Модернизация подходов к ИБ АСУ ТП
Июнь 2015 года. Как развивался российский рынок обеспечения информационной безопасности АСУ ТП? Каково его нынешнее состояние, какие проблемы присущи этому рынку и в каких направлениях следует продвигаться? Об этом журналу «Безопасность деловой информации» рассказал Олег Кузьмин, директор департамента информационной безопасности «Ай-Теко».
Драйверы рынка ИБ
Современное состояние российского и мирового рынков ИБ диктует необходимость в драйверах, обеспечивающих поступательное и как можно более быстрое развитие всего этого направления и его составляющих. Таким драйвером являются и обязательные к выполнению положения отечественного законодательства о персональных данных (Пдн), требования к защите которых постоянно совершенствуются, усложняются, а порой и серьезно видоизменяются. Очередным изменением законодательства о ПДн стало введение 21 июля 2014 г. закона №242‑ФЗ («О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»), определяющего новые обязательные требования к обработке персональных данных. Закон придал новый импульс крупным проектам переноса обработки ПДн на территорию РФ. Периодические всплески интереса к другим направлениям ИБ, например к DLP-системам, и рост устойчивого спроса на них происходят без явного активного присутствия регуляторов и обусловлены несколько иными факторами. Среди них, прежде всего, — выявленные инциденты, связанные с кражей данных инсайдерами, которые привели к негативным для бизнеса последствиям. Однако случаев грамотного, с правильными выводами расследования инцидентов в бизнес-среде насчитывается сравнительно немного, и, как правило, пострадавшая сторона старается их особо не афишировать. Еще одним достаточно мощным стимулятором затрат на ИБ является последовательное массированное нагнетание СМИ тревожности по поводу мировой статистики инцидентов ИБ и безудержного роста числа уязвимостей. Появляются статьи-«страшилки» с комментариями специалистов по безопасности, эксперты выступают с соответствующими сентенциями по радио и ТВ… А венчают маркетинговый ажиотаж целевые секции на профильных мероприятиях по безопасности, на которых профессионалы маркетинга/продаж и публичных выступлений учат жизни специалистов по ИБ и ИТ, довольно банально, но зато в ярких красках живописуя, как и на что следует тратить имеющиеся в распоряжении компаний бюджеты.
Что имеем
Сравнительно недавно появилось новое направление информационной безопасности — ИБ АСУ ТП. Напомним, использование АСУ ТП подразумевает оснащение промышленных, энергетических и транспортных предприятий комплексами программных и технических средств, предназначенных для автоматизации управления технологическим оборудованием и контроля над такими объектами. Системы АСУ ТП и SCADA-системы (Supervisory Control and Data Acquisition — диспетчерское управление и сбор данных) мирно существовали примерно с 1970—1980‑х гг. прошлого века. Внедряя АСУ ТП, промышленные пред- приятия заботились, прежде всего, об увеличении объема своей продукции и совершенствовании производства до уровня, определяемого мировыми стандартами. Если на них и рассматривались вопросы безопасно- сти, то лишь промышленной, а не информационной. Еще сейчас на отдельных предприятиях работают АСУ ТП, эксплуатация которых началась более 25 лет назад. Первыми звонками, которые свидетельствовали о необходимости начать рассматривать SCADA-системы с точки зрения ИБ, стали инциденты, связанные с временной остановкой производственных процессов. Они были вызваны как проникновением вирусов в АСУ ТП, прежде изолированные от взаимодействия с другими компьютерными сетями, так и целенаправленными вредоносными действиями спецслужб недружественных государств и доморощенных инсайдеров. Имеется неофициальная информация о том, что еще в далеком 1983 г. в СССР инсайдер совершил первое в истории преступление в сфере высоких технологий, в результате которого при- остановилась работа конвейера автомобильного завода. Значимость проблемы обеспечения информационной безопасности АСУ ТП постепенно нарастала как в общемировом, так и локальном масштабе. Терять плановую прибыль в результате, как минимум, приостановки производства на неопределенное время, а потом заниматься восстановлением нормальной работы с неясными финансовыми последствиями ни у кого желания не возникало. Соответственно, многие предприятия стали выделять бюджеты на меры по обеспечению информационной безопасности АСУ ТП. Пытаться осваивать эти бюджеты принялись все кому не лень, в том числе системные интеграторы. Это объяснялось тем, что формально для выполнения таких работ требовалась лишь лицензия ФСТЭК на техническую защиту конфиденциальной информации. Очень скоро в каждом из объявленных заказчиками конкурсов стали участвовать по 10—12 претендентов на освоение соответствующего бюджета; наблюдался очень серьезный демпинг, обуславливавший падение первоначальных цен в четыре раза и даже более. Все эти факты свидетельствовали о полном непонимании участниками рынка, претендующими на выполнение работ по обеспечению ИБ АСУ ТП, и заказчиками этих работ характера решаемых задач. При этом деятельность в области ИБ АСУ ТП совершенно не похожа на ту, которой системные интеграторы и прочие компании занимались ранее, при реализации ИБ-проектов в корпоративных сетях и ЦОДах заказчиков. В случае АСУ ТП необходимы принципиально новые специальные знания (технологий производства, систем управления производством, промышленных протоколов передачи данных и технологических систем) и много других навыков и знаний. Кроме того, к решению задачи нужно подходить с хорошим пониманием того, что происходит на объекте защиты и вокруг него, как будут развиваться события в нестандартной или аварийной ситуации, какие службы и категории специалистов будут задействованы и т.д.
К сожалению, такие знания пока не очень-то присущи даже очень грамотному «продвинутому» инженеру, работающему в области системной интеграции. А осознание данного факта исполнителями происходит очень медленно — если происходит вообще. С таким подходом к делу говорить о высокой эффективности соответствующих работ говорить пока не приходится. Предмет их весьма серьезен. Возможными последствиями того, что при обследовании объекта защиты какие‑то важные факторы будут по неведению не приняты во внимание и не учтены, могут стать не только неверные выводы, связанные с организацией защиты информации. Не исключены и фатальные ошибки, способствующие возникновению техногенных катастроф или непредвиденному развитию их последствий.
Вопросы и ответы
Сейчас в области обеспечения информационной безопасности АСУ ТП есть множество вопросов, не имеющих однозначных ответов, и проблем. Среди них, прежде всего, нужно отметить следующие:
- постановка задачи организации защиты АСУ ТП в рамках каждого проекта осуществляется по-разному;
- отмечается неопределенность подходов к формированию модели угроз;
- неясно, каким образом нужно соотносить требования документов ФСТЭК к ключевым системам информационной инфраструктуры и Приказа №31 ФСТЭК от 14.03.2014 г., нацеленного на обеспечение ИБ АСУ ТП на критически важных и потенциально опасных объектах;
- отсутствует единая терминология, связанная как с объектом защиты, так и с направлением в целом.
Соответственно, в разных источниках объект может называться «критически важным», «потенциально опасным», «объектом жизнеобеспечения», «особо опасным» и пр. Не менее критично отсутствие нужных компетенций у системных интеграторов и прочих исполнителей проектов. Сейчас инженеры по ИБ, в лучшем случае, обладают базовыми знаниями в области информационных технологий и специфическими — в области информационной безопасности. Как правило, среди исполнителей пока не встречаются специалисты, хорошо знающие принципы организации технологических и управленческих процессов на крупных предприятиях, работу МЧС, экологов и проектировщиков АСУ ТП, особенности систем физической защиты объектов, промышленной и экономической безопасности, разработки концепции базовой и эшелонированной обороны предприятия, предусматривающей конкретные действия по защите объекта.
Наконец, нет четкого понимания того, от кого и чего нужно защищать АСУ ТП. Требуется, как минимум, хорошо знать модель угроз, чтобы строить в соответствии с ней эффективную систему защиты. Необходимо также понимать и анализировать возможные сценарии развития негативных событий в зависимости от типов инцидентов — целевой атаки на объект, технологической аварийной ситуации, глобального кибернападения (на страну или отдельную отрасль). Требуется серьезный пересмотр стратегических взглядов на вопросы ИБ, а прежде всего — правовых актов России. Так современные доктрина информационной безопасности РФ и военная доктрина РФ в области обеспечения безопасности не только не отражают актуальных реалистичных подходов к обеспечению информационной безопасности (особенно кибербезопасности), но и не связаны между собой. В промышленности, энергетике, химической и транспортной отраслях требуется значительное изменение используемых принципов создания отраслевых документов в области ИБ — начиная с разработки и принятия базовых стратегий кибербезопасности и методических указаний по выполнению их требований. Во время такой работы, основанной на действующих в России правовых актах, необходимо не слепо копировать положения стратегий, принятых в других странах, а создавать собственные продукты. Конечно, при этом нужно базироваться на детальном анализе и выводах из мирового опыта, изложенного в национальных стратегиях кибербезопасности различных государств. Должно быть достигнуто на государственном уровне понимание предстоящих задач в области обеспечения кибербезопасности как Российской Федерации в целом, так и ее отдельных субъектов или отраслей на базе полноценного анализа всех факторов влияния и возможных негативных последствий бездействия или недостаточно грамотных действий ответственных лиц всех уровней. Работа должна строиться на основе прогнозирования, заблаговременного предупреждения нежелательных событий, немедленного грамотного реагирования на инциденты, грамотного управления действиями персонала, готовности к минимизации и ликвидации возможных негативных последствий нештатных ситуаций. В конечном счете, необходимо продвигаться к созданию адаптивной модели систем управления, обеспечивающей превентивное реагирование на вызовы кибербезопасности и позволяющей сохранять эффективность работы в условиях частичного нарушения или полного отсутствия на объектах АСУ ТП системы связи, любых других внешних и внутренних коммуникаций.
Ссылка на оригинал статьи:
bis-expert.ru
партнера
АНКЕТА ПОДРЯДЧИКА / ПОСТАВЩИКА
Заполните форму ниже, и мы вскоре свяжемся с вами
Заявка отправлена
Спасибо за вашу заявку
Благодарим за регистрацию на вебинар!
На указанную почту придет ссылка на подключение к мероприятию.
Заявка не отправлена
Ваша заявка не отправлена
Попробуйте повторить операцию. Если не получается снова, напишите нам income@i-teco.ru и мы вам поможем
Регистрация прошла успешно
Спасибо за регистрацию!
Благодарим вас за регистрацию на мероприятие. Подтверждение участия будет направлено отдельным письмом