Открыть сервис

Воздушный зазор

Воздушный зазор (англ. air gap) — это физическая изоляция компьютерной системы, сети или устройства от любых внешних сетей, включая интернет и локальные сети общего пользования. Термин используется в информационной безопасности для обозначения метода защиты, при котором передача данных между изолированной средой и внешним миром возможна только через физическое перемещение носителей информации (например, флеш-накопителей, оптических дисков) или путём прямого подключения периферийных устройств. Основная цель воздушного зазора — предотвратить несанкционированный удалённый доступ, атаки через сетевые протоколы и утечку данных по каналам связи.

История

Концепция воздушного зазора возникла в середине XX века, когда первые вычислительные системы, работавшие с секретными государственными данными, требовали полной изоляции от внешних сетей. В 1960-х годах в СССР и США разрабатывались системы управления военными объектами, которые не имели сетевых интерфейсов и работали автономно. С развитием интернета в 1990-х годах воздушный зазор стал стандартной практикой в оборонной промышленности, атомной энергетике и других критически важных отраслях.

В 2010-х годах, с ростом числа кибератак, направленных на промышленные системы (например, Stuxnet), воздушный зазор начали применять в банковской сфере, центрах обработки данных и системах управления технологическими процессами. Однако исследования показали, что даже изолированные системы могут быть скомпрометированы через физические носители или акустические каналы.

Принцип работы

Воздушный зазор реализуется путём полного отключения устройства от любых сетевых интерфейсов. Это означает:

  • Отсутствие Ethernet-портов, Wi-Fi-модулей, Bluetooth-адаптеров и других беспроводных технологий.
  • Физическое разъединение кабелей, соединяющих систему с внешними сетями.
  • Использование отдельных компьютеров или серверов, которые не подключены к корпоративной или глобальной сети.

Передача данных в такую систему осуществляется через «песочницу» (sandbox) — промежуточное устройство, которое проверяет носители информации на наличие вредоносного кода. Например, флеш-накопитель сначала подключается к проверочному компьютеру, который сканирует его антивирусом, и только затем данные переносятся на изолированную машину.

Классификация

Воздушные зазоры делятся на несколько типов в зависимости от уровня изоляции:

Физический воздушный зазор

Полная изоляция без каких-либо сетевых соединений. Используется в системах с максимальными требованиями к безопасности, например, в ядерных объектах или командных пунктах.

Логический воздушный зазор

Изоляция на программном уровне, при которой устройство физически подключено к сети, но доступ к нему ограничен через брандмауэры, виртуальные частные сети (VPN) или системы контроля доступа. Этот метод менее надёжен, так как возможны программные уязвимости.

Временный воздушный зазор

Периодическое отключение системы от сети для выполнения критических операций. Например, при обновлении программного обеспечения или передаче конфиденциальных данных.

Применение

Воздушный зазор используется в различных сферах, где требуется защита от кибератак:

Государственная безопасность

Системы управления ядерным оружием, шифровальные комплексы и базы данных разведки в России и других странах часто изолируются от интернета. Например, в России для работы с секретными документами используются автоматизированные системы «Аккорд» и «Страж», которые не имеют сетевых интерфейсов.

Промышленность

На предприятиях атомной энергетики, нефтегазового сектора и химической промышленности воздушный зазор применяется для защиты систем управления технологическими процессами (SCADA). Атака Stuxnet в 2010 году, которая поразила иранские центрифуги, показала, что даже изолированные системы уязвимы, если злоумышленники могут физически внедрить вредоносный код через носители.

Финансовый сектор

Банки используют воздушный зазор для хранения резервных копий данных и криптографических ключей. Например, в Центральном банке России серверы с ключами электронной подписи физически отключены от сети.

Медицина

В больницах, где работают с электронными медицинскими картами, воздушный зазор может применяться для защиты данных пациентов, особенно в системах, подключённых к аппаратам жизнеобеспечения.

Уязвимости и критика

Несмотря на высокий уровень защиты, воздушный зазор не является абсолютным. Исследователи выявили несколько способов обхода изоляции:

Атаки через физические носители

Вредоносное ПО может быть внедрено через флеш-накопители или оптические диски. Пример — вирус Stuxnet, который распространялся через USB-устройства и поражал системы управления.

Акустические и электромагнитные каналы

В 2013 году израильские учёные продемонстрировали метод «AirHopper», при котором данные передавались с изолированного компьютера на мобильный телефон через электромагнитное излучение монитора. Аналогично, акустические сигналы (например, звук вентилятора) могут быть модулированы для передачи информации.

Социальная инженерия

Злоумышленники могут получить доступ к изолированной системе, обманув сотрудников, которые физически переносят данные. Например, в 2017 году хакеры украли данные из системы Пентагона, используя подставных курьеров с заражёнными носителями.

Сторонние каналы

Тепловое излучение, вибрации и даже изменения напряжения в электросети могут быть использованы для утечки данных. В 2018 году группа исследователей из Университета Бен-Гуриона разработала метод «USBee», при котором USB-порт генерирует электромагнитные сигналы, передающие данные на расстояние до 2 метров.

Примеры

Система «Стрелец» (Россия)

В российской оборонной промышленности используется система «Стрелец», которая представляет собой изолированную сеть для управления зенитно-ракетными комплексами. Все данные передаются через защищённые носители, а доступ к системе возможен только с физических рабочих мест.

Атомная станция «Бушер» (Иран)

После атаки Stuxnet иранские власти ужесточили меры безопасности: все компьютеры на станции были отключены от интернета, а обновления ПО доставляются только через курьеров.

Банк России

В 2020 году Центральный банк РФ объявил о внедрении воздушного зазора для системы передачи финансовых сообщений (СПФС), чтобы защитить её от внешних кибератак.

Интересные факты

  • Термин «воздушный зазор» происходит от физического расстояния между устройствами, которое должно быть не менее нескольких сантиметров, чтобы исключить возможность электромагнитного взаимодействия.
  • В 2016 году исследователи из Университета Бен-Гуриона разработали метод «DiskFiltration», при котором данные с изолированного компьютера передавались через шум жёсткого диска.
  • Некоторые системы воздушного зазора используют «односторонние» оптические каналы, где данные могут передаваться только в одном направлении (например, с помощью лазера), что предотвращает обратную утечку.

Источники

  • Schneier, B. (2015). Data and Goliath: The Hidden Battles to Collect Your Data and Control Your World. W. W. Norton & Company.
  • Guri, M., et al. (2013). AirHopper: Bridging the Air-Gap between Isolated Networks and Mobile Phones. Ben-Gurion University of the Negev.
  • Langner, R. (2011). Stuxnet: Dissecting a Cyberwarfare Weapon. IEEE Security & Privacy.
  • Федеральная служба по техническому и экспортному контролю России (ФСТЭК). (2020). Методические рекомендации по защите информации в автоматизированных системах управления производственными процессами.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →