Свой среди своих, или киберскафандр для завода

Kaspersky IoT Secure Gateway 100: как защитить промышленные данные, сохранив непрерывность бизнес-процессов.

Посмотреть всего лет на 10 назад — кажется, что с тех пор технологии кибербезопасности улетели куда-то далеко за горизонт и оттуда надменно улыбаются ранее бытовавшим парадигмам, теориям и практикам.

Хотя… если хорошенько поскрести большинство этих «технологий», да подлечить волшебными снадобьями против воспаления артифишл интеллидженс, некстдженного зуда и прочего киберсекюрити-хайпа, то в корне останется все тот же классический клубок проблем:

Как уберечь данные от неправильных глаз и несанкционированных изменений, при этом сохранив непрерывность бизнес-процессов?

Так и есть — святые лики конфиденциальности, целостности и доступности никуда не делись из иконостаса практикующего кибербезопасника. На них лишь осел толстый слой маркетинговой пыли. А также клюквы и лапши.

Цифра всегда приносит с собой одни и те же проблемы, куда бы она ни проникала. А проникать она будет дальше и глубже, потому что преимущества цифровизации слишком очевидны. Даже такие, казалось бы, консервативные области, как тяжелое машиностроение, нефтепереработка, транспорт или энергетика, на самом деле уже давно и «по уши» в цифре. А вот тут начинается, как говорится, «трики парт» — и хочется и колется.

Понятно, что с цифрой эффективность бизнеса растет как на дрожжах. Но с другой стороны, хакнут — мало не покажется (тому много примеров). Велик соблазн открыть объятья цифре (стихи!), но сделать надо это так, чтобы не было мучительно больно (читай — сохранить непрерывность бизнес-процессов). И для таких случаев в нашей «аптечке» есть специальное болеутоляющее — киберимунный шлюз KISG 100.

Kaspersky IoT Secure Gateway 100

Эта маленькая «коробочка» с рекомендованной стоимостью около 90 000 рублей устанавливается между цифровым промышленным оборудованием (назовем его «станок») и сервером, который собирает с этого оборудования различные сигналы. Сигналы самые разные: производительность, отказ, расход ресурсов, уровень вибрации, измерения выбросов CO2/NOx и др., и все они необходимы для формирования общей картины производства и последующего принятия обоснованных бизнес-решений.

«Коробочка» маленькая, да удаленькая. Она позволяет станку и серверу обмениваться исключительно разрешенными данными и только в одном направлении. Таким образом мы моментально отсекаем целый зоопарк атак: man-in-the-middle, man-in-the-cloud, DDoS-атаки и разные другие болячки, которые могут прилипнуть к серверу на интернет-просторах в наши непростые времена.

KISG 100 (работает на аппаратной платформе Siemens SIMATIC IOT2040 и нашей киберимунной операционной системе KasperskyOS) разделяет внешнюю и внутреннюю сеть так, что между ними не просочится ни байта вредоносного кода, и промышленное оборудование останется в девственной чистоте. Технология (патентные заявки 2021130011, 2021115238 и 2021113657) работает по принципу дата-диода, открывая поток данных в одном направлении только при выполнении определенных условий. Но в отличие от конкурирующих решений делает это (i) надежнее, (ii) проще и (iii) дешевле! Разберемся? Да!

Недаром эту «коробочку» еще называют шлюзом — ее работа действительно чем-то напоминает классический гидротехнический шлюз. Открываются нижние ворота, судно заходит в камеру, выравнивается уровень воды, открываются верхние ворота, судно покидает камеру. Точно также KISG 100 сначала инициализирует агента источника данных из промышленной сети, потом связывает его с агентом получателя данных в сторону сервера и разрешает однонаправленную передачу данных.

При установлении соединения между станком и сервером система находится в т. н. защищенном состоянии: обоим агентам (источника и получателя) запрещен доступ к внешней сети и недоверенной памяти, но разрешен доступ к доверенной памяти, из которой они получают параметры работы (ключи шифрования, сертификаты и т. д.). В этом состоянии шлюз не может быть скомпрометирован атаками из внешней сети — все его компоненты на данном этапе отключены от внешнего мира и считаются доверенными, они только загружены и инициализированы.

После инициализации состояние шлюза изменяется на рабочее: агент получателя получает право передавать данные во внешнюю сеть и доступ к недоверенной памяти (в ней содержится служебная информация и временный буфер данных), но ему запрещается доступ к доверенной памяти. Таким образом, даже если на стороне сервера произошел взлом, то у хакеров все равно не получится развить атаку на другие компоненты шлюза и промышленную сеть. Вот так:

Контроль над соблюдением правил взаимодействия между агентами и переключением состояний шлюза обеспечивает специальный монитор безопасности KSS. Это изолированная подсистема KasperskyOS, которая зорко следит за реализацией предустановленных политик безопасности (какой компонент что может делать) и по принципу «запрещено все, что не разрешено» блокирует все запрещенные действия. Главное конкурентное преимущество KSS — правила взаимодействия очень удобно описывать специальным языком и комбинировать готовые модели безопасности. Даже если один из компонентов KISG 100 (например, агент получателя) окажется скомпрометированным, то он не сможет навредить остальным компонентам, а администратор системы будет оповещен об атаке.

Вы еще с нами? Тогда самое время произнести «но это еще не все!».

С помощью «коробочки» можно реализовывать сквозные цифровые сервисы! Она позволяет безопасно интегрировать промышленные данные в ERP/CRM и прочие другие бизнес-системы предприятия!

Сценарии таких сервисов могут быть самые разные. Например, для нашего уважаемого заказчика ЧТПЗ (в составе ТМК) мы делали расчет качества инструмента станка, нарезающего трубу. Благодаря этому можно сократить расходы на выбор такого инструмента, а экономия от предиктивной аналитики может доходить до 500 000 рублей в месяц (sic!). На самом деле такая интеграция дает просто бесконечный горизонт возможностей.

Еще один пример: благодаря связи промышленного оборудования с «1С:Предприятие» холдинг ЛенПолиграфМаш смог почти в реальном времени отображать в ERP-среде аналитику по выработке отдельных операторов и давать расчеты по фактическим (а не нормативным, усредненным) простоям. Уникальность подхода и его масштабируемость на «маленькую разумную планету» подтвердили в своем первом «кибериммунном» отчете эксперты из уважаемого аналитического агентства Arc Advisory.

Вот такое «чудо техники»! Уже сейчас, помимо боевого дежурства на ЧТПЗ, KISG 100 поставляется с металлообрабатывающими станками «Станкомашкомплекса», идут успешные пилотные проекты с «Ростехом» (СТАН) и «Газпромнефтью», десятки «пилотов» в других крупных промышленных организациях. Девайс получил специальную награду за выдающуюся технологию на крупнейшем китайском IT-мероприятии Internet World Conference, на промышленной выставке Hannover Messe 2021 KISG 100 занял место среди лучших инновационных решений, а совсем недавно он стал победителем премии IoT Awards 2021 от российской Ассоциации участников рынка Интернета вещей, обойдя в конкурсе множество достойных компаний, в том числе Сбер.

В будущем мы будем расширять ассортимент таких умных «коробочек». На стадии «беты» (доступно для некоммерческого пилотирования!) находится «старший брат» KISG 1000, который работает не только стрелочником, но еще и инспектором: он не только собирает, проверяет и распределяет телеметрию, но и передает на устройства управляющие команды и защищает от сетевых атак.

Kaspersky IoT Secure Gateway 1000

Вывод: не нужно бояться цифру — надо просто уметь ее «готовить»! И мы вам в этом поможем: у нас лучшие повара и рецепты.

Советы