Об актуальных угрозах
- Какие угрозы на ваш взгляд являются наиболее актуальными на сегодняшний день? Какие проблемы наиболее остро стоят в области защиты АСУ ТП в 2025 году?
В России в последние несколько лет наблюдается кратно больший рост количества инцидентов информационной безопасности по сравнению с общемировыми усреднёнными значениями. С каждым годом способы проникновения в технологический сегмент становятся всё более изощрёнными. Злоумышленники применяют различные методы, включая вредоносное ПО, фишинг и атаки на цепочки поставок. Можно отметить технологический фактор — технологии искусственного интеллекта позволяют злоумышленникам совершать атаки быстрее и проще, в то время как проникновение этих же технологий в защитные механизмы решений вендоров происходит отстающими темпами. Атакующая сторона всегда более мобильна, не подчиняется никаким стандартам и правилам.
Производители ПО и оборудования завязаны на релизные циклы, сроки поставки комплектующих и т.п. Увы, вендоры вынуждены всегда догонять тех, кто атакует. Именно поэтому мы в UDV Group постоянно наращиваем компетенции в области инноваций в рамках деятельности собственного исследовательского центра.
Сложность АСУ ТП, обусловленная интеграцией различного оборудования и ПО от различных производителей, увеличивает поверхность атаки на цепочки поставок. В условиях импортозамещения, когда инфраструктуры предприятий подвержены непрерывным изменениям, этот фактор становится ещё более актуальным. Не секрет, что во многих АСУ ТП используется устаревшее программное и аппаратное обеспечение, которое может содержать известные уязвимости. Злоумышленники могут использовать их для получения доступа к системам и выполнения вредоносных действий. Непрерывный контроль узлов на наличие уязвимостей, и последующие меры по их устранению действительно помогают снизит риски информационной безопасности.
Программы-вымогатели на текущий момент по-прежнему являются одной из главных угроз. Такие атаки могут привести к блокировке работы АСУ ТП и требованию выкупа за восстановление доступа, причем, угроза состоит в том числе в потенциальной публикации данных, доступ к которым получили злоумышленники.
О готовности к импортозамещению
- 1 января вступили в силу новые требования правительства по импортозамещению. Как бы вы оценили готовность предприятий соблюдать эти требования? Каким образом данные требования будут определять дальнейшее развитие ИБ АСУ ТП?
В АСУ ТП раньше часто применялся подход «работает — не трогай», но как раз сейчас заказчики всё активнее начинают «трогать» из-за импортозамещения (Указ №166, ПП №1912). Переход на отечественные технологии приводит к изменениям в IT/ОТ-инфраструктурах заказчиков. Есть сложности из-за нехватки специалистов и несовместимости Linux-систем с ПО для зарубежных ПЛК, которое написано преимущественно под Windows. Другими словами, проекты импортозамещения в промышленных предприятиях объективно сложные. На всю эту ситуацию накладывается специфика российского рынка ИБ — защитные решения для Linux даже в корпоративном сегменте всегда создавались с отставанием от аналогов для Windows.
Таким образом, изменение инфраструктур приводит к задачам по интеграции различных систем и компонентов, к проблемам совместимости и дополнительным сложностям при обеспечении ИБ в АСУ ТП.
Опыт пилотирования наших решений показывает, что после длительного периода без изменений, в технологическом сегменте обнаруживаются узлы, о существовании которых вообще никто не догадывался.
Для наиболее безопасного перехода на импортозамещающие технологии необходимо применять ИБ-решения, которые повышают видимость ландшафта и позволяют осуществлять мониторинг ИБ. Такими решениями могут быть системы класса NTA/IDS с поддержкой промышленных протоколов, например, UDV DATAPK Industrial Kit.
О трендах и новых технологиях
- Можете ли Вы выделить доминирующие на данный момент тренды в области ИБ АСУ ТП? Например, принципиально новые подходы или технологии.
Раньше многие средства защиты информации для обеспечения ИБ АСУ ТП не содержали функций реагирования. Заказчикам было достаточно информации об инцидентах и экспертных рекомендаций. Сейчас же наблюдается явный тренд на автоматизацию функций реагирования.
Другой тренд, на котором я бы хотел остановиться подробнее, — это применение технологий машинного обучения. Технологический процесс достаточно хорошо детерминирован в отличие от поведения реальных пользователей в корпоративном сегменте. Работа узлов в технологическом сегменте поддаётся моделированию в виде конечных автоматов. Отсюда возникает интересная задача построения цифрового двойника всего технологического процесса для выявления отклонений от нормального функционирования.
Мы эту задачу успешно решили в составе запатентованного решения UDV EDR for PLC, в основе которого лежит глубокий разбор промышленных протоколов (в том числе проприетарных) и работа с управляющими сигналами ПЛК, которые описывают его поведение. Фактически, мы имеем технологию, которая без воздействия на защищаемую систему позволяет выявлять отклонения от её нормального функционирования: мгновенно определяется проблемный узел, источник аномального воздействия и непосредственно сигналы.
- В прошлом году на интервью нашей редакции вы упомянули, что в 2024 году планировали выпустить решение для контроля версий проектов ПЛК в технологических сетях. Удалось ли реализовать задуманное, и какие еще новинки будут выпущены в 2025 году?
Действительно, мы выпустили продукт UDV DATAPK Version Control, позволяющий проводить контроль версий проектов ПЛК. Сейчас решение активно пилотируется, есть внедрения. Мы видим запрос со стороны заказчиков на решение этой важной задачи для обеспечения непрерывности технологического процесса.
Изменения в технологический процесс вносятся нечасто, однако цена некорректно внесенных правок может быть высокой. Мне приятно отметить, что на текущий момент UDV DATAPK Version Control — единственное отечественное решение на рынке, позволяющее системно контролировать проекты ПЛК.
Продукт предоставляет инструменты для обеспечения видимости состояния проектов ПЛК всей организации и позволяет осуществить восстановление исходного кода ПЛК, минимизируя риски длительного простоя технологического процесса.
В мае 2025 года мы планируем выпустить масштабное обновление нашего флагманского продукта UDV DATAPK Industrial Kit 3.0 — комплексного решения для мониторинга кибербезопасности и оперативного обнаружения инцидентов в промышленных сетях без негативного влияния на защищаемые системы. В новый релиз войдут: новые функциональные модули, улучшенные технологии машинного обучения, сбор и корреляция событий безопасности в технологических сетях, а также экспертиза вендора.
Конференция ИБ АСУ ТП КВО
«Информационная безопасность АСУ ТП КВО» — крупное отраслевое мероприятие, освещающее ситуацию на рынке решений для защиты АСУ ТП, изменения в законодательстве, вопросы импортозамещения и применения искусственного интеллекта. На мероприятии от UDV Group прозвучит два доклада и будет организован демонстрационный стенд.
