Якуб Сулейманов - эксперт из Николаева по волоконно-оптическим системам связи, учредитель инжиниринговой компании, член Межгосударственной гильдии инженеров-консультантов.
В IT-среде долгое время существовал устойчивый миф - если данные передаются по оптоволокну, они защищены по умолчанию. Логика простая — нет электромагнитного излучения, значит, нет и возможности перехвата.
На практике это не так. Оптоволокно действительно сложнее для атаки, чем медные линии. Но «сложнее» не означает «невозможно». И ошибка в этой оценке одна из самых опасных в проектировании инфраструктуры.
Пока команды безопасности сосредоточены на софте и сетевых протоколах, точка атаки может находиться на физическом уровне там, где проходит сама линия связи.
Это ключевое заблуждение. Существует эффект макроизгиба: при определенном изгибе волокна часть светового сигнала выходит за пределы сердцевины. Эти утечки крайне малы, но их можно зарегистрировать с помощью чувствительного оборудования.
Речь не идет о «полном съеме трафика» в бытовом понимании. Но при определенных условиях возможно извлечение части данных или служебной информации о канале.
Взлом не обязательно сопровождается аварией. В ряде случаев изменения сигнала находятся на уровне долей децибела. Если система мониторинга не настроена на такие отклонения, событие может остаться незамеченным. Это не массовый сценарий, а сложная, дорогостоящая атака. Но именно такие сценарии актуальны для критической инфраструктуры.
На практике слабое место не само волокно, а инфраструктура вокруг него. Наиболее уязвимыми точками являются муфты и соединения, кроссовые шкафы, распределительные узлы, кабельные колодцы.
Именно здесь возможен физический доступ к линии без разрушения всей системы. Безопасность канала кроется не только в шифровании. Это архитектура и контроль параметров. Мы проектируем сети так, чтобы любые изменения в характеристиках сигнала фиксировались и интерпретировались как событие. Проблема в том, что в реальных проектах физическая защита этих узлов часто уступает защите серверной инфраструктуры.
В ходе аудитов регулярно выявляется одна и та же картина. Линия формально защищена, но отсутствует контроль ее состояния.
Типичный кейс - наличие несанкционированного оборудования на промежуточных участках. Это не всегда «шпионские устройства» в классическом смысле, но любые неконтролируемые подключения создают риск утечки или деградации сигнала.
Ключевая проблема заключается в отсутствие базового эталона. Если у сети нет «нормального» профиля параметров, любые отклонения просто не с чем сравнивать.
Защита ВОЛС представляет собой не одну технологию, а комбинацию инженерных решений и мониторинга. На самом деле принцип простой: система должна быть наблюдаемой. Мы должны понимать, что происходит с сигналом в любой момент времени и где именно возникают отклонения.
На практике это включает несколько уровней. Мониторинг мощности сигнала. Даже незначительные отклонения могут указывать на физическое воздействие. Рефлектометрический контроль, линия имеет свой «профиль», и любое изменение в нем фиксируется. Контроль доступа к физической инфраструктуре. Без этого любые технические меры теряют смысл. Ну и само собой шифрование. Если перехват все же произошел, данные должны оставаться недоступными для интерпретации.
Безопасность находится не на уровне приложений. Фактически она начинается с физической среды передачи. Если этот уровень не контролируется, все остальные меры от фаервола до сложных систем обнаружения атак работают в ограниченном режиме.
Оптоволокно - это надежная, но считать ее полностью «неуязвимой» опрометчиво. Его безопасность определяется не материалом, а тем, как спроектирована и контролируется вся система вокруг него. И главный риск заключается не в самой технологии, а уверенность в том, что она не требует внимания.