Некоммерческое сообщество экспертов RUSCADASEC, занимающееся кибербезопасностью промышленных систем управления (АСУ ТП) и критической информационной инфраструктуры (КИИ), провело 7 апреля в Москве очередную, четвертую по счету, конференцию. Цель мероприятия — обменяться опытом для повышения общего уровня ИБ-компетенций в промышленных компаниях.
В рамках деловой программы спикеры обсуждали методологию, примеры инцидентов, нормативку, свободно выражая все экспертные мнения, которые им хотелось вынести «на общий суд». ИБ-консультант AKTIV.CONSULTING Александр Михайличенко рассказал об управлении рисками Supply Chain в АСУ ТП в условиях технологической изоляции. Кирилл Кутаев из Positive Technologies поделился интересным опытом по вопросам безопасности «современного и самого распространенного в отечественном нефтегазе американского ПЛК». Проектирование безопасных киберфизических систем на примере цифровой подстанции осветил Николай Домуховский («Энерджинет»).
Директор лаборатории кибербезопасности UDV Group Владислав Ганжа привлек внимание слушателей к версионированию и анализу структуры проектов ПЛК Siemens, на которых по-прежнему построено много АСУ ТП. Любое несанкционированное изменение в их коде — без фиксации и контроля — может привести не только к аварии и простоям, но и к угрозе безопасности людей. Практика показывает, что довольно большое число инцидентов в АСУ ТП связано именно с этим. Защищенное хранение и версионирование проектов ПЛК являются фундаментальным элементом кибербезопасности.
Тестирование доверенных комплексов систем управления для объектов КИИ «в эпоху импортозамещения и регуляторного пресса» имеет свои особенности, считает директор компании iGrids Максим Никандров. В результате неких политических действий «недружественных» стран мы получили на своих объектах «осиротевшие системы», констатировал он. Со слов спикера, масла в огонь добавляют российские регуляторы, которые сказали: «все, нужно меняться…». Наверное, было бы целесообразно путем целого комплекса компенсирующих мер обеспечить «достаточный уровень доверия к недоверенному технологическому процессу», тем самым получив шанс на более плавный переход. Тогда оборудование, которое не выработало свой запланированный срок эксплуатации, могло бы еще послужить.
Эксперт предложил свои варианты: анализ и тестирование импортного оборудования (например, в лаборатории КИИ СЕРТ), продвинутый комплекс ИБ, индустриальная система обнаружения вторжения, которая позволяет выявлять технологические сбои и ошибки конфигурирования. Когда из зала задали вопрос на тему случаев отставания ИБ при модернизации АСУ ТП, Никандров отметил: обе сферы должны развиваться параллельно на основе взаимодействия и контроля, иначе появятся дыры в защите. Причем, как часто это бывает, он сам переквалифицировался в безопасники из технологов: «Вот без таких специалистов, которые и там и там интересуются, я думаю, дальше у нас развития не будет. Если в одном человеке не получается все качества собрать то, по крайней мере, они должны работать в команде — как минимум, не воевать друг с другом».
Бороться со злом лучше сообща
Регулярную оценку уровня зрелости ИБ в рамках территориально распределенной группы компаний провел директор по ИБ ГК «Элемент» Александр Дворянский. Разношерстный характер холдинга связан с тем, что в дочерних и зависимых компаниях (ДЗК) можно столкнуться с неукомплектованностью штата, различным уровнем ИБ-зрелости и цифровизации, а также недостаточным финансированием кибербеза. Поэтому перед головной организацией стоит важная задача — «всех выровнять и всем внедрить единый корпоративный стандарт, который был выработан».
Под этот стандарт подпадают индивидуальные показатели и требования регулятора: защита персональных данных и коммерческой тайны, управление активами и рисками ИБ, обучение и повышение осведомленности в области безопасности и многое другое. В «Элементе» даже ввели ключевой коэффициент для оценки уровня зрелости — от 0 до 1. Здесь придерживаются принципа «бороться со злоумышленниками лучше сообща, чем одному».
«Мы понемногу совершаем переход от классической ИБ к полноценной кибербезопасности с наступательными элементами, — пояснил Дворянский. — И нам нужно создать единую модель управления, единую экосистему, чтобы, к примеру, более сильная дочка могла чем-то помогать более слабым. Ведь система ломается в самом слабом звене цепи. Соответственно у нас цель как раз отстающих подтянуть, как минимум до среднего уровня, но лучше — до максимального».
В перерыве между сессиями мы обратились к модераторам и другим экспертам с просьбой дать свои комментарии о ходе мероприятия. BDM Kaspersky Neuromorphic platform, лидер ЦК «Кибербезопасность» («Энерджинет») Алексей Петухов отметил разносторонний характер докладов: «Одни были очень технические и детальные, но они помогли людям, которые занимаются управлением или выстраивают систему ИБ, немного погрузиться в картину, сделать для себя выводы о проблематике и нюансах защиты. Другие выступили по общеорганизационным, методическим темам, которые, безусловно, всем близки и понятны. Поэтому содержание деловой программы послужило, на мой взгляд, расширению кругозора во всех блоках».
Директор «КИТ» и автор блога BESSEC Евгений Баклушин, выступивший в роли модератора, охарактеризовал доклады как самые сильные за четыре года существования конференции. Если говорить о его компании, то они «ушли от классической кибербезопасности в самой себе и теперь помогают организациям проектировать и проходить в целом цифровую трансформацию каких-то бизнес-процессов уже в защищенном исполнении» с учетом прежних ошибок и возможных уязвимостей.
«КИТ» сотрудничает с RUSCADASEC уже давно и активно коммуницирует с точки зрения обмена опытом и обучающими материалами. Например, в ближайшее время интегратор выпустит свежую программу переподготовки по безопасности КИИ с учетом собственной практики, согласованную со ФСТЭК. И для участников сообщества скорее всего будут какие-то дополнительные бонусы при ее прохождении. Также многие спикеры являются добрыми партнерами, чьи компетенции часто оказываются к месту при реализации различных проектов.
Сложные вопросы для студентов и экспертов
Эксперт Дмитрий Даренский представился нашему изданию так: «Я работаю руководителем практики промышленной кибербезопасности Positive Technologies и по совместительству уже который год веду студенческие битвы на RUSCADASEC CONF». По словам модератора, ежегодно организаторы стараются усиливать вопросную часть, но все же студенты достойно выходят из положения и дают более четкие, структурированные и развернутые ответы.
«В целом можно говорить уже об определенном прогрессе в системе высшего образования, так как люди приходят уже с базовыми знаниями, причем по довольно узким и очень специфичным темам, — констатировал Даренский. — В то же время тематика промышленной кибербезопасности в наших вузах сейчас как направление в обучении в принципе еще не сформирована. Мы намеренно усложняем задания, чтобы студенты попытались решить вопросы, на которые подчас и регулятор вам не ответит, и стандартов однозначных по ним нет. Мы стремимся не просто проверить уровень знаний студентов, а дать им погрузиться в эту сложную межотраслевую дисциплину, где присутствуют промышленные технологии, ИТ и кибербезопасность, которые и впредь будут вынуждены жить и развиваться совместно».
Меж тем спикер также выступил на дискуссионной секции с докладом «Хакеры и бетон. Вызовы кибербезопасности в капитальном строительстве». Он акцентировал внимание на следующем парадоксе: отрасль регулируется строительными нормами, постановлением правительства и федеральными законами о строительной и промышленной безопасности, антитеррористической защищенности, биологической защите — за бортом только остались вопросы кибербезопасности.
Дмитрий Даренский добавил, что даже в случае с госкорпорацией «Росатом», которая учитывает ядерную и все иные виды безопасности, Госнадзор и Главгосэкспертиза исключают из строительных проектов атомных энергоблоков раздел по информационной безопасности, потому что она не заложена в нормах. Как следствие, не включенная в задание статья не будет проинвестирована. Затем промышленный объект, готовый к введению в эксплуатацию, необходимо обеспечить ИБ-системой, для чего придется переделать сам проект по ИТ и АСУ ТП. «То есть мы сделали проект, но, чтобы его защитить, нам надо его тут же переделывать, причем за отдельные деньги, на которые нужно еще обоснование», — резюмировал эксперт.
Главное знать, где ударить
Еще одну дискуссионную тему в докладе с названием «Больные вопросы категорирования промышленных объектов КИИ» подняла руководитель AKTIV.CONSULTING компании «Актив-софт» Ольга Копейкина. С ее слов, нередко молодые либо неопытные в отношении промышленного сектора ИБ-специалисты допускают ошибки при категорировании, которые в последующем влекут существенные сложности при эксплуатации таких объектов. Например, релейная автоматизированная система управления расценивается специалистом как объект КИИ, хотя в ней нет даже программной составляющей. На сотрудников организации возлагаются обязанности по приведению таких объектов в соответствие требованиям нормативной базы, и «потребуются сверхспособности, если вы попробуете установить антивирус на реле».
«Надо обязательно привлекать для таких задач не просто ИБ-специалистов, а экспертов, которые действительно понимают, что за объекты находятся в промышленной инфраструктуре, как они взаимодействуют между собой и, собственно, какую функцию они исполняют и как она реализована, — заключила спикер. — Ошибка, которую чаще всего допускают организации при выборе поставщика решений и услуг — это ориентации исключительно на стоимость выполнения работ. Необходимо грамотно формировать технические задания, учитывать не только базовые параметры, но также подтвержденную экспертизу и навыки ваших исполнителей. Это как в притче о силе точного действия: важно не столько уметь бить, сколько знать, где ударить».
Модератор трека «НеКонференция» и сооснователь сообщества Илья Карпов поделился с нами воспоминаниями о том, как все начиналось: лет десять назад в Facebook собралась небольшая группа людей, заинтересованных в информационной безопасности АСУ ТП. Это комьюнити затем перешагнуло в Telegram и на другие площадки. У организации есть хорошая традиция — вручать за вклад в жизнь RUSCADASEC и в развитие промышленной кибербезопасности в России и в мире коины — металлические медальоны с логотипом и девизом сообщества, с уникальным номером.
С cамого начала организаторы решили не заниматься рекламой и коммерцией, чтобы не поощрять ненужную конкуренцию и избегать возможных конфликтов. Важнее рассказывать о своих подходах, о своей практике, идеях и так далее. Если говорить о сегодняшнем этапе, то есть желание активнее привлекать вендоров — производителей компонентов АСУ ТП. Но их среди участников пока мало: наверное, из-за того, что нет четких официальных требований ИБ в указанной сфере от федеральных органов. В идеале надо, чтобы в дискуссии вовлекались все «стороны треугольника» — эксплуатация, кибербез и вендоры. Если специалисты разного профиля будут активнее приходить и открыто обсуждать трудные вопросы, у них будет больше шансов найти ключи к решению.
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
