проверить режимы и реакцию плк.

в режиме пентест не рекомендуем. только в режимах аудита и комплаенса. для плк они безболезнены.

Пока безопасник добежит с ноутбуком до цеха, уже тех.окно закончится

ну, сети асу статичны как правило. там обновления на много реже проводят. поэтому постоянно сканить смысла большого нет. В этом плане лучше мониторить изменения  в инфраструктуре. действия пользователей, ну и малварь разумеется отлавливать.

Ну а соответственно если сразу за периметровым МЭ сервак МП поставить и под сканирование правило написать?

в самом начале предложил

у вас всё равно полинг, реквесты прилетят же на хосты. тот же опрос портов будет выполняться...в режиме пентест ещё и сервисы дёргать будет, брутить...

Но если сервак в отдельную зону безопасности выделить
И просто все дропать

что дропать? запросы от него? и сканы?😂

Я знаю один конкретный пример когда настроенное  в целях реализации мер по ИБ сканирование на уязвимости положило в 0 очень крупный объект генерации. Удобство использования промышленной сети Ethernet на самом деле на практике способствует появлению таких инцидентов. По хорошему любой доступ с целями конфигурирования и диагностики с использованием промышленных сетей должен регламентироваться примерно так же, как регламентируется доступ к электроустановкам. Мне как то так кажется...

Таких примеров достаточно. Причины всегда разные. Именно поэтому  должны быть регламенты, эксплуатация сканеров в тех паузы строго и  выполнение рекомендаций производителей как сканеров, так и АСУ ТП.

Зачем злодеям эксплуатировать уязвимости, если достаточно просто просканировать сеть.

чтобы просканировать до неё ещё сканером добраться надо. и остаться при этом незамеченным.

Еще интересный документ по счетчикам - профиль защиты (претендует быть общеевропейским) электрического счетчика:

Меры защиты

более детально