«Информационная безопасность АСУ ТП – это всегда затратная часть для бизнеса…»

Да, в соответствии с требованиями нормативных документов и методик, на первом этапе наше подразделение проводит классификацию систем по принципу критичности и важности. Решение об использовании мер защиты принимается исходя из установленного класса или категории объекта. Основная цель – это формирование адекватной системы обеспечения информационной безопасности.

Существует общепринятое понятие, объединяющее в термин «АСУ ТП» персонал и технические средства автоматизации, так называемый человеко-машинный интерфейс. Я думаю, что вопрос с терминологией актуален для всех, кто занимается обеспечением информационной безопасности АСУ ТП. Специалисты, которые создают и эксплуатируют непосредственно АСУ ТП, относят к этому понятию вполне конкретные системы, в частности, систему автоматизированного управления технологическим процессом в рамках определенной технологической установки. При обеспечении ИБ мы рассматриваем АСУ ТП немного шире. К этому понятию мы относим также SCADA-, MES-системы и другие инструменты, способные оказывать воздействие на ее работу. Для нас АСУ ТП – это все, что управляется и контролируется технологическим процессом до момента передачи данных в корпоративную сеть.

Считаю, что более чем… Сейчас только в передаче «Спокойной ночи, малыши» не рассказывают о кибератаках и кибероружии (смеется). Об актуальности данной темы говорит и современная политика. Уже сейчас часть боевых действий ведется не только с помощью танков и ракет, в них используется политическое и экономическое давление, в том числе с использованием нелегальных групп хакеров и анонимных групп несуществующих подразделений, которые дестабилизируют обстановку либо пытаются нанести существенный экономический вред государству. Наша задача – обеспечить ИБ АСУ ТП на крупных экономикообразующих предприятиях, сбой в работе которых может привести к катастрофе. Конечно, чтобы выстроить грамотную защиту, в первую очередь нам нужно оценить потенциальных нарушителей. Отдельный злоумышленник, который преследует только цели наживы, – это одно дело, и совсем другое – группа высококвалифицированных хакеров, действующая в интересах какого-то государства. Защищаться нужно и от тех, и от других, но уровень угроз, связанный с их деятельностью, будет несопоставим.

Как и в любом процессе, в обеспечении информационной безопасности АСУ ТП сначала формируется нормативная база. На данный момент выпущено достаточно много регламентирующих документов государственными регуляторами, например, ФСТЭК, а также компаниями, перед которыми стоит задача по обеспечению ИБ АСУ ТП. В нашем случае Корпоративный центр Газпром нефть издал ряд нормативных документов, регламентирующих деятельность в данном направлении. На сегодняшний день камнем преткновения является формирование единой терминологии. Я считаю крайне важным, чтобы регуляторы, специалисты по ИБ и бизнес-структуры начали говорить на одном языке. Для этого необходимо создать единую понятийную базу, описывающую то, что конкретно мы защищаем. В контексте тех документов, которые существуют, информационная система – это система, выдающая ответы на определенные запросы, автоматизированная система – это система, обеспечивающая технологический процесс по определенным параметрам. Применительно к деятельности нашего подразделения эти определения немного модифицированы: для меня и для моих коллег автоматизированные системы – это системы, управляющие предприятием и технологическими процессами.

Всем известны три принципа ИБ: конфиденциальность, целостность и доступность. В производственном процессе конфиденциальность стоит на последнем месте, в технологической сети обычно конфиденциальной информации нет или ее не так много. А вот доступность и целостность систем принципиально важны. Мы параллельно движемся сразу в нескольких направлениях. С одной стороны, перед нами стоит задача сформировать нормативную базу, организовать процесс защиты информации и создать определенную систему управления ИБ на предприятиях для предотвращения аварий и катастроф, вызванных киберугрозами, с другой – противодействовать хищениям, мошенничеству или коррупции. Работа, лежащая в этой плоскости, более понятна, так как она применяется локально в каждой конкретной системе и даже подсистеме.

По большому счету в группе компаний подразделения корпоративной защиты есть во всех дочерних обществах. Сейчас их работа построена прецедентно: сложилась определенная ситуация, они решили, как на нее реагировать; возникла следующая, они думают, как с ней бороться. Для примера: проехала машина там, где не нужно, – установили шлагбаум; сотрудники что-то выносят – поставили камеры. Нам в рамках оказания сервисных услуг необходимо подхватить то, что уже сейчас делается, при этом наращивая свой контроль над системами с целью минимизации рисков. При этом мы видим, что подходы у каждого дочернего общества свои, и мы, имея полномочия Центра компетенций по ИБ АСУ ТП группы компаний, хотим построить оптимальную систему, которую в дальнейшем можно будет тиражировать и масштабировать. Корректировка этой системы будет осуществляться за счет обратной связи с подразделениями.

В нашей работе лучше обходиться без таких примеров – обычно все, что запоминается, связано с авариями. Такие инциденты, конечно, редко становятся достоянием общественности, потому что ни одна компания не захочет рассказывать об этом публично, чтобы не потерять свой авторитет и не демонстрировать свои уязвимые места злоумышленникам. Мне сложно описать конкретный случай. Если не говорить о масштабных происшествиях, могу привести пример массовых рассылок, где для доставки вируса на рабочую станцию сотрудника злоумышленники используют социальную инженерию. Например, для конкретного человека формируется письмо со «зловредом» внутри, он воспринимает его как обычное сообщение. Если пользователь переходит по ссылке в письме, то шифруются все данные его компьютера. Такие прецеденты есть в корпоративных сетях, но им ничего не мешает появиться и в АСУ ТП.

Если говорить о стратегии развития Центра компетенций, нашим приоритетным направлением является оказание сервисных услуг в соответствии с теми требованиями по информационной безопасности, которые уже сформулированы. Внутри подразделения мы строим сервисную модель оказания услуг по ИБ АСУ ТП. По мере того как будут выходить те или иные нормативные документы, мы постараемся максимально типизировать системы защиты. Кроме того, перед нами стоит задача систематизировать подходы к обеспечению информационной безопасности при проектировании и заниматься их дальнейшим развитием. Если говорить о конкретных шагах, в будущем наше подразделение должно будет оказывать услуги и по проектированию подсистем обеспечения информационной безопасности. Однако раздувать штат мы не можем, поскольку бизнес ориентируется на принцип «покажи мне доход, и я скажу, сколько мы можем на тебя потратить». Поэтому мы рассчитываем на те силы и средства, которыми сейчас располагаем. Если говорить о ближайших наших шагах, я вижу их такими:

• администрирование проектной деятельности;
• оценка потребностей предприятий в обеспечении ИБ АСУ ТП;
• повышение осведомленности специалистов по АСУ ТП;
• формирование и обслуживание систем мониторинга и контроля средств защиты.

В настоящее время мы применяем те решения, которые нам предлагают сторонние компании. Работая с разными компаниями, мы анализируем и стараемся систематизировать их подходы, типизировать те задачи, которые ставятся перед подрядными организациями. Возможно, в будущем какие-то работы мы будем брать на себя, увеличивая долю своего участия, но не все. В закрытых процессах всегда нужен «глоток свежего воздуха». Если обучать и выращивать специалистов только на наших предприятиях, полагаю, они не смогут обладать всем объемом экспертных знаний, чтобы оценивать ситуацию объективно и непредвзято, а содержать штатных аналитиков для нас нерентабельно. Мы не готовы тратить бюджеты на то, чтобы специалист, съездив в Японию или в США, констатировал, что в мире появился новый подход, и теперь нужно строить автоматизированную защиту на базе не двух, а трех рабочих мест. В этом случае нам проще обратиться к крупному интегратору.

Про отраслевую специфику говорить сложно, поскольку у нас даже внутри группы компаний «Газпром Нефть» есть различия: блок разведки и добычи, блок нефтепереработки и логистики. В чем тут принципиальная разница? В том, что нефть может добываться где угодно – и в тундре, и в Антарктиде. Защита небольших локальных предприятий, например, буровой вышки, ближе к физической защите. Тут необходимо предусмотреть меры, чтобы злоумышленник не мог проникнуть на объект. Совсем другое дело нефтеперерабатывающий завод, который находится в крупном населенном пункте. Очевидно, в зависимости от территориального расположения и выполняемых задач требования к защите будут разными. Если одна буровая остановится или на ней произойдет авария, вряд ли нанесенный ущерб будет сопоставим с аварией на нефтехимическом производстве, которое находится рядом или в черте населенного пункта. Последствия будут значительно масштабнее, однозначно эта ситуация опаснее.

Я думаю, специфика накладывает свой отпечаток на характер и объем выполняемых работ. В части информационной безопасности состав этих мер примерно везде схожий, различия кроются в целях защиты информационных сетей и технологических процессов, так как определены разные приоритеты, имеет место многофакторность угроз.

Одно дело – защищать конфиденциальность информации в офисной сети, совсем другое – предусмотреть защиту сервера с информацией от «человека с топором», который может физически его уничтожить. Я уже говорил, что для нас приоритетны доступность и целостность информации в технологической сети. А здесь – свои меры и средства защиты, отличные от предыдущих, но включающие и физическую защиту.

Регуляторы на то и регуляторы, чтобы им доносить до нас свое видение. С позиции подразделения ИБ мне бы хотелось, чтобы документы, которые готовят представители регуляторов, носили больше директивный характер, а не только рекомендательный. Информационная безопасность – это всегда затратная часть для бизнеса. При этом постоянно возникает парадокс: хорошая безопасность – это, когда ее не видно, когда ничего не происходит, но в этой ситуации очень сложно убедить бизнес, что нужно именно сейчас вложить деньги, чтобы завтра ничего не произошло. Гораздо проще сказать: вот видите, вчера произошел инцидент – нам нужно защищаться. К сожалению, сегодня происходит именно так: только когда что-то происходит, выделяются средства на безопасность. Сейчас экономическим обоснованием, побуждающим бизнес заниматься темой ИБ, являются требования регуляторов. Возможно, пока бизнес не очень понимает, для чего конкретно нужна ИБ, но уже понимает, что заниматься ей нужно, а это вселяет оптимизм.