2 апреля 2026 года Межотраслевая рабочая группа «Открытая АСУ ТП» (далее — РГ «ОАСУ ТП») провела вторую конференцию «Национальная платформа промышленной автоматизации: архитектура и информационная безопасность». Конференция проходила спустя год после первой конференции, посвященной вопросам архитектуры и информационной безопасности открытых систем автоматизации технологических процессов (ОАСУ ТП).
Общие впечатления от конференции — стало меньше случайных людей и организаций. Это было заметно даже по выставочным стендам. Практически все участники демонстрировали продукты, так или иначе связанные с технологиями ОАСУ ТП: от чипов для полевой шины на основе Ethernet‑APL до поддержки формата PLCopen XML в средствах разработки новых коммерческих ПЛК. Гвоздем экспозиции стала демонстрация распределенного стенда, на котором проходят испытания компоненты от разных вендоров. Брошюра с описанием стенда была в раздаточных материалах участников конференции, также описание стенда можно скачать с сайта РГ «ОАСУ ТП» (https://openapc.ru/).
Ниже — мой краткий и субъективный обзор докладов панельной дискуссии «Информационная безопасность и обеспечение доверенности решений Национальной платформы промышленной автоматизации», где я был модератором вместе с Дмитрием Даренским из Positive Technologies.
В панельной дискуссии, которую правильнее было бы назвать «сессией», выступили представители компаний: «К2 Кибербезопасность» (https://cybersecurity.k2.tech/), «АйТи Бастион» (https://it‑bastion.com/), АО «НПО „КИС“ (https://kis‑npo.ru/), АО „ИнфоТеКС“ (https://infotecs.ru/) и АО „НИЦ“ (https://centin.ru/).»
Первым с докладом выступил Марат Сафин, эксперт направления безопасности КИИ и АСУ ТП, «К2 Кибербезопасность». «К2Тех» стал базовым интегратором, на мощностях которого развернута и действует значительная часть распределенного стенда ОАСУ ТП. В докладе Марат рассказал о нескольких интересных аспектах, которые проявились на разных стадиях жизненного цикла создания и эксплуатации стенда. Например, о преимуществах создания единой системы мониторинга информационной безопасности для всего стенда, включая как технологический, так и корпоративный сегменты. Также — о возможностях использования инфраструктуры стенда для тестирования компонентов АСУ ТП на уязвимости и потенциале применения этой практики для соблюдения требований приказа ФСТЭК № 239. В целом доклад получился отличным, и на его примере можно заложить новую традицию публичных рассказов о работе со стендом ОАСУ ТП.
Константин Родин, заместитель директора по развитию бизнеса «АйТи Бастион», представил новый взгляд на организацию защищенного обмена данными между разными сегментами сетевой инфраструктуры. На примере решения «Синоникс» Константин продемонстрировал схемы организации как однонаправленного, так и двунаправленного обмена между технологическим и корпоративным сегментами. Предложенное решение или его аналоги отвечают запросам современных систем управления, которым недостаточно однонаправленного потока телеметрии «снизу вверх». Например, включение алгоритмов машинного обучения для оптического распознавания брака в системы управления конвейерными линиями требует периодической доставки новых версий обученных моделей в технологическую сеть. Предложенное решение, как минимум, выглядит менее громоздким, чем альтернатива в виде встречно включенной пары однонаправленных дата‑диодов.
Андрей Иванов, менеджер продуктов АО «ИнфоТеКС», рассказал о нескольких сценариях использования криптографии при организации каналов обмена данными с сетями АСУ ТП, особенно для связи распределенных активов. Надо отметить, что, по моему субъективному мнению, «ИнфоТеКС» дольше других российских вендоров средств информационной безопасности работает с российскими производителями контроллеров и других устройств для АСУ ТП и РЗА, продвигая идею встраивания элементов криптографической защиты в конечные устройства и предлагая конкретные продукты для таких решений. Несмотря на привычное сопротивление разработчиков ПЛК, движение в сторону ужесточения требований к встраиваемым мерам обеспечения информационной безопасности компонентов АСУ ТП является необратимым. Единственным сдерживающим фактором остаются сложность и величина затрат на сертификацию и последующую поддержку этих мер в соответствии с нормами действующего законодательства.
Защита каналов связи с полевым оборудованием стала основной темой доклада Алексея Черняева, главного инженера‑конструктора по роботизации и автоматизации АО «НПО „КИС“. С присущей атомной отрасли основательностью Алексей начал с терминологии и модели угроз. Из представленной модели следует, что наиболее опасные угрозы возникают в неконтролируемых сегментах АСУ ТП, например, в интерфейсах связи с полевыми устройствами. Появление двухпроводного Ethernet‑APL, совместимого с „обычным“ Ethernet, расширяет сетевые угрозы, ранее применимые только к сетям более высокого уровня, на сети связи с датчиками и приводами. Одна из предлагаемых докладчиком мер защиты — использование криптографии, которую АО „НПО „КИС“ предлагает реализовывать с помощью встраиваемых интерфейсных микромодулей для контрольно‑измерительных приборов (КИП). Предложение вызвало опасения со стороны эксплуатантов АСУ ТП, которые указывают на риск появления государственных требований по замене парка КИП по аналогии с доверенными ПАК в случае использования слишком широких терминов при формулировании и утверждении такого рода требований.“»
Завершилась панельная дискуссия выступлением Владимира Викторовича Смирнова, главного конструктора АО «НИЦ», который рассказал о продуктах для мониторинга сетевого трафика и организации однонаправленной передачи данных. Интересной конструктивной особенностью устройств «СПРУТ» является их компактный форм‑фактор, который позволяет использовать их в компактных шкафах или собирать каскад с общим дублированным питанием для контроля сразу нескольких каналов связи. Полезной опцией для детектирования сетевых проблем является полная копия трафика, включая «битые» пакеты. С точки зрения обеспечения надежности работы сетевой инфраструктуры я отметил наличие автоматического байпаса и сетевую прозрачность устройства.
Вопросы, которые не вошли в прошедшую сессию и ждут своего обсуждения в будущем, возможно, на осеннем форуме РГ «ОАСУ ТП» в Казани:
на рынке присутствует некоторое количество программных и программно‑аппаратных продуктов для защиты технологических систем от компаний, основной бизнес которых лежит в области информационной безопасности. Можно ли на опыте создания этих продуктов предложить разработчикам АСУ ТП типовую дорожную карту проекта по реализации встроенных мер безопасности в контроллерах и программном обеспечении?
программно‑определяемая автоматизация (SDA) и проникновение контейнеров с оркестраторами в технологические сегменты тянут за собой необходимость адаптации систем защиты контейнеров под очень специфические условия работы по сравнению с привычной корпоративной средой — как на это смотрят российские разработчики?
распространение 4-, 6- и 8-ядерных микропроцессоров для промышленной автоматизации и других встраиваемых применений позволяет выделить отдельное ядро под встроенные функции безопасности на устройстве. Вопрос — под какие именно?
В прошлом году, когда я модерировал схожую панельную дискуссию, участники в основном обсуждали организационные аспекты через призму соблюдения формальных требований законодательства и в целом демонстрировали четко выраженную стадию «отрицания» идей ОАСУ ТП. В этот раз, даже несмотря на подводку модераторов, все спикеры говорили о практических проблемах, в решении которых они участвуют, пусть и через рассказ о своих продуктах. Надеюсь, тенденция на повышение экспертности докладов продолжится на следующих конференциях РГ «ОАСУ ТП».
