Моя презентация с конференции «Безопасность КВО ТЭК»

Вчера прошла конференция «Безопасность в КВО ТЭК«, организованная АИС. Хорошее мероприятие — новое на российском рынке ИБ. Потому и интерес вызвало со стороны отрасли — аудитория в зале сидела интересная — действительно те, кто отвечает за безопасность, в т.ч. и индустриальных систем. Меня просили сделать краткий доклад на тему стандартов Североамериканской электрический корпорации (NERC) по информационной безопасности критических инфраструктур (CIP). Но я чуть расширил тему, рассмотрев общие вопросы ИБ в американской электроэнергетике.

На самом деле, тема не такая уж и ненужная — в России немало организаций, в отсутствии актуальных российских документов, следуют требованиям NERC CIP (исключая аудит, конечно). Кто-то смотрит на документы NIST. Ну а так как мы (я имею ввиду Cisco) участвуем в разработке NIST’овских стандартов по ИБ, а также знаем и отечественную нормативку, то можем смотреть на проблему с двух сторон 😉

В целом же могу заметить, что моя заметка от 5 сентября по-прежнему актуальна 😉 Я не могу считать себя большим специалистом-практиком по ИБ в индустриальных системах, но даже здравый смысл (не говоря уже о тоннах изученных материалов) подсказывает, что продвигать ИБ в ТЭК также как это делается для банков или персданных нельзя. Это совершенно разные области. Как с точки зрения технологической, так и с точки зрения «продажной». Ну нельзя предлагать свою универсальную ОС и говорить, что она решит все проблемы с недоверенной средой (а железо под и прикладная часть надо?). И классические услуги по аудиту просто так не предложить. И заявить, что выкиньте все иностранное (АСУ ТП, сенсоры, контроллеры и т.д.) и вкладывайте деньги в НИОКР по разработке отечественных решений тоже не сработает.

Я уже не говорю про то, что это при продаже защиты ПДн интегратор не несет никакой ответственности, т.к. там рисков неправильной реализации как таковых нет. В индустриальных системах МСЭ или сканер безопасности, нарушившие работу системы управления технологическими процессам, могут стать причиной многих человеческих жертв, экологической катастрофы или просто экономических убытков на миллиарды рублей. А готов ли интегратор отвечать за предлагаемые решения? Далеко не у всех вообще такой вопрос возникает — многие привыкли продавать свои продукты и услуги «as is» и рынку только еще предстоить учесть всю специфику работы в сегменте критически важных объектов.

А вообще все докладчики (кроме меня) были оптимистами в отношении ИБ в КВО 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. ilya

    Вот, веришь, на 100% со всем согласен. Даже без каких-либо но. Больше того скажу, что и аудит ИБ при текущем глубоко отрицательном уровне зрелости АСУ ТП в ИБ превращается скорее в комедию; тем более, когда на выходе ты понимаешь, что хоть что-то здесь сделать и внести изменения по результатам аудита практически невозможно (оч. сложно) — очень высокая цена внесения изменений. Поэтому чувствуешь себя кепом очевидность. А искать глубокие баги в на уровне приложений при аудите — да кому надо это баловство, когда вся основа вокруг вся кривая — косая дярывая на древних ОС, которые просто тупо не сменить без изменения всего. В итоге пока единственный выход — ГЛУБОКАЯ изоляция от внешних сетей.
    А ИБ интеграторам в будущем в целом поле непаханное, наверное.

    Я в этой теме пока придерживаюсь аналогичного твоему пессимистичного мнения с :). Покрайней мере практика пока это четко подтверждает.

    Ответить
  2. ser-storchak

    Алексей, можете сделать доступными для скачивания ваши презентации?

    Ответить
  3. Nixmak

    В современных АСУ ТП понятие ИБ практически отсутствует как класс, это факт. Особенно этим грешат АСУ электрических комплексов (электрические станции и подстанции) (сильное влияние на это оказывает «белая кость энергетики» — релейщики, которые жутко консервативны до ретроградства). Глубокая изоляция тоже не панацея, в виду необходимости передавать оперативные данные на вышестоящие уровни управления в режиме on line.
    Но что то делать нужно уже сейчас, хотя бы осложнить жизнь низкоквалифицированным хулиганам и минимизировать вред oт неадекватного персонала.
    Алексей Викторович, в ваших презентациях уже содержатся конкретные предложения, которые можно реализовать прямо сейчас, думаю их можно узаконить хотя бы стандартами Федеральной сетевой компании.

    Ответить
  4. Rusik

    Недавно разговаривал с человеком имеющим большой опыт в эксплуатации и внедрению АСУТП в Газпроме. Слова о том, что системы АУСТП узявимы с точки зрения ИБ разбивались о фразу: "Самоубийц на КВО нет!". Все необходимое и достаточное делается. Более того, все серьезные вендоры АСУТП Foxboro (Invensys), Yokogawa, Honeywell (Сименс по мнению собеседника к ним не относится) имеют свои решения обеспечения ИБ и активно их наращивают. Системным интеграторам не под силу тягаться с вендорами, но они могут внедрять решения ИБ в свои решения по автоматизации (такие примеры есть). Правда, это относится к интеграторам в области автоматизации. Остальным остается только искать узявимости в WinCC 🙂 Еще прозвучала мысль, что американцы, на которых мы равняемся, мягко говоря "самоубийцы" в вопросах обеспечения безопасности по сравнению с Европой и нами. В общем можно сказать, что люди на КВО понимают ответственность и несут ее в рамках ФЗ №116 и под неусыпным оком Ростехнадзора (а не ФСТЭК и ФСБ).
    PS. Жаль не удалось посетить данную конференцию. На прошедшем семинаре-совещании ИБ АСУТП КВО был свидетелем выступлений по разным вопросам (Stuxnet и пр.) представителей Росатома, которые подтвердили верность фразы "самоубийц на КВО нет!"

    Ответить
  5. Dorofeev

    Тоже был.
    Тоже согласен.

    Ответить