8 декабря, 2021

Свой среди своих, или киберскафандр для завода.

Посмотреть всего лет на 10 назад – кажется, что с тех пор технологии кибербезопасности улетели куда-то далеко за горизонт и оттуда надменно улыбаются ранее бытовавшим парадигмам, теориям и практикам.

Хотя… если хорошенько поскрести большинство этих «технологий», да подлечить волшебными снадобьями против воспаления артифишл интеллидженс, некстдженного зуда и прочего киберсекюрити-хайпа, то в корне останется всё тот же классический клубок проблем:

Как уберечь данные от неправильных глаз и несанкционированных изменений, при этом сохранив непрерывность бизнес-процессов?

Так и есть – святые лики конфиденциальности, целостности и доступности никуда не делись из иконостаса практикующего кибербезопасника. На них лишь осел толстый слой маркетинговой пыли. А также клюквы и лапши.

Цифра всегда приносит с собой одни и те же проблемы куда бы она не проникала. А проникать она будет дальше и глубже, потому что преимущества цифровизации слишком очевидны. Даже такие, казалось бы, консервативные области как тяжёлое машиностроение, нефтепереработка, транспорт или энергетика на самом деле уже давно и «по уши» в цифре. А вот тут начинается, как говорится, «трики парт» — и хочется и колется.

Понятно, что с цифрой эффективность бизнеса растёт как на дрожжах. Но с другой стороны, хакнут – мало не покажется (тому много примеров). Велик соблазн открыть объятья цифре (стихи!), но сделать надо это так, чтобы не было мучительно больно (читай – сохранить непрерывность бизнес-процессов). И для таких случаев в нашей «аптечке» есть специальное болеутоляющее – киберимунный шлюз KISG 100.

Эта маленькая «коробочка» с рекомендованной стоимостью около 90 тыс.руб устанавливается между цифровым промышленным оборудованием (назовём его «станок») и сервером, который собирает с этого оборудования различные сигналы. Сигналы самые разные – производительность, отказ, расход ресурсов, уровень вибрации, измерения выбросов CO2/NOx и др. – все они необходимы для формирования общей картины производства и последующего принятия обоснованных бизнес-решений.

«Коробочка» маленькая, да удаленькая. Она позволяет станку и серверу обмениваться исключительно разрешёнными данными и только в одном направлении. Таким образом мы моментально отсекаем целый зоопарк атак: man-in-the-middle, man-in-the-cloud, DDoS-атаки и разные другие болячки, которые могут прилипнуть к серверу на Интернет-просторах в наши непростые времена.

KISG 100 (работает на аппаратной платформе Siemens SIMATIC IOT2040 и нашей киберимунной операционной системе KasperskyOS) разделяет внешнюю и внутреннюю сеть так, что между ними не просочится ни байта вредоносного кода и промышленное оборудование останется в девственной чистоте. Технология (патентные заявки 2021130011, 2021115238 и 2021113657) работает по принципу дата-диода, открывая поток данных в одном направлении только при выполнении определённых условий. Но в отличие от конкурирующих решений делает это (i) надёжнее, (ii) проще и (iii) дешевле! Разберёмся? Да!

Недаром эту «коробочку» ещё называют шлюзом – её работа действительно чем-то напоминает классический гидротехнический шлюз. Открываются нижние ворота, судно заходит в камеру, выравнивается уровень воды, открываются верхние ворота, судно покидает камеру. Точно также KISG 100 сначала инициализирует агента источника данных из промышленной сети, потом связывает его с агентом получателя данных в сторону сервера и разрешает однонаправленную передачу данных.

При установлении соединения между станком и сервером система находится в т.н. защищённом состоянии: обоим агентам (источника и получателя) запрещён доступ к внешней сети и недоверенной памяти, но разрешён доступ к доверенной памяти, из которой они получают параметры работы (ключи шифрования, сертификаты и т.д.). В этом состоянии шлюз не может быть скомпрометирован атаками из внешней сети – все его компоненты на данном этапе отключены от внешнего мира и считаются доверенными — они только загружены и инициализированы.

После инициализации состояние шлюза изменяется на рабочее: агент получателя получает право передавать данные во внешнюю сеть и доступ недоверенной памяти (в ней содержится служебная информация и временный буфер данных), но ему запрещается доступ к доверенной памяти. Таким образом, даже если на стороне сервера произошёл взлом, то у хакеров всё равно не получится развить атаку на другие компоненты шлюза и промышленную сеть. Вот так:

Контроль над соблюдением правил взаимодействия между агентами и переключением состояний шлюза обеспечивает специальный монитор безопасности KSS. Это изолированная подсистема KasperskyOS, которая зорко следит за реализацией предустановленных политик безопасности (какой компонент что может делать) и по принципу «запрещено всё, что не разрешено» блокирует все запрещённые действия. Главное конкурентное преимущество KSS — правила взаимодействия очень удобно описывать специальным языком и комбинировать готовые модели безопасности. Даже если один из компонентов KISG 100 (например, агент получателя) окажется скомпрометированным, то он не сможет навредить остальным компонентам, а администратор системы будет оповещён об атаке.

Вы ещё с нами? :) Тогда самое время произнести «но это ещё не всё!».

С помощью «коробочки» можно реализовывать сквозные цифровые сервисы! Она позволяет безопасно интегрировать промышленные данные в ERP/CRM и прочие другие бизнес-системы предприятия!

Сценарии таких сервисов могут быть самые разные. Например, для нашего уважаемого заказчика ЧТПЗ (в составе ТМК) мы делали расчёт качества инструмента станка, нарезающего трубу. Благодаря этому можно сократить расходы на выбор такого инструмента, а экономия от предиктивной аналитики может доходить до 500 тыс. руб. в месяц (sic!). На самом деле такая интеграция даёт просто бесконечный горизонт возможностей.

Ещё один пример: благодаря связи промышленного оборудования с 1С:Предприятие холдинг ЛенПолиграфМаш смог почти в реальном времени отображать в ERP-среде аналитику по выработке отдельных операторов и давать расчёты по фактическим (а не нормативным, усредненным) простоям.  Уникальность подхода и его масштабируемость на «маленькую разумную планету» подтвердили в своем первом «кибериммуннтом» отчете эксперты из уважаемого аналитического агентства Arc Advisory.

Вот такое чудо-техники! Уже сейчас помимо боевого дежурства на ЧТПЗ KISG 100 поставляется с металлообрабатывающими станками «Станкомашкомплекса», идут успешные пилотные проекты с «Ростехом» (СТАН) и «Газпромнефтью», десятки пилотов в других крупных промышленных организациях. Девайс получил специальную награду за выдающуюся технологию на крупнейшем китайском IT-мероприятии Internet World Conference, на промышленной выставке Hannover Messe 2021 KISG 100 занял место среди лучших инновационных решений, а совсем недавно он стал победителем премии IoT Awards 2021 от российской Ассоциации участников рынка интернета вещей, обойдя в конкурсе множество достойных компаний, в том числе Сбер.

В будущем мы будем расширять ассортимент таких умных «коробочек». На стадии «беты» (доступно для некоммерческого пилотирования!) находится «старший брат» KISG 1000, который работает не только стрелочником, но ещё и инспектором – он не только собирает, проверяет и распределяет телеметрию, но и передает на устройства управляющие команды и защищает от сетевых атак.

Вывод: не нужно бояться цифру – надо просто уметь её «готовить»! :) И мы вам в этом поможем: у нас лучшие повара и рецепты :)

Прочитать комментарии 0
Оставить заметку
Facebook

16 апреля, 2024

А вы были в Хандыге?

Продолжаю рассказы об автопутешествии Якутск-Тикси-Якутск. Разогревочные темы зимников, наледей и трассы Р-504 «Колыма» рассказаны и закрыты. Пора уже за руль — и в дорогу! Начало наших последующих приключений — в Якутске, — а потом почти тысяча километров по «Колыме», затем в планах свернуть на север — и по зимникам добраться аж до Тикси. Что есть нетривиальная задачка, даже в условиях полной […]

15 апреля, 2024

Р504 — Полторы тысячи км адской красоты. Но зимой. И холодно.

Дороги бывают разные. Прямые и не очень, ровные и наоборот, скоростные и неторопливые, обычные и красивые. Вернее, так: обычные, симпатичные, красивые и мозговзрывательные. Красивых дорог много — часто в горах, вдоль морей и океанов. А особо красиво, если дорога идёт в горах и одновременно вдоль побережья — сразу достигается двойной эффект. Кстати, недавно катался по […]

11 апреля, 2024

Теория большого ледового взрыва или наледи, сэр!

Наш друг — Крайний Север. Зимой, даже в марте (а тут март — это зима). Так вот, в эти времена здесь царство вечного снега и льда, лютого мороза и бескрайних белых просторов. Но — не поверите! — здесь тоже есть место для водных развлечений. Как так и почему? Откуда здесь вода? Она же вся в […]

9 апреля, 2024

Что такое автомобильный зимник, и с чем его едят?

Если прочих вопросов к докладчику по предыдущей вступительной теме нет, то переходим к следующему рассказу, который можно было бы назвать так: «Якутские зимники от Р-504 и выше на север». Приступаю незамедлительно, но, наверное, сначала надо сделать разъяснительное введение. А именно -> Для плавности дальнейшего повествования мне просто категорически требуется пояснить, что же такое этот самый автодорожный зимник. Можно, конечно, просто […]

8 апреля, 2024

Мой друг север: Тикси-2024. Начало.

Всем привет! На прошлой неделе завершилась одна из моих самых самых и однозначно крышесносящих поездок по просторам Крайнего Севера — от Якутска на северо-восток и дальше на север. Я уже немного коснулся этой темы в предыдущих постах, и вот пришло время рассказать обо всём вдумчиво, детально и по порядку. Постоянным читателям моих историй хорошо известно, что […]

2 апреля, 2024

Якутские автозимники, фотосессия на льду, внедорожье и прочие радости.

Всем привет! [Продолжение. Часть-1, Часть-2, Часть-1апрельская]. Сколько там дней уже нас носит туда-сюда по якутским трассам и автозимникам? Ого! Уже три недели! Пора бы и домой начать собираться. Фоток и видосиков наснимали тысячи тонн, но их надо сначала обработать, причесать, сложить вместе и потом красиво всем показать для всеобщего удовольствия, удовлетворения любопытства, для мечтаний об этих прекрасных местах, […]

Еще

Блог о путешествиях