15.3.13

Моя презентация с конференции "Безопасность КВО ТЭК"

Вчера прошла конференция "Безопасность в КВО ТЭК", организованная АИС. Хорошее мероприятие - новое на российском рынке ИБ. Потому и интерес вызвало со стороны отрасли - аудитория в зале сидела интересная - действительно те, кто отвечает за безопасность, в т.ч. и индустриальных систем. Меня просили сделать краткий доклад на тему стандартов Североамериканской электрический корпорации (NERC) по информационной безопасности критических инфраструктур (CIP). Но я чуть расширил тему, рассмотрев общие вопросы ИБ в американской электроэнергетике.



На самом деле, тема не такая уж и ненужная - в России немало организаций, в отсутствии актуальных российских документов, следуют требованиям NERC CIP (исключая аудит, конечно). Кто-то смотрит на документы NIST. Ну а так как мы (я имею ввиду Cisco) участвуем в разработке NIST'овских стандартов по ИБ, а также знаем и отечественную нормативку, то можем смотреть на проблему с двух сторон ;-)

В целом же могу заметить, что моя заметка от 5 сентября по-прежнему актуальна ;-) Я не могу считать себя большим специалистом-практиком по ИБ в индустриальных системах, но даже здравый смысл (не говоря уже о тоннах изученных материалов) подсказывает, что продвигать ИБ в ТЭК также как это делается для банков или персданных нельзя. Это совершенно разные области. Как с точки зрения технологической, так и с точки зрения "продажной". Ну нельзя предлагать свою универсальную ОС и говорить, что она решит все проблемы с недоверенной средой (а железо под и прикладная часть надо?). И классические услуги по аудиту просто так не предложить. И заявить, что выкиньте все иностранное (АСУ ТП, сенсоры, контроллеры и т.д.) и вкладывайте деньги в НИОКР по разработке отечественных решений тоже не сработает.

Я уже не говорю про то, что это при продаже защиты ПДн интегратор не несет никакой ответственности, т.к. там рисков неправильной реализации как таковых нет. В индустриальных системах МСЭ или сканер безопасности, нарушившие работу системы управления технологическими процессам, могут стать причиной многих человеческих жертв, экологической катастрофы или просто экономических убытков на миллиарды рублей. А готов ли интегратор отвечать за предлагаемые решения? Далеко не у всех вообще такой вопрос возникает - многие привыкли продавать свои продукты и услуги "as is" и рынку только еще предстоить учесть всю специфику работы в сегменте критически важных объектов.

А вообще все докладчики (кроме меня) были оптимистами в отношении ИБ в КВО ;-)

5 коммент.:

ilya комментирует...

Вот, веришь, на 100% со всем согласен. Даже без каких-либо но. Больше того скажу, что и аудит ИБ при текущем глубоко отрицательном уровне зрелости АСУ ТП в ИБ превращается скорее в комедию; тем более, когда на выходе ты понимаешь, что хоть что-то здесь сделать и внести изменения по результатам аудита практически невозможно (оч. сложно) - очень высокая цена внесения изменений. Поэтому чувствуешь себя кепом очевидность. А искать глубокие баги в на уровне приложений при аудите - да кому надо это баловство, когда вся основа вокруг вся кривая - косая дярывая на древних ОС, которые просто тупо не сменить без изменения всего. В итоге пока единственный выход - ГЛУБОКАЯ изоляция от внешних сетей.
А ИБ интеграторам в будущем в целом поле непаханное, наверное.

Я в этой теме пока придерживаюсь аналогичного твоему пессимистичного мнения с :). Покрайней мере практика пока это четко подтверждает.

ser-storchak комментирует...

Алексей, можете сделать доступными для скачивания ваши презентации?

Nixmak комментирует...

В современных АСУ ТП понятие ИБ практически отсутствует как класс, это факт. Особенно этим грешат АСУ электрических комплексов (электрические станции и подстанции) (сильное влияние на это оказывает «белая кость энергетики» - релейщики, которые жутко консервативны до ретроградства). Глубокая изоляция тоже не панацея, в виду необходимости передавать оперативные данные на вышестоящие уровни управления в режиме on line.
Но что то делать нужно уже сейчас, хотя бы осложнить жизнь низкоквалифицированным хулиганам и минимизировать вред oт неадекватного персонала.
Алексей Викторович, в ваших презентациях уже содержатся конкретные предложения, которые можно реализовать прямо сейчас, думаю их можно узаконить хотя бы стандартами Федеральной сетевой компании.

Rusik комментирует...

Недавно разговаривал с человеком имеющим большой опыт в эксплуатации и внедрению АСУТП в Газпроме. Слова о том, что системы АУСТП узявимы с точки зрения ИБ разбивались о фразу: "Самоубийц на КВО нет!". Все необходимое и достаточное делается. Более того, все серьезные вендоры АСУТП Foxboro (Invensys), Yokogawa, Honeywell (Сименс по мнению собеседника к ним не относится) имеют свои решения обеспечения ИБ и активно их наращивают. Системным интеграторам не под силу тягаться с вендорами, но они могут внедрять решения ИБ в свои решения по автоматизации (такие примеры есть). Правда, это относится к интеграторам в области автоматизации. Остальным остается только искать узявимости в WinCC :) Еще прозвучала мысль, что американцы, на которых мы равняемся, мягко говоря "самоубийцы" в вопросах обеспечения безопасности по сравнению с Европой и нами. В общем можно сказать, что люди на КВО понимают ответственность и несут ее в рамках ФЗ №116 и под неусыпным оком Ростехнадзора (а не ФСТЭК и ФСБ).
PS. Жаль не удалось посетить данную конференцию. На прошедшем семинаре-совещании ИБ АСУТП КВО был свидетелем выступлений по разным вопросам (Stuxnet и пр.) представителей Росатома, которые подтвердили верность фразы "самоубийц на КВО нет!"

Dorofeev комментирует...

Тоже был.
Тоже согласен.