Журнал "Information Security/ Информационная безопасность" #5, 2025

В традиционной АСУ ТП- среде любое изменение действительно может повли- ять на безопасность, выпуск продукции или даже вызвать простой линии. Поэтому классическое пони- мание CI/CD здесь выглядит как угроза. DevSecOps не прижи- вается в АСУ ТП и MES по классическим ИТ- лекалам, поскольку в этих системах действуют совсем иные приоритеты и ограничения. На первом месте здесь стоят надежность, непре- рывность работы и соответствие отраслевым регламентам (например, ГОСТ/ISO 62443), что плохо сочетается с гибкими и динамичными DevOps-подхо- дами. Можно выделить несколько проблем: 1. Коробочные решения от вендоров. На предприятия часто поставляются готовые промыш- ленные комплексы – с пред- установленным ПО, операцион- ной системой, конфигурацией и полным циклом поддержки. В такой модели у заказчика просто нет процесса разработ- ки, а значит, и DevSecOps неприменим. 2. Конфликт между скоростью и стабильностью. MES и АСУ ТП обновляются редко – по строгому расписанию и только после обширного тестирования. Автоматические деплои и частые коммиты воспринимают- ся здесь как угроза стабильно- сти. 3. Отсутствие CI/CD-инфра- структуры. Многие промышлен- ные среды изолированы: без интернета, с ограничениями на установку агентов, сканеров и даже сборочных инструментов. Это делает невозможным пол- ноценное внедрение CI/CD. 4. Разделение ответственно- сти. В промышленной среде инженер по автоматизации, тех- нолог, специалист по ИБ и IT- разработчик – это разные роли с разными приоритетами. DevSecOps требует объедине- ния этих компетенций, чего на практике почти никогда не про- исходит. 5. Технологии, проверенные временем, но не всегда соот- ветствующие современному уровню. ПО может быть напи- сано на специфичных или не поддерживаемых языках, а также работать на операцион- ных системах, несовместимых с современным инструментари- ем. Это серьезно ограничивает возможность использования DevSecOps-практик. CI/CD в промышленности – лишний риск? Мнение о том, что CI/CD в промышленности – это лишний риск, частично справедливо, но слишком однобоко. В тради- ционной АСУ ТП-среде любое изменение действительно может повлиять на безопас- ность, выпуск продукции или даже вызвать простой линии. Поэтому классическое понима- ние CI/CD здесь выглядит как угроза. Но проблема кроется не в самом подходе, а в его неприспособленности к специ- фическим требованиям OT- среды. Как я уже отмечал, одна из ключевых причин – отсутствие полноценной CI/CD-инфраструк- туры. Промышленные среды часто изолированы от интерне- та, работают на специфичном оборудовании и не позволяют устанавливать стандартные 52 • СПЕЦПРОЕКТ Почему DevSecOps не приживается в АСУ ТП и MES по классическим ИТ-лекалам? недрение DevSecOps стало нормой для ИТ-разработки, одна- ко в промышленных системах этот подход сталкивается с серьезными ограничениями. Приоритеты в этих средах – надежность, непрерывность работы и соблюдение отраслевых стандартов – изначально противоречат динамике CI/CD и гибкости DevOps. Дополнительные препятствия создают закрытые контуры, не всегда актуальные технологии и фраг- ментированная структура ответственности. В Артем Пузанков, руководитель группы внедрения практик безопасной разработки Positive Technologies, эксперт программного комитета конференции byteoilgas_conf Фото: byteoilgas_conf Фото: Positive Technologies