Можно ли отдать безопасность турбин на аутсорсинг? Первые вопросы Форума «Кибербезопасность – наши дни. Промышленные технологии»

Можно ли отдать безопасность турбин на аутсорсинг? Первые вопросы Форума «Кибербезопасность – наши дни. Промышленные технологии»

Форум «Кибербезопасность – наши дни. Промышленные технологии» расширил спектр обсуждаемых вопросов. С 17 по 19 февраля 2021 года в Магнитогорске гости форума намереваются обсудить проблемы безопасности промышленной инфраструктуры.

Для этого организаторы форума собрали в одном месте теоретиков ИБ, представителей регулятора (ФСТЭК России), вендоров, претендующих на рынок промышленной кибербезопасности, потенциальных заказчиков. И уже первый день форума показал, что заявленная проблематика форума не может быть разрешена косметическим преобразованием опыта, накопленного в сфере ИБ корпоративной цифровой инфраструктры.

В сфере промышленной кибербезопасности в реальном времени сплетаются интересы большего числа участников.

Это «гордиев узел» интересов владельцев оборудования и его эксплуатантов, государства, поставщиков оборудования, населения и природы, живущих по соседству с технологическими процессами и стальными машинами, в которых «дышит интеграл».

Давая зачин форуму, теоретики ИБ сразу поставили точку над «i», заявив, что в промышленной информационной безопасности метрика конфиденциальности отходит на второй план, а во главу угла должны быть поставлены целостность и доступность информации, которые тесно увязаны с целостностью и доступностью оборудования.

Но позже, в ходе своей просветительской миссии по разъяснению критериев и методов расчётов показателей, необходимых владельцам КИИ для общения с регуляторными и надзорными органами, Елена Торбенко, зам. начальника управления ФСТЭК России, обратила внимание слушателей, что инфраструктура для использования современного инженерного ПО (CAD/CAM/CAE), и сама инженерная документация (проектная, конструкторская, технологическая) – это одни из элементов КИИ.

И нетрудно догадаться, что в упомянутой епархии конфиденциальность встаёт в один ряд с целостностью и доступностью (особенно в ОПК). А необходимость учёта этого обстоятельства при категорировании КИИ не для всех гостей форума была очевидной до разъяснений зам. начальника управления ФСТЭК.

Давая зачин форуму, теоретики ИБ в очередной раз обратили внимание на несовместимость с базовыми принципами ИБ допуска иностранных поставщиков промышленного оборудования к процессам эксплуатации критически важного оборудования. Уже в одном из первых докладов в риторическом ключе был сформулировал вопрос о возможности передачи на аутсорсинг безопасности турбин ( в связи с этим в фоновом режиме даже было упомянуто слово «Siemens»). Было очевидно, что предполагается получение отрицательного ответа на этот вопрос.

Но из числа основополагающих принципов нынешней экономики пока не исключён тот, который свидетельствует о примате прибыли для бизнеса. И тут уместно вспомнить такой опыт, как решение Railigent от Siemens, которое позволяет по результатам анализа собираемых компанией-производителем Больших Данных о состоянии подвижного состава и путевой инфраструктуры эксплуатанта экономить до 5% (а иногда и до 10%) затрат в ходе эксплуатации железнодорожной транспортной инфраструктуры. Обработка железнодорожных Больших Данных позволяет сократить инвестиционные расходы на величину до 10%, повысив на эту же величину доходы. При этом, например, в конкретной ситуации на маршруте между Мадридом и Барселоной за счёт Railigent испанские железнодорожники в какой-то момент «отъели» у авиаторов 40% потока пассажиров.

Так получилось, что сегодня разработчики и производители сложного промышленного оборудования научились сопровождать эксплуатацию своей техники лучше персонала заказчиков. В связи с чем решение вопросов безопасности эксплуатации промышленных систем не всегда могут быть решены за счёт недопуска вендора к процессам эксплуатации. Тем более, что речь может идти о недополучении прибыли бизнесом, интересы которого официально ставятся во главу угла.

Наиболее целостными и гармоничными, особенно на фоне умозрительных гипотез на темы ИБ в промышленности, стали выступления Виталия Лютикова, зам. директора ФСТЭК России, и Елены Торбенко, зам. начальника управления той же организации.

От этих представителей регулятора гости форума хотели получить «золотой ключик» от того мира, в котором бы мирно уживались «нормативка» (на птичьем языке посвящённых это 187-й Закон, 127-е Постановление, 239-й и 235-й Приказы и другие столь же уважаемые документы в виде ГОСТов с пятизначными номерами, и это только до первого дефиса), живые метрики безопасности и нормы прибыли.

И этот ключик был дан! В виде исчерпывающих разъяснений поставленных вопросов, в виде указаний на подводные камни и рифы формализма и начётничества, в виде рекомендаций тщательно изучать «букву Закона» и уважать гриф ДСП.

Представители руководства ФСТЭК России продемонстрировали вежливую жёсткость в отстаивании необходимости для владельцев КИИ пройти первый круг апробации разработанной «нормативки»: «Чтобы выходить на изменения, надо отталкиваться от правоприменительной практики».

При этом в планах ФСТЭК России – совершенствование процесса нормотворчества. «Сегодня в информационной безопасности разбираются все!» Поэтому планируется переход к подготовке документов узкой командой разработчиков. С последующим широким обсуждением.