На проверке OT Security Fundamentals особенности защиты промышленных систем

Привет друг, kotu на связи, сегодня поднимем шумную тему, шумную из-за работы оборудования на предприятии, поговорим о промышленной безопасности, достаточно серьезная и важная тема и должна соблюдаться на уровне техники безопасности в предприятии. Давай немного углубимся в этот вопрос, что же такое этот ваш ОТ Security?
ОТ или же Operational Technology если говорить простыми словами это цифровая охрана предприятий, электростанций, водоканалов и тп.
Если IT безопасность нацелена на защиту информации (пароли, данные, файлы), то ОТ больше нацелена на защиту физических процессов - «железо»
В сравнении с IT атака зачастую имеет поправимый эффект (Если вирус заблокирует компьютер в офисе, пропадут данные или остановится переписка. Это плохо, но поправимо).
Если же в ОТ злоумышленник получит управления заводом, он может остановить конвейер, выключить свет в городе или устроить аварию на производстве. Это опасно для жизни персонала и экологии.

С самыми нашумевшими атаками можешь ознакомиться тут:​

stuxnet - атака на ядерную программу Ирана (2010)
Вредоносное ПО было создано для атаки на SCADA-системы и промышленное оборудование на ядерном объекте в Натанзе. Оно изменяло скорость вращения центрифуг, из-за чего оборудование выходило из строя, при этом показывая операторам ложные данные
TRITON / TRISIS - атака на систему безопасности промышленного завода (2017)
Вредоносное ПО было создано для взлома систем безопасности Triconex, которые предназначены для предотвращения аварий на промышленных объектах. Такие системы используются на нефтехимических и энергетических предприятиях
Colonial Pipeline - взлом крупнейшего топливного трубопровода США (2021)
Хакерская группа DarkSide провела ransomware-атаку на корпоративные системы компании. Оператор трубопровода остановил работу всей системы на несколько дней, чтобы предотвратить распространение атаки

Актуальность OT Security​

Если посмотреть на три выделенные мною атаки можно увидеть что данный тип атаки не терял актуальность, но почему я заговорил про нее сейчас? Почему тема OT Security стала особенно острой именно сейчас?

В последние годы тема безопасности промышленных систем стала особенно актуальной. Если раньше предприятия старались держать технологические сети изолированными, то сегодня многие из них постепенно интегрируются с корпоративными IT-системами, удалёнными сервисами и облачными платформами. Это упрощает управление производством, позволяет быстрее анализировать данные и оптимизировать процессы, но одновременно увеличивает поверхность атаки. То, что раньше находилось внутри закрытого контура, теперь всё чаще оказывается доступным через сеть.
Рост цифровизации промышленности привёл к тому, что злоумышленники начали активнее рассматривать предприятия как цель для атак. Особенно это касается объектов критической информационной инфраструктуры (КИИ): энергетики, нефтегазовой отрасли, транспорта, водоснабжения, химической промышленности и других сфер, от которых напрямую зависит функционирование государства и общества. Любой сбой в работе таких систем может привести не только к финансовым потерям, но и к серьёзным социальным последствиям - отключению электроэнергии, остановке производственных линий или нарушению работы городских систем.
Дополнительный фактор риска заключается в том, что многие промышленные системы создавались десятки лет назад. Их архитектура изначально не предполагала работу в условиях современных киберугроз. Оборудование и программное обеспечение в таких средах может эксплуатироваться по 15–20 лет, а иногда и дольше. За это время меняются технологии, появляются новые методы атак, но сами системы управления остаются практически неизменными. В результате возникает ситуация, когда критически важные процессы управляются технологиями, разработанными в эпоху, когда кибербезопасность ещё не считалась приоритетом.
По мере роста числа инцидентов внимание к защите промышленных систем усиливается как со стороны компаний, так и со стороны государства. Во многих странах появляются отдельные программы защиты критической инфраструктуры, создаются специализированные центры мониторинга угроз и разрабатываются новые нормативные требования. Компании всё чаще начинают внедрять системы мониторинга промышленного трафика, сегментировать сети и пересматривать подходы к удалённому доступу к технологическому оборудованию.
Особенно заметной эта тенденция стала в последние годы. Кибератаки всё чаще направлены не только на кражу данных, но и на нарушение работы инфраструктуры. Злоумышленники понимают, что воздействие на промышленный процесс может принести гораздо больший эффект, чем обычная утечка информации. Остановка производства, перебои в поставках топлива или отключение электроэнергии способны вызвать серьёзные экономические последствия и привлечь большое внимание общественности.
При этом интерес к таким атакам проявляют не только киберпреступники, но и государственные структуры. А разведка и военные видят в этом отличный способ деструктурировать строй и безопасность изнутри: вместо прямого военного воздействия можно нарушить работу энергосистем, транспорта или промышленности противника. В таком сценарии кибератака становится инструментом давления и элементом гибридной войны, позволяющим ослабить инфраструктуру государства без применения традиционных вооружений.
Именно поэтому с 2025 года тема OT Security рассматривается как одно из ключевых направлений развития кибербезопасности. Компании начинают осознавать, что защита только офисной IT-инфраструктуры уже недостаточна. Необходимо обеспечивать безопасность всей технологической цепочки - от датчиков и контроллеров на производстве до систем управления и аналитических платформ. В противном случае даже хорошо защищённая корпоративная сеть не сможет предотвратить инциденты, связанные с вмешательством в технологический процесс.
Таким образом, рост числа атак на критическую инфраструктуру и ускоренная цифровизация промышленности делают OT Security одной из наиболее важных задач современной кибербезопасности. Защита промышленных систем сегодня становится не просто технической задачей специалистов, а важным элементом устойчивости предприятий и целых отраслей экономики.

Архитектура Purdue Model​

Теперь, когда мы поняли, почему OT Security так важна, давай разберемся, как устроены промышленные сети изнутри. Здесь нет хаоса офисных LAN-сетей с Wi-Fi роутерами на каждом этаже и сотнями подключенных смартфонов сотрудников. Промышленная сеть - это строго иерархическая структура, где каждый уровень имеет свое четкое назначение и границы ответственности.
Purdue Model - это не просто красивая схема из учебника. Это промышленный стандарт, разработанный еще в 1990-х годах в Purdue University для описания архитектуры систем управления производством. Сегодня эта модель стала основой для понимания безопасности ICS (Industrial Control Systems) и используется специалистами по всему миру как отправная точка для проектирования защищенных промышленных сетей.
Интересно, что изначально Purdue Model создавалась не для безопасности, а для стандартизации взаимодействия между различными системами на производстве. Но со временем, когда киберугрозы стали реальностью для промышленности, эта модель превратилась в основу для построения defense in depth - многоуровневой защиты. Сейчас Purdue Model используется в стандартах IEC 62443, NIST SP 800-82 и многих других документах по промышленной безопасности.
Модель определяет пять основных уровней, каждый из которых имеет свои особенности с точки зрения безопасности. Понимание этих уровней критично для проектирования защищенной архитектуры. Давай разберем каждый уровень подробно.

Level 0-1: Physical process и Basic control​

Начнем с самого низа производства

Level 0 (Physical Process) - это физический процесс. Датчики температуры, давления, расхода, уровня жидкости. Электродвигатели, клапаны, насосы, конвейеры, роботы-манипуляторы. Все то, что непосредственно взаимодействует с материальным миром и превращает сырье в продукт
Представь нефтеперерабатывающий завод. На Level 0 находятся датчики температуры в реакторах, датчики давления в трубопроводах, клапаны регулировки подачи сырья, насосы перекачки, системы аварийного отключения. Эти устройства работают в жестких условиях - высокие температуры, давление, агрессивные среды. Их срок службы исчисляется годами, а иногда десятилетиями. Их замена - это сложный и дорогой процесс, требующий остановки производства

Level 1 (Basic Control) - здесь живут PLC (Programmable Logic Controllers) и RTU (Remote Terminal Units). Мозги нижнего уровня. PLC получают данные с датчиков, принимают решения на основе запрограммированной логики и управляют исполнительными механизмами. Цикл работы PLC измеряется миллисекундами - реагируют мгновенно, иначе процесс может выйти из-под контроля
PLC - это специализированные компьютеры, разработанные для работы в промышленных условиях. Они отличаются от обычных компьютеров повышенной надежностью, возможностью работы в широком диапазоне температур, защитой от вибраций и электромагнитных помех. Но вот что касается безопасности - здесь все печально. Большинство PLC не имеют встроенной аутентификации, шифрования или других механизмов защиты
С точки зрения безопасности важно понимать следующее: на этих уровнях у нас минимум вычислительных ресурсов, устаревшее оборудование, которое работает десятилетиями, и практически отсутствие встроенных механизмов защиты. PLC 1990-х годов не знают, что такое аутентификация и шифрование. Они доверяют всему, что приходит по сети, и исполняют любые команды от любого источника. Это как оставить ключи от квартиры под ковриком - кто угодно может воспользоваться.

Security controls на этих уровнях весьма ограничены, но они есть и их нужно применять:

1. Физическая защита - доступ только авторизованному персоналу, камеры видеонаблюдения, замки на шкафах с оборудованием, охрана критичных зон
2. Air gap (где возможно) - физическое отделение от внешних сетей, отсутствие подключения к корпоративной сети или интернету
3. Read-only мониторинг - пассивное сканирование трафика без вмешательства в процесс, использование зеркалирования портов коммутаторов
4. Asset inventory - точный учет всего оборудования, его конфигураций и версий прошивок
5. Change management - контроль всех изменений в конфигурациях, запрет несанкционированных модификаций

Level 2-3: Area supervisory и Site operations​

Поднимаемся выше

Level 2 (Area Supervisory) - уровень контроля и мониторинга. Здесь работают SCADA-системы (Supervisory Control And Data Acquisition), HMI-панели (Human-Machine Interface), инженерные станции для программирования PLC. Операторы смотрят на экраны, видят текущее состояние процесса в реальном времени, могут вмешиваться при необходимости.
SCADA - сердце операторского управления. Она собирает данные со всех контроллеров, отображает их в виде мнемосхем - графических представлений технологического процесса. Оператор видит, что происходит на производстве, не выходя из комнаты. Он может открывать и закрывать клапаны, запускать и останавливать насосы, менять уставки регуляторов - все это через интерфейс SCADA.

Level 3 (Site Operations) - производственный уровень управления. MES-системы (Manufacturing Execution Systems), историки данных для долгосрочного хранения информации о процессе, системы планирования производства. Здесь решаются вопросы: сколько произвести, когда запустить очередную партию, как оптимизировать расход сырья, как распределить заказы между линиями.
MES - это мост между производством и бизнесом. Она знает, сколько продукции нужно выпустить сегодня, отслеживает выполнение плана, собирает данные о качестве, управляет заданиями для операторов. Без MES производство было бы хаосом - никто не знал бы, что делать и в каком порядке.

На этих уровнях уже есть больше возможностей для защиты, чем на нижних:

1. Сегментация сети - разделение на VLAN, использование промышленных файрволов для изоляции зон
2. Аутентификация пользователей - контроль того, кто и куда имеет доступ, разграничение прав по ролям
3. Логирование действий - запись того, кто и когда нажал какую кнопку, для расследования инцидентов
4. Антивирусная защита - только сертифицированные для ICS решения, которые не мешают реальному времени
5. Application whitelisting - разрешение запуска только известных программ, блокировка всего остального

Важный нюанс: антивирусы на ICS-системах - отдельная головная боль. Они могут создавать задержки в работе системы, мешать реальному времени, иногда даже ломать работу специфического ПО. Представь: антивирус решил проверить файл, и на эти 200 миллисекунд операторская команда задержалась. В обычном офисе это ничего, а на производстве - авария. Поэтому здесь нужны специализированные решения, разработанные именно для промышленных сред.

Level ~3.5: многоуважаемая DMZ (Demilitarized Zone)​

Ключевой элемент безопасности любой современной промышленной сети. DMZ в OT - это не то же самое, что DMZ в IT, хотя концепция схожа.
Purdue Model изначально не включала Level 3.5 - его добавили позже, когда стало понятно, что прямое соединение между IT и OT слишком рискованно. DMZ - это буферная зона, нейтральная территория между производством и корпоративной сетью, которая позволяет контролировать и фильтровать весь трафик между этими мирами.

Что размещаем в DMZ:

1. Jump servers - промежуточные серверы для удаленного доступа, через которые инженеры попадают в OT-сеть
2. Data diodes - однонаправленные шлюзы для передачи данных только в одну сторону
3. Historian mirrors - копии исторических данных для анализа в IT-сети без доступа к реальным системам
4. Patch management servers - серверы обновлений, изолированные от интернета, но имеющие доступ к OT
5. Antivirus update servers - серверы обновлений антивирусов для OT-систем

Принцип работы DMZ прост: никаких прямых соединений между Level 3 и Level 4. Все коммуникации проходят через контролируемые точки в DMZ. Это как таможня между двумя странами - каждый пакет проверяется, каждое соединение контролируется.

Level 4-5: Enterprise​

Наконец, верхние уровни - здесь все уже привычно для IT, и именно отсюда чаще всего приходят угрозы.

Level 4 (Business Logistics) - корпоративная сеть. ERP-системы для управления ресурсами предприятия, корпоративная почта, офисные приложения, файловые серверы, системы документооборота. Все то, с чем сталкивается обычный офисный работник каждый день.
ERP - это нервная система бизнеса. Она знает о заказах клиентов, поставщиках, финансах, персонале. ERP интегрируется с MES на производстве, чтобы получать данные о выполнении плана и передавать новые заказы. Именно через эту интеграцию часто происходит проникновение из IT в OT.

Level 5 (Internet/Cloud) - внешний мир. Интернет, облачные сервисы, удаленные офисы, мобильные пользователи, партнерские сети. Все, что находится за пределами периметра организации.
С точки зрения OT Security эти уровни представляют наибольшую угрозу - именно отсюда чаще всего приходят атаки. Фишинговые письма, зараженные USB-флешки, скомпрометированные учетные записи, уязвимости в веб-приложениях - все это двери для злоумышленника.

OT-протоколы​

Теперь давай разберемся, на каком языке разговаривают промышленные устройства. Предупреждаю сразу: это будет болезненно для человека, привыкшего к HTTPS, TLS и современным стандартам безопасности.
Промышленные протоколы создавались в эпоху, когда о кибербезопасности никто не задумывался. Главным было - скорость, надежность передачи данных в реальном времени и простота реализации. В результате мы имеем протоколы, которые прекрасно работают для управления производством, но представляют собой кошмар с точки зрения защиты.

Modbus TCP/RTU: механика и уязвимости​

Modbus - отец, скорее даже дед всех промышленных протоколов. Разработан в 1979 году компанией Modicon (сейчас Schneider Electric) для связи с PLC собственного производства. И до сих пор - один из самых распространенных протоколов в мире автоматизации.

Механика Modbus проста до безобразия. Есть два основных режима передачи данных:

• Modbus RTU - работает по последовательным линиям связи (RS-232/RS-485), использует бинарный формат данных
• Modbus TCP - работает по Ethernet, оборачивает RTU-фреймы в TCP-пакеты для передачи по IP-сетям

Структура запроса Modbus настолько проста, что ее можно объяснить на пальцах: адрес устройства (1 байт), код функции (1 байт), данные запроса, CRC-контрольная сумма для проверки целостности. Всё. Никакой тебе аутентификации, никакого шифрования, никаких сессий между клиентом и сервером.

Коды функций Modbus - это команды, которые понимает устройство. Вот основные из них:
01 - чтение coils (дискретные выходы, реле)
02 - чтение discrete inputs (дискретные входы, сигналы от датчиков)
03 - чтение holding registers (регистры хранения, уставки и параметры)
04 - чтение input registers (входные регистры, текущие значения)
05 - запись single coil (включить/выключить одно реле)
06 - запись single register (изменить одну уставку)
15/16 - массовая запись coils/registers (изменить много значений сразу)

Уязвимости Modbus очевидны и критичны:

1. Отсутствие аутентификации - любой, кто может отправить пакет в сеть, может управлять устройством
2. Отсутствие шифрования - все данные передаются открытым текстом, любой сниффер видит всё
3. Отсутствие контроля целостности на уровне приложения - CRC легко пересчитать при модификации пакета
4. Отсутствие защиты от повторов - можно перехватить легитимную команду и воспроизвести ее позже
5. Отсутствие авторизации - нет разграничения прав (всем и всё), все могут делать всё

Что это значит на практике? Если злоумышленник получил доступ к сети Modbus, он может отправить команду на отключение насоса, открытие клапана, изменение уставки температуры - и устройство выполнит, не задавая вопросов. Никаких паролей, никаких проверок, никакой защиты.

Как защищать Modbus:

1. Сегментация - изоляция Modbus-сетей от корпоративной сети, использование VLAN
2. Deep Packet Inspection - анализ Modbus-трафика на промышленных файрволах для выявления аномалий
3. Whitelisting - разрешение только известных функций и адресов, блокировка всего остального
4. Modbus Security (TLS) - современное расширение с шифрованием, но поддерживается не всеми устройствами
5. Пассивный мониторинг - обнаружение подозрительной активности в сети

OPC UA современный подход​

OPC UA (Unified Architecture) - попытка привнести современные стандарты безопасности в промышленность. Разработан OPC Foundation, первая версия вышла в 2008 году как замена устаревшим OPC Classic.

OPC UA решает многие проблемы legacy-протоколов. Вот что он предоставляет:

1. Аутентификация - сертификаты X.509, аутентификация по username/password, анонимный доступ (не рекомендуется)
2. Авторизация - гранулярный контроль доступа к данным на уровне отдельных тегов
3. Шифрование - TLS для транспорта, защита данных в пути
4. Целостность - подпись сообщений, защита от модификации
5. Аудит - логирование всех операций, кто и когда получил доступ к каким данным

Архитектура OPC UA клиент-серверная. Клиент подключается к серверу, проходит аутентификацию, получает сессию, подписывается на данные (monitored items) или читает/пишет по запросу. Сервер предоставляет информацию в виде иерархической модели объектов - очень похоже на файловую систему.
Важная фича OPC UA - информационная модель. OPC UA определяет стандартизированные объекты и типы данных для разных отраслей: Companion Specifications для робототехники, энергетики, упаковки, нефтехимии и многих других. Это позволяет устройствам разных вендоров понимать друг друга без дополнительной настройки.
Но есть и проблемы. OPC UA сложнее в настройке, требует больше вычислительных ресурсов, не все legacy-устройства его поддерживают. И главное - многие внедрения OPC UA делают с отключенной безопасностью ради простоты конфигурации. Администраторы выбирают анонимный доступ вместо сертификатов, отключают шифрование из-за накладных расходов. Так что наличие OPC UA еще не гарантирует защищенность - все зависит от правильной настройки.

DNP3 и Profinet​

DNP3 (Distributed Network Protocol 3) - основной протокол в энергетике, особенно в Северной Америке и Австралии. Разработан для связи между SCADA-мастерами и RTU в электросетях, подстанциях, системах учета электроэнергии.
DNP3 изначально тоже не имел встроенной безопасности, но в версии DNP3-SA (Secure Authentication) добавили механизмы аутентификации на основе pre-shared keys и HMAC. Это уже лучше, чем ничего, но все еще далеко от идеала - ключи долго живут, нет шифрования трафика, только аутентификация команд.
Profinet - промышленный Ethernet-протокол, разработанный Siemens и PROFIBUS International. Широко используется в автоматизации производства, особенно в Европе и на заводах с оборудованием Siemens.

Profinet имеет три класса соответствия:

1. CC-A (Conformance Class A) - стандартный Ethernet, не детерминированный, подходит для мониторинга
2. CC-B - soft real-time, подходит для большинства задач управления с циклами 10-100
3. CC-C (IRT - Isochronous Real-Time) - жесткое реальное время, циклы до 31.25 мкс, для высокоточного позиционирования

Безопасность Profinet основана на сегментации сети и использовании VLAN для изоляции трафика. Есть расширение PROFIsafe для функциональной безопасности (до SIL 3), но это про защиту персонала от физической опасности, не про кибербезопасность.
Общий вывод по OT-протоколам: большинство из них создавалось в эпоху, когда безопасность не была приоритетом. Наследие этого - миллионы уязвимых устройств, которые нельзя просто заменить, потому что они работают, их замена стоит миллионы долларов, а остановка производства недопустима. Защита таких систем требует комплексного подхода: сегментация, мониторинг, контроль доступа на сетевом уровне - все то, что можно сделать без изменения самих устройств.

Threat Landscape​

Стоит затронуть тему - кто и как атакует промышленные системы
Атаки на промышленные системы отличаются от атак на офисные сети. Здесь цель не всегда - украсть данные или требовать выкуп. Часто цель - нарушить работу инфраструктуры, вызвать отключение электроэнергии, остановить производство, создать аварийную ситуацию. Это гораздо более серьезные последствия, чем утечка конфиденциальной информации.

APT-группы: Sandworm, Triton​

Sandworm (также известная как Electrum, Voodoo Bear, Iron Viking, Quedagh, APT44) - российская APT-группа, (если верить АНБ) аффилированная с военной разведкой ГРУ. Их самая известная атака - NotPetya 2017 года, который нанес ущерб на десятки миллиардов долларов, но они также активно работали против энергетических систем разных стран.
В 2016 году Sandworm атаковали энергосистему Украины с помощью вредоноса Industroyer (также известного как CrashOverride). Это был первый известный вредонос, специально разработанный для отключения электросетей. Он умел общаться с протоколами IEC 101/104, IEC 61850, OPC DA - стандартами энергетической отрасли. Злоумышленники могли напрямую управлять оборудованием подстанций.

Triton (также TRISIS, TEMP.Veles, Xenotime) - еще одна APT-группа, их цель - системы безопасности (SIS - Safety Instrumented Systems), которые должны останавливать производство при опасных условиях.
В 2017 году Triton атаковали нефтехимический завод на Ближнем Востоке (предположительно в Саудовской Аравии). Вредонос был нацелен на контроллеры Triconex - системы аварийной защиты, которые должны останавливать производство при опасных условиях. Представь: злоумышленник может отключить системы безопасности и затем спровоцировать аварию. Это уже не просто киберпреступление, это потенциальный теракт с человеческими жертвами.
Triton пытался изменить логику работы SIS, но допустил ошибку, из-за которой контроллер перешел в safe mode и остановил производство. Это спасло завод от катастрофы, но показало: атаки на системы безопасности реальны, и злоумышленники готовы идти на такие риски.

Типичные векторы атак​

1. Фишинг - классика жанра. Письмо с вредоносным вложением на почту инженера. Он открывает - и в системе закладка.
2. Supply chain - атака через поставщика. Вредоносное ПО в обновлении от доверенного вендора, как это было с SolarWinds.
3. USB/Removable media - Отрывок из сериала Мистер Робот воплощенный в реальность, зараженная флешка, принесенная снаружи или подключенная для обновления ПО на PLC.
4. Remote access - скомпрометированные учетки VPN, TeamViewer, систем удаленного доступа к оборудованию.
5. Internet-facing systems - системы, случайно или намеренно выставленные в интернет без должной защиты.
6. Insider threat - умышленные или неумышленные действия сотрудников, подкуп, шантаж.
7. Third-party access - доступ подрядчиков, интеграторов, которые имеют легитимный доступ к системам.

С моей стороны будет важно отметить что существуют поисковики вроде Shodan и Censys, которые сканируют интернет и индексируют все, что отвечает на запросы. И там до сих пор можно найти тысячи PLC, HMI, SCADA-систем, доступных из интернета без пароля или со стандартными учетками admin/admin, operator/operator. Это как оставить ключи от завода на видном месте.

MITRE ICS ATT&CK​

Структура MITRE ICS ATT&CK включает следующие тактики:

1. Initial Access - как проникли в систему, первоначальный доступ
2. Execution - запуск вредоносного кода на целевой системе
3. Persistence - закрепление в системе для долгосрочного присутствия
4. Evasion - уклонение от обнаружения, маскировка активности
5. Discovery - разведка инфраструктуры, сбор информации о системе
6. Lateral Movement - распространение в сети, переход от системы к системе
7. Collection - сбор данных, интересующих злоумышленника
8. Command and Control - связь с управляющим сервером, получение команд
9. Inhibit Response Function - блокировка защитных функций, отключение мониторинга
10. Impair Process Control - нарушение управления процессом, изменение логики работы
11. Impact - достижение цели атаки, нанесение ущерба

Российский контекст​

В России тема защиты КИИ регулируется на государственном уровне. Это не просто рекомендации, а обязательные требования, за несоблюдение которых можно получить серьезные штрафы. Давай разберем основные нормативные акты.

187-ФЗ и категорирование КИИ​

Федеральный закон № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" вступил в силу в 2018 году и стал основным регулятором в этой области. Это наш аналог NIST Cybersecurity Framework, только с административной ответственностью.

Ключевые положения закона:

• Определение КИИ - объекты, критичные для обеспечения безопасности страны, функционирования экономики и социальной сферы
• Субъекты КИИ - владельцы таких объектов обязаны обеспечивать их защиту в соответствии с требованиями
• Категорирование - разделение объектов на категории значимости в зависимости от потенциального ущерба
• Инциденты - обязанность регистрировать и расследовать инциденты ИБ, уведомлять НКЦКИ (Национальный координационный центр по компьютерным инцидентам)
• Лицензирование - требования к лицензированию деятельности по защите КИИ

Категорирование объектов КИИ, ключевой момент:

• Значительная (3-я) категория - локальное влияние, не затрагивающее другие регионы, ущерб до 3 млрд руб.
• Высокая (2-я) категория - межрегиональное влияние, ущерб от 3 до 30 млрд руб.
• Критическая (1-я) категория - международное влияние или угроза жизни населения, ущерб более 30 млрд руб.

От категории зависят требования к защите. Для объектов 1-й категории требования максимальные: непрерывный мониторинг безопасности, использование только сертифицированных ФСТЭК средств защиты, регулярные аудиты, обязательное резервирование критичных систем.

ФСТЭК: требования и контроль​

Ключевые документы ФСТЭК для OT Security:

• Приказ № 235 - требования к защите КИИ (заменил старые приказы 17, 18, 19, 20, 21)
• Приказ № 66 - требования к безопасности значимых объектов КИИ
• Приказ № 76 - требования по импортозамещению в сфере ИБ, использование российского ПО
• Приказ № 17 - требования к защите информации в АСУ ТП

ФСТЭК ведет реестр сертифицированных средств защиты информации. Для объектов КИИ требуется использовать только сертифицированные ФСТЭК продукты. Это ограничивает выбор - многие зарубежные решения не имеют сертификатов, но гарантирует определенный уровень качества и соответствия российским стандартам.
Важный момент: ФСТЭК активно развивает направление защиты АСУ ТП. Есть специализированные требования, учитывающие специфику промышленных систем: необходимость работы в реальном времени, длительные сроки эксплуатации оборудования, критичность непрерывности процесса.

Как защищать промышленные системы​

Сегментация - это фундамент OT Security. Идея простая: разделить сеть на зоны и контролировать все соединения между ними. Зоны безопасности включают Safety Zone с системами безопасности SIS, Control Zone с контроллерами и SCADA, Operations Zone с MES и операционными системами, DMZ как буфер между IT и OT, и Enterprise Zone с корпоративной сетью
Принципы сегментации простые - никаких прямых соединений между IT и OT, весь трафик через DMZ, файрвол между зонами с правилом "запретить всё, разрешить конкретное", однонаправленная связь где возможно через data diodes.
Традиционные IT-инструменты часто не подходят для OT из-за невозможности установки агентов, опасности активного сканирования и нестандартных протоколов. Специализированные решения включают Claroty - лидер рынка с глубоким анализом OT-протоколов, Nozomi Networks с AI-powered обнаружением аномалий, Dragos со специализацией на ICS threat intelligence, и Kaspersky KICS как российское решение для защиты АСУ ТП
Пассивный мониторинг работает через зеркалирование портов на коммутаторах, анализ трафика без вмешательства, baseline нормального поведения и обнаружение аномалий.
В OT backup - это не только данные, но и конфигурации контроллеров, программы PLC, проекты SCADA и образы инженерных станций. Нужно регулярное резервное копирование конфигураций, хранение копий офлайн, тестирование восстановления и документацию всех процедур

Как зайти в OT Security и что для этого нужно​

Карьера в OT Security​

Если ты дочитал до этого места, возможно, тебя заинтересовала тема OT Security как направление для развития. Отличный выбор - специалистов в этой области жесть как мало, а спрос только растет.
OT Security - это пересечение двух миров: информационной безопасности и промышленной автоматизации. Здесь нужно понимать и то, и другое. IT-шник без понимания промышленности будет бесполезен, а автоматчик без знаний безопасности - опасен.
Большинство OT Security специалистов приходят из IT. Это логично - сначала изучаешь безопасность, потом добавляешь знания о промышленности.

Что нужно знать OT Security специалисту​

• Сети и протоколы - TCP/IP, Ethernet, промышленные протоколы (Modbus, DNP3, OPC UA, Profinet, EtherNet/IP)
• ICS/SCADA архитектура - как устроены системы управления, как они взаимодействуют друг с другом
• Промышленное оборудование - PLC, RTU, DCS, HMI, их особенности и уязвимости
• Безопасность - основы криптографии, аутентификации, авторизации, сегментации
• Регуляторика - требования к защите КИИ, стандарты (IEC 62443, NIST SP 800-82, 187-ФЗ)
• Risk assessment - оценка рисков, приоритизация мер защиты

Сертификации для OT Security:

• GICSP (Global Industrial Cyber Security Professional) - золотой стандарт от (ISC)2, покрывает все аспекты OT Security
• GRID (GIAC Response and Industrial Defense) - практический сертификат от SANS, фокус на реагировании
• CSSA (Certified SCADA Security Architect) - фокус на SCADA-системах
• CEH (Certified Ethical Hacker) - базовый пентест, полезен для понимания атак
• CISSP - общий сертификат по ИБ, хорош для понимания большой картины

GICSP - самый универсальный и признаваемый в OT Security. Он покрывает все аспекты: технологии, процессы, регуляторику, управление рисками. Для сдачи нужен опыт работы в сфере ИБ или ICS, плюс серьезная подготовка по теории.

Roadmap​

Шаг 1: Основы. Начни с понимания базовых концепций OT. Прочитай NIST SP 800-82 - бесплатно доступен, дает отличный обзор. Посмотри, как работают PLC - есть эмуляторы и бесплатные курсы от вендоров. Пойми разницу между IT и OT, почему здесь другие приоритеты.
Шаг 2: Практика. Настройка сетей: компьютер с SCADA, PLC (или эмулятор), связь по Modbus. Пойми, как передаются команды, как выглядит трафик в Wireshark. Попробуй отправить команду на включение реле, посмотри, как это работает изнутри.
Шаг 3: Углубление. Изучи Purdue Model, ISA/IEC 62443, MITRE ICS ATT&CK. Пойми, как проектируются защищенные OT-сети, какие контроли применяются, как проводить security assessment.
Шаг 4: Специализация. Выбери направление: security operations (мониторинг, SOC), инженерия (проектирование защиты), пентест (тестирование на проникновение), compliance (соответствие требованиям), incident response (реагирование на инциденты).
Шаг 5: Сертификация. Получи GICSP или другую релевантную сертификацию. Это подтвердит твою компетентность и откроет двери в серьезные проекты. Без сертификата тебя могут даже не допустить к тендерам на объектах КИИ.

Важное отличие OT Security от многих других направлений ИБ: здесь критичен баланс между безопасностью и доступностью. Ты не можешь просто "закрыть все файрволом" - производство должно работать, и остановка может стоить миллионов. Поэтому OT Security специалист должен понимать не только безопасность, но и технологические процессы.
Еще один важный момент - OT Security требует терпения. Здесь нельзя быстро накатить патч и перезагрузить. Обновление может потребовать остановки производства на несколько дней, согласования с десятком людей, тестирования на стенде. Ты должен уметь работать в этих условиях и находить компромиссы.

Вместо заключения​

OT Security - сложная и одновременно интересная область. Здесь ты защищаешь не просто данные, а реальные системы, от которых зависит жизнь общества. Электричество в розетках, вода из крана, бензин на заправках - всё это работает благодаря промышленным системам управления.
Да, вход в эту сферу сложнее, чем в классическую IT Security. Нужно понимать и IT, и инженерию, и технологические процессы. Но именно поэтому здесь меньше конкуренции, а спрос превышает предложение в разы.
Если решишься на этот путь - начни с изучения Purdue Model, поэкспериментируй с PLC в домашней лаборатории, пройди курс SANS ICS410. И помни - в OT Security главное не знание всех уязвимостей, а понимание того, как защитить производство, не останавливая его.


Ведь доступность превыше всего, правда?)