Если вы хоть раз работали с АСУ ТП, то, возможно, сталкивались с ситуацией, когда сеть вроде бы изолирована, а отчеты почему-то оказываются в корпоративке. Причем не через шлюз или контролируемый канал, а в формате: «Вася после смены перенес на флешке». Иногда это может быть даже его личная не зарегистрированная флешка 🤦♂️
Это не шутка. Это до сих пор реальная проблема на многих критически важных объектах. И нет, это не «их так учили». Это результат системной инерции, когда безопасность строится не по модели угроз, а по привычке 😐
Почему флешки до сих пор живы? Потому что многие до сих пор верят в «воздушный зазор». Думают, что если нет кабеля, значит, и риска нет. К сожалению, не все понимают, что работает это немного не так. Простой пример: оператор принес лог-файлы из изолированной сети в офисную. Без проверки. Или ещё лучше: по пути воткнул флешку в зараженный ноутбук. Все. У вас уже бэкдор там, где его не должно быть вообще 😐
Вторая причина — устаревшие HMI, SCADA и контроллеры без поддержки современных протоколов и средств мониторинга. Попробуйте настроить syslog на устройстве 2009 года. Или антивирус на HMI с Windows XP Embedded 🙈
Что с этим делать?
- 1️⃣Автоматизировать все, что можно автоматизировать. Любое действие в цепочке — это потенциальная ошибка. Современные шлюзы умеют передавать файлы строго по расписанию, проверять их на вирусы, верифицировать по хешу и целостности, отслеживать UUID накопителей и требовать «согласование с двух сторон» перед отправкой
- 2️⃣Сегментировать с умом. Изоляция — это не просто «физически отрезать сеть». Нужно создать контролируемые точки взаимодействия: шлюзы, прокси, фильтры, логгеры. Трафик между сегментами должен быть не только ограничен, но и проанализирован, задокументирован и журналироваться
- 3️⃣Внедрять сертифицированные решения. В АСУ ТП не должно быть места для подобных экспериментов. Компьютеры с двумя сетевыми картами, которые «иногда подключаются» — это импровизация, а не архитектура. Если у вас объект КИИ, вы обязаны использовать сертифицированные СЗИ. Да, дороже. Но зато потом не придется объяснять, как троян из одной сети оказался в другой
- 4️⃣Видеть темные пятна. Мониторинг должен быть не только в корпоративке. Производственные сегменты тоже должны быть видимы. Даже если в них нет полноценного агента SIEM, хотя бы пассивный анализ сетевого трафика, хотя бы логирование событий. А то часто бывает, что сегмент вроде бы есть, а что в нем — «ну вроде работает, никто не жаловался»
В случае АСУ ТП риски могут быть значительно выше, особенно, если мы говорим про КИИ. И если вы все еще передаете данные между сегментами вручную — это сигнал. Не тревоги. Сигнал, что пора все менять. Используйте автоматизацию везде, где можно, потому что она не только время экономит, но еще и избавляет от человеческого фактора, который может нагородить огромное количество ошибок на каждом шаге ⚠️
#информационная_безопасность
#интернет_вещей
Дискуссия