Подтексты SOC-форума: о подходах к построению ИБ здоровой экономики

Из некоторых реплик на пленарной дискуссии SOC-форума можно было понять, что истоки 187-ФЗ лежат в осознании угроз не просто критической инфраструктуре, а инфраструктуре промышленных АСУ. И упомянутые в этих репликах временные метки коррелируют с теми, что фиксируют дебют Stuxnet и выход на сцену его «потомков».

В ходе дальнейшей работы форума промышленная проблематика ИБ и кибербезопасности растворилась в вопросах материально-технического обеспечения ИБ (бизнес ИБ) и традиционного «обмена опытом» в части ИБ банковской сферы и госуправления (то, что называют «практиками» и «кейсами»).

Но традиционная направленность идеологии ряда докладов форума не помешала, тем не менее, прозвучать идеям, показавшимися кое-кому, похоже, вольтерьянскими. По крайней мере, если судить по флуктуациям «мнения зала» в ходе анонимного опроса.

«… SOC будет не нужен, когда будут идеально описаны процессы, они будут структурированы и установлены средства замкнутой программной среды, замкнутого процесса, замкнутого бизнес-процесса, это будет самодостаточная среда. Тогда, наверное, реагировать не на что, если у нас понятно описанные правила и последовательность работы информационных систем. Т.е. не всегда нужен SOC, если мы взяли физически изолировали кусок инфраструктуры и каким-то правильным способом общаемся с внешним миром».

С чем ассоциируется картина, описанная в этом фрагменте реплики директора департамента информационной безопасности?

Не похожа ли она на ту, что реализуется в КИИ промышленной АСУ, в которой нет места привычкам главного бухгалтера или капризам вице-президента по общим вопросам, а правит бал «физика» производственных технологий и технологии промышленной безопасности?

«… как честные люди мы должны признать, что тратить деньги без очевидной отдачи неправильно. Поэтому тему SOC надо закрывать и заниматься реальной работой и как минимум начать с понимания того, что может нанести ущерб и приостановить процессы внутри компании. Как только это произойдет, дальше все выстроится автоматически, можно это назвать как угодно – хоть матрешка или чебурашка. Главное, что оно будет работать по выстроенным процессам и оперативно реагировать на те или иные проблемы. А SOC в том виде, в котором он сегодня преподносится – это во многом хайп и в таком виде, действительно, особо не нужен».

Это, по сути, описание ответственного подхода к выстраиванию технологий безусловно безопасной работы. В этой реплике ещё одного эксперта форума нашлось место обязательному ныне упоминанию о деньгах в контексте ИБ, но без упоминания о риск-менеджменте, изначальном выстраивании ИБ на балансе расходов и убытков аварий и катастроф, что абсолютно недопустимо в промышленности, в энергетике и на транспорте.

К сожалению, на специальной сессии «SOC в промышленных предприятиях» не нашлось места критическому анализу подходов к обеспечению кибербезопасности, уже сложившихся в непроизводственной сфере экономики, и анализу сильных и слабых сторон этого опыта в контексте защиты промышленной КИИ.

Встреча с представителем Schneider Electric могла бы принести больше пользы, если бы вместо рассказа о полигоне в Иннополисе залу был бы представлен критический разбор кибератак на предприятия, оснащённые системами АСУТП и SCADA на базе решений Schneider Electric и предпосылок к успешности этих атак.

Вполне понятны обозначенные на сессии деловые интересы компаний Positive Technologies и Ростелеком-Солар по развитию бизнеса в сфере защиты промышленных предприятий от киберугроз.

Но в связи с такими планами вполне закономерен интерес к оценке этими компаниями перспектив риск-менежмента в промышленной кибербезопасности, возможным трансформациям этого подхода или к отказу от него.

Выход на рынок киберзащиты промышленных АСУ ещё больше обостряет и придаёт новые краски проблеме кадрового обеспечения таких проектов. Но и эта проблема была обойдена должным вниманием.

SOC-форум 2019 завершён, и уже сейчас очевидно, что усилия регуляторов привели к активизации процессов в сфере противодействия киберугрозам КИИ.

Хочется надеяться, что в программе этого и других мероприятий подобного рода в будущем году проблематика промышленной кибербезопасности найдёт большее отражение.