Безопасность по умолчанию: как подход Secure by Design меняет защиту АСУ ТП
Кибератаки на объекты критической инфраструктуры в России выросли в 2,5 раза. Автоматизированные системы управления технологическими процессами (АСУ ТП) остаются наиболее уязвимыми элементами КИИ — их компрометация грозит не просто финансовыми потерями, а реальными техногенными катастрофами. При этом традиционный подход, когда защита «надстраивается» поверх готовых решений, показал свою неэффективность. А жесткие регуляторные сроки только усиливают давление: до 1 января 2028 года субъекты КИИ обязаны перейти на доверенные российские программно-аппаратные комплексы.
Концепция Secure by Design предлагает радикально иной путь: встраивать защиту в архитектуру систем с самого начала проектирования. О том, как этот подход меняет правила игры в защите АСУ ТП и почему доверенные ПАК становятся не просто требованием регуляторов, а реальным инструментом киберустойчивости, рассказал Николай Заярный, руководитель отдела информационной безопасности Скала^р (Группа Rubytech), в материале для журнала «Информационная безопасность».
АСУ ТП – сердце КИИ
Производственные и технологические процессы – одни из самых уязвимых и жизненно важных элементов критической информационной инфраструктуры. Это базовое инфраструктурное решение для промышленного сегмента и ТЭК, обеспечивающее управление процессами, от которых зависит функционирование целых отраслей: энергетики, транспорта, промышленности, финансового сектора и др.
Ключевое отличие угроз для АСУ ТП от рисков для классических ИТ-систем – их физическая природа. Если атака на офисную сеть ведет к финансовым потерям или утечке данных, то компрометация АСУ ТП грозит реальными катастрофами.
Жесткие регуляторные сроки усложняют ситуацию: с 1 сентября 2025 г. субъекты КИИ обязаны использовать ПО из единого реестра российских программ, а до 1 января 2028 г. – перейти на доверенные российские программно-аппаратные комплексы (ПАК).
Ключевым элементом для перехода от простой автоматизации к полноценной цифровой трансформации является построение инфраструктуры высоконагруженных систем (ИВНС). Именно она позволяет обеспечить непрерывность бизнес-процессов, обрабатывать Big Data с промышленных объектов в реальном времени, создавать цифровых двойников для предиктивного моделирования и внедрять ИТ-решения и алгоритмы машинного обучения. А без доверенных ПАК мы не можем быть уверены, что наша красиво спроектированная ИВНС не содержит троянского коня на уровне микрокода или прошивки.
Secure by Design: философия превентивной защиты
Традиционный подход, при котором безопасность доустанавливается на готовый продукт, оказывается неэффективным. Ему на смену приходит концепция Secure by Design, основанная на трех принципах:
- безопасность как фундаментальное требование, а не дополнение;
- проактивный подход вместо реактивного устранение уязвимостей;
- минимизация поверхности атаки на всем жизненном цикле, начиная с этапа проектирования.
Суть концепции Secure by Design заключается в проектировании кибериммунных систем, в которых меры безопасности изначально интегрированы в архитектуру и программный код. При таком подходе требования к информационной безопасности учитываются на самых ранних стадиях разработки. В доверенных ПАК Скала^р от Группы Rubytech используется именно такой подход.
Практическая реализация в доверенных ПАК
Реализация данного подхода в промышленных решениях предполагает создание комплексов с встроенной многоуровневой защитой. Например, в ПАК Скала^р используются:
- защита от НСД на базе сертифицированных операционных систем;
- сертифицированная виртуализация для изоляции компонентов АСУ ТП;
- сертифицированное средство защиты информации, принадлежащее к классу промышленных NTA/NDR;
- протестированные на совместимость решения ведущих производителей ИБ.
Группа Rubytech сотрудничает с ведущими ИБ-вендорами, включая "Лабораторию Касперского" и Positive Technologies. Все компоненты проходят тщательное тестирование на взаимное влияние. Весь стек ПО и АО присутствует в реестрах Минпромторга и Минцифры. Машина управления технологическими процессами Скала^р МСП.ТП (ранее ПАК АСУ ТП) включена в дорожную карту развития Национальной открытой платформы промышленной автоматизации (НОППА).
Преимущества для бизнеса
Применение принципов Secure by Design предоставляет промышленным предприятиям существенные преимущества:
- снижение совокупной стоимости владения (TCO) за счет исключения дорогостоящих доработок;
- соответствие нормативным требованиям;
- ускорение вывода продуктов на рынок благодаря уменьшению циклов перепроектирования.
При внедрении ПАК, уже обеспеченных защитой, заказчик экономит время и средства, которые он бы затратил на выбор и тестирование решений, интеграцию в существующую ИТ-инфраструктуру, а также проработку их совместимости и техподдержку. Вместо взаимодействия с десятками подрядчиков для покрытия этих задач он получает готовое решение с одним окном ответственности.
Вместо послесловия
Регуляторные требования становятся жестче, киберугрозы усиливаются – и безопасность становится не просто функциональной характеристикой, но и ключевым конкурентным преимуществом.
Подход Secure by Design, реализованный в доверенных ПАК, позволяет промышленным предприятиям и ТЭК не только соответствовать требованиям регуляторов, но и создавать действительно устойчивую к кибератакам инфраструктуру высоконагруженных систем, способную обеспечить стабильную работу в новой реальности.
Кибератаки на объекты критической инфраструктуры в России выросли в 2,5 раза. Автоматизированные системы управления технологическими процессами (АСУ ТП) остаются наиболее уязвимыми элементами КИИ — их компрометация грозит не просто финансовыми потерями, а реальными техногенными катастрофами. При этом традиционный подход, когда защита «надстраивается» поверх готовых решений, показал свою неэффективность. А жесткие регуляторные сроки только усиливают давление: до 1 января 2028 года субъекты КИИ обязаны перейти на доверенные российские программно-аппаратные комплексы.
Концепция Secure by Design предлагает радикально иной путь: встраивать защиту в архитектуру систем с самого начала проектирования. О том, как этот подход меняет правила игры в защите АСУ ТП и почему доверенные ПАК становятся не просто требованием регуляторов, а реальным инструментом киберустойчивости, рассказал Николай Заярный, руководитель отдела информационной безопасности Скала^р (Группа Rubytech), в материале для журнала «Информационная безопасность».
