Всем привет. Сегодня поговорим про доверие в ИБ. Но не про сертификаты и «мировых лидеров», а про физику, математику и алгоритмы. Разберём, почему квантовый ПАК надёжнее межсетевого экрана, как оценить реальную защищённость и можно ли управлять «поверхностью атаки» как выключателем света.
На рынке ИБ для технологических объектов (АСУ ТП, промышленность) сейчас модно создавать «вербально-визуальные конструкции» — красивые слайды, умные слова, обещания доверия. Но доверие бывает разное:
Доверие к вендору — как к компании с процессами и поддержкой.
Доверие к технологии — к тому, как физика, математика и алгоритмы реально защищают данные.
Сосредоточимся на втором. Потому что именно там скрыта настоящая магия (и проблемы).
1. Откуда берётся доверие к технике? Два примера
Самолёт. Почему мы не боимся, что он развалится?
Расчёты прочности.
Натурные испытания (крыло гнут, пока не сломается).
Периодические проверки.
Автомат защиты в щитке. Почему он не подожжёт проводку?
Конструкция и расчёты.
Заводские тесты.
Обслуживание.
Общая схема: научное обоснование → натурные испытания → диагностика.
А теперь — честно: есть ли у нас «натурные испытания» для алгоритмов МЭ или VPN? Нет. Мы просто верим, что математика работает, а реализация без ошибок.
2. Классы ИБ-решений: физика, математика, алгоритмы
Ограничимся аппаратными и программно-аппаратными комплексами (без участия человека-аналитика). Типичные продукты:
Межсетевые экраны (МЭ)
ПАК VPN
ПАК ИБ на квантовых принципах
Датадиоды (инфодиоды)
Размыкатели Ethernet на физическом уровне L1
Для их работы используются три базовых механизма:
Механизм | Степень доверия | Почему |
|---|---|---|
Физические принципы | Высокая | Без прямого доступа к железу — никак. |
Математическая теория | Средняя | Стойкость доказана, но реализация… |
Алгоритмы | Низкая | Всегда есть риск ошибки, закладки, неверифицируемой сложности. |
Да, можно возразить: «Современные системы релейной защиты в энергетике — сплошные алгоритмы, но они же работают!» Работают, потому что их прогоняют на физических симуляторах с реальными токами и напряжениями. В ИБ алгоритмическую часть так не проверить. Никто не подаст на вход МЭ или VPN-шлюза все возможные пакеты аномалий. Это данность.
3. Оценка доверия: попробуем посчитать в баллах
Возьмём веса (качественно, не претендуя на абсолютную истину):
Физика → +3
Математика → +1
Алгоритмы → -3
Посчитаем «интегральное доверие» для разных классов продуктов:
Продукт | Физика | Математика | Алгоритмы | Итого |
|---|---|---|---|---|
Межсетевой экран | — | — | -3 | -3 |
ПАК VPN | — | +1 | -3 | -2 |
ПАК квантовый | +3 | +1 | -3 | +1 |
Датадиод | +3 | — | — | +3 |
Размыкатель L1 | +3 | — | — | +3 |
Важно: это не рейтинг «лучше/хуже». Это карта того, на каком уровне заложена надёжность. Если вам нужна максимальная защита — вы комбинируете продукты с разными механизмами.
4. Поверхность атаки: метрика, которой можно управлять
Допустим, мы строим сеть АСУ ТП. Как оценить её уязвимость снаружи? Введём метрику S_attack (поверхность атаки) для уровней L1–L4 модели OSI.
Базово:
S = сумма по всем узлам ( вес_узла (сумма по всем физическим портам ( вес_порта (сумма по всем TCP/UDP портам вес_программного_порта) )) )
Где:
вес_узла — критичность устройства
вес_порта — критичность физического интерфейса
вес_программного_порта — значимость сервиса
При внешней угрозе учитываются только порты, смотрящие наружу.
5. Динамическое управление: переменная dt
Удалённый доступ к АСУ ТП (диагностика, конфигурация) нужен не всегда. По экспертизе — примерно 50 часов в год. Значит, мы можем вводить коэффициент dt ∈ {0,1}, который показывает, есть ли физическое соединение прямо сейчас.
Тогда формула становится управляемой:
S_attack = сумма ( вес_узла (сумма ( dt вес_порта * (сумма вес_программных_портов) )) )
Где dt переключает физический слой.
Что это даёт на практике?
dt = 0 → поверхность атаки резко уменьшается (порт физически отключён).
dt = 1 → порт активен, но вы осознанно идёте на риск.
6. Какие устройства это реализуют?
Датадиоды (однонаправленные, на физике):
dt всегда = 0.
Полноценный двусторонний удалённый доступ невозможен.
Идеальны для вывода данных, но не для управления.
Размыкатели / переключатели уровня L1 (Ethernet):
Позволяют физически разрывать или коммутировать канал.
Дают полноценный доступ по запросу.
Могут комбинироваться с VPN (но один VPN — не гарантия, а вместе с L1-размыкателем — очень хорошо).
Итог
Не ищите «серебряную пулю». Архитектура защиты АСУ ТП должна строиться на комбинации решений с разными механизмами: физика, математика, алгоритмы.
Если вам нужен безопасный удалённый доступ — не полагайтесь только на VPN. Рассмотрите датадиоды (для вывода данных) и размыкатели L1 (для управляемого подключения). И главное — научитесь управлять поверхностью атаки динамически, переключая физический слой, а не только правила файрвола.
Вопросы сообществу:
А как вы оцениваете доверие к вендорским ПАК? Верите ли вы в натурные испытания ИБ-железа? Делитесь опытом в комментариях.
