29.5.14

Впечатления от курса по стратегии ИБ АСУ ТП

На прошлой неделе я в Академии информационных систем прочитал новый курс по стратегии информационной безопасности критически важных объектов. Я хотя был не в роли слушателя, но все равно хочу поделиться впечатлениями :-)

Новых тем в области ИБ сейчас очень много. Актуальных тоже немало. Интересных поменьше. А вот востребованных аудиторией и имеющих практическую направленность очень мало. Возьмем к примеру законодательство. Тема хоть и не новая, но актуальная - у нас, зачастую, обеспечение ИБ заменяется на выполнение требований нормативных актов по ИБ. Это и не хорошо и не плохо. Так уж сложилось. Тема востребованная; особенно с учетом постоянно выходящей новой нормативной базы и бешеного депутатского принтера. Практическая направленность тоже имеется - правильно читать и обходить скользкие или узкие места законов и приказов тоже надо уметь, чтобы не погрязнуть в невыполнимых или слишком дорогих мероприятиях, мало влияющих на реальный уровень защищенности. Но вот интересного в этой теме мало :-( Скучновато, если честно.

Или возьмем тему безопасности мобильного банкинга. Интересно? Допускаю. Практическую ценность несет? Да. Актуально? Может стать актуальным по мере роста числа пользователей мобильного банкинга. А что с востребованностью? А ничего :-( Как самостоятельная тема мало кому нужная, в отличие от той же безопасности ДБО, куда мобильный банкинг может входить наряду с другими направлениями.

Безопасность индустриальных решений - совсем другое дело. Тот случай, когда погружение в новую тему, дает только положительные эмоции. Она нова, хотя системы управления технологическими процессами существуют уже несколько десятилетий. Она незаезженна и в ней еще много белых пятен, которые ждут своего исследователя. Она интересна, т.к. обеспечение ИБ АСУ ТП отличается от ИБ в корпоративной среде. На фоне публичных (например, Stuxnet) и не очень инцидентов, тема становится все актуальнее. Планируемое законодательство заставляет нас выполнять обязательные нормы, что делает эту тему еще и востребованной. Куда ни посмотри, тема на коне :-)

Поэтому хочу сказать спасибо АИСу (Юре Малинину и Игорю Елисееву), которые сподвигли меня на разработку этого курса. Идей-то витает полно, а вот сесть и сделать из идеи продукт, - это требует усилий. Но я его сделал. И он мне нравится, хотя идеальным я бы его пока не назвал. Например, курс по персональным данным практически идеален - он регулярно пополняется какими-то новыми нормативными актами и примерами, но в целом уже устоялся и отчитывается по накатанной теме на раз-два. К нему даже готовиться не надо - в любое время дня и ночи готов начать с любого раздела :-) Новый курс по государственным информационным системам пусть и не такой отработанный, но тоже не вызывает вопросов - в этой теме мало что необычного и требующего подробных изысканий. Есть ФЗ-149, есть куча нормативки ФСТЭК, ФСБ, Минкомсвязи, Минэкономразвития, ФСО. Остается только замешать этот коктейль и получить на выходе готовый материал.

Управление инцидентами или моделирование угроз гораздо интереснее. И, на мой взгляд, актуальнее для современного безопасника. Одна тема рассказывает как понять, с чем бороться. Вторая - как бороться с тем, что уже коснулось организации. Но не пошли эти темы :-( Управление инцидентами, как минимум. Моделирование угроз стало востребованным только недавно и то, потому что такое требование появилось на уровне законодательства. А управление инцидентами у нас пока мало где требуется - и с точки зрения законодательства, и с точки зрения бизнеса. Не привыкли мы еще к выстраиванию данного процесса ИБ; если и задумываемся о нем, то в контексте обращения к внешним компаниям (своих-то ресурсов нет).

А с ИБ АСУ ТП все оказалось не так. При разработке курса был драйв! Хотелось включить в материалы и эту тему, и эту, и эту. Но два дня - это всего два дня; всего 16 часов, которых не хватает для полного раскрытия многих тем даже "по верхам". А ведь изначально речь вообще шла об одном дне :-) Хорошо, что Юра с Игорем уговорили увеличить число часов. Про новизну отдельных тем и говорить не приходится. В рамках подготовки курса пришлось изучать как работает гидрошлюз, трубопровод, система водоснабжения или нефтедобычи, производство продуктов питания или алкогольных напитков. Число сценариев, в которых применяется АСУ ТП, безопасность которых надо обеспечивать, неимоверно велико.

Недооценка рисков при этом может обойтись очень серьезно. Это с персданными, которым у нас уделяют избыточно много внимания, все просто. Ущерба субъекту в большинстве случаев практически никакого. Штрафы копеечные. Нерешаемых вопросов почти нет. В АСУ ТП все не так. И угрозы на несколько порядков серьезнее, и ущерб не ограничивается только 10 тысячами рублей, а может измеряться человеческими жизнями или привести к экологической катастрофе. А подходы к защите только формируются. В этой теме практически нет готовых сценариев - все очень динамично. И это несмотря на то, что жизненный цикл защищаемого объекта превышает 10 лет и может составлять 20, 30 и даже 40 лет.

Поэтому после пилотного курса в АИС у меня уже сформировался определенный план по расширению и улучшению материала курса. Точно расширю раздел про применение АСУ ТП в различных отраслях с конкретными примерами. Если сейчас, в первой версии фокус делался на нефтегаз и электроэнергетику, то добавлю примеры АСУ ТП пищевой промышленности, транспорта и ЖКХ. Также расширю блок, связанный с игроками рынка и предлагаемыми ими решениями - поверхностного анализа, на мой взгляд, было недостаточно. Раздел нормативки тоже, видимо, расширю. Но за счет ГОСТов на АСУ ТП, которые местами тоже накладывают свой отпечаток на то, как надо строить систему защиты. Пример со СМИС и требованиями МЧС это явно демонстрирует. Как-то так :-)

2 коммент.:

doom комментирует...

А для кого этот курс? Если для специалиста по ИБ, то им надо донести лишь одну мысль - в АСУ ТП объектом защиты не может быть "информация, циркулирующая ...", а должен быть сам тех. процесс и его свойства (например: безопасность, эффективность и надежность). Дальше специалиста по ИБ надо, по сути, учить тому тех. процессу, который он собрался защищать...


Другое дело с автоматизаторами - они и сами понимают, что вопросы ИБ важны и актуальны, но у них серьезные пробелы в базовых знаниях в области ИБ - вот им-то самые базовые курсы по ИБ с прицелом на АСУ ТП читать крайне полезно.

Алексей Лукацкий комментирует...

Не совсем так. В АСУ ТП надо защищать и информацию в том числе, т.к. это не только данные от датчиков или информация в historian, но и команды контроллеру. Ведь там протоколы разрабатывались без учета требований по ИБ и подменить или повторно послать команду труда не составляет. А команда - это тоже информация в АСУ ТП.

А в остальном ты прав