На самом деле, тема не такая уж и ненужная — в России немало организаций, в отсутствии актуальных российских документов, следуют требованиям NERC CIP (исключая аудит, конечно). Кто-то смотрит на документы NIST. Ну а так как мы (я имею ввиду Cisco) участвуем в разработке NIST’овских стандартов по ИБ, а также знаем и отечественную нормативку, то можем смотреть на проблему с двух сторон 😉
В целом же могу заметить, что моя заметка от 5 сентября по-прежнему актуальна 😉 Я не могу считать себя большим специалистом-практиком по ИБ в индустриальных системах, но даже здравый смысл (не говоря уже о тоннах изученных материалов) подсказывает, что продвигать ИБ в ТЭК также как это делается для банков или персданных нельзя. Это совершенно разные области. Как с точки зрения технологической, так и с точки зрения «продажной». Ну нельзя предлагать свою универсальную ОС и говорить, что она решит все проблемы с недоверенной средой (а железо под и прикладная часть надо?). И классические услуги по аудиту просто так не предложить. И заявить, что выкиньте все иностранное (АСУ ТП, сенсоры, контроллеры и т.д.) и вкладывайте деньги в НИОКР по разработке отечественных решений тоже не сработает.
Я уже не говорю про то, что это при продаже защиты ПДн интегратор не несет никакой ответственности, т.к. там рисков неправильной реализации как таковых нет. В индустриальных системах МСЭ или сканер безопасности, нарушившие работу системы управления технологическими процессам, могут стать причиной многих человеческих жертв, экологической катастрофы или просто экономических убытков на миллиарды рублей. А готов ли интегратор отвечать за предлагаемые решения? Далеко не у всех вообще такой вопрос возникает — многие привыкли продавать свои продукты и услуги «as is» и рынку только еще предстоить учесть всю специфику работы в сегменте критически важных объектов.
А вообще все докладчики (кроме меня) были оптимистами в отношении ИБ в КВО 😉
Вот, веришь, на 100% со всем согласен. Даже без каких-либо но. Больше того скажу, что и аудит ИБ при текущем глубоко отрицательном уровне зрелости АСУ ТП в ИБ превращается скорее в комедию; тем более, когда на выходе ты понимаешь, что хоть что-то здесь сделать и внести изменения по результатам аудита практически невозможно (оч. сложно) — очень высокая цена внесения изменений. Поэтому чувствуешь себя кепом очевидность. А искать глубокие баги в на уровне приложений при аудите — да кому надо это баловство, когда вся основа вокруг вся кривая — косая дярывая на древних ОС, которые просто тупо не сменить без изменения всего. В итоге пока единственный выход — ГЛУБОКАЯ изоляция от внешних сетей.
А ИБ интеграторам в будущем в целом поле непаханное, наверное.
Я в этой теме пока придерживаюсь аналогичного твоему пессимистичного мнения с :). Покрайней мере практика пока это четко подтверждает.
Алексей, можете сделать доступными для скачивания ваши презентации?
В современных АСУ ТП понятие ИБ практически отсутствует как класс, это факт. Особенно этим грешат АСУ электрических комплексов (электрические станции и подстанции) (сильное влияние на это оказывает «белая кость энергетики» — релейщики, которые жутко консервативны до ретроградства). Глубокая изоляция тоже не панацея, в виду необходимости передавать оперативные данные на вышестоящие уровни управления в режиме on line.
Но что то делать нужно уже сейчас, хотя бы осложнить жизнь низкоквалифицированным хулиганам и минимизировать вред oт неадекватного персонала.
Алексей Викторович, в ваших презентациях уже содержатся конкретные предложения, которые можно реализовать прямо сейчас, думаю их можно узаконить хотя бы стандартами Федеральной сетевой компании.
Недавно разговаривал с человеком имеющим большой опыт в эксплуатации и внедрению АСУТП в Газпроме. Слова о том, что системы АУСТП узявимы с точки зрения ИБ разбивались о фразу: "Самоубийц на КВО нет!". Все необходимое и достаточное делается. Более того, все серьезные вендоры АСУТП Foxboro (Invensys), Yokogawa, Honeywell (Сименс по мнению собеседника к ним не относится) имеют свои решения обеспечения ИБ и активно их наращивают. Системным интеграторам не под силу тягаться с вендорами, но они могут внедрять решения ИБ в свои решения по автоматизации (такие примеры есть). Правда, это относится к интеграторам в области автоматизации. Остальным остается только искать узявимости в WinCC 🙂 Еще прозвучала мысль, что американцы, на которых мы равняемся, мягко говоря "самоубийцы" в вопросах обеспечения безопасности по сравнению с Европой и нами. В общем можно сказать, что люди на КВО понимают ответственность и несут ее в рамках ФЗ №116 и под неусыпным оком Ростехнадзора (а не ФСТЭК и ФСБ).
PS. Жаль не удалось посетить данную конференцию. На прошедшем семинаре-совещании ИБ АСУТП КВО был свидетелем выступлений по разным вопросам (Stuxnet и пр.) представителей Росатома, которые подтвердили верность фразы "самоубийц на КВО нет!"
Тоже был.
Тоже согласен.