Имеет смысл ограничить и географию прогнозирования — будем говорить о развитии ИБ в АСУ в России, учитывая происходящие в стране процессы необратимого импортозамещения и обретения технологической независимости.

Только такой подход несет в себе весь необходимый потенциал для реализации задач цифровизации той или иной отрасли. Но и здесь появляется множество путей реализации угроз информационной безопасности, так как зачастую не учитываются требования ИБ. Это естественный процесс в современных экономических условиях, когда организации ведут деятельность в быстро меняющихся условиях экспортно-импортных процедур, введения все новых санкций, появления коопераций и процессов замещения зарубежного на отечественное.

Поэтому в ближайшем будущем мы будем продолжать наблюдать растущее число атак на различные АСУ — от уровня отдельных предприятий до национальных систем, блокировку их работы как на технологическом уровне, так и на уровне систем управления и обеспечения. Все эти процессы будут способствовать увеличению запросов со стороны операторов АСУ к интеграторам и разработчикам средств ИБ. Начавший формироваться постоянный спрос на решения в области ИБ в АСУ усилится, и мы получим новый, стабильно растущий рынок для ИБ отрасли в целом.

Как ни странно, импортозамещение не способствует этому процессу. Операторы АСУ вынуждены сейчас очень оперативно, часто в ущерб качеству и безопасности, замещать импортное оборудование в используемых АСУ. Так как оно массово снимается зарубежными вендорами с технической поддержки, его невозможно или сложно купить для восполнения, выходящего из строя.

Кроме этого, вводятся нормативные требования о переходе на отечественное оборудование в ближайший год. Но оно не становится автоматически надежным и безопасным. Часто в российское оборудование из-за требований по скорости разработки и вывода на рынок попадают непроверенные программные open-source компоненты. Как следствие, будет продолжать расти доля атак на АСУ через «цепочку поставки» — через заимствованный зараженный код или нерадивых подрядчиков-разработчиков, оставивших себе технологические учетки для доступа к элементам построенной АСУ. Поэтому должно пройти два-три года минимум, пока отечественное оборудование в АСУ пройдет обкатку в реальных условиях, будут выявлены и устранены большинство ошибок, в том числе уязвимости, произведены доработки для соответствия требованиям заказчика.

Справедливости ради следует отметить, что и импортное оборудование в АСУ неидеально, его разработчики постоянно устраняют выявленные уязвимости. В совокупности все эти факторы ставят перед ИБ-специалистами на ближайшие два-три года задачи по защите существующих рабочих АСУ без их серьезной модернизации.

Что нам поможет разобраться с этими проблемами? Подходы безопасной разработки программного кода и устройств начнут осознаваться и внедряться не только разработчиками и регуляторами в области ИБ, но и разработчиками промышленной автоматики и АСУ. Продолжат развиваться и промышленные средства защиты информации. Уже сейчас мы имеем два параллельных трека развития, хорошо дополняющих друг друга: наложенные и встраиваемые СЗИ.

Наложенные СЗИ пришли в АСУ из IT-сферы — это межсетевые экраны, системы обнаружения и предотвращения компьютерных атак, системы управления СЗИ, анализа и выявлений событий ИБ, средства контроля защищенности.

Далеко не все подобные СЗИ могут легко интегрироваться в АСУ, особенно учитывая дополнительно возникающие требования, например климатическое исполнение, поддержку специализированных протоколов и сред передачи данных, массогабаритные и другие эксплуатационные ограничения, длительные (до десятка лет) сроки работы в необслуживаемом режиме. Поэтому уже не первый год некоторые российские разработчики СЗИ создают специальные исполнения своих продуктов, рассчитанные на эксплуатацию в подобных условиях. К примеру, «ИнфоТеКС» предлагает линейку промышленных шлюзов безопасности ViPNet Coordinator IG.

От разработчиков таких СЗИ будет требоваться все больше усилий для поддержки отраслевых версий своих продуктов в ущерб обеспечения их безопасности. Поэтому в перспективе ближайших трех-четырех лет будут сформулированы практические рекомендации по использованию наложенных СЗИ в составе АСУ, вполне естественным образом ограничивающие возможности их применения.

Во-первых, это направление реализации мер защиты на опасных технологических объектах (функциональная безопасность) сформировалось задолго до появления всей темы ИБ, здесь есть свои стандарты, методики и свои лидеры. В России это направление сейчас тоже активно развивается в рамках темы импортозамещения.

Во-вторых, разработчики ПАЗ — это те же инженеры-разработчики АСУ, глубоко понимающие специфику той или иной отраслевой АСУ, чего так сильно не хватает и никогда не будет хватать ИБ-специалистам.

Стратегическим направлением развития мер ИБ в АСУ, на мой взгляд, должен стать второй трек — это встраиваемые в оборудование АСУ механизмы защиты информации наравне с уже ранее упомянутыми мною практиками разработки безопасного программного обеспечения и оборудования. Ведь именно сами разработчики лучше других знают область применения своих продуктов, режимы работы и ограничения.

Уже сейчас некоторые российские разработчики СКЗИ совместно с разработчиками технологического оборудования занимаются интеграцией своих продуктов. Так, например, идет активное внедрение СКЗИ в интеллектуальные приборы учета электроэнергии и сбора данных (ИСУЭ). Например, «ИнфоТеКС» предлагает сертифицированное по требованиям ФСБ России специализированное криптографическое решение ViPNet SIES.

И если вначале казалось возможным решить задачу наложенными СЗИ (криптошлюзами), то после нескольких лет обсуждения и экспериментов стало понятно, что задача может быть эффективно решена только за счет встраиваемых СКЗИ.

С каждым годом подобных практических примеров будет становиться все больше. Доказательством этого прогноза служат обращения в «ИнфоТеКС» компаний-разработчиков промышленной аппаратуры с просьбой помочь разобраться с криптографией. Их число стало больше, чем за все предыдущие годы, хотя решение ViPNet SIES представлено на рынке уже более пяти лет.

Тесная интеграция двух отраслей неизменно приведет к появлению большого числа технических рекомендаций и национальных стандартов, регламентирующих технические аспекты реализации мер ИБ в АСУ.

Важной вехой развития нормативной базы стал выход в 2024 году национального стандарта ГОСТ Р 71 252−2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем», описывающего первый в России (как и в мире) промышленный криптографический протокол прикладного уровня CRISP, специально спроектированный для эффективной реализации мер криптографической защиты информации в различных АСУ. Протокол CRISP является основой криптографического решения ViPNet SIES.

Еще одним важным вопросом остается подготовка кадров. В профессиональном ИБ-сообществе совсем недавно начал формироваться новый подход к подготовке кадров ИБ для АСУ.

Начало подготовки инженеров-отраслевиков, владеющих основами ИБ, уже началось: компания «ИнфоТеКС» совместно со специалистами кафедры релейной защиты и автоматики Центра компетенций НТИ МЭИ открыли в мае 2024 года первую отраслевую лабораторию встраиваемых средств криптографической защиты информации автоматизированных и автоматических систем управления объектов электроэнергетики.

Теперь любой действующий специалист по релейной автоматике может пройти курс повышения квалификации, в рамках которого ему расскажут об основах ИБ и дадут на практике освоить подходы по встраиванию СКЗИ в понятное ему оборудование защиты систем передачи электроэнергии. По моим прогнозам, уже в ближайшие два-три года на базе различных отраслевых вузов таких лабораторий будет становиться все больше, а новое оборудование российских инженеров-разработчиков АСУ все безопаснее и надежнее.