Почему старые станки ЧПУ могут быть опаснее хакеров и как снизить риски

В промышленной безопасности: одно из уязвимых звеньев — это оборудование, которое нельзя отключить, обновить или заменить. На заводах до сих пор работают станки под управлением Windows NT и контроллеры, чья прошивка не менялась десять лет. Формально они «в изоляции», но флешка с вирусом или ноутбук наладчика превращают их в троянского коня.

Сегодня мы говорим с Игорем Краевым, генеральным директором компании «Стратегия Ра», о том, как жить с «железным наследием», почему физическая защита цеха важнее цифровых замков и как не дать производству убить самого себя.

Оборудование завода со сверхстажем как норма жизни

– Игорь, в прошлый раз мы говорили про архитектуру ИБ и угрозы. Сегодня давайте спустимся в цех. Главная головная боль производственников — устаревшее оборудование, которое нельзя обновить. Это реальная проблема или отговорка ленивых инженеров?

– Это не отговорка, это объективная реальность. Срок жизни промышленного оборудования — 20–30 лет. Станок с ЧПУ, купленный в 2005 году, может отрабатывать свой ресурс до 2030-го. А программная среда, на которой он работает, застыла в моменте покупки. Windows NT 4.0, MS-DOS, специализированные ОС реального времени, которые производитель уже не поддерживает.

Представьте, что у вас на заводе стоит станок, который управляется с компьютера под Windows 2000. Вы не можете его обновить, потому что софт контроллера заточен под эту ОС. Не можете отключить от сети, потому что он — часть техпроцесса. Это не «наследие», это — действующий памятник самому себе. И его нужно защищать.

– И чем это опасно технически? Ведь если он не в интернете, то и хакер к нему не подберется.

– Это опаснейшее заблуждение. Изоляция от интернета не спасает от физического вектора. Самые разрушительные атаки на промышленность (как известные примеры Stuxnet, Havex) приходили не через интернет, а через «физику» — флешки, ноутбуки подрядчиков, зараженное ПО диагностики. Ваш станок с Windows 2000 — это бомба замедленного действия. К нему приходит наладчик, вставляет свою флешку с драйверами, а там — червь. И понеслась.

Технологические риски устаревающего оборудования

– Давайте разберем эти риски предметно. Что конкретно угрожает «старичкам» в цеху и как с этим жить?

1. Устаревшее и неподдерживаемое ПО/ОС

Ситуация: На производстве работают станки под управлением Windows NT/2000/XP или специализированных ОС, для которых производитель (Microsoft или Siemens) давно перестал выпускать обновления безопасности. Любая новая уязвимость, найденная хакерами, для такого станка — открытая дверь.

Практический совет: Микросегментация и обманки
Забудьте про обновление ядра системы — это невозможно. Вместо этого создайте вокруг станка «санитарный кордон».

• Микросегментация: Контроллер с древней ОС должен находиться в собственной виртуальной сети, изолированной от всего остального производства. Ему разрешен обмен данными только с мастер-сервером и строго по конкретному протоколу.
• Ловушка: Рядом со станком в той же сети ставится «пустышка» — устройство, которое имитирует уязвимости, но не влияет на процесс. Любое обращение к нему — мгновенный сигнал тревоги.
• Шлюз-переводчик: Весь трафик от древнего станка пропускается через специализированный промышленный межсетевой экран, который переводит «древний» протокол в современный защищенный формат. Станок «думает», что говорит по-своему, а на выходе идет чистый трафик.

2. Необновляемость компонентов

Ситуация: Производители оборудования (Siemens, Schneider Electric, Fanuc) выпускают обновления безопасности крайне редко. А когда выпускают — их установка требует остановки производства на сутки, а то и на неделю. Заводской план этого не позволяет. В итоге критические заплатки годами пылятся на полке.

Практический совет: Виртуализация контроллеров и «горячее резервирование»
Здесь нужно разделить софт и железо.

• Программные ПЛК: Там, где позволяет технология, переходите на виртуальные контроллеры. Если логика работы станка эмулируется на сервере, вы можете обновлять среду без остановки «железа».
• Стенд обновлений: Прежде чем ставить обновление на живой станок, разворачиваете его точную копию на тестовом стенде (физическом или виртуальном). Месяц гоняете на нем техпроцесс. Только если стенд выжил — обновляете реальный станок, но с обязательным планом отката за 15 минут.
• Компенсирующие меры: Если обновление контроллера невозможно физически, вы ставите «наблюдателя» — систему поведенческого анализа, которая следит за командами, уходящими на станок. Любая аномалия — блокировка.

3. Физическая незащищенность контроллеров

Ситуация: Промышленные контроллеры часто стоят прямо в цеху, в открытых шкафах. К ним есть доступ у операторов, наладчиков, уборщиц. Любой может воткнуть флешку в USB-порт или подключить свой ноутбук к Ethernet-розетке.

Практический совет: Киберфизические замки
Цифра здесь бессильна без «физики».

• Аппаратная блокировка портов: Все USB-порты на контроллерах и панелях оператора физически заливаются компаундом или закрываются на замок с пломбой. Доступ к ним — только по акту вскрытия с записью в журнал.
• Отключение неиспользуемых интерфейсов: Если порт Ethernet не нужен — его нужно отключить на уровне BIOS/конфигурации, а розетку — демонтировать.
• Контроль доступа по биометрии: Шкафы управления открываются только по отпечатку пальца или электронному ключу, привязанному к сменному заданию. Уборщица туда не зайдет.
• Видеоаналитика: Камеры в цеху, настроенные не только на охрану, но и на детекцию «подключения кабеля». Алгоритм видит, что кто-то воткнул провод в неположенном месте — сигнал в охрану.

4. Несанкционированные подключения (флешки, ноутбуки)

Ситуация: Это основной вектор заражения АСУ ТП. Наладчик принес свой ноутбук с Windows 10 (и если я скажу пиратской, то сегодня это никого не удивит), подключился к станку для диагностики, а на ноутбуке — вирус, который перекинулся на контроллер. Или технолог скачал рецептуру с флешки, которая до этого лежала в бухгалтерии, где был вирус.

Практический совет: Антивирусные КПП и доверенные устройства
Вся работа со съемными носителями и внешними устройствами должна проходить через «стерилизатор».

• Автономные антивирусные шлюзы: В цеху устанавливается специальный компьютер, который не связан с сетью. Любая флешка перед подключением к станку вставляется в этот компьютер, проходит полную проверку и очистку. Только после этого она получает «зеленую метку» для работы.
• Доверенные ноутбуки: У наладчика не может быть своего ноутбука. Для диагностики ему выдается корпоративный «чистый» ноутбук, который хранится в шкафу с контролем доступа и после каждой смены перезаписывается с эталонного образа. Подключение — только через изолированный порт.
• Воздушный зазор наоборот: Там, где критично, используется передача данных через оптические развязки или даже через ИК-порт. Физически невозможно передать вирус, если нет прямого электрического контакта.

Метрики и контроль: как понять, что цех под угрозой

– Игорь, как измерить эффективность защиты «старичков»? Какие метрики здесь работают?

– В системах с «устаревающим оборудованием» главная метрика — не «количество обновлений», а «время детекции физического вмешательства».

1. Время от подключения до блокировки: Сколько секунд проходит между тем, как наладчик воткнул флешку, и тем, как система это засекла и заблокировала порт. Норма — менее 1 секунды.
2. Процент неизменяемости эталонов: Регулярная проверка, что прошивки контроллеров совпадают с эталонными образами. Отклонение больше 0% — критическое ЧП.
3. Количество «стерильных» смен: Сколько смен прошло без подключения недоверенных устройств.
4. Время простоя при откате: Если мы вынуждены остановиться из-за инцидента, сколько времени нужно, чтобы откатить систему до рабочего состояния. Это должно измеряться минутами, а не днями.

Почему такой подход к информационной безопасности не «технические мелочи»

– Звучит как набор дорогих мероприятий. Зачем это среднему заводу?

– Затем, что цена вопроса — остановка производства или авария. Когда контроллер, который нельзя обновить, ловит вирус с флешки, вы теряете не данные, а станок, смену, заказ, а иногда и жизнь людей.

Защита легаси-систем — это не про хайп и не про проверки ФСТЭК. Это про гигиену. Угроза здесь всегда материальна. Хакеру не нужно взламывать сложные пароли — ему достаточно, чтобы курьер принес зараженную флешку в цех.

Поэтому стратегия проста: не верьте ни одному устройству, которое приносят извне. Не доверяйте ни одному порту, который можно открыть руками. И всегда имейте эталонный образ, к которому можно вернуться за минуту. Это и есть безопасность в мире, где станки стареют, а угрозы молодеют.