Росстандарт утвердил первый отечественный криптопротокол на уровне стандарта
Росстандарт утвердил спецификацию протокола защищенного обмена для индустриальных систем ГОСТ Р 71252–2024. Стандарт разработало АО "ИнфоТеКС", а внес в Росстандарт Технический комитет по стандартизации "Криптографическая зашита информации" (ТК 26). Документ стал первым национальным стандартом РФ, описывающим криптографический протокол.
Применять новый национальный стандарт можно в качестве слоя зашиты для протокола LoRaWAN RU (ГОСТ Р 71168-2023), NB-IoT, ZigBee, XNB, а также для ряда промышленных протоколов.
Высокая энергоэффективность позволяет использовать криптографический протокол CRISP (CRyptographic Industrial Security Protocol, промышленный криптографический безопасный протокол) не только в автоматизированных системах управления технологическим процессом (АСУ ТП), но и в IIoT-системах с питанием от батарей или из среды функционирования. Свойства протокола CRISP позволяют с его помощью защищать данные, передаваемые как в TCP/IP-сетях, так и в сетях, построенных на других технологиях, используемых в промышленности.
"ИнфоТеКС" использует криптографический протокол CRISP в продуктах решения ViPNet SIES, ориентированных на защиту сетей IioT и АСУ ТП. По оценкам вендора, уже в 2024 г. только в интеллектуальных системах учета электроэнергии должно быть установлено около 10 тыс. устройств, использующих протокол CRISP.
"Национальный стандарт выпущен на основе документа "Рекомендация по стандартизации 1323565.1.029–2019″. Сам протокол разрабатывался в 2017-2018 гг. в тесной кооперации с рядом российских производителей ПЛК. Разработка велась с нуля, в ней не использовались наработки или подходы западных вендоров. По ряду разработанных стандартов по промышленным и IIoT-протоколам в последние годы эксперты TK 26 рекомендовали применение спецификации CRISP для цели решения вопросов информационной безопасности. Например, речь идет о протоколе LoRaWAN RU, ставшем недавно ГОСТ Р 71168-2023, и о протоколе ПИРС ГОСТ Р 59966-2021. Документ, как и рекомендация по стандартизации, проходил рассмотрение в профильных технических комитетах - ТК 016 "Электроэнергетика", ТК 362 "Защита информации", ТК 023 "Нефтяная и газовая промышленность". Такие подробности о работе над стандартом сообщила пресс-служба АО "ИнфоТеКС".
Заместитель директора АНО "Платформа НТИ", председатель ТК 194 "Кибер-физические системы" Никита Уткин в комментарии для ComNews отметил, что в рамках соглашения о взаимодействии между ТК 26 и ТК 194 идет системная работа, в том числе по смежным для обеих структур тематикам, и благодаря этому своевременно осуществлялась отработка вопросов практического внедрения почти всех протоколов интернета вещей, разработка которых осуществлялась на базе ТК 194.
"Объектом стандартизации данного документа является криптографическая защита информации, являющаяся сферой ответственности ТК 26, поэтому он не требовал согласования и не согласовывался с ТК 194. Конечно же, CRISP не является и не позиционируется разработчиками в качестве замены ранее утвержденным протоколам интернета вещей, включая LoRaWAN RU, NB-Fi, OpenUNB, OpenRAN и др. Его использование предполагается в качестве слоя защиты для них. Сфера криптографической защиты информации по праву считается одной из наиболее консервативных, поскольку цена ошибки в этой сфере бывает крайне болезненной. Неслучайным в этом контексте является тот факт, что стандарт разработан на основе рекомендаций по стандартизации Р 1323565.1.029-2019 после их долгосрочной апробации при участии важного отраслевого игрока в лице "ИнфоТеКС". Уверены, что данный документ вызовет заметный интерес рынка, как и все документы, внесенные на утверждение ТК 26″, - рассказал Никита Уткин.
Руководитель департамента защиты киберфизических систем ООО "Актив" Алексей Лазарев считает данный стандарт очень нужным и своевременным: "Стандарт разрабатывался с целью обеспечения применимости в максимально широком диапазоне сопутствующих стандартов и протоколов обмена данными. Минимальный размер пакета, содержащего всю необходимую информацию, для его обработки допускает использование в подавляющем множестве устройств и систем. В том числе и в слабых, с точки зрения вычислительной мощности, автономных устройствах. CRISP помогает решить проблему "зоопарка технологий", с которой специалисты неизбежно сталкиваются на текущем этапе развития информационных систем. Сфера IoT, наверное, - наиболее яркий пример".
Генеральный директор ООО "ЭНКОСТ" (разработчик системы мониторинга промышленного оборудования) Владимир Зайцев считает появление ГОСТ Р 71252-2024 частью общей тенденции к стандартизации IoT в России: "В конце декабря 2023 г. утвержден национальный стандарт протокола LoRaWAN для IoT. Теперь - национальный стандарт протокола защищенного обмена данными для индустриальных систем (CRISP). Это важный шаг к большей безопасности и прозрачности российской IoT-инфраструктуры. Интернет вещей связан со сбором и хранением большого количества критически важной для бизнеса информации. И последствия ее подмены или перехвата могут быть очень чувствительными для бизнеса. Поэтому стандартизация - это логичный и правильный шаг. Первыми на стандарт перейдут поставщики крупных корпоративных индустриальных IoT-систем. Также он может использоваться в различных счетчиках, но, скорее всего, для разработчиков таких устройств переход будет слишком дорогим. С технической точки зрения стандарт не может ничего нарушить. Наоборот, он поможет упростить вывод новых продуктов на рынок, обеспечить высокий уровень их защиты, а также будет способствовать развитию отрасли".
Менеджер продуктов Innostage Евгений Сурков считает, что стандарт будет полезен, особенно если позволит использовать различные алгоритмы шифрования или хотя бы методы защиты секретов для обеспечения безопасной передачи данных, чтобы все яйца не были сложены в корзину единственного подхода: "Разумеется, для удовлетворения требованиям стандарта могут понадобиться наложенные средства защиты либо модификация уже производимого оборудования. Что в итоге окажется эффективнее - в каждом конкретном случае будет определять рыночный консенсус производителей IoT- и ИБ-продуктов. Также для минимизации рисков важен переходный период, в течение которого несовместимые с новым стандартом устройства должны быть модифицированы, чтобы переход не привел к банкротству небольших компаний, в том числе потребителей продукции, или к стагнации рынка из-за перекладывания издержек на потребителя. Правильно подобранные определения стандарта способны также простимулировать отечественных разработчиков".
По мнению Алексея Лазарева, влияние на работоспособность систем при внедрении CRISP будет минимальным: "CRISP предполагает использование минимального оверхеда над обрабатываемой информацией, буквально пару десятков байт. Поэтому влияние на существующие информационные системы - ниже уровня погрешности. Доработка программной части также не вызовет особых затруднений. Наоборот, приведение устройств к общему стандарту даст возможность повысить защищенность систем, а следовательно, их общую надежность, и ускорит процесс развертывания систем. Решения "Рутокен" для киберфизических систем уже имеют поддержку этого стандарта, и на рынке уже много проектов, где апробированы и реально работают продукты с поддержкой CRISP. Так что прогнозы на количество внедрений, сделанные коллегами из "ИнфоТеКС", выглядят реалистично".