Свой среди своих, или киберскафандр для завода.

Dec 08, 2021 10:34

Посмотреть всего лет на 10 назад - кажется, что с тех пор технологии кибербезопасности улетели куда-то далеко за горизонт и оттуда надменно улыбаются ранее бытовавшим парадигмам, теориям и практикам.

Хотя… если хорошенько поскрести большинство этих «технологий» да подлечить волшебными снадобьями против воспаления артифишл интеллидженс, некстдженного зуда и прочего киберсекюрити-хайпа, то в корне останется всё тот же классический клубок проблем:

Как уберечь данные от неправильных глаз и несанкционированных изменений, при этом сохранив непрерывность бизнес-процессов?

Так и есть - святые лики конфиденциальности, целостности и доступности никуда не делись из иконостаса практикующего кибербезопасника. На них лишь осел толстый слой маркетинговой пыли, а также клюквы и лапши.

Цифра всегда приносит с собой одни и те же проблемы, куда бы она ни проникала. А проникать она будет дальше и глубже, потому что преимущества цифровизации слишком очевидны. Даже такие, казалось бы, консервативные области как тяжёлое машиностроение, нефтепереработка, транспорт или энергетика на самом деле уже давно и «по уши» в цифре. А вот тут начинается, как говорится, «трики парт» - и хочется и колется.

Понятно, что с цифрой эффективность бизнеса растёт как на дрожжах. Но с другой стороны, хакнут - мало не покажется ( тому много примеров). Велик соблазн открыть объятья цифре (стихи!), но сделать надо это так, чтобы не было мучительно больно (читай - сохранить непрерывность бизнес-процессов). И для таких случаев в нашей «аптечке» есть специальное болеутоляющее - киберимунный шлюз KISG 100.



Эта маленькая «коробочка» с рекомендованной стоимостью около 90 тыс. руб устанавливается между цифровым промышленным оборудованием (назовём его «станок») и сервером, который собирает с этого оборудования различные сигналы. Сигналы самые разные - производительность, отказ, расход ресурсов, уровень вибрации, измерения выбросов CO2/NOx и др. - все они необходимы для формирования общей картины производства и последующего принятия обоснованных бизнес-решений.

«Коробочка» маленькая да удаленькая. Она позволяет станку и серверу обмениваться исключительно разрешёнными данными и только в одном направлении. Таким образом мы моментально отсекаем целый зоопарк атак: man-in-the-middle, man-in-the-cloud, DDoS-атаки и разные другие болячки, которые могут прилипнуть к серверу на Интернет-просторах в наши непростые времена.

KISG 100 (работает на аппаратной платформе Siemens SIMATIC IOT2040 и нашей киберимунной операционной системе KasperskyOS) разделяет внешнюю и внутреннюю сеть так, что между ними не просочится ни байта вредоносного кода и промышленное оборудование останется в девственной чистоте. Технология (патентные заявки 2021130011, 2021115238 и 2021113657) работает по принципу дата-диода, открывая поток данных в одном направлении только при выполнении определённых условий. Но в отличие от конкурирующих решений делает это (i) надёжнее, (ii) проще и (iii) дешевле! Разберёмся? Да!

Недаром эту «коробочку» ещё называют шлюзом - её работа действительно чем-то напоминает классический гидротехнический шлюз. Открываются нижние ворота, судно заходит в камеру, выравнивается уровень воды, открываются верхние ворота, судно покидает камеру. Точно также KISG 100 сначала инициализирует агента источника данных из промышленной сети, потом связывает его с агентом получателя данных в сторону сервера и разрешает однонаправленную передачу данных.

При установлении соединения между станком и сервером система находится в т.н. защищённом состоянии: обоим агентам (источника и получателя) запрещён доступ к внешней сети и недоверенной памяти, но разрешён доступ к доверенной памяти, из которой они получают параметры работы (ключи шифрования, сертификаты и т.д.). В этом состоянии шлюз не может быть скомпрометирован атаками из внешней сети - все его компоненты на данном этапе отключены от внешнего мира и считаются доверенными - они только загружены и инициализированы.

После инициализации состояние шлюза изменяется на рабочее: агент получателя получает право передавать данные во внешнюю сеть и доступ недоверенной памяти (в ней содержится служебная информация и временный буфер данных), но ему запрещается доступ к доверенной памяти. Таким образом, даже если на стороне сервера произошёл взлом, то у хакеров всё равно не получится развить атаку на другие компоненты шлюза и промышленную сеть. Вот так:



Контроль за соблюдением правил взаимодействия между агентами и переключением состояний шлюза обеспечивает специальный монитор безопасности KSS. Это изолированная подсистема KasperskyOS, которая зорко следит за реализацией предустановленных политик безопасности (какой компонент что может делать) и по принципу «запрещено всё, что не разрешено» блокирует все запрещённые действия. Главное конкурентное преимущество KSS - правила взаимодействия очень удобно описывать специальным языком и комбинировать готовые модели безопасности. Даже если один из компонентов KISG 100 (например, агент получателя) окажется скомпрометированным, то он не сможет навредить остальным компонентам, а администратор системы будет оповещён об атаке.

Вы ещё с нами? :) Тогда самое время произнести «но это ещё не всё!».

С помощью «коробочки» можно реализовывать сквозные цифровые сервисы! Она позволяет безопасно интегрировать промышленные данные в ERP/CRM и прочие другие бизнес-системы предприятия!

Сценарии таких сервисов могут быть самые разные. Например, для нашего уважаемого заказчика ЧТПЗ (в составе ТМК) мы делали расчёт качества инструмента станка, нарезающего трубу. Благодаря этому можно сократить расходы на выбор такого инструмента, а экономия от предиктивной аналитики может доходить до 500 тыс. руб в месяц (sic!). На самом деле такая интеграция даёт просто бесконечный горизонт возможностей.

Ещё один пример: благодаря связи промышленного оборудования с 1С:Предприятие холдинг ЛенПолиграфМаш смог почти в реальном времени отображать в ERP-среде аналитику по выработке отдельных операторов и давать расчёты по фактическим (а не нормативным, усредненным) простоям.  Уникальность подхода и его масштабируемость на «маленькую разумную планету» подтвердили в своем первом «кибериммуннтом» отчете эксперты из уважаемого аналитического агентства Arc Advisory.



Вот такое чудо техники! Уже сейчас помимо боевого дежурства на ЧТПЗ KISG 100 поставляется с металлообрабатывающими станками «Станкомашкомплекса», идут успешные пилотные проекты с «Ростехом» (СТАН) и «Газпромнефтью», десятки пилотов в других крупных промышленных организациях. Девайс получил специальную награду за выдающуюся технологию на крупнейшем китайском IT-мероприятии Internet World Conference, на промышленной выставке Hannover Messe 2021 KISG 100 занял место среди лучших инновационных решений, а совсем недавно он стал победителем премии IoT Awards 2021 от российской Ассоциации участников рынка интернета вещей, обойдя в конкурсе множество достойных компаний, в том числе Сбер.

В будущем мы будем расширять ассортимент таких умных «коробочек». На стадии «беты» (доступно для некоммерческого пилотирования!) находится «старший брат» KISG 1000, который работает не только стрелочником, но ещё и инспектором - он не только собирает, проверяет и распределяет телеметрию, но и передает на устройства управляющие команды и защищает от сетевых атак.

Вывод: не нужно бояться цифру - надо просто уметь её «готовить»! :) И мы вам в этом поможем: у нас лучшие повара и рецепты :)

technology, prombez

Previous post Next post
Up