дву

направленную

передачу

данных

файлов

между

узлами

двух

се

тей

скрывая

при

этом

информа

цию

об

их

окружении

КЛЮЧЕВЫЕ

ВОЗМОЖНОСТИ

ПРОДУКТА

Изоляция

на

физическом

уровне

Архитектура

технологии

реше

ния

обеспечивают

автоматизиро

ванную

контролируемую

переда

чу

данных

режиме

точка

как

одну

так

обе

стороны

по

протоколам

ТСР

UDP

без

пря

мой

связанности

узлов

Физический

контроль

пере

дачи

Физическая

блокировка

передачи

пусковыми

ключами

возможность

их

помощью

бло

кировать

удаленное

управление

доступом

конфигурированию

только

через

консоль

RS-232.

Разграничение

зон

ответ

ственности

Встречный

контроль

реализованный

через

управление

двумя

ответственными

лицами

для

подтверждения

прохождения

данных

Несогласованные

обеих

сторон

правила

игнорируются

Проверка

файлов

перед

пере

дачей

Проверка

размера

маски

целостности

передаваемых

объ

ектов

Имеет

встроенные

меха

низмы

дополнительной

верифика

ции

объектов

внешних

системах

средствами

САР

протокола

Синоникс

позволяет

заме

нить

человека

флешкой

пол

ностью

автоматизировать

процесс

передачи

данных

изолирован

ный

сегмент

на

любом

объекте

Синоникс

привлекателен

тем

что

не

имеет

аналогов

создавая

собственный

класс

решений

Возьмем

среднестатистическое

предприятие

электроэнергетики

до

внедрения

Синоникса

».

Требова

ния

по

увеличению

скорости

об

мена

информацией

получению

мгновенной

отчетности

росли

Для

решения

этих

задач

было

необхо

димо

объединить

ранее

изолиро

ванные

устройства

производствен

ного

оборудования

сис

темами

мониторинга

что

было

чревато

ри

сками

взлома

компрометации

ин

фраструктуры

Во

избежание

оста

новки

технологических

процессов

необходимо

было

сохранить

обо

собленность

систем

друг

от

дру

га

притом

обеспечив

безопасный

обмен

данными

Помимо

прочего

нужно

было

выстроить

процесс

обновления

оборудования

воз

можностью

одностороннего

обме

на

файлами

между

изначально

не

связанными

сетями

Итак

встала

задача

—

органи

зовать

такой

обмен

между

устрой

ствами

без

сетевой

связности

скрывая

их

окружение

также

обеспечить

производство

возмож

ностью

обновляться

автомати

ческом

режиме

Решение

—

за

счет

архитек

туры

Синоникса

каждый

пакет

несколько

раз

переходит

новое

сетевое

окружение

процессе

передачи

данных

Так

Синоникс

полностью

скрывает

реальную

инфраструктуру

объектов

между

которыми

организуется

канал

предоставляет

только

заранее

определенный

туннель

для

обме

на

информацией

Система

организовывает

дву

сторонний

односторонний

об

мен

по

протоколам

TCP

UDP

зависимости

от

решаемой

зада

чи

качестве

правила

передачи

указываются

порт

самого

ПК

Синоникс

для

приема

трафи

ка

на

одной

стороне

также

порт

получателя

для

отправки

на

целевую

систему

Таким

обра

зом

создается

строгое

соедине

ние

точка

между

двумя

инфраструктурами

Для

реализации

возможности

автоматизированного

обновления

пользователь

из

одной

сети

под

ключается

по

протоколу

передачи

файлов

SFTP

Синониксу

»,

по

лучая

доступ

файловому

сер

веру

Сам

файл

перед

передачей

проходит

ряд

проверок

заданных

администратором

(

проверка

раз

мера

маски

файла

контроль

це

лостности

файла

также

провер

ка

средствами

ICAP-

протокола

Переданный

файл

может

разме

ститься

как

собственном

храни

лище

так

на

целевом

сервере

по

протоколам

SFTP

FTP.

Однако

это

лишь

один

из

воз

можных

сценариев

применения

Синоникса

»,

на

деле

их

—

мно

жество

том

как

именно

при

менять

продукт

АйТи

Бастион

»,

итоге

судит

конечный

потреби

тель

создавая

собственные

сце

нарии

применения

ООО

АйТи

Бастион

Москва

ул

Староволынская

. 15,

корп

. 1

+7 (499) 322-36-67

info@it-bastion.com

№

6 (87) 2024

Оригинал статьи: Автоматизация как ключевой фактор безопасности

Читать онлайн

Кибербезопасность в электроэнергетике сегодня главным образом сводится к минимизации участия человека в производственных процессах. Человеческий фактор оставался и остается ключевым аспектом в уязвимости крупных организаций. Даже если приобретать дорого стоящие функциональные ИТ-решения, забывая при этом о главном источнике уязвимостей, то риск потратить средства и время впустую кратно возрастает. Сегодня технологичным предприятиям необходима полная автоматизация производственных процессов при соблюдении строгих параметров информационной безопасности. А поскольку требования к кибербезопасности в отношении важных для экономики организаций постоянно растут, то мыслить в этом вопросе необходимо на перспективу. О грамотном пути к светлому и безопасному будущему для объектов цифровизации рассказал специалист по развитию продукта компании «АйТи Бастион» Андрей КУЗНЕЦОВ.

С 2014 года наша команда регулярно посещала различные промышленные и энергетические предприятия и видела, к чему в некоторых организациях может приводить отсутствие автоматизированного обмена данными. Главное средство обмена — флеш-накопитель, с которым сотрудники вынуждены перемещаться из промышленного сегмента в корпоративный и обратно, а сеансы передачи записываются на бумажные носители, в электронные таблицы и другие средства учета, требующие активного человеческого участия. Когда сотрудник вовлечен в подобные процессы, нередко встречаются случаи халатности. Зачастую происходящее связано с рутинностью самого процесса, наложенной на высокую периодичность и пересечение с основными задачами. В связи с этим в организациях часто стали появляться собственные отделы разработки, в которых пишут и создают решения, помогающие автоматизировать такую передачу файлов, не противореча при этом предписаниям регуляторов. Чаще всего можно встретить компьютер с двумя сетевыми картами, которые не работают одновременно, но изобретательность людей на местах никогда не знала границ, а в наше время и подавно.

Конечно, даже подобные «самописные» средства информационного обмена (СИО) нужны не всем. Решающим фактором является количество задач. К примеру, если подобные операции производятся с низкой регулярностью, а сами объемы передаваемых объектов не такие большие, то целесообразно ли приобретать дорогостоящий продукт для автоматизации этого процесса? Тем не менее, в большинстве случаев возникает обратная ситуация: задачи поступают практически каждый новый день, а человеческого ресурса не хватает. К тому же после самой передачи (или во время) обязательно нужно проводить различные проверки, так как всегда есть опасность передачи вредоносного кода в «святая святых» организации, в ее изолированную сеть.

При этом даже если «самописные» СИО выполняют свои функции, с ними возникает другая проблема: как их сертифицировать? В случае с защитой объектов КИИ подобный продукт не может существовать без сертификации.

На основе увиденного мы пришли к составлению определенного списка задач, которые в итоге помогли бы решить проблему отсутствия автоматизации на производствах:

задавать вектор движения файлов и данных;
автоматизировать контроль безопасной передачи;
документировать обмен информацией между сетями;
доставлять до конечной цели.

Все это — с минимальным участием человека. Так пришла идея «Синоникса» — программно-аппаратного средства информационного обмена, основным назначением которого является автоматизация процессов передачи файловой и потоковой информации между сетевыми приложениями. Решение позволяет организовать автоматизированную однонаправленную или двунаправленную передачу данных и файлов между узлами двух сетей, скрывая при этом информацию об их окружении.

КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ ПРОДУКТА

Изоляция на физическом уровне. Архитектура и технологии решения обеспечивают автоматизированную контролируемую передачу данных в режиме «точка-точка» как в одну, так и в обе стороны по протоколам ТСР и UDP без прямой связанности узлов.

Физический контроль передачи. Физическая блокировка передачи «пусковыми» ключами и возможность с их помощью блокировать удаленное управление с доступом к конфигурированию только через консоль RS-232.

Разграничение зон ответственности. Встречный контроль, реализованный через управление двумя ответственными лицами для подтверждения прохождения данных. Несогласованные с обеих сторон правила игнорируются.

Проверка файлов перед передачей. Проверка размера и маски и целостности передаваемых объектов. Имеет встроенные механизмы дополнительной верификации объектов о внешних системах средствами IСАР-протокола.

«Синоникс» позволяет заменить «человека с флешкой» и полностью автоматизировать процесс передачи данных в изолированный сегмент на любом объекте. «Синоникс» привлекателен тем, что не имеет аналогов, создавая собственный класс решений.

Возьмем среднестатистическое предприятие электроэнергетики до внедрения «Синоникса». Требования по увеличению скорости обмена информацией и получению мгновенной отчетности росли. Для решения этих задач было необходимо объединить ранее изолированные устройства производственного оборудования с системами мониторинга, что было чревато рисками взлома и компрометации инфраструктуры. Во избежание остановки технологических процессов необходимо было сохранить обособленность систем друг от друга, притом обеспечив безопасный обмен данными. Помимо прочего, нужно было выстроить процесс обновления оборудования с возможностью одностороннего обмена файлами между изначально несвязанными сетями.

Итак, встала задача — организовать такой обмен между устройствами без сетевой связности, скрывая их окружение, а также обеспечить производство возможностью обновляться в автоматическом режиме.

Решение — за счет архитектуры «Синоникса» каждый пакет несколько раз переходит в новое сетевое окружение в процессе передачи данных. Так «Синоникс» полностью скрывает реальную инфраструктуру объектов, между которыми организуется канал, и предоставляет только заранее определенный туннель для обмена информацией.

Система организовывает двусторонний и односторонний обмен по протоколам TCP и UDP в зависимости от решаемой задачи. В качестве правила передачи указываются IP и порт самого ПК «Синоникс» для приема трафика на одной стороне, а также IP и порт получателя для отправки на целевую систему. Таким образом создается строгое соединение «точка-точка» между двумя инфраструктурами.

Для реализации возможности автоматизированного обновления пользователь из одной сети подключается по протоколу передачи файлов SFTP к «Синониксу», получая доступ к файловому серверу. Сам файл перед передачей проходит ряд проверок, заданных администратором (проверка размера и маски файла, контроль целостности файла, а также проверка средствами ICAP-протокола). Переданный файл может разместиться как в собственном хранилище, так и на целевом сервере по протоколам SFTP и FTP.

Однако это лишь один из возможных сценариев применения «Синоникса», а на деле их — множество. О том, как именно применять продукт «АйТи Бастион», в итоге судит конечный потребитель, создавая собственные сценарии применения.