Вчера прошла конференция "Безопасность в КВО ТЭК", организованная АИС. Хорошее мероприятие - новое на российском рынке ИБ. Потому и интерес вызвало со стороны отрасли - аудитория в зале сидела интересная - действительно те, кто отвечает за безопасность, в т.ч. и индустриальных систем. Меня просили сделать краткий доклад на тему стандартов Североамериканской электрический корпорации (NERC) по информационной безопасности критических инфраструктур (CIP). Но я чуть расширил тему, рассмотрев общие вопросы ИБ в американской электроэнергетике.
На самом деле, тема не такая уж и ненужная - в России немало организаций, в отсутствии актуальных российских документов, следуют требованиям NERC CIP (исключая аудит, конечно). Кто-то смотрит на документы NIST. Ну а так как мы (я имею ввиду Cisco) участвуем в разработке NIST'овских стандартов по ИБ, а также знаем и отечественную нормативку, то можем смотреть на проблему с двух сторон ;-)
В целом же могу заметить, что моя заметка от 5 сентября по-прежнему актуальна ;-) Я не могу считать себя большим специалистом-практиком по ИБ в индустриальных системах, но даже здравый смысл (не говоря уже о тоннах изученных материалов) подсказывает, что продвигать ИБ в ТЭК также как это делается для банков или персданных нельзя. Это совершенно разные области. Как с точки зрения технологической, так и с точки зрения "продажной". Ну нельзя предлагать свою универсальную ОС и говорить, что она решит все проблемы с недоверенной средой (а железо под и прикладная часть надо?). И классические услуги по аудиту просто так не предложить. И заявить, что выкиньте все иностранное (АСУ ТП, сенсоры, контроллеры и т.д.) и вкладывайте деньги в НИОКР по разработке отечественных решений тоже не сработает.
Я уже не говорю про то, что это при продаже защиты ПДн интегратор не несет никакой ответственности, т.к. там рисков неправильной реализации как таковых нет. В индустриальных системах МСЭ или сканер безопасности, нарушившие работу системы управления технологическими процессам, могут стать причиной многих человеческих жертв, экологической катастрофы или просто экономических убытков на миллиарды рублей. А готов ли интегратор отвечать за предлагаемые решения? Далеко не у всех вообще такой вопрос возникает - многие привыкли продавать свои продукты и услуги "as is" и рынку только еще предстоить учесть всю специфику работы в сегменте критически важных объектов.
А вообще все докладчики (кроме меня) были оптимистами в отношении ИБ в КВО ;-)
На самом деле, тема не такая уж и ненужная - в России немало организаций, в отсутствии актуальных российских документов, следуют требованиям NERC CIP (исключая аудит, конечно). Кто-то смотрит на документы NIST. Ну а так как мы (я имею ввиду Cisco) участвуем в разработке NIST'овских стандартов по ИБ, а также знаем и отечественную нормативку, то можем смотреть на проблему с двух сторон ;-)
В целом же могу заметить, что моя заметка от 5 сентября по-прежнему актуальна ;-) Я не могу считать себя большим специалистом-практиком по ИБ в индустриальных системах, но даже здравый смысл (не говоря уже о тоннах изученных материалов) подсказывает, что продвигать ИБ в ТЭК также как это делается для банков или персданных нельзя. Это совершенно разные области. Как с точки зрения технологической, так и с точки зрения "продажной". Ну нельзя предлагать свою универсальную ОС и говорить, что она решит все проблемы с недоверенной средой (а железо под и прикладная часть надо?). И классические услуги по аудиту просто так не предложить. И заявить, что выкиньте все иностранное (АСУ ТП, сенсоры, контроллеры и т.д.) и вкладывайте деньги в НИОКР по разработке отечественных решений тоже не сработает.
Я уже не говорю про то, что это при продаже защиты ПДн интегратор не несет никакой ответственности, т.к. там рисков неправильной реализации как таковых нет. В индустриальных системах МСЭ или сканер безопасности, нарушившие работу системы управления технологическими процессам, могут стать причиной многих человеческих жертв, экологической катастрофы или просто экономических убытков на миллиарды рублей. А готов ли интегратор отвечать за предлагаемые решения? Далеко не у всех вообще такой вопрос возникает - многие привыкли продавать свои продукты и услуги "as is" и рынку только еще предстоить учесть всю специфику работы в сегменте критически важных объектов.
А вообще все докладчики (кроме меня) были оптимистами в отношении ИБ в КВО ;-)
Вот, веришь, на 100% со всем согласен. Даже без каких-либо но. Больше того скажу, что и аудит ИБ при текущем глубоко отрицательном уровне зрелости АСУ ТП в ИБ превращается скорее в комедию; тем более, когда на выходе ты понимаешь, что хоть что-то здесь сделать и внести изменения по результатам аудита практически невозможно (оч. сложно) - очень высокая цена внесения изменений. Поэтому чувствуешь себя кепом очевидность. А искать глубокие баги в на уровне приложений при аудите - да кому надо это баловство, когда вся основа вокруг вся кривая - косая дярывая на древних ОС, которые просто тупо не сменить без изменения всего. В итоге пока единственный выход - ГЛУБОКАЯ изоляция от внешних сетей.
ОтветитьУдалитьА ИБ интеграторам в будущем в целом поле непаханное, наверное.
Я в этой теме пока придерживаюсь аналогичного твоему пессимистичного мнения с :). Покрайней мере практика пока это четко подтверждает.
Алексей, можете сделать доступными для скачивания ваши презентации?
ОтветитьУдалитьВ современных АСУ ТП понятие ИБ практически отсутствует как класс, это факт. Особенно этим грешат АСУ электрических комплексов (электрические станции и подстанции) (сильное влияние на это оказывает «белая кость энергетики» - релейщики, которые жутко консервативны до ретроградства). Глубокая изоляция тоже не панацея, в виду необходимости передавать оперативные данные на вышестоящие уровни управления в режиме on line.
ОтветитьУдалитьНо что то делать нужно уже сейчас, хотя бы осложнить жизнь низкоквалифицированным хулиганам и минимизировать вред oт неадекватного персонала.
Алексей Викторович, в ваших презентациях уже содержатся конкретные предложения, которые можно реализовать прямо сейчас, думаю их можно узаконить хотя бы стандартами Федеральной сетевой компании.
Недавно разговаривал с человеком имеющим большой опыт в эксплуатации и внедрению АСУТП в Газпроме. Слова о том, что системы АУСТП узявимы с точки зрения ИБ разбивались о фразу: "Самоубийц на КВО нет!". Все необходимое и достаточное делается. Более того, все серьезные вендоры АСУТП Foxboro (Invensys), Yokogawa, Honeywell (Сименс по мнению собеседника к ним не относится) имеют свои решения обеспечения ИБ и активно их наращивают. Системным интеграторам не под силу тягаться с вендорами, но они могут внедрять решения ИБ в свои решения по автоматизации (такие примеры есть). Правда, это относится к интеграторам в области автоматизации. Остальным остается только искать узявимости в WinCC :) Еще прозвучала мысль, что американцы, на которых мы равняемся, мягко говоря "самоубийцы" в вопросах обеспечения безопасности по сравнению с Европой и нами. В общем можно сказать, что люди на КВО понимают ответственность и несут ее в рамках ФЗ №116 и под неусыпным оком Ростехнадзора (а не ФСТЭК и ФСБ).
ОтветитьУдалитьPS. Жаль не удалось посетить данную конференцию. На прошедшем семинаре-совещании ИБ АСУТП КВО был свидетелем выступлений по разным вопросам (Stuxnet и пр.) представителей Росатома, которые подтвердили верность фразы "самоубийц на КВО нет!"
Тоже был.
ОтветитьУдалитьТоже согласен.