«Мало кто выбирает безопасность в ущерб экономике». Дискуссия «Современные тренды SOC в технологическом сегменте» на SOC-Форуме 2021

15 декабря, 2021

«Мало кто выбирает безопасность в ущерб экономике». Дискуссия «Современные тренды SOC в технологическом сегменте» на SOC-Форуме 2021

SOC-Форум нынешнего года собрал репрезентативную, на первый взгляд, выборку докладов и докладчиков на тему об использовании SOC для обеспечения кибербезопасности производственных процессов:

  • конечные потребители – «Трубная металлургическая компания» и Евраз (бренды на слуху даже у обывателя и сферы производства практически очевидны), Сегежа Групп (деревообработка);
  • вендоры, интеграторы, эксперты, консультанты – Лаборатория Касперского Инфосистемы Джет, R-Vision, IBS Platformix, Checkpoint, Cisco Systems.

Темы докладов свидетельствовали о трезвомыслии и о критическом настрое, о знании современной методологии, о наличии опыта и о знании «болевых» точек:

  • «Не все сценарии одинаково полезны. Практика применения в ТМК»; «SOAR, IRP: зачем внедрять»; «Как подружить SOC с АСУ ТП?»;
  • «Практические, отраслевые аспекты использования внешнего SOC провайдера в деревообрабатывающей отрасли»; «Кейс по построению сервисного SOC в промышленной компании»;
  • «Цифровая модель ИБ для промышленного SOC»; «Защита устройств и сетей IoT от кибератак на промышленные предприятия и ТЭК»; «Как мониторить ИБ изолированной от внешнего мира производственной площадки? Три практичных сценария».

И по завершении марафона докладов аудитории была предложена дискуссия под управлением Антона Шипулина (он в т. ч. и сооснователь сообщества специалистов по промышленной кибербезопасности RUSCADASEC), для обсуждения широкого круга вопросов:

  • Мониторинг и управление уязвимостями в АСУ ТП;
  • Инвентаризация активов, проблема и решение;
  • Мониторинг атак на цепочки поставок в России;
  • Какая автоматизация реагирования допустима в АСУ ТП;
  • Общий или разные SOC для АСУ ТП и ИТ. Мониторинг и предотвращение атак «программ-вымогателей» в АСУ ТП.

И здесь произошёл некий «затык» (возможный синоним – «засада), который проще всего объяснить временем проведения дискуссии – конец второго дня Форума.

Уместно заметить, что с самого начала заявленный состав дискуссионной панели разительно отличался по своему количественному и представительскому формату от сессии, посвящённой обеспечению кибербезопасности в реальном производстве.

И при этом из заявленного списка участников: Сергей Терехов, руководитель центра экспертизы по информационной безопасности, IBS Platformix; Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems; Алексей Мартынцев, руководитель направления регионального сопровождения и инспекций ИБ, Норильский Никель; представитель Норникеля не вышел на «ринг».

В отсутствии «начальников транспортного цеха» обсуждение поставленных вопросов было достаточно «модельным», что-то вроде анализа поведения «сферического коня в вакууме». При этом уже в начале дискуссии никто не попытался оспорить тезис представителя IBS Platformix о том, что сегодня «мало кто выбирает безопасность в ущерб экономике».

И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель ТМК на Круглом столе «Промышленный SOC. Необходимость, функции, векторы развития» фактически откровенно сознался, что не стал «зарубать» идею промышленного SOC’а «на корню» лишь из уважения к организаторам Круглого стола, смело выбравшим столь скользкую тему. И предпочёл обосновать отсутствие у него абсолютного «за»-энтузиазма сомнениями в том, что «за» будет т. н. «бизнес».

Алексей Лукацкий, сегодня рассуждая о возможностях автоматизации работы «промышленного SOC» (а автоматизация – это сегодня не только модный тренд, но и тренд, обусловленный кадровым голодом), вполне обоснованно заявил о том, что конечный этап работы SOC при отражении кибератаки – блокирование – в промышленности не поддаётся автоматизации «от слова совсем» (почти дословная цитата комментария Алексея Лукацкого).

И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель Positive Technologies (это нынешний лидер по части идеологии автоматизации работы SOC с помощью инструментария на основе т. н. «метапродуктов», инструментария, который позволяет в автоматическом режиме обнаруживать и останавливать атаку силами одного человека) обратил внимание собравшихся на уже упомянутом прошлогоднем Круглом столе на то обстоятельство, что в отличие от Банка, Гражданского Госучреждения и иных Непроизводственных Организаций, «риски», осуществляющиеся в промышленности, измеряются  и деньгами, и непоправимым ущербом для людей и окружающей среды, а также ещё и тяжестью санкций по статьям УК РФ к конкретным людям. И эти конкретные люди точно не согласятся на то, что SOC’оские будут принимать решения, влияющие на непрерывность производственных процессов.

В этих условиях первоочередным и (очевидно?) приемлемым и реализуемым приёмом снижения уровня киберугроз производственному сегменту современного «цифрового и сетевого» предприятия» является «сегментирование «корпоративки» от АСУТП физически (не программно) однонаправленным файерволом» (почти дословная цитата комментария Алексея Лукацкого).

Главная же ИМХО проблема кибербезопасности современной промышленности не в отсутствии «промышленных SOC’ов», а в том, что сегодня происходит либо выламывание рук «асутпэшникам» для получения их согласия на подключение к Интернету оборудования, купленного у иностранных вендоров, либо недоученностью и/или безответственностью «айтишников», которые принтер, обслуживающий АРМ оператора АСУТП «втыкают» ещё и в корпоративную сеть.

Но решать проблемы такого рода надо не всё более широким раскрытием окон Овертона для цифровизации АСУТП в ущерб использованию аналоговых технологий управления, а безусловным захлопыванием этих «форточек» в рамках управления промышленной кибербезопасностью «по требованиям».

Смотрите также

11.08.2022
«У нас есть рабочая группа по финансам между двумя государствами»
11.08.2022
Миллиард операций за полгода. СБП бьёт рекорды
11.08.2022
Cisco взломали члены хак-группы Yanluowang
11.08.2022
ЦБ РФ не поддержал инициативу о временной заморозке переводов
11.08.2022
Скамеры предлагают «страховать» деньги клиентов банков
10.08.2022
Разработчикам военного «айти» предоставят налоговые льготы?
10.08.2022
«Будущее будет сделано в Америке». США хотят вынести Азию за скобки
10.08.2022
РАЭК: более половины релоцировавшихся хотят вернуться в этом году
10.08.2022
Банку России предложили замораживать переводы свыше десяти тысяч рублей
10.08.2022
Все об уязвимостях платежных систем на OFFZONE 2022