Участники некоммерческой инициативы по развитию открытого международного сообщества специалистов по промышленной кибербезопасности/кибербезопасности АСУ ТП RUSCADASEC поделились своими взглядами на вопросы и проблемы, с которыми сталкиваются специалисты по информационной безопасности на промышленных предприятиях.
Мероприятие прошло в РГУ нефти и газа (НИУ) имени И. М. Губкина при поддержке участников сообщества и ряда компаний, работающих в области кибербезопасности. Здесь не было пленарных заседаний, круглых столов с участием представителей ФОИВ и регуляторов. Программа была подготовлена участниками сообщества и состояла из серии докладов на различные темы — от рассказов о научных работах магистрантов, аспирантов и преподавателей профильных кафедр университетов до практического опыта вендоров и экспертов в области информационной безопасности автоматизированных систем управления технологическими процессами (ИБ АСУ ТП).
Приведённые экспертами кейсы привлекли внимание слушателей, многие доклады бурно обсуждались в чате RUSCADASEC CONF. Некоторые доклады, например, презентация «Не хочу учиться, а хочу в инфобез. Разбираем уязвимости и инциденты, которых могло не быть» Екатерины Рудиной, руководителя группы аналитиков по информационной безопасности Лаборатории Касперского — готовая лекция для студентов младших курсов, отметил один из комментаторов в чате мероприятия. «Важно учиться, даже тем вещам, которые кажутся на первый взгляд неочевидными. Важно не полагаться только на своё знание, но и выстраивать междисциплинарные связи и считать остаточные риски», — отметила докладчик в конце выступления. Оно содержало конкретные примеры «детских» ошибок разработчиков, которые привели к инцидентам безопасности на объектах КИИ.
О стратегии развития информационной безопасности АСУ ТП на примере одного из заказчиков рассказал Евгений Баклушин, руководитель направления аудитов и соответствия требованиям ИБ компании «Уральский центр систем безопасности». Он отметил, что важными факторами разработки и развития стратегии ИБ на предприятии являются наличие стратегии развития ИТ, принимаемая бизнесом методика оценки уровня ИБ для АСУ ТП, знание архитектуры, состава и назначения АСУ ТП, особенно для старых предприятий, и существование внутреннего механизма реализации инвестиционных проектов в компанию.
События февраля 2022 года, выход требований Указов президента России №166 и №250, иных нормативных документов, в т. ч. требований регуляторов, не стали причиной внесения изменений в разработанную и уже защищённую стратегию развития ИБ АСУ ТП. Наоборот, они способствовали увеличению инвестиций в направление информационной безопасности, поскольку руководство компании-заказчика стало воспринимать риски ИБ как операционные.
Валерий Комаров, начальник отдела обеспечения осведомленности ИБ Департамента информационных технологий (ДИТ) города Москвы в докладе «Нештатная ситуация или компьютерный инцидент? Кто виноват и что делать?» детально остановился на вопросах реализации требований ФСТЭК России при возникновении нештатных ситуаций и компьютерных инцидентов. Чёткого определения понятия «нештатная ситуация» в нормативных документах нет, поэтому вопрос должен быть однозначно решён на каждом объекте КИИ, считает докладчик. ДИТ Москвы для себя определил нештатную ситуацию как происшествие, которое ещё не завершилось компьютерным инцидентом.
Представитель ДИТ Москвы детально рассмотрел вопросы реализации Приказа ФСБ РФ № 213, в т. ч. при проверке оценки защищённости информационных ресурсов организации и в случае кибератаки, с учётом временных ограничений. Он отметил, что внештатные ситуации могут быть разными и невозможно создать единый план реагирования на все ситуации, это процесс творческий. То же касается планов реагирования на компьютерные инциденты. Главная задача — восстановить работоспособность системы в короткие сроки.
Докладчик напомнил, что компьютерные инциденты могут быть в результате не только кибератаки, но и механических разрушений. Он напомнил, что если защищаемый объект подпадает под действие Приказа № 213, то требуется действовать по четко прописанным требованиям ФСТЭК РФ. Докладчик рекомендовал отработать мероприятия на простейшем примере, чтобы получить опыт и составить актуальный работающий план по реагированию на нештатные ситуации по другим проблемам, характерным для предприятия. Валерий Комаров посоветовал не замыкаться на внутренних планах работы ИБ-отдела, а работать совместно с другими подразделениями, поскольку промышленная безопасность на объекте КИИ будет всегда на уровень выше, изучать процессы и обмениваться опытом.
Темы практической безопасности были продолжены в рамках трека #Баттл, участники которого предлагали свои решения на предлагаемые модератором реальные кейсы ИБ, и трека #Неконференция, в рамках которого участники обменялись впечатлениями от услышанного, обсудили другие идеи и вопросы.
Участники сообщества RUSCADASEC планируют продолжить свои мероприятия для открытого обмена опытом и взглядами по теме ИБ АСУ ТП.