SOC-Форум нынешнего года собрал репрезентативную, на первый взгляд, выборку докладов и докладчиков на тему об использовании SOC для обеспечения кибербезопасности производственных процессов:
Темы докладов свидетельствовали о трезвомыслии и о критическом настрое, о знании современной методологии, о наличии опыта и о знании «болевых» точек:
И по завершении марафона докладов аудитории была предложена дискуссия под управлением Антона Шипулина (он в т. ч. и сооснователь сообщества специалистов по промышленной кибербезопасности RUSCADASEC), для обсуждения широкого круга вопросов:
И здесь произошёл некий «затык» (возможный синоним – «засада), который проще всего объяснить временем проведения дискуссии – конец второго дня Форума.
Уместно заметить, что с самого начала заявленный состав дискуссионной панели разительно отличался по своему количественному и представительскому формату от сессии, посвящённой обеспечению кибербезопасности в реальном производстве.
И при этом из заявленного списка участников: Сергей Терехов, руководитель центра экспертизы по информационной безопасности, IBS Platformix; Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems; Алексей Мартынцев, руководитель направления регионального сопровождения и инспекций ИБ, Норильский Никель; представитель Норникеля не вышел на «ринг».
В отсутствии «начальников транспортного цеха» обсуждение поставленных вопросов было достаточно «модельным», что-то вроде анализа поведения «сферического коня в вакууме». При этом уже в начале дискуссии никто не попытался оспорить тезис представителя IBS Platformix о том, что сегодня «мало кто выбирает безопасность в ущерб экономике».
И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель ТМК на Круглом столе «Промышленный SOC. Необходимость, функции, векторы развития» фактически откровенно сознался, что не стал «зарубать» идею промышленного SOC’а «на корню» лишь из уважения к организаторам Круглого стола, смело выбравшим столь скользкую тему. И предпочёл обосновать отсутствие у него абсолютного «за»-энтузиазма сомнениями в том, что «за» будет т. н. «бизнес».
Алексей Лукацкий, сегодня рассуждая о возможностях автоматизации работы «промышленного SOC» (а автоматизация – это сегодня не только модный тренд, но и тренд, обусловленный кадровым голодом), вполне обоснованно заявил о том, что конечный этап работы SOC при отражении кибератаки – блокирование – в промышленности не поддаётся автоматизации «от слова совсем» (почти дословная цитата комментария Алексея Лукацкого).
И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель Positive Technologies (это нынешний лидер по части идеологии автоматизации работы SOC с помощью инструментария на основе т. н. «метапродуктов», инструментария, который позволяет в автоматическом режиме обнаруживать и останавливать атаку силами одного человека) обратил внимание собравшихся на уже упомянутом прошлогоднем Круглом столе на то обстоятельство, что в отличие от Банка, Гражданского Госучреждения и иных Непроизводственных Организаций, «риски», осуществляющиеся в промышленности, измеряются и деньгами, и непоправимым ущербом для людей и окружающей среды, а также ещё и тяжестью санкций по статьям УК РФ к конкретным людям. И эти конкретные люди точно не согласятся на то, что SOC’оские будут принимать решения, влияющие на непрерывность производственных процессов.
В этих условиях первоочередным и (очевидно?) приемлемым и реализуемым приёмом снижения уровня киберугроз производственному сегменту современного «цифрового и сетевого» предприятия» является «сегментирование «корпоративки» от АСУТП физически (не программно) однонаправленным файерволом» (почти дословная цитата комментария Алексея Лукацкого).
Главная же ИМХО проблема кибербезопасности современной промышленности не в отсутствии «промышленных SOC’ов», а в том, что сегодня происходит либо выламывание рук «асутпэшникам» для получения их согласия на подключение к Интернету оборудования, купленного у иностранных вендоров, либо недоученностью и/или безответственностью «айтишников», которые принтер, обслуживающий АРМ оператора АСУТП «втыкают» ещё и в корпоративную сеть.
Но решать проблемы такого рода надо не всё более широким раскрытием окон Овертона для цифровизации АСУТП в ущерб использованию аналоговых технологий управления, а безусловным захлопыванием этих «форточек» в рамках управления промышленной кибербезопасностью «по требованиям».
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных