ІТ-Інтегратор завершив впровадження першої в країні системи інформаційної безпеки АСУТП
Зміст:
  1. 1. Локально-обчислювальна мережа
  2. 2. Одностороння передача даних DataDiode
  3. 3. Модернізація інженерної інфраструктури
  4. 4. Захист від шкідливого програмного забезпечення
  5. 5. Зберігання даних:
  6. 6. Віддалений доступ
  7. 7. Моніторинг інцидентів

В умовах війни в Україні значно знизилася увага до кіберзагроз. Проте рівень небезпеки, яку несуть кібератаки ворожої країни, особливо для інформаційних систем підприємств стратегічних галузей промисловості України, залишається критичним. У 2022-2023 роках попри військові загрози технічні підрозділи "ІТ-Інтегратор" успішно завершили розробку та впровадження першої в Україні системи інформаційної безпеки АСУТП на основі використання ДатаДіодів для об’єктів критичної інфраструктури, що формують енергетичну незалежність країни, масштабували її на низку інших підприємств та таким чином оновили стандарти інформаційної безпеки цілої галузі.

ІТ-Інтегратор завершив впровадження першої в країні системи інформаційної безпеки АСУТП

"Наша команда змогла реалізувати цей складний та багатошаровий проєкт, що охопив впровадження майже у всіх ланках інфраструктури замовника, починаючи від інженерної та закінчуючи надпотужними системами кібербезпеки. Попри початок повномасштабного вторгнення ворога в країну, ми успішно завершили всі поставки, монтаж, пусконалагодження обладнання, навчання персоналу та супровід замовника після впровадження. Більше того, ми змогли започаткувати стандарти, які в перспективі можуть бути застосовані на інші об’єкти, продовжуючи шлях продуктивної цифровізації процесів замовника".

Керівник проєкту "ІТ-Інтегратор"
Валентин Герасимович

Географія проєкту покрила чотири виробничі підрозділи клієнта системного інтегратора на відстані від 30 до 130 км від центрального офісу компанії. В його реалізації було задіяно понад 70 фахівців технічної команди "ІТ-Інтегратор" та менше 10 осіб компанії-замовника, для забезпечення безпеки компонентів індустріальної мережі був здійснений поділ існуючої продуктивної технологічної мережі на багаторівневу модель Purdue, а в ході впровадження проєкту підприємством не було зафіксовано жодної зупинки виробництва.

Першочерговим завданням команди інтегратора стало забезпечення контролю доступу та контролю внесення змін до автоматизованих систем керування технологічними процесами.

Другим пріоритетом було визначено забезпечення захисту АСУТП від кіберзагроз, своєчасне виявлення та попередження відмов обладнання, побудова відмовостійкої системи кібербезпеки та реалізація механізмів проактивного захисту.

Ще одним етапом стала розбудова захищеної та контрольованої демілітаризованої зони для обміну даними між промисловою та IТ мережами. Також було важливо забезпечити автономність кожного виробничого підрозділу в разі компрометації або виходу з ладу окремого виробничого підрозділу.

Всі ці задачі було успішно виконано із застосуванням рішень та технологій провідних світових виробників.

1. Локально-обчислювальна мережа

Для забезпечення безпеки компонентів індустріальної мережі, відповідно до їх взаємодії між собою, був здійснений поділ існуючої продуктивної технологічної мережі на багаторівневу модель Purdue. А впровадження дизайну DMZ здійснено з урахуванням архітектури сервісів Microsoft. Для реалізації централізованої системи моніторингу та керування мережевими пристроями використано рішення Cisco Prime Infrastructure.

2. Одностороння передача даних DataDiode

Застосовано рішення Waterfall Unidirectional Security Gateway. Даний клас рішень використовується саме для вирішення задач безпечного обміну між сегментами промислової та корпоративної мереж на об’єктах критичної інфраструктури, наприклад, атомних станціях, промислових майданчиках, нафтовидобувних та нафтопереробних підприємствах тощо. Впроваджено рішення необхідне для безпечного обміну даними OPC Data Access.

3. Модернізація інженерної інфраструктури

Проведено аудит існуючих ліній зв’язку та створення нових каналів передачі даних для повного дублювання критично важливих вузлів виробництва, забезпечено налаштування резервних каналів в автоматичному режим, проведено маркування ліній зв’язку згідно нового плану IP адресації.

4. Захист від шкідливого програмного забезпечення

Застосовано рішення класу Next Generation Antivirus. 

5. Зберігання даних:

Впроваджено централізовану систему резервного копіювання та відновлення даних на підставі цільових рівнів відновлення критичних систем АСУТП згідно вимог RTO/RPO.

6. Віддалений доступ

Розгорнуто службу віддалених робочих столів та впроваджено логічну структуру та топологію сайтів для мережевого середовища. Впроваджено рішення DNS, сертифікації, NTP, Terminal server.

7. Моніторинг інцидентів

Впроваджено єдину централізовану систему на базі рішення класу SIEM від Trellix. 

Відпрацьовані технічними підрозділами "ІТ-Інтегратор" даний підхід та технологію захисту, в тому числі за рахунок першого в Україні використання захищених однонаправлених мережевих пристроїв – ДатаДіодів, відтепер можна впроваджувати та швидко масштабувати для всіх об’єктів критичної інфраструктури та підприємств стратегічних галузей промисловості, що гарантує 100% фізичний захист інформаційних систем такого об’єкту від вхідних кібератак.

"ІТ-Інтегратор" – найбільший розробник та постачальник ІТ-рішень для корпоративного та державного сектору в Україні.

Більше інформації:

ІТ-Інтегратор завершив впровадження першої в країні системи інформаційної безпеки АСУТП