Журнал "Information Security/ Информационная безопасность" #2, 2025

Но цифровизация управления техно- логическими процессами приводит к кар- динальному изменению методов обес- печения их безопасности, устойчивости и надежности. Задача в том, чтобы биз- нес, технологи и отраслевые регуляторы как можно быстрее осознали эти изме- нения. Многие компании практически пол- ностью полагаются на цифровые систе- мы управления, что приводит к конвер- генции ИТ и инфраструктуры АСУ/АСУ ТП. Это дает бизнесу рост эффективно- сти за счет повышения производитель- ности труда и снижения влияния "чело- веческого фактора". Но при этом появляются риски новых векторов кибе- ратак и киберинцидентов, которых рань- ше просто не существовало. Регуляторная база, касающаяся надеж- ности и безопасности эксплуатации, раз- вивается. Однако в ней пока не хватает четких требований, связанных именно с цифровой составляющей. Кроме того, на местах не всегда хватает компетен- ций: технологические специалисты зача- стую не имеют достаточного опыта рабо- ты с современными ИТ-системами. В качестве иллюстрации рассмотрим абстрактное, но типичное устройство в АСУ ТП. При его проектировании инже- неры могут выбрать минимально подхо- дящую слабую микросхему и пластиковый корпус. Но вместо этого они устанавли- вают защищенный корпус, устойчивый к электромагнитным помехам, и более мощ- ную микросхему, способную выдерживать перегрузки, – например, при скачках напряжения или ударе молнии. То есть изначально закладываются механизмы, повышающие отказоустойчивость. Аналогичный подход должен приме- няться и к информационной составляю- щей: производители и заказчики должны понимать, что без защиты от киберугроз обеспечить требуемый уровень надеж- ности и защищенности будет крайне сложно. Найти золотую середину Есть два типа ключевых требований: 1. Mission Critical – требования, кри- тичные для безопасности людей, эколо- гии или вообще государства. Здесь соот- ветствие является обязательным: над- зорные органы следят, что все нормы соблюдены. 2. Business Critical – то, что важно для самого бизнеса, его прибыльности и эффективности. Если затраты на без- опасность превышают возможные риски, компания рискует стать убыточной. Эти два аспекта не противоречат друг другу. Формальная безопасность необхо- дима – без нее не пройти проверки. Но если бизнес не перешел на риск-ориен- тированное управление, рано или поздно он столкнется с проблемами. Например, когда ИТ-инфраструктура превращается в "черный ящик", а руководство не пони- мает, как киберриски влияют на про- изводство и финансы. Непростительная ошибка – восприни- мать безопасность как лишние расходы. На деле речь не о бесконечных вложе- ниях, а о разумной оценке угроз и поиске баланса. Нередко можно услышать: "Мы сдадим систему, а потом позовем специалистов по ИБ – пусть обеспечат безопасность". Такой подход неэффективен и дорог. Внешний эксперт не сможет "научить" технологический процесс быть устойчи- вым – защита должна закладываться на этапе проектирования. Для цифровой трансформации харак- терен интересный парадокс: с одной стороны, цифровизация действительно повышает безопасность производства, позволяя операторам управлять процес- сами дистанционно, минимизируя их при- сутствие в опасных зонах. Но с другой – она же создает принципиально новые уязвимости в информационной сфере. Решение этой проблемы лежит в системном подходе. Когда отраслевые стандарты начинают учитывать не только традиционные требования к надежности оборудования, но и современные кибер- риски, безопасность перестает быть навязанным сверху требованием. Она становится естественным следствием грамотно спроектированного техноло- гического процесса. В таком случае защитные меры органично встраиваются в производственный цикл, а не накла- дываются постфактум как дорогостоя- щее дополнение. Эпоха "воздушного зазора" Концепция полной изоляции критически важных систем, известная как "воздушный зазор", кажется пережитком прошлого. Однако так ли это на самом деле? Рас- смотрим этот вопрос на актуальном при- мере антропоморфных роботов – одной из самых обсуждаемых тем современного технологического ландшафта. На первый взгляд, такие автономные системы, оснащенные нейронными сетями и сложными алгоритмами, представляются полностью независимыми. Но при бли- жайшем рассмотрении выясняется, что даже самый совершенный робот неизбеж- но имеет точки контакта с внешним миром: порты для настройки, модули Wi-Fi, систе- мы обновления прошивок, зарядные устройства. Эти, казалось бы, незначи- тельные элементы инфраструктуры соз- дают потенциальные векторы атаки. Представим гипотетического робота с "вечной" батареей, не требующий обслуживания в течение ста лет. Каза- лось бы, идеальная изолированная система. Но он существует не в вакууме – вокруг люди, изменяющаяся среда, непредсказуемые обстоятельства. Полу- чается парадоксальная ситуация: на сто- летие мы теряем контроль над интел- лектуальным устройством, в то время как его программная начинка продол- жает эволюционировать и взаимодей- ствовать с окружением через имеющие- ся интерфейсы. 46 • СПЕЦПРОЕКТ Киберустойчивость в энергетике: как из бежать иллюзий? огда речь заходит о цифровой трансформации в АСУ ТП, наравне с вопросами информационной безопасности все чаще поднимается тема киберустойчивости. Устойчивость важна для любой технологической системы – будь то электроэнергетика, нефтегазовая отрасль или нефтехимия. Основная задача любого технологического процесса – достижение запланированных бизнес-результатов, и службы эксплуатации традиционно отвечают за его надежность. К Евгений Генгринович, советник генерального директора компании “ИнфоТеКС” Фото: ИнфоТеКС