Вчера, 2 декабря, вышла статистика, которую в курилках обсуждают с утра. Промышленность стала самой атакуемой отраслью в России — 32% всех инцидентов за год пришлись на заводы и ТЭК, потеснив банки и госсектор. https://www.audit-it.ru/news/soft/1126341.html
Пока теоретики на конференциях рассказывали про «бесшовные цифровые экосистемы», реальность ударила гаечным ключом по голове. Bi.Zone насчитали 63 хакерские группировки, которые прямо сейчас ломают периметр отечественных предприятий. https://www.ridus.ru/bi-zone--63-hakerskih-gruppy-atakovali-promyshlennye-kompanii-rossii-740348.html
И знаете, почему это происходит? Потому что мы строим «картонные крепости».
Почему «теоретическая» безопасность не работает в цеху
Типичная картина, которую я вижу на аудитах: в офисе стоит красивая DLP-система и антивирус за миллионы, а в цеху — Windows 7 (или XP!) на SCADA-серверах, которые не обновлялись с 2015 года, «чтобы ничего не сломать».
Теоретики рисуют схемы, где АСУ ТП изолирована «воздушным зазором». Практики знают:
1. Наладчик Вася втыкает личную флешку с обновлением драйвера (и трояном) прямо в порт контроллера.
2. Подрядчик кидает временный кабель в обход фаервола, «потому что так быстрее настроить», и забывает его убрать.
3. IoT-датчики, купленные на Алиэкспрессе, «дудосят» собственную сеть предприятия, потому что у них заводской пароль admin/admin.
В итоге, когда прилетает шифровальщик, встает не бухгалтерия, а отгрузка готовой продукции. В одном из недавних кейсов холдинг остановил производство, потому что новая ERP-система «не увидела» специфику реальной логистики, а складские терминалы просто «отвалились» от перегрузки. Результат — простой, убытки, срыв гособоронзаказа.
Как строить, чтобы не падало: подход «параноика»
Мы в Финкомтех исходим из того, что сеть уже скомпрометирована, а каналы связи упадут в любой момент. Это не пессимизм, это база.
Вот что отличает живучую систему от красивой презентации:
1. Linux и никакой проприетарщины в ядре
Если ваша SCADA до сих пор жестко привязана к Windows — вы сидите на пороховой бочке. Мы перевели Fincomtech SCADA и HMI на нативный Linux и веб-технологии (HTML5). Это не только про импортозамещение, это про то, что вирусы под Win32/64 идут лесом. Плюс, мы не зависим от обновлений, которые могут «окирпичить» систему по команде из-за бугра.
2. Edge Computing: мозги должны быть на местах
Централизация — зло. Если сервер в центре упал (или канал перерезали экскаватором), цех должен работать дальше. В Finkomtech Edge мы переносим логику на контроллеры и граничные шлюзы. Данные обрабатываются там же, где рождаются. В облако летит только сухая выжимка по протоколу MQTT, а не сырой поток, забивающий канал. Связь пропала? Шлюз накопит буфер и отдаст, когда связь вернется. Никаких дыр в архивах.
3. Реальный мониторинг «железа»
Нельзя управлять тем, что не видишь. Наш Network Manager следит не только за тем, «пинг есть или нет». Он смотрит температуру в шкафах, нагрузку на CPU контроллеров и версии прошивок. Мы видим, когда шкаф начинает греться, за два дня до того, как он сгорит и остановит линию.
Резюме
Эпоха «бумажной безопасности» и «презентационных внедрений» закончилась вчера. Теперь либо у вас система, которая держит удар и работает на грязном, нестабильном канале, либо вы — следующая строчка в отчете об инцидентах.
Перестаньте верить в магию «коробочных решений». Стройте бункеры, а не воздушные замки.
Нужна консультация по реальному импортозамещению без маркетинговой шелухи?
Заходите, обсудим вашу архитектуру: https://fincom.tech
Видео с разборами реальных кейсов на нашем канале: https://rutube.ru/channel/32683271/