29 февраля, 2024

О кибербезопасности АСУ ТП в межотраслевом диалоге

О реальных проблемах и задачах в АСУ ТП поговорили эксперты — участники одноименной сессии в рамках Форума «Цифровая устойчивость и информационная безопасность России».

Модератор сессии Михаил Смирнов, руководитель Экспертно-аналитического центра InfoWatch, предложил поговорить о надежности, отказоустойчивости и безопасности АСУ ТП. Любое недопустимое событие в этой сфере приведет к проблемам как минимум для бизнеса, а максимум для жизни и здоровья окружающих. Готовясь к секции, эксперты выделили огромный массив проблем, часть из них планировалось обсудить в рамках тематической сессии на «Магнитке».

Максим Никандров, генеральный директор компании iGrids рассмотрел проблемы токсичности средств ИБ при активном применении на промышленных объектах. Он отметил, что заказчики его компании работают с импортными решениями АСУ ТП, которые замещают и защищают. Для защиты АСУ ТП мало защиты периметра компании интеграторы вынуждены внедряться внутрь систем.

Максим Никандров выделил ряд проблем, с которыми он столкнулся при работе:

  • отсутствие сертифицированных инструментов для резервного копирования под Windows. Регулятор перешел на Линукс, однако Windows есть и будет работать на системах АСУ ТП. Контроллеры Siemens работают под Windows и разработчикам не стоит бросать свои старые решения, необходима поддержка для Windows 11 и 12, считает докладчик;
  • антивирусы. Здесь все хорошо, и возникающие проблемы решаются;
  • средства для предотвращения несанкционированного доступа. Системы управления НСД собраны некачественно или работают нестабильно. Компания проводит полный цикл тестирования и, вероятно, откажется от использования НСД;
  • модуль доверенной загрузки. Возникают проблемы совместимости и работоспособности промышленных компьютеров;
  • системы обнаружения вторжения. Неудобство эксплуатации в ряде случаев;
  • межсетевые экраны. Недокументированные проблемы у заказчика, которые выявляются в процессе тестирования;
  • отказоустойчивый кластер. Вопросы надежности.

Для решения этих и других вопросов компания iGrids использует испытательную лабораторию. На стенде находятся большинство проблем, однако часто интеграторы сталкиваются с непредвиденными ситуациями на объекте. Отдельный вопрос — кадровый, необходима подготовка персонала.

Порой iGrids сталкивается с устаревшими системами, которые нельзя заменить, или есть нерешаемые задачи. В этом случае компания принимала риски и создавала контур вокруг такого оборудования.

Александр Смоленский, генеральный директор компании «Цифровая индустриальная платформа» представил доклад «Практический опыт работы с ИБ на крупных внедрениях MES», в котором рассказал о своем болезненном пути к пониманию необходимости внедрения принципа secure-by-design к разрабатываемому организацией программному обеспечению.

Александр Смоленский подчеркнул, что не является специалистом по ИБ, а разрабатывает прикладные и платформенные решения в нефтегазовой и химической сфере. Его компанию не интересовали вопросы импортозамещения. В 2016 году, учитывая, что на российском рынке есть несколько монополизированных западных решений для предприятий нефтегазовой отрасли, в компании начали разрабатывать их отечественные аналоги.

До 2022 года вопросы ИБ были несущественной проблемой для платформы и инфобезом занимались «полтора безопасника». После «ИБ вошла в моду», начались атаки на ПО у партнеров и клиентов, отметил докладчик. В ноябре 2022 года произошел первый взлом партнера, в результате чего компании немедленно ужесточили правила ИБ на объектах КИИ и на производстве в целом, требования к безопасности выросли на порядки, посетовал спикер.

Решения компании работают в замкнутом контуре, однако к ним стали предъявляться новые требования по ИБ как для внешних систем, отметил Александр Смоленский. Это в целом поменяло требования к разработке и взгляды на безопасность. Однако, вместе с этим возникло непонимание, как продолжать внедрение софта, если в связи с ужесточением требований по ИБ сдвинулись сроки, возникли дополнительные расходы, которые кто-то должен компенсировать в текущих проектах. Главный вопрос, который волнует докладчика: как жить дальше, снизить стоимость внедрения обновленного софта и подстроиться к новой реальности.

Компании повезло, что разработки изначально велись на современной архитектуре, когда каждый сервис изолирован и легче управлять и защищать структуру, отметит Александр Смоленский. При этом архитектурный процесс надо совершенствовать, определять роли сервисов на предмет, что можно, а что нельзя выполнять. Проводить тесты уязвимости через сканеры, что долго и дорого.

В рамках повышения доверия к разработкам спикер проходит сертификацию ФСБ и ФСТЭК. При этом понимает, что процессы разработки внутри компании изначально были построены небезопасно и нужно намного лучше защищать свой периметр.

Александр Смоленский отметил рост стоимости внедрения на четверть в человеко-часах. Данных, насколько этот рост отразится в лицензии, он пока не имеет. Однако даже в таких условиях отечественные разработки стоят дешевле импортных.

«Безопасность стоит денег, я узнал болезненным путем», подчеркнул спикер. В компании изменились требования к сотрудникам и системе, внедряются методы безопасной разработки. Создаются механизмы интеграции со сторонними СЗИ, поскольку компания не планирует создавать собственные решения по информационной безопасности. «Если разрабатываешь небезопасно, то интеграция не работает», — отметил докладчик.

Ирек Азизов, генеральный директор ICL-системные технологии, поделился  опытом построения системы защиты комплекса заводов по переработке тяжелых остатков нефти. Компания начала строить защиту в 2021 году, в 2022 году выбрала подрядчика — ICL-системные технологии. При этом 80% решений на предприятии построены на базе решений Yokogawa. Как отметил докладчик, при реализации проекта интегратор столкнулся не только с недокументированными функциями, но и с массовым исходом иностранных вендоров, и загрузкой российских компаний на фоне повышенного спроса.

Проектная документация Yokogawa не учитывала самописный софт, были неточности в самом проекте. Работа велась в технологические окна, поскольку предприятия представляли собой непрерывное производство с давлением в системах до 220 атм. В процессе работы также выяснилось, что отечественные NGFW не поддерживают требования проекта, пришлось искать иные решения.

В настоящее время проект завершен, он был реализован в установленные сроки. Компания планирует дальнейшее развитие системы для наибольшей защиты заказчика.

На сложности импортозамещения ПО индустриальных и телекоммуникационных систем обратил внимание независимый эксперт Михаил Кашаев. Он отметил, что все операционные системы, средства разработки и компиляции — импортные. Вопрос импортозамещения надо начинать с нижнего уровня, поднять ранние наработки отечественного ПО и приводить их к реальности.

Эксперт отметил, что России необходимо создавать «с нуля» свои технологии, протоколы, операционные системы и решения, чтобы обеспечить реальную технологическую независимость страны.

Тезисы доклада вызвали бурную реакцию в зале. Участники дискуссии обратили внимание на то, что тезисы спикера идеологически верны. Однако в реальности переход на собственные разработки долог и дорог, будет сопровождаться многочисленными проблемами и уязвимостями в разрабатываемом ПО.

В ходе дальнейшего обсуждения специалисты обсудили вопросы использования open source ПО, проектирование, моделированию и тестирование систем безопасности АСУ ТП, проблемы импортозамещения, доверенной разработки. Российские интеграторы в моменте находят решения по защите АСУ ТП, в надежде на то, что в будущем можно будет перейти на иные решения, отметили разработчики.

Подводя общие итоги сессии, Михаил Смирнов выделил два момента:

  • можно и нужно говорить о проблемах ИБ АСУ ТП через призму импортозамещения. Текущие проекты реализуются, несмотря на трудности, для этого нужны стимул и деньги;
  • события последних двух лет показали, что вопросы международного разделения труда нежизнеспособны для сферы национальной и информационной безопасности, и решать их надо своими силами.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.09.2024
Будет ли PKI применяться для защиты цифрового рубля?
19.09.2024
Что означает продвижение трансграничного пространства доверия в международном контексте
19.09.2024
ЭП лишь на четвёртом месте в списке мест приложения ключевых носителей
19.09.2024
Государственные информсистемы — это огромный пласт работы для всей отрасли PKI
18.09.2024
90-е убивают. Кибератака привела к подрыву владельцев пейджеров
18.09.2024
«Доктор Веб» сам отправился лечиться. Выпуск вирусных баз приостановлен
18.09.2024
«Бюро 1440» раздаст всем россиянам доступ к мемам из космоса
18.09.2024
Белорусов обязали продавать и покупать криптовалюту «от земли»
17.09.2024
Ответственность за утечку ПДн готовятся обсудить во втором чтении
17.09.2024
В Санкт-Петербурге вручили дипломы победителям в ежегодных номинациях «PKI-Форума» за 2024 год

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных