Журнал "Information Security/ Информационная безопасность" #2, 2026

– В составе UDV DATAPK Industrial Kit есть модуль анализа промышленного сетевого трафи- ка, где используются технологии машинного обучения. Какие зада- чи такой подход помогает решать в АСУ ТП? И почему сейчас все больше внимания уделяется ана- лизу отклонений на уровне ПЛК и самого технологического про- цесса? – В промышленной среде трафик – один из самых удобных источников информации, потому что его можно ана- лизировать через зеркалирование, без вмешательства в сам технологический контур. Уже этого достаточно, чтобы видеть новые узлы, сетевые взаимо- действия, используемые протоколы, управляющие команды и признаки известных атак. Но одной сигнатурной логики здесь недостаточно: в АСУ ТП слишком много специфики, и заранее описать все возможные отклонения невозможно. Поэтому машинное обуче- ние выступает как дополнительный меха- низм анализа – помогает находить пове- денческие аномалии и скрытые угрозы, которые трудно заметить классическими методами. Например, речь может идти о нетипичной сетевой активности или о признаках туннелирования. Если говорить про уровень ПЛК и самого технологического процесса, то здесь задача еще шире: нужно увидеть не просто факт обмена данными, а изме- нения в поведении системы. Условно говоря, внешне все может выглядеть штатно: те же узлы, те же протоколы, те же команды, параметры не выходят за допустимые границы. Но сама логика процесса уже меняется, например иначе развивается отдельный этап или меняет- ся динамика технологических парамет- ров. Это может говорить о скрытом воз- действии, ошибке настройки или начи- нающейся неисправности. Такой пове- денческий анализ позволяет заметить проблему раньше – еще до того, как она скажется на устойчивости производства. – Для промышленного пред- приятия важно по какой логике в реальности работает ПЛК, какие изменения в нее вносились и можно ли при необходимости быстро восстановить рабочую конфигурацию. Насколько эта задача значима для эксплуатации и ИБ? Может ли UDV DATAPK Industrial Kit помочь ее решить? – Действительно, это одна из ключе- вых задач для АСУ ТП. Здесь сходятся сразу два базовых требования: целост- ность и доступность. Предприятию необходимо точно понимать, какая вер- сия проекта ПЛК является эталонной и по какой логике в данный момент реаль- но работает технологический процесс. Это вопрос целостности – нужно быть уверенными, что в контуре используется именно согласованная версия, а не какая-либо сторонняя или несанкциони- рованно измененная. Вторая задача – доступность. Если ПЛК по какой-то причине выходит из строя и его нужно быстро заменить, то без эталонной версии проекта сделать это оперативно и корректно крайне слож- но. Поэтому централизованный контроль версий напрямую помогает обеспечивать непрерывность техпроцесса – дает воз- можность хранить актуальные версии, учесть изменения и быстро восстановить рабочую конфигурацию. Для эксплуатации это вопрос управ- ляемости и надежности, а для кибербе- зопасности – еще и вопрос контроля изменений. Даже если специалисты ИБ не анализируют саму логику техпроцесса так глубоко, как команда эксплуатации, то, как минимум, они могут видеть изме- нения, время их внесения и то, были они санкционированы или нет. Если измене- ние появилось вне штатного порядка, то это уже повод разобраться: идет ли речь об ошибке, несогласованной доработке или потенциальном киберинциденте. – Недавно вышла новая вер- сия 3.1 продукта UDV DATAPK Industrial Kit. Что в ней измени- лось прежде всего? – В версии 3.1 три группы изменений, но основной акцент сделан на двух модулях, которые сильнее всего влияют именно на практическую работу. Первая – это развитие модуля анализа промышленного сетевого трафика. Мы расширили разбор промышленных про- токолов; добавили возможность быстрее подключать специфические протоколы, если на предприятии используется ред- кое или отраслевое ПО; усилили детек- тирование отдельных аномальных сце- нариев, в том числе связанных с тунне- лированием. Серьезно доработали карту сети – она стала нагляднее за счет цве- товой индикации соединений, выбора количества отображаемых узлов и связки с карточкой инцидента (когда специалист может сразу перейти в тот участок сети, где выявлена проблема). Появился импорт трафика для ретроспективного анализа – это полезно для расследова- ний и для повторной проверки по обнов- ленным базам маркеров угроз. Вторая большая группа модификации касается модуля Version Control. Если раньше речь в большей степени шла о контроле самого факта изменений, то теперь система позволяет сравнивать проекты гораздо глубже – видеть, какие именно блоки и теги были изменены. Важный момент в том, что мы не просто фиксируем изменение конфигурации, а сопоставляем ее с про- ектом и можем понять, действительно ли на ПЛК загружена именно та вер- сия, которая считается эталонной. Для промыш- ленного предприятия это уже вопрос не только удобства, но и целостности, управляемости изменений и уверенности в том, по какой логике реально работает техпроцесс. Третья группа изменений связана с удобством внедрения и экономикой использования. В версии 3.1 появился автоматический установщик, за счет чего стало меньше ручных действий, снизился порог входа и ускорилось внед- рение. Кроме того, отдельные модули теперь можно устанавливать независимо друг от друга – под конкретные задачи организации. Это важно для предприя- тий, которые хотят развивать защиту поэтапно, не покупая сразу весь функ- циональный контур, если на текущем этапе он им не нужен. Есть и улучшения, связанные с внут- ренней оптимизацией системы – хранени- ем событий, контролем нагрузки на сен- соры, общей управляемостью ресурсов. Но самые значимые для практики изме- нения – развитие анализа трафика, углуб- ление контроля версий проектов ПЛК и снижение трудозатрат на внедрение. – В чем главное преимущество UDV DATAPK Industrial Kit? – UDV DATAPK Industrial Kit – это рос- сийское решение для предприятий, кото- рые хотят перейти от формального выполнения требований к реальному мониторингу защищенности АСУ ТП. Сегодня для многих предприятий задача уже не сводится только к категорирова- нию и подготовке документов. Они начи- нают выстраивать практическую без- опасность, чтобы видеть, что происходит в технологическом контуре, своевре- менно выявлять отклонения и получать основу для принятия решений. В этом смысле UDV DATAPK Industrial Kit позволяет в одном продукте закрыть сразу несколько ключевых задач: ана- лизировать промышленный трафик, собирать конфигурации, работать с собы- тиями, контролировать изменения в про- ектах ПЛК. За счет этого предприятия получают не формально установленный инструмент для галочки, а рабочую систе- му, которая действительно помогает мониторить состояние АСУ ТП и выявлять потенциальные угрозы. При этом решение экономически рационально – многим предприятиям проще и выгоднее освоить один ком- плексный продукт, чем внедрять и свя- зывать между собой несколько дорогих тяжелых специализированных систем. UDV DATAPK Industrial Kit – это разумный баланс между функциональностью, стои- мостью и скоростью получения практи- ческого результата. l • 31 ЗАЩИТА АСУ ТП www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ UDV GROUP см. стр. 78 NM Реклама