惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
V
V2EX
V
Visual Studio Blog
博客园_首页
Last Week in AI
Last Week in AI
Apple Machine Learning Research
Apple Machine Learning Research
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
S
SegmentFault 最新的问题
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Martin Fowler
Martin Fowler
Recent Announcements
Recent Announcements
J
Java Code Geeks
月光博客
月光博客
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
F
Fortinet All Blogs
P
Privacy & Cybersecurity Law Blog
C
CERT Recently Published Vulnerability Notes
C
CXSECURITY Database RSS Feed - CXSecurity.com
B
Blog RSS Feed
S
Schneier on Security
酷 壳 – CoolShell
酷 壳 – CoolShell
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
W
WeLiveSecurity
A
Arctic Wolf
U
Unit 42
博客园 - 司徒正美
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
有赞技术团队
有赞技术团队
Recorded Future
Recorded Future
Engineering at Meta
Engineering at Meta
Google DeepMind News
Google DeepMind News
大猫的无限游戏
大猫的无限游戏
Microsoft Security Blog
Microsoft Security Blog
Hacker News: Ask HN
Hacker News: Ask HN
量子位
B
Blog
T
The Exploit Database - CXSecurity.com
C
Cisco Blogs
博客园 - 三生石上(FineUI控件)
H
Help Net Security
博客园 - 叶小钗
C
Cyber Attacks, Cyber Crime and Cyber Security
L
LINUX DO - 热门话题
Hugging Face - Blog
Hugging Face - Blog
Google DeepMind News
Google DeepMind News
小众软件
小众软件
雷峰网
雷峰网
TaoSecurity Blog
TaoSecurity Blog
Schneier on Security
Schneier on Security

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Опыт настройки МСЭ и кибербезопасности на промышленных объектах
Innostage (I · 2026-04-28 · via Все публикации подряд на Хабре

Опыт настройки МСЭ и кибербезопасности на промышленных объектах

Время на прочтение11 мин

Охват и читатели0

Привет, Хабр! Меня зовут Артём Чуйков, я инженер компании Innostage — первого кибериспытанного интегратора сервисов и решений в области цифровой безопасности. Я занимаюсь внедрением межсетевых экранов на промышленных предприятиях, и сегодня хочу поделиться практическим опытом.

Ни для кого не секрет, что злоумышленники постоянно пытаются атаковать наши киберрубежи. Успешная атака на офисную сеть приводит к утечкам данных, зашифрованным дискам, потерянным деньги и репутации. Как правило, такой ущербе можно компенсировать: восстановить данные, вернуть инфраструктуру в рабочее состояние, извиниться перед клиентами и контрагентами.

Однако успешная атака на автоматизированные системы управления технологическими процессами — это уже совсем другая история. Это обесточенные города, остановленные производства, потенциальные техногенные катастрофы. Представьте, к примеру, атомную электростанцию, управлять которой могут злоумышленники, получившие нелегитимный доступ.

Именно поэтому внедрение систем обеспечения информационной безопасности позволяет эффективно противостоять подобным угрозам.

Для объектов критической информационной инфраструктуры внедрение СОИБ является не просто рекомендацией, а требованием регуляторов — ФСТЭК, ФСБ, а также стандартов, таких как ГОСТ Р ИСО/МЭК 27001 и других.

Межсетевой экран — одна из ключевых составляющих комплекса сетевой безопасности. Он используется для фильтрации трафика и обнаружения вторжений в сети предприятия. Грамотная настройка МСЭ позволяет своевременно выявлять и предотвращать атаки киберзлоумышленников.

Сегодня я расскажу об общих подходах к настройке межсетевых экранов и о том, как эти подходы иногда выглядят в реальных условиях эксплуатации.

Харденинг МСЭ. Обезопась сам МСЭ

Ваша организация приняла решение внедрить межсетевой экран. Вот он — полностью ваш, новенький и блестящий, лежит в коробке (а лучше — два) и ждёт распаковки и внедрения в промышленную эксплуатацию. Пока он выключен, то, безусловно, защищён от хакеров. Но давайте попробуем обеспечить ему защиту и после включения, а главное — после подключения к сети.

Роботам не нужны ни сон, ни отдых: они постоянно пытаются найти слабые места в сетевом оборудовании. Хорошо, если межсетевой экран будет обеспечивать фильтрацию в условно безопасной внутренней сети — тогда атак будет меньше. Однако исключить их полностью, к сожалению, нельзя.

Некоторое время назад я слышал легенду о том, что сети АСУ ТП безопасны, поскольку отделены от корпоративной сети и Интернета так называемым воздушным зазором. Это опасное заблуждение. Люди склонны проявлять удивительную изобретательность, когда речь заходит о нарушении запретов и ограничений доступа в Интернет.

Особенно опасно, когда эта изобретательность усиливается инженерной мыслью специалиста по АСУ ТП. Я лично видел ноутбук, который одним интерфейсом был подключён к сети АСУ ТП, а по Wi-Fi — к телефону с доступом в Интернет. Чтобы минимизировать подобные риски, первый шаг всегда начинается с надёжной базы — а именно с корректного состояния самого межсетевого экрана.

Шаг первый. Мы заливаем на наш МСЭ последнюю стабильную прошивку (а не последнюю по порядковому номеру). Данные о стабильности прошивки можно получить, изучая тематические чаты, где коллеги могут бесплатно делиться наработанным опытом. Некоторые из таких чатов очень даже полезны. В актуальных прошивках помимо добавления полезных фич и удаления бесполезных багов применяются исправления известных уязвимостей, что затрудняет их злодейскую эксплуатацию.

Шаг второй. Отключаем всё ненужное, устаревшее и не неиспользуемое. Например, HTTP, Telnet, SNMP v1 -v2. Если всё-таки использование небезопасных сервисов необходимо, ограничиваем доступ к ним только с определённых ресурсов, а в SNMP меняем идентификатор (community), установленный по умолчанию.

Как-то мне задали вопрос: «А как отследить, были ли попытки подключения по telnet?» Оставим за кадром, с какой целью это требуется: раз спросили — значит, надо.

Telnet не только не был включён на том устройстве, но и в принципе им не поддерживался. Я создал запрещающее правило на МСЭ для TCP-порта 23 и включил логирование — после этого попытки подключения стали фиксироваться.

Шаг третий. Ограничиваем доступ к интерфейсу управления: «только с определённых источников». Ни в коем случае не должно быть никакого доступа из Сети.

Итак, лишние сервисы мы отключили, небезопасные и устаревшие протоколы шифрования выключили. На очереди — парольная защита. Пароли, это, конечно, хорошо, но гораздо безопаснее аутентификация по ключам/сертификатам. Если есть возможность использовать второй фактор, обязательно надо использовать.

Настоятельно рекомендую отключать учётную запись по умолчанию. Казалось бы, банальная вещь, однако мне встречался межсетевой экран, на котором нельзя было ни сменить логин учётной записи по умолчанию, ни понизить её привилегии, ни даже настроить блокировку при неверном вводе пароля.

Учётные записи рекомендую делать персональными, однозначно идентифицируемыми — чтобы было понятно, что это именно Иванов И.И. После передачи доступа от подрядчика необходимо менять все пароли.

По моему мнению, использование централизованной аутентификации, при всём её удобстве, несёт в себе потенциальную уязвимость. Компрометация центрального хранилища учётных данных может привести к компрометации всех устройств в сети. В этом вопросе необходимо искать баланс между безопасностью и управляемостью.

Приведу пример. Во времена, когда зарубежные компании ещё работали здесь, волевым решением «сверху» были созданы учётные записи с повышенными привилегиями и сроком действия пароля 12 часов. Пароль должен был содержать не менее 12 символов, включая цифры, буквы и специальные символы. С одной стороны — безопасно, с другой — администратор физически не может запомнить все пароли. В результате пароль фотографировался на телефон, писались самописные скрипты для его автоматического ввода и так далее. В итоге формальное усиление защиты привело к появлению новых потенциальных угроз компрометации.

Напоминаю, что обеспечение безопасности, — это системное мероприятие, как правило, у заказчиков есть SIEM, туда мы направляем логи с наших МСЭ. Если SIEM нет, можем установить. Время синхронизируем с NTP сервером заказчика.

Был случай, когда о том, что один из кластеров МСЭ вышел из строя, мы узнали совершенно случайно. Ноду заменили по гарантии — всё закончилось благополучно.

Необходимо регулярно выполнять резервное копирование конфигураций — именно это и помогло нам восстановить вышедшую из строя ноду. Также требуется контролировать целостность файлов на самом МСЭ: не внесли ли злоумышленники изменения в критически важные файлы?

Вроде бы всё сделали правильно: обновились, доступы ограничили, резервные копии настроили, целостность контролируем. И вот в этот момент обычно возникает ощущение, что система полностью защищена.

Но на практике часто забывают о протоколе IPv6. На IPv4 всё корректно отключено и отфильтровано, а IPv6 остаётся без внимания. При этом локальные адреса канала назначаются автоматически, и протокол продолжает функционировать.

Иногда меня просят полностью отключить IPv6 на МСЭ. Однако даже если я отключу его на межсетевом экране, на других устройствах сети он никуда не исчезнет. Поэтому на уровне ядра операционной системы я оставляю IPv6 включённым, но однозначно запрещаю сетевое взаимодействие по этому протоколу средствами МСЭ и передаю соответствующие логи в SIEM — возможно, они будут использованы в корреляционных правилах.

В зависимости от используемого оборудования можно дополнительно настроить защиту от DoS-атак, ограничить доступ к самому МСЭ средствами встроенного сетевого экрана и реализовать другие механизмы защиты. В конечном счёте безопасность устройства — в ваших руках.

Подключаем МСЭ к АСУ ТП

Рассуждая об обеспечении кибербезопасности промышленного объекта, мы неизбежно касаемся темы АСУ ТП. АСУ ТП — это Автоматизированная Система управления Технологическим процессом. При помощи СОИБ мы будем зачищать именно эту систему. Классическая схема построения АСУ ТП содержит три уровня:

1. Нижний уровень (Полевой уровень / Field Level):

  • Компоненты: датчики (сенсоры), измерительные преобразователи, исполнительные механизмы (клапаны, двигатели, приводы).

  • Функции: непосредственное взаимодействие с технологическим процессом, сбор первичных данных, преобразование физических величин в сигналы, выполнение команд управления.

2. Средний уровень (Контроллерный уровень / Control Level):

  • Компоненты: программируемые логические контроллеры (ПЛК / PLC), модули ввода-вывода, промышленные сети.

  • Функции: обработка данных, полученных с нижнего уровня, реализация алгоритмов управления, выдача управляющих воздействий на исполнительные механизмы.

3. Верхний уровень (Уровень операторского управления / Supervisory Level):

  • Компоненты: человеко-машинный интерфейс (HMI), рабочие станции операторов (АРМ), серверы, системы SCADA.

  • Функции: визуализация технологического процесса, диспетчерское управление, архивирование данных, формирование отчётов, сигнализация аварийных ситуаций. 

АСУ ТП не любит простоев и сбоев в работе. Поэтому все ключевые узлы и элементы дублируются, резервируется и локальная сеть. Чувствительность АСУ ТП к перебоям в работе сети, высокая стоимость ошибок приводят к тому, что локальная сеть вместе со всем оборудованием может быть просто продублирована.

Пример. PRP (Parallel Redundancy Protocol — протокол параллельного резервирования) — это сетевой протокол (стандарт IEC 62439-3), обеспечивающий бесшовное резервирование Ethernet-сетей с нулевым временем восстановления. Он дублирует пакеты и передаёт их одновременно через две независимые сети (LAN A и LAN B).

В зависимости от построения резервирования сетей АСУ ТП появляются нюансы для внедрения МСЭ; МСЭ отделяют уровень Котроллеров (ПЛК) от верхнего уровня; SCADA и Уровень SCADA от Сети предприятия.

АСУ ТП консервативна, часто встречаются плоские сети, представляющее собой единый широковещательный домен. Внесение изменений в существующую схему включения крайне затруднительны, но возможны следующие варианты подключения МСЭ:

1. Мониторинг трафика – на межсетевой кран отправляется зеркалированный (mirroring, SPAN) трафик c порта коммутатора, в такой конфигурации осуществляется анализ трафика, например, системой обнаружения вторжений.

2. Мостовые схемы включения (L2). При использовании мостовой схемы включения возможна фильтрация трафика средствами межсетевого экрана без внесения изменений в существующую плоскую сеть широковещательного домена. Требуется решить проблему отказоустойчивости. Как я уже говорил, если в сети АСУ ТП используется полное резервирование второй локальной сети, можно поставить 2 МСЭ, по одному на каждую сеть и синхронизировать конфигурации между ними.

Так же возможно использование МСЭ, как прокси-сервера. Экзотическое решение, больше подходит для корпоративных, а не технологических сетей. 

На втором уровне можно использовать различные схемы резервирования, в том числе и STP, но требуется поддержка со стороны самого МСЭ. А это всё-таки L3 устройство, и подобное использование скорее компромисс, чем ультимативное решение.

Перейдём к использованию МСЭ на уровне L3. Прежде всего, межсетевой экран необходимо подключить к коммутатору. Мы используем схему двухканального шлюза, dual-homed, с подключением к стеку коммутаторов.

МСЭ может быть подключён как в отдельные access порты коммутатора, так и собрана схема router-on-stick «маршрутизатор на одной ножке» .В этом режиме через него уже будет маршрутизироваться трафик. Мы можем включить его в ядро сети, терминировав на нём VLAN). можем использовать как шлюз для передачи трафика из ядра сети, как нам подскажет фантазия, производственная необходимость и требования регулятора. Маршруты мы можем раздавать динамически, прописывать статически. Благо, что многие современные МСЭ имеют функционал маршрутизатора.

Снова приведу пример из собственной практики. Я приехал на объект, и уже на месте выяснилось, что для взаимодействия с сетью предприятия используется OSPF. Других деталей на тот момент не было. «Ну что же, сейчас настроим», — говорю я. Мне передают параметры: area 0, stub. И здесь выясняется, что версия ПО на МСЭ не умеет stub, OSPF – без проблем, stub нет. Пришлось согласовывать и перезаливать ПО на более свежую, но не факт, что более стабильную версию. Кое-как успел до конца командировки.

И, конечно же, нам надо резервировать наш МСЭ. Для резервирования используем что-то из семейства NHRP (Next Hop Resolution Protocols - протокол определения следующего перехода) , например, VRRP и синхронизацию конфигураций Как правило, используем режим кластера Active-Passive - активный-пассивный. В этом режиме трафик идёт через активную ноду, в случае необходимости переключается на резервную.

Мы настроили маршрутизацию, пустили трафик через МСЭ по правилу Any-Any, которое разрешает прохождение любого трафика (далее Any-Any). Все системы заработали, выключаем! Теперь настраиваем правила файрвола. Включаем логирование. Никаких широких правил, вида Источник — Назначение – все порты. И уж тем более Any-Any.

Хорошо, от нас данные вылетели, пока что между ПЛК и Scada. Так как файрволы контролируют состояния, то в рамках открытых сессий трафик возвращается обратно. Сессии мы также синхронизируем между МСЭ. Иначе неудобно выйдет, если при переключении связь оборвётся и придётся заново всё переподключать.

Я недавно с удивлением узнал, что сессии на файрволах создаются для протоколов UDP и ICMP на основе таймаутов, чтобы получать ответный трафик. Век живи, век учись.

Но если требуется доступ из защищаемого сегмента? А как быть, если необходимо предоставить доступ к ресурсу внутри АСУ ТП?

Никаких прямых взаимодействий с защищаемым сегментом быть не должно, только с использованием промежуточных серверов, расположенных в сегменте DMZ:

DMZ (Демилитаризованная зона) — это изолированный сегмент компьютерной сети, размещённый между локальной сетью (в нашем случае АСУ ТП) и внешней сетью (в нашем случае коммерческая сеть передачи данных, система MES). DMZ содержит общедоступные сервисы (в случае с АСУ ТП это, например, OPC DA шлюз.), обеспечивая доступ к ним снаружи, но при этом изолирует их от внутренних, чувствительных данных, защищая сеть от атак. Все взаимодействия системой АСУ ТП проводим через серверы DMZ, подключённые к МСЭ на границе АСУ ТП и КСПД. Желательно, чтобы это были отдельные МСЭ и другого производителя, отличного от установленного на границе SCADA – ПЛК. Правила взаимодействия между серверами DMZ и защищаемым сегментов и DMZ и внешней сетью также должны создаваться по принципу минимально необходимого.

Итак, правила настроили, DMZ создали, включаем систему обнаружения вторжений.

СОВ также желательно настроить точечно, только проверку необходимых сервисов на необходимых интерфейсах.

Многие МСЭ поддерживанию глубокую инспекцию промышленных протоколов, информируя о нежелательных действиях или блокируя их. Например, можно запретить команду остановки устройства, если команда поступает из внешней сети.

Как пройти приёмо-сдаточные испытания и не сойти с ума?

Не знаю, мне это ещё не удалось.

А если серьёзно, то ПСИ – это очень ответственное мероприятие, к котором необходимо подходить со всей ответственностью. Как правило, сдача происходит в присутствии комиссии, задаются вопросы, выходящие далеко за рамки программы методики испытаний. Однажды я сдавал МСЭ заказчику 4 часа. Бывает, что комиссия обнаруживает недоработки, которые не были предусмотрены в техническом задании. Если они возможны, то мы идём на встречу и стараемся их устранить. Если это технически невозможно, обязательно пишется запрос вендору и ждём, что будет устранено в следующем релизе.

Мои любимые моменты из ПСИ:

1. Блокировка учётной записи администратора по перебору пароля. Всё, успешно, заблокировалось. А теперь ждём 10 минут, пока блокировка слетит.

2. Отключение сессии по бездействию. Здесь мы просто сидим и ждём, пока отвалится сессия.

3. Люблю просканировать МСЭ nmap и показать сработки СОВ.

4. Ну и, конечно же, отказоустойчивость. Давайте выдернем все провода из ведущей ноды? А давайте. Работает, трафик идёт. Втыкаем обратно – трафик возвращается на ведущую ноду, всё хорошо. Супер, тогда дёргаем с неё питание…

Один раз нода не вернулась из ребута по питанию… И, слава богу, это были заводские испытания в большом транспортно-доступном городе, а не где-нибудь на объекте, куда доехать можно только на оленях, да и то после того, как снег ляжет. С той нодой всё хорошо, уехала по гарантии и вернулась.

Как бы то ни было, спасибо принимающим, они подсвечивают ошибки, которые были допущены по невнимательности. Не позволяют пропасть труду по обеспечению кибербезопасности из-за ошибок и опечаток.

Заключение

Я кратко рассказал о нашей практике в сфере обеспечения кибербезопасности промышленных систем. Безусловно, многое осталось за кадром. Каждая внедрённая система, каждый объект и каждый инцидент заслуживают отдельного разговора.

Главная мысль, которую мне хотелось донести: безопасность — это не разовая настройка и не «галочка» в отчёте. Это процесс, который требует внимания к деталям, здравого смысла и постоянного контроля. Даже самые современные средства защиты не работают сами по себе, они эффективны только при грамотной эксплуатации.

Надеюсь, мой опыт оказался для вас полезным и, возможно, позволит по-новому взглянуть на некоторые привычные вещи.