Темой одной из панельных дискуссий, проходивших в рамках московской конференции IDC Security Roadshow, стало изменение подходов к решению проблем, связанных с обеспечением информационной безопасности АСУ ТП. Как отметил модератор дискуссии независимый эксперт Алексей Лукацкий, после известного инцидента с вирусом Stuxnet и нескольких других случаев, имевших серьезные последствия, вопрос защиты критически важных объектов, оснащенных автоматизированными системами управления, стал особенно актуальным. Весомый драйвер в этом сегменте — требования регуляторов. В первую очередь имеются в виду документы ФСТЭК 2007 года по ключевым элементам информационной инфраструктуры, «31-й приказ» по защите АСУ ТП от 2014 года и готовящийся законопроект ФСБ по защите критических информационных инфраструктур, на основании которого должно быть подготовлено еще около 20 ведомственных приказов.

Как считает Олег Кузьмин, директор департамента ИБ «АйТеко», в условиях быстрого роста числа уязвимостей АСУ ТП наблюдается нехватка специалистов в данной области, да и сами вендоры АСУ ТП уделяют безопасности недостаточно внимания, поскольку традиционно эти системы были изолированными и специальной защиты для них не требовалось. Сегодня нередко используются универсальные средства: межсетевые экраны промышленного исполнения, IPS, антивирусы и т. п. Характерно, что в конкурсах на реализацию проектов по обеспечению ИБ АСУ ТП участвуют все больше игроков — до 10–12 системных интеграторов. При этом — несмотря на нормативное регулирование, международные стандарты и разработанные вендорами подходы к защите АСУ ТП — отсутствует единая терминология в области ИБ и гармонизация руководящих документов разных ведомств. Главное — не всегда есть понимание, как должна формироваться модель угроз, и поэтому нет четкого представления, от кого и от чего нужно защищаться.

Информационная безопасность в АСУ ТП. Четкого представления о том, какой она должна быть, пока не  сложилось
Информационная безопасность в АСУ ТП. Четкого представления о том, какой она должна быть, пока не
сложилось 

 

Модернизация подходов к обеспечению ИБ АСУ ТП предполагает изменение стратегии и тактики проводимых работ для построения эффективной системы защиты в соответствии с моделью угроз и возможными сценариями атак — от кибернападений до аварий. Первоочередные задачи — исключение или ограничение условий возникновения инцидентов ИБ. Для этого нужны проверки работоспособности различных систем ИБ, категоризация объектов на важные, критически важные и т. д. Необходимо осуществлять научные исследования, готовить организационные, технические и компенсирующие меры ИБ, разрабатывать отраслевые документы, вести контроль на государственном уровне. Важно создать реально работающую комплексную систему ИБ АСУ ТП, считают в «АйТеко». Пока что предлагаются, как правило, отдельные, изолированные решения, да и то не всегда реализующие задуманные функции.

Между тем инциденты ИБ за последние 20 лет можно пересчитать по пальцам. Насколько оправданна шумиха? «Инциденты связаны в основном с человеческим фактором и ошибками персонала. Есть гораздо более простые способы нанести вред промышленному предприятию — атаки на АСУ ТП экономически не обоснованы, и меры по их защите с помощью специализированных продуктов не всегда оправданны», — полагает Петр Павлов, специалист по промышленным ИТ-системам компании «Марс». «Хотя проблема существует, большую часть задач ИБ в АСУ ТП можно решить организационными мерами и правильным выстраиванием процессов эксплуатации. Тема защиты АСУ ТП изрядно перегрета, — согласен Илья Борисов, руководитель по ИБ в «ThyssenKrupp Industrial Solutions СНГ». — Более того, актуальность обеспечения ИБ на критически важных объектах искусственно раздута. Очевидны попытки сформировать рынок для продажи соответствующих продуктов и услуг, но компаний, способных предоставить качественный сервис по защите АСУ ТП, все еще нет. Да и в условиях кризиса разумнее вкладывать деньги в реконструкцию производства».

Отношение к обеспечению ИБ АСУ ТП в значительной степени зависит от отрасли. Конечно, государство должно внести свой вклад в обеспечение безопасности АСУ ТП — от стандартизации терминологии до выработки критериев и создания инструментов оценки рисков. Нужны непротиворечивые нормативные документы и согласованные действия различных регуляторов — ФСТЭК, ФСБ и Ростехнадзора. Определенные риски представляют средства удаленного мониторинга и управления, особенно если речь идет о решениях зарубежных вендоров. Эти риски тоже должны оцениваться на государственном уровне.