19 | Июля | 2026

АСУ ТП В КИИ: ГДЕ VIPNET ЗАКАНЧИВАЕТСЯ И НАЧИНАЕТСЯ УЯЗВИМОСТЬ

Криптозащита
ИнфоТеКС и АМТ-Груп объявили о технологическом партнёрстве в области защиты систем промышленной автоматизации. Совместное решение строится на базе продуктов ViPNet и интеграционной экспертизы АМТ-Груп для объектов КИИ. Но защита АСУ ТП — не просто установить VPN-шлюз на границе сети. Промышленные контроллеры, SCADA-системы и полевые устройства создают отдельный класс угроз, для которых стандартного ИБ-стека недостаточно. Разбираем, что именно закрывает партнёрство и где остаются риски.

Главное

ИнфоТеКС и АМТ-Груп заключили соглашение о технологическом партнёрстве для защиты систем промышленной автоматизации. В основе — продукты линейки ViPNet, адаптированные для сред АСУ ТП, и системная интеграция от АМТ-Груп на объектах критической информационной инфраструктуры. Партнёрство закрывает давно существующий разрыв: промышленные предприятия обязаны выполнять требования 187-ФЗ, но типовые корпоративные СЗИ плохо работают в операционных технологических сетях (OT-сетях).

Что произошло

ИнфоТеКС — разработчик сертифицированных ФСТЭК и ФСБ средств криптографической защиты и VPN-шлюзов серии ViPNet. АМТ-Груп — системный интегратор с опытом внедрения на крупных промышленных и энергетических объектах. Совместное решение предполагает, что АМТ-Груп проектирует защищённую сетевую инфраструктуру для АСУ ТП, а в качестве криптографической основы использует сертифицированные продукты ИнфоТеКС.

Партнёрство важно не только как коммерческое соглашение. Оно фиксирует устойчивый тренд: вендоры СЗИ всё чаще идут в промышленный сегмент через партнёров-интеграторов, а не через прямые продажи. Причина — специфика АСУ ТП требует глубокого понимания технологических процессов, которого у разработчика СЗИ нет, и наоборот.

Почему это важно

Объекты КИИ в промышленности обязаны выполнять требования Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры» и приказов ФСТЭК № 235 и № 239. Приказ № 239 прямо требует применения средств защиты информации, прошедших оценку соответствия, в том числе криптографических — для защиты каналов передачи данных между сегментами АСУ ТП и корпоративной сетью.

Проблема в том, что промышленная среда сильно отличается от офисной:

  • Реальное время и детерминизм. Промышленные протоколы — Modbus, DNP3, IEC 61850 — не терпят задержек. Криптографическое наложение не должно нарушать тайминги технологического процесса.
  • Долгий жизненный цикл оборудования. ПЛК и SCADA-серверы на производстве работают 10–20 лет. Обновить агентское ПО на всём парке невозможно — нужны внешние шлюзы.
  • Нестандартные форм-факторы. Промышленные компьютеры часто не имеют слотов расширения, а операционные системы — это проприетарные или устаревшие платформы без поддержки современных агентов.
  • Физическая безопасность узлов. Полевые устройства и операторские станции нередко расположены в незащищённых физически зонах — на производственных площадках, в шкафах управления без охраны.

Стандартный корпоративный VPN-клиент на такую среду не встанет. Именно поэтому ViPNet предлагает не только программные агенты, но и аппаратные шлюзы — и именно здесь партнёрство с интегратором становится критичным: правильно спроектировать демилитаризованную зону между корпоративным и технологическим контурами без понимания процесса невозможно.

Регуляторный контекст ужесточается. ФСТЭК планомерно расширяет перечень значимых объектов КИИ и повышает требования к категорированию. Предприятия, которые откладывали приведение АСУ ТП в соответствие, рискуют получить предписание в ходе плановой проверки — а сроки устранения нарушений на объектах КИИ жёстче, чем в корпоративном сегменте.

Что делать заказчику

  • Проверьте категорию значимости объекта КИИ. Если объект категорирован (1–3 категория), требования приказа ФСТЭК № 239 обязательны. Если категорирование не завершено — начните с него: от категории зависит, какой класс СЗИ нужен.
  • Разделите корпоративный и технологический контуры. Прямое соединение офисной сети и АСУ ТП — типичная уязвимость при аудитах ФСТЭК. Демилитаризованная зона с межсетевым экраном и VPN-шлюзом — минимальный базовый барьер.
  • Оцените совместимость СЗИ с промышленным оборудованием. Перед закупкой уточните у вендора: есть ли сертифицированный шлюз в форм-факторе для монтажа на DIN-рейку или в 19" стойку, поддерживает ли он нужные промышленные протоколы пассивно (без вмешательства в трафик).
  • Проверьте сертификаты ФСТЭК и ФСБ на актуальность. Сертификаты на СЗИ имеют срок действия и могут быть отозваны. Для объектов КИИ применение СЗИ с истёкшим сертификатом — нарушение.
  • Включите интегратора на этапе проектирования, не внедрения. Распространённая ошибка — приглашать системного интегратора уже после выбора продуктов. Для АСУ ТП схема защиты должна проектироваться одновременно с выбором СЗИ: иначе возникают конфликты с технологическими регламентами.

Где ViPNet не решает задачу целиком

Честный ответ: криптозащита каналов закрывает угрозы перехвата и подмены данных в сети. Но она не защищает от атак на конечные узлы — операторские станции и серверы SCADA. Здесь нужны отдельные меры: доверенная загрузка, контроль целостности, управление носителями информации.

Для операторских станций с полноценным PC-форм-фактором (Windows или Linux) применяются аппаратные модули доверенной загрузки — АПМДЗ. Они обеспечивают контроль целостности до загрузки ОС и двухфакторную аутентификацию оператора, что особенно важно в цехах с посменным доступом.

Связанные продукты

Для операторских станций АСУ ТП на базе стандартного PC-оборудования АПМДЗ дополняет криптозащиту канала защитой самого узла. В каталоге СОФТЗАЩИТЫ представлено несколько решений класса 1Б по ФСТЭК:

  • АПМДЗ «МАКСИМ-М1» — модуль защиты от несанкционированного доступа для стандартных рабочих станций и серверов. Подходит для операторских станций с нормальным форм-фактором материнской платы.
  • КРИПТОН-ЗАМОК/Е (М-526Е1) — АПМДЗ для шины PCI Express с поддержкой удалённого управления. Актуален там, где операторские станции распределены по площадке и физический доступ к каждой затруднён.
  • КРИПТОН-ЗАМОК/mini — версия для шины Mini PCI-E. Подходит для промышленных компьютеров компактного форм-фактора, где слот PCIe полноразмерный недоступен.

Выбор между ними определяется форм-фактором материнской платы конкретной операторской станции и требованием к удалённому администрированию — а не только классом защиты, который у всех трёх одинаковый (1Б).

Источник

Полный текст · CNews