Безопасность данных КИИ

Владельцы значимых объектов КИИ видят проблему безопасности только под одним углом: как защитить системы от внешних атак. Они устанавливают межсетевые экраны, внедряют системы обнаружения вторжений, изолируют промышленные сети. Но упускают из виду важный момент. Данные из объектов КИИ, так же как и системы АСУТП, являются объектом защиты. КИИ или нет определяет не система, а критический процесс.

ГРАНИЦЫ КИИ ОПРЕДЕЛЯЮТ ДАННЫЕ.

Электростанция категорирует как КИИ только системы управления. Но данные о графиках поставки топлива хранятся в корпоративной ERP. Информация о сотрудниках, обслуживающих критические процессы, — в кадровой системе. Схемы энергетических сетей — в системе проектирования. Все эти системы — объекты КИИ, даже если вам это не нравится.

Неправильная категоризация приводит к ложному чувству безопасности. Руководство считает КИИ защищенным, но критически важная информация утекает через корпоративные системы. К сожалению, в сегодняшних реалиях это может приводить не только к штрафам и наказаниям, но и к серьезным катастрофам.

Современные IT-архитектуры строятся на принципе связности. ERP интегрируется с системами планирования. Кадровые данные поступают в аналитические платформы. Производственная информация агрегируется в озерах данных. Как только данные из АСУ ТП попадают в корпоративную систему, эта система автоматически становится частью КИИ.

ЭТОТ ПРОЦЕСС НАЗЫВАЕТСЯ КИИ-ЗАРАЖЕНИЕ.

Каждая новая интеграция расширяет периметр КИИ. То, что планировалось как изолированная промышленная сеть, превращается в половину корпоративной IT-инфраструктуры.

Включение корпоративных систем в периметр КИИ означает:

• Многократное увеличение затрат на обеспечение кибербезопасности;
• Необходимость аттестации всех интегрированных систем по требованиям 187-ФЗ;
• Ограничения на использование зарубежного ПО в критических процессах;
• Усложнение процедур разработки и внедрения новых IT-решений;
• Регулярные проверки расширенного периметра надзорными органами.

Но можно ли избежать этого? Если есть диод для данных, то может быть есть и гальваническая развязка?

ТАК РАБОТАЕТ ПАК DAMASK.

Система создает непроницаемый барьер между критическими и корпоративными системами на уровне данных. Конфиденциальная информация о критических объектах остается в изолированном контуре КИИ. В корпоративные системы передаются только токены.

Токены сохраняют структуру и формат исходных данных, но не содержат критической информации. Корпоративные системы работают с полнофункциональными данными, но формально не обрабатывают информацию КИИ. Пользователи не замечают разницы, потому что ПАК DAMASK подменяет токены на данные на лету в прокси-режиме.

Что это значит для бизнеса?

• Снижение затрат на кибербезопасность в разы за счет сокращения периметра КИИ до минимального контура;
• Избежание обязательного подключения корпоративных систем к ГосСОПКА;
• Свобода в выборе IT-решений без ограничений требованиями к сертифицированному ПО для критической инфраструктуры;
• Ускорение цифровой трансформации без согласований с надзорными органами;
• Возможность полноценной аналитики через интеграцию производственных данных с корпоративными системами без правовых рисков;
• Снижение операционных расходов за счет отказа от дублирования IT-инфраструктуры для соблюдения требований изоляции КИИ;
• Минимизация регуляторных рисков благодаря четкому разделению критических и корпоративных систем.