Всем привет. Сегодня поговорим про доверие в ИБ. Но не про сертификаты и «мировых лидеров», а про физику, математику и алгоритмы. Разберём, почему квантовый ПАК надёжнее межсетевого экрана, как оценить реальную защищённость и можно ли управлять «поверхностью атаки» как выключателем света.
На рынке ИБ для технологических объектов (АСУ ТП, промышленность) сейчас модно создавать «вербально-визуальные конструкции» — красивые слайды, умные слова, обещания доверия. Но доверие бывает разное:
Доверие к вендору — как к компании с процессами и поддержкой.
Доверие к технологии — к тому, как физика, математика и алгоритмы реально защищают данные.
Сосредоточимся на втором. Потому что именно там скрыта настоящая магия (и проблемы).
1. Откуда берётся доверие к технике? Два примера
Самолёт. Почему мы не боимся, что он развалится?
Расчёты прочности.
Натурные испытания (крыло гнут, пока не сломается).
Периодические проверки.
Автомат защиты в щитке. Почему он не подожжёт проводку?
Конструкция и расчёты.
Заводские тесты.
Обслуживание.
Общая схема: научное обоснование → натурные испытания → диагностика.
А теперь — честно: есть ли у нас «натурные испытания» для алгоритмов МЭ или VPN? Нет. Мы просто верим, что математика работает, а реализация без ошибок.
2. Классы ИБ-решений: физика, математика, алгоритмы
Ограничимся аппаратными и программно-аппаратными комплексами (без участия человека-аналитика). Типичные продукты:
Межсетевые экраны (МЭ)
ПАК VPN
ПАК ИБ на квантовых принципах
Датадиоды (инфодиоды)
Размыкатели Ethernet на физическом уровне L1
Для их работы используются три базовых механизма:
Механизм |
Степень доверия |
Почему |
|---|---|---|
Физические принципы |
Высокая |
Без прямого доступа к железу — никак. |
Математическая теория |
Средняя |
Стойкость доказана, но реализация… |
Алгоритмы |
Низкая |
Всегда есть риск ошибки, закладки, неверифицируемой сложности. |
Да, можно возразить: «Современные системы релейной защиты в энергетике — сплошные алгоритмы, но они же работают!» Работают, потому что их прогоняют на физических симуляторах с реальными токами и напряжениями. В ИБ алгоритмическую часть так не проверить. Никто не подаст на вход МЭ или VPN-шлюза все возможные пакеты аномалий. Это данность.
3. Оценка доверия: попробуем посчитать в баллах
Возьмём веса (качественно, не претендуя на абсолютную истину):
Физика → +3
Математика → +1
Алгоритмы → -3
Посчитаем «интегральное доверие» для разных классов продуктов:
Продукт |
Физика |
Математика |
Алгоритмы |
Итого |
|---|---|---|---|---|
Межсетевой экран |
— |
— |
-3 |
-3 |
ПАК VPN |
— |
+1 |
-3 |
-2 |
ПАК квантовый |
+3 |
+1 |
-3 |
+1 |
Датадиод |
+3 |
— |
— |
+3 |
Размыкатель L1 |
+3 |
— |
— |
+3 |
Важно: это не рейтинг «лучше/хуже». Это карта того, на каком уровне заложена надёжность. Если вам нужна максимальная защита — вы комбинируете продукты с разными механизмами.
4. Поверхность атаки: метрика, которой можно управлять
Допустим, мы строим сеть АСУ ТП. Как оценить её уязвимость снаружи? Введём метрику S_attack (поверхность атаки) для уровней L1–L4 модели OSI.
Базово:
S = сумма по всем узлам ( вес_узла (сумма по всем физическим портам ( вес_порта (сумма по всем TCP/UDP портам вес_программного_порта) )) )
Где:
вес_узла — критичность устройства
вес_порта — критичность физического интерфейса
вес_программного_порта — значимость сервиса
При внешней угрозе учитываются только порты, смотрящие наружу.
5. Динамическое управление: переменная dt
Удалённый доступ к АСУ ТП (диагностика, конфигурация) нужен не всегда. По экспертизе — примерно 50 часов в год. Значит, мы можем вводить коэффициент dt ∈ {0,1}, который показывает, есть ли физическое соединение прямо сейчас.
Тогда формула становится управляемой:
S_attack = сумма ( вес_узла (сумма ( dt вес_порта * (сумма вес_программных_портов) )) )
Где dt переключает физический слой.
Что это даёт на практике?
dt = 0 → поверхность атаки резко уменьшается (порт физически отключён).
dt = 1 → порт активен, но вы осознанно идёте на риск.
6. Какие устройства это реализуют?
Датадиоды (однонаправленные, на физике):
dt всегда = 0.
Полноценный двусторонний удалённый доступ невозможен.
Идеальны для вывода данных, но не для управления.
Размыкатели / переключатели уровня L1 (Ethernet):
Позволяют физически разрывать или коммутировать канал.
Дают полноценный доступ по запросу.
Могут комбинироваться с VPN (но один VPN — не гарантия, а вместе с L1-размыкателем — очень хорошо).
Итог
Не ищите «серебряную пулю». Архитектура защиты АСУ ТП должна строиться на комбинации решений с разными механизмами: физика, математика, алгоритмы.
Если вам нужен безопасный удалённый доступ — не полагайтесь только на VPN. Рассмотрите датадиоды (для вывода данных) и размыкатели L1 (для управляемого подключения). И главное — научитесь управлять поверхностью атаки динамически, переключая физический слой, а не только правила файрвола.
Вопросы сообществу:
А как вы оцениваете доверие к вендорским ПАК? Верите ли вы в натурные испытания ИБ-железа? Делитесь опытом в комментариях.
Комментарии (13)
matroskinufa
31.03.2026 09:32А можно инфобез держать подальше от АСУТП? Самый страшный враг АСТУПшника - истеричный инфобезовец, который судорожно блочит все маршрутизаторы из офиса, не задумываясь об информационных потока, а потом идет попивать кофеек, пока насосная не видит уровни в резервуарах.
Причем не понятно, зачем заводские сети включать в корпоративную? Все равно обмен данными идёт через перебивание данных в excel таблицу из журнала бумажного на офисном компе. Все эти красивые рассказы об интеграции в MES и прочее - остаются красивыми рассказами.
bardak_roman
31.03.2026 09:32Что то у вас все совсем плохо
matroskinufa
31.03.2026 09:32Не у меня, а у одного из лидеров...
Забавно наблюдать, как телеметрию настраивают, не понимая сути передаваемых параметров. Причем это не какой-то отдельный интегратор тупит, и даже не отдельная контора, а регулярная практика. Тут забрали, там отобразили. Ой, а чего это? А вот это куда? Ой, а список параметров утвердили не задумываясь о потребностях? А чего это Вы нам не сказали? А чего не предупредили? Друг-сосиска, а ты не только не спрашивал, а еще и огрызался на этапе согласования, что тебе виднее.
Luboff_sky
31.03.2026 09:32Не из Газпрома случайно? Ситуация 1 в 1))) Мы тут вам щас назащищаем и т.п.
GidraVydra
31.03.2026 09:32Какое удивительное открытие: если тому параметру, который нам нравится, дать наибольший вес, а тому, который нам не нравится - наименьший, то выиграют суммы, где доля нравящегося нам параметра максимальна. Вот это поворот!
Скажите, а вы точно понимаете, что такое
продукт шифровальный квантосодержащий"криптография на квантовых принципах"? Это не квантовая криптография, если что, там нет системы с квантовой запутанностью как физическго носителя. А "генерация ключей на квантовых принципах" это ровно такой же исполняемый на неквантовой машине алгоритм, как и другие.
etherCUT Автор
31.03.2026 09:32Да, волюнтаризм это наше все :)
Ммм, может быть вы и правы, а я стал жертвой маркетинга. Но когда я на сайте известного российского разработчика читаю описание реального коммерческого продукта содержащее слова "Квантовая криптографическая система выработки и распределения ключей" то этому и верю (может и по наивности). Но все же при прочтении их тех документации там было описание того что они имеют в виду под квантовыми эффектами в своих решения. Квантовые эффекты это ведь не только запутанность. В их решениях есть кусок реальной физики.GidraVydra
31.03.2026 09:32Но все же при прочтении их тех документации там было описание того что они имеют в виду под квантовыми эффектами в своих решения.
Было бы интересно посмотреть. Но все-таки термин "квантовая криптография" относится именно к тем системам, где квантовые эффекты используются именно для передачи информации. Если говорить про локальные операции типа генерации ключей, то там можно за уши притянуть к квантовым эффектам что угодно, т.к. элемент современной интегральной микросхемы просто в силу геометрических размеров проявляет квантовые эффекты.
Andreas_Fogel
31.03.2026 09:32Вообще для безопасности хватает лишь датадиодов и какого нибудь шифрования, и оформить это в черный ящик с крон джобами. Да и все. Конечно же масштабирование и реализация зависит от сферы бизнеса и его геоструктуры. Но решение наиболее уриверсальное, если вам надо просто данные датчиков передавать и логи записывать.
cpud47
Автотесты и фаззинг вполне себе закрывает эту проблему. Другое дело, что обычно тяжело проверить покрытие и тщательность проверок — но аналогичная история с вышеупомянутыми релейными защитами: никто не знает насколько тщательное покрытие были в их тестах (и оно гарантированно не исчерпывающие...).
Поэтому этот тезис опять же выливается в доверие к людям.
etherCUT Автор
Автотестинг и фаззинг спасут мир?? А Микрософт про данные секретные методы видимо вообще не в курсе? Иначе не объяснить то как некоторое время назад половина аэропортов в мире встали колом с синим экраном смерти.
cpud47
Это не совсем тот тезис, который я здесь говорю. Я лишь говорю о том, что аналогично тестам и симуляциям для физического оборудования, точно также можно делать тесты и фаззинг для тех же МЭ. Т.е. пример из Вашей статьи не совсем честный.
А вот качество что тех, что других тестов — это уже на совести и доверии к производителю...
P.S. хабр съел конец предыдущего комментария: "что именно подразумевается под ПАК ИБ на квантовых принципах? Речь о постквантовой криптографии, или о всяких bb84 и ко?"
etherCUT Автор
Категорически не согласен. Никакие имитации входного потока на МЭ не смогут выявить например встроенную закладку.
В части решений на квантовых принципах я опирался на описание коммерчески доступных решений этого класса одного из наших российских разработчиков. Там насколько я понимаю речь шла о формирование ключей с приживлением квантовой физики.
cpud47
Закладку можно спрятать много где. Даже в релейной защите. И вообще говоря, внешними тестами эту закладку не обнаружить. Для обнаружения закладки где-либо требуется как минимум реверс...
Если речь о гсч, то это не прям сильно повышает степень защиты. Современные ксгспч генерируют достаточно стойкие ключи для большинства приложений.
Если речь о протоколах установления общего секрета, то они же все имеют очень сильные технические ограничения к каналам связи... Так-то понятное дело, что прокопать прямой провод до объекта всегда лучше, чем использовать общественные сети — но это редко целесообразно.