В промышленной безопасности есть пугающая статистика: среднее время нахождения злоумышленника в сети предприятия до момента его обнаружения составляет около шести месяцев. Полгода кто-то невидимый изучает ваши техпроцессы, скачивает рецептуры, анализирует карту регистров Modbus и ждет удобного момента. И когда экраны в диспетчерской погаснут, будет уже поздно дергать рубильник.
Мы привыкли строить высокие стены (фаерволы) вокруг завода, полагая, что враг снаружи. Но современная парадигма кибербезопасности гласит: исходите из того, что враг уже внутри. И главная проблема большинства заводов не в слабых паролях, а в тотальной невидимости собственной инфраструктуры. Вы не можете защитить то, о существовании чего вы даже не подозреваете.
Инвентаризация или смерть
Начнем с неприятной правды. Если попросить главного энергетика и IT-директора принести схему сети цеха, это будут две разные схемы. И ни одна из них не будет соответствовать реальности. В дальнем углу цеха стоит коммутатор, который монтажники поставили «временно» три года назад. К контроллеру вентиляции подключен неучтенный 4G-модем, потому что наладчику было лень ходить в цех с ноутбуком.
Первый и самый важный шаг в защите — это полная, автоматизированная инвентаризация активов. Не вручную в Excel, а с помощью пассивных сканеров сети, которые «слушают» эфир и составляют карту. Вы должны знать каждый MAC-адрес, каждую версию прошивки и каждый открытый порт. Как только в сети появляется новое устройство — хоть кофеварка с Wi-Fi — система безопасности должна кричать об этом. Без видимости активов любые антивирусы бесполезны.
Концепция «Нулевого доверия» в цехе
Классическая модель защиты похожа на яйцо: твердая скорлупа снаружи, мягкое содержимое внутри. Пробил скорлупу — и делай что хочешь. Это устарело. Новая модель — это подводная лодка с множеством герметичных отсеков. Это называется микросегментация.
Инженерная станция не должна иметь доступ ко всем контроллерам завода. Ей нужен доступ только к тем ПЛК, которые она обслуживает прямо сейчас. Контроллер печи не должен «общаться» с контроллером упаковки, если это не предусмотрено техпроцессом. Внедрение принципов Zero Trust (никому не доверяй, всегда проверяй) означает, что каждый запрос на соединение должен быть авторизован. И здесь современные Linux-контроллеры, такие как ПК СТАБУР, дают фору старым системам: они позволяют настраивать списки контроля доступа (ACL) и правила межсетевого экрана непосредственно на уровне самого устройства, превращая каждый шкаф автоматики в маленькую крепость.
Глубокая инспекция пакетов (DPI)
Обычный офисный фаервол работает примитивно: он видит, что данные идут по порту 502 (Modbus TCP), и пропускает их, потому что этот порт разрешен. Ему всё равно, что именно летит внутри пакета — команда чтения температуры или команда перезаписи прошивки.
Для АСУ ТП жизненно необходимы шлюзы с функцией DPI (Deep Packet Inspection). Такая система разбирает промышленный протокол «по косточкам». Она может разрешить оператору только чтение данных (Function Code 03/04), но запретить запись (Function Code 06/16) с определенных IP-адресов. Это хирургическая защита. Даже если хакер захватит компьютер оператора, он не сможет отправить на контроллер команду «Стоп», потому что умный шлюз заблокирует именно эту команду на уровне логики протокола.
Резервное копирование как последняя линия обороны
Представим худшее: вас взломали. Вирус-шифровальщик превратил все SCADA-серверы и программы ПЛК в цифровой мусор. Вымогатели требуют миллионы. В этот момент ваша судьба зависит не от службы безопасности, а от качества бэкапов.
В IT привыкли делать бэкапы баз данных. В OT (Operation Technology) нужно бэкапить всё: файлы проектов ПЛК, конфигурации частотных преобразователей, уставки (Setpoints), образы SCADA-систем. Причем «золотые копии» должны храниться в неизменяемом виде (offline), физически отключенными от сети. Киберустойчивость (Cyber Resilience) — это способность быстро восстать из пепла. Если у вас есть актуальный образ системы и чистый контроллер, вы можете восстановить производство за часы, а не недели, просто стерев зараженные данные и залив «чистую» версию.
Охота на угрозы вместо ожидания
Защита АСУ ТП — это не установка софта «поставил и забыл». Это процесс. Необходимо внедрять системы SIEM (сбор событий безопасности), настроенные на специфику производства. Если ПЛК вдруг начал перезагружаться пять раз в час — это инцидент безопасности. Если по ночам идет трафик на внешний IP-адрес — это инцидент.
Аналитики должны искать не вирусы, а аномалии в поведении технологического процесса. Хакер может не использовать вредоносный код, он может просто изменить уставку давления в котле до критической, используя штатные команды. Традиционный антивирус здесь слеп, поможет только поведенческий анализ и контроль целостности проекта.