«Защита IIoT-систем»
Промышленный Интернет вещей (IIoT) – это концепция сети передачи данных между физическими объектами («вещами»), оснащенными встроенными средствами и технологиями для взаимодействия друг с другом, предназначенными для корпоративного или отраслевого применения (производство, ЖКХ, энергетика, добыча полезных ископаемых) и управляемыми автоматически без участия человека.
Одной из технологий, применяемых для обмена данными между устройствами IIoT, является LPWAN (Low-Power Wide-Area Network) – класс беспроводных технологий передачи небольших по объему данных на дальние расстояния. LPWAN включает в себя множество стандартов, самые распространенные из них – NB-IoT, Sigfox, LoRaWAN.
Сеть LPWAN работает в топологии «звезда», где каждое устройство взаимодействует с базовой станцией. Устройство или модем с LPWAN-модулем передает данные по радиоканалу на базовую станцию, которая принимает сигналы от всех подключенных к ней устройств и передает на удаленный сервер.
Основными областями применения технологии LPWAN являются беспроводные сети датчиков, автоматизация сбора показаний приборов учета, системы промышленного мониторинга и управления. Для данных областей применяются повышенные требования к достоверности, целостности и конфиденциальности передаваемой информации.
Так как IIoT-устройства часто приходится размещать в местах, где к ним возможен несанкционированный доступ (вне контролируемой зоны), это исключает возможность применения наложенных средств защиты информации и требует использования встроенных средств защиты. При этом сами устройства обычно имеют небольшие габариты, низкое энергопотребление и невысокую стоимость, в связи с чем их аппаратные/вычислительные ресурсы сильно ограничены. Все это в совокупности предъявляет особые требования к средствам обеспечения информационной безопасности.
Типовая схема системы IIoT
Для организации надежной защиты информации, передаваемой по каналам связи IIoT, компания «ИнфоТеКС» разработала решение по криптографической защите информации ViPNet SIES (Security for Industrial and Embedded Solutions).
Это решение соответствует требованиям нормативно-правовой базы Российской Федерации в области защиты информации, не содержащей сведений, составляющих государственную тайну, и Федерального закона №187-ФЗ от 26.07.2017.
Решение ViPNet SIES – это комплекс средств криптографической защиты информации (СКЗИ), предназначенный для обеспечения информационной безопасности широкого спектра устройств, входящих в экосистему Промышленного Интернета вещей:
- в небольшие устройства с жесткими требованиями по энергоэффективности производителем встраивается крипточип ViPNet SIES Core Nano, который имеет набор инженерных мер защиты в соответствии с требованиями к СКЗИ-НР (некорректируемой регистрации) и может эксплуатироваться вне контролируемой зоны.
- в контроллеры, устройства сбора и передачи данных, шлюзы, базовые станции производителем устройств встраивается аппаратный криптомодуль ViPNet SIES Core, который может использоваться в устройстве вне контролируемой зоны (при использовании датчика вскрытия корпуса устройства).
- на сервер сбора и обработки информации или на отдельный сервер, размещаемый внутри контролируемой зоны (исключающей доступ посторонних лиц), устанавливается ПО ViPNet SIES Unit. При установке на отдельный сервер поддерживается работа с резервированным кластером сервера сбора и обработки информации.
Эти СКЗИ осуществляют шифрование отправляемых и расшифрование принимаемых данных на защищаемых устройствах, проверку целостности полученных данных.
Для защиты данных, передаваемых по каналам связи IIoT, используется криптографический протокол CRISP (разработан ТК26 и утвержден Приказом Росстандарта от 30.12.2019 № 1504-ст). CRISP обеспечивает защиту прикладного и служебного взаимодействия между защищаемыми устройствами поверх используемого протокола связи, позволяет фрагментировать и ограничивать размеры пакетов. Отличительными особенностями CRISP являются небольшой объем накладных расходов, отсутствие необходимости установления сессии, возможность фрагментирования и ограничения размера пакетов.
Передача защищенных данных осуществляется штатными средствами защищаемых устройств по уже используемым открытым каналам связи IIoT-системы.
Для ввода в эксплуатацию и управления средствами защиты ViPNet SIES в инфраструктуре решения используются следующие компоненты управления:
- программно-аппаратный комплекс (ПАК) ViPNet SIES MC – центр управления компонентами решения;
- ViPNet SIES Workstation или ViPNet SIES Smartmeter WS – программное обеспечение для инициализации и ввода в эксплуатацию криптомодулей;
- ПАК ViPNet SIES HSM – ключевой центр для крипточипов.
ViPNet SIES MC — центр управления SIES-узлами (устройствами, в которые встроены СКЗИ). Он устанавливается на верхнем уровне системы и контролирует состояние и режимы работы SIES-узлов, централизованно управляет ключевой информацией.
ViPNet SIES Workstation и ViPNet SIES Smartmeter WS — ПО для установки на АРМ локального обслуживания. Применяются совместно с центром управления ViPNet SIES MC. Используются для инициализации криптомодулей перед вводом в эксплуатацию, а также для их локального обслуживания в ходе эксплуатации. ViPNet SIES Workstation позволяет транслировать служебные команды на криптомодули в отсутствие связи с центром управления ViPNet SIES MC.
ПО ViPNet SIES Smartmeter WS имеет автоматизированный сценарий ввода в эксплуатацию для систем с топологией «звезда».
ПАК ViPNet SIES HSM — ключевой центр для крипточипов ViPNet SIES Core Nano. ПАК ViPNet SIES HSM генерирует ключевую информацию для загрузки в крипточип и предоставляет ее по запросу центра управления ViPNet SIES MC для защищенного взаимодействия крипточипа с другими компонентами системы.
Ключевой центр ViPNet SIES HSM и центр управления ViPNet SIES MC могут использоваться для управления несколькими независимыми системами (сетями).
Защищенная IIoT-система
Для разработчиков систем IIoT:
- криптографические операции вынесены в отдельный модуль и доступны по API или протоколу. Разработчику нет необходимости разбираться в криптографии.
- криптографическими вычислениями занимается отдельный модуль, для устройств нет необходимости выполнения ресурсоемких операций.
- ключевая информация хранится в отдельном модуле, к устройствам не предъявляются специальные требования.
- используются сертифицированные СКЗИ. Сертификация устройств не требуется, получение лицензии на разработку и производство СКЗИ не требуется, достаточно оценки влияния.
Для эксплуатирующих компаний:
- Возможность использования одного решения для разных типов сетей передачи данных.
- Возможность использования СКЗИ без значительной модификации топологии информационных потоков в системе, работающей по промышленным протоколам.
- Возможность реализации различных сценариев защиты информации, в том числе с учетом мер, предусмотренных нормативными правовыми актами и документами.
- централизованное управление ключевой информацией.
Пример организации защиты данных IIoT-системы с помощью компонентов комплекса ViPNet SIES приведен на схеме:
- перед отправкой данных ограниченного доступа получателю защищаемое устройство вызывает функцию шифрования данных в криптографическом контексте из состава ViPNet SIES Core SDK.
- ViPNet SIES Core формирует CRISP-сообщение для указанного получателя и возвращает CRISP-сообщение защищаемому устройству.
- CRISP-сообщение по открытым каналам связи системы доставляется получателю.
- получив CRISP-сообщение, защищаемое устройство вызывает метод ViPNet SIES Unit RESTful API для обработки CRISP-сообщения в режиме расшифрования данных.
- после успешного расшифрования данных защищаемое устройство получает от ViPNet SIES Unit данные ограниченного доступа, поступившие от отправителя.
Продукты решения ViPNet SIES сертифицированы ФСБ России по требованиям к СКЗИ классов:
ViPNet SIES Core — КС3
ViPNet SIES Unit — КС1, КС3
ViPNet SIES MC — КС3
ViPNet SIES Core Nano — в процессе сертификации
ViPNet SIES HSM — в процессе сертификации
ViPNet PKI Client — КС1-КС3