| +11 голос |
|
Компанія «ІТ-Інтегратор» повідомляє про завершення впровадження першої в країні системи інформаційної безпеки АСУТП на основі використання «ДатаДіодів» для об’єктів критичної інфраструктури України. З міркувань безпеки замовник не називається. Але зазначено, що він належить до об’єктів критичної інфраструктури та захищає енергетичну незалежність України. Географія проєкту охопила чотири виробничі підрозділи на відстані від 30 до 130 км від центрального офісу компанії. У реалізації проєкту брали участь понад 70 фахівців «ІТ-Інтегратор» та менш як 10 спеціалістів з боку замовника.
Першочерговим завданням команди інтегратора стало забезпечення контролю доступу та контролю внесення змін до автоматизованих систем керування технологічними процесами. Другим пріоритетом було визначено забезпечення захисту АСУТП від кіберзагроз, своєчасне виявлення та запобігання відмовам обладнання. Як наслідок, для реалізації першочергових завдань, необхідно було модернізувати базову промислову інфраструктуру, побудувати відмовостійку систему кібербезпеки та реалізувати механізми проактивного захисту з використанням систем збору та аналізу журналів подій, виявлення аномалій та інцидентів кібербезпеки.
Ще одним етапом стала розбудова захищеної та контрольованої демілітаризованої зони для обміну даними між промисловою та IТ мережами. А також, важливо було забезпечити автономність кожного виробничого підрозділу в разі компрометації або виходу з ладу окремого виробничого підрозділу. Кінцевою метою мало стати забезпечення повної інтеграції та сумісності побудованого рішення з механізмами, програмними та апаратними комплексами наявних систем, що також було реалізовано в процесі проєкту.
В рамках проєкту були здійснені налаштування та впровадження індустріальної мережевої інфраструктури на базі відмовостійкого протоколу швидкої збіжності Resilient Ethernet Protocol (REP) у зв'язку з Spanning-Tree Protocol (STP). А також впровадження технології DMVPN (IPSEC), і навіть резервного каналу з урахуванням мереж 3G/4G передачі даних телеметрії.
Для забезпечення безпеки компонентів індустріальної мережі, відповідно до їх взаємодії між собою, був здійснений поділ чинної продуктивної технологічної мережі на багаторівневу модель Purdue. Побудований новий план IP адресації з урахуванням нового дизайну мережі.
На кожному об’єкті реалізоване мультивендорне інспектування та фільтрація трафіку між рівнями. А впровадження дизайну DMZ здійснено з урахуванням архітектури сервісів Microsoft.
Для реалізації централізованої системи моніторингу та керування мережевими пристроями використано рішення Cisco Prime Infrastructure.
Застосоване в ході впровадження рішення Waterfall Unidirectional Security Gateway є унікальним, тому що воно забезпечує високий рівень безпеки завдяки фізичному розділенню сегментів мережі. Даний клас рішень використовується саме для розв'язання задач безпечного обміну між сегментами промислової та корпоративної мереж на об’єктах критичної інфраструктури, наприклад, атомних станціях, промислових майданчиках, нафтовидобувних та нафтопереробних підприємствах тощо. Впроваджене рішення необхідне для безпечного обміну даними OPC Data Access між трьома виробничими майданчиками та головним офісом замовника, захищаючи технологічні мережі від зовнішніх загроз.
Для моніторингу інцидентів та векторів атак була впроваджена єдина централізована система збору, аналізу та довгострокового зберігання журналів подій з усіх компонентів ІТ-інфраструктури – мережевого обладнання, підсистем захисту, серверів і робочих станцій – на базі рішення класу SIEM від Trellix.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
