Принципы и этапы обеспечения ИБ АСУ ТП на предприятии
Информационная безопасность Информационная безопасность

Роман Попов делится своим практическим опытом процесса построения информационной безопасности АСУ ТП в ПАО «Юнипро»

Главная>Информационная безопасность>Обеспечение ИБ АСУ ТП: взгляд изнутри
Информационная безопасность Тема номера

Обеспечение ИБ АСУ ТП: взгляд изнутри

Дата публикации:
15.02.2017
Посетителей:
552
Просмотров:
579
Время просмотра:
2.3

Авторы

Спикер
Роман Попов Независимый эксперт
Вот уже несколько лет тематика защиты АСУ ТП обсуждается на конференциях по информационной безопасности. За эти годы производители ИБ-решений и системные интеграторы сделали множество интересных докладов. Но все это больше похоже на общеобразовательные материалы и лозунги без конкретного плана действий. Поэтому возникает чувство информационного вакуума, когда есть потребность обсудить задачи, требующие конкретных решений, и при этом не хватает выступлений, на которых представители промышленных предприятий выходят и говорят, что они сделали для решения реальной проблемы.

На момент написания статьи Роман Попов занимал должность начальника отдела информационной безопасности ПАО «Юнипро».

Нельзя сказать, что ситуацию не пробуют исправить, создаются различные группы и форумы, призванные собрать промышленные предприятия. Однако за всеми этими инициативами по-прежнему стоят системные интеграторы и производители ИБ-решений, а заказчики предпочитают «не выносить сор из избы». Я выступаю категорически против сложившейся практики и считаю, что ни одна компания в отдельности не сможет изобрести эффективную «серебряную пулю» – это задача отрасли и сообщества, а публикация информации о закрытых уязвимостях и проблемах не только не навредит компании, а скорее, наоборот, принесет ей дополнительные очки на рынке. На этом фоне нельзя не отметить инициативу компании «Норильский Никель» – создать клуб ИБ АСУ ТП среди промышленных предприятий. Создание такого клуба позволит информации о реальном состоянии ИБ АСУ ТП заполнить сложившийся вакуум, предприятиям сформировать портфель реально работающих решений, а производителям ИБ-решений и системным интеграторам сфокусироваться на реальных, а не выдуманных проблемах.

 

Лично я не могу сказать, что у меня большой опыт проектов ИБ АСУ ТП. В «Юнипро» (ранее «Э.ОН Россия») мы начали процесс построения информационной безопасности АСУ ТП два года назад. Я считаю, что мы до сих пор находимся на старте. Первым шагом на этом пути стал аудит, который позволил определить, в каком состоянии сейчас находятся наши процессы и куда нам двигаться дальше.

 

Причем был проведен и обычный, и инструментальный аудит, для получения максимально подробной информации о том, что происходит в АСУ ТП сейчас. Нашей целью было собрать достаточную базу для разработки дальнейших решений.

 

Сразу скажу, что аудит идет до сих пор. Дела на предприятиях обстоят по-разному, все зависит в том числе от времени создания автоматизированной системы управления технологическим процессом. В целом, несмотря на популярные страшилки, промежуточный результат оказался весьма позитивным. Например, если рассматривать соответствие требованиям приказа ФСТЭК № 31, мы значительно соответствуем ему. Неправильно говорить, что ИБ АСУ ТП до нас никто не занимался – занимались, просто не знали, что это так называется. В то же время есть ряд ошибок, скорее даже недочетов, связанных с человеческим фактором и отсутствием/неиспользованием в данной отрасли стандартов и лучших практик по ИБ.

 

Огромной проблемой является то, что на сегодняшний день под ИБ большинство понимает исключительно конфиденциальность, а так как в АСУ ТП конфиденциальности практически нет, то и обеспечение ИБ считается неважным. Не хватает общеобразовательной и государственной поддержки данной тематики и широкого разъяснения того, что же такое ИБ и ИБ АСУ ТП в частности.

 

Если говорить о промежуточных результатах наших работ, можно сделать следующие выводы: существующему предприятию, у которого АСУ ТП уже построена, никакие срочные решения по обеспечению ИБ АСУ ТП не нужны. В худшем случае на некоторых объектах требуется лишь более глубокая защита периметра. Нет смысла лезть внутрь АСУ ТП. А вот на новых, модернизируемых или строящихся объектах к обеспечению ИБ АСУ ТП стоит подходить внимательнее и на начальных этапах решить, в каких объемах допустимо использовать современные технологии.

 

Для убедительности могу привести такой пример: на старых АСУ ТП выявлено порядка 200 уязвимостей, а на современных системах – более 18 000. Отрадно, что общая система организации АСУ ТП практически не позволяет их эксплуатировать, но это вопрос времени. Есть над чем задуматься.

 

По итогам вышесказанного может сложиться мнение, что вопросами ИБ АСУ ТП пока можно не заниматься, но это совершенно не так. Проектный цикл в АСУ ТП весьма длителен. Если вы начнете заниматься этим вопросом сегодня, говорить о первых результатах можно будет только через несколько лет. Откладывая вопрос на завтра, вы рискуете просто не успеть. Последние новости в области технологических кибервойн только подтверждают тот факт, что начинать нужно было еще позавчера.

Как же обеспечить ИБ АСУ ТП?

 

Первый этап – привести в порядок существующую инфраструктуру, причем рекомендую эту задачу разделить на несколько подзадач. Во-первых, необходимо навести порядок там, где это возможно, без влияния на функционал автоматизированной системы управления технологическим процессом: пароли, права доступа, сегментирование сетей. Во-вторых, привести в порядок процессы ИБ: документы, регламенты, разграничение ответственности и прочее. В-третьих, обеспечить безопасность периметра АСУ ТП или даже установить системы анализа уязвимостей. Отдельный вопрос, как их использовать. В одних случаях подобные системы можно поставить на «окраине» периметра и эксплуатировать постоянно, а в других проверку уязвимостей нужно проводить очень аккуратно и только в моменты технологической остановки, если она вообще есть. Бывают ситуации, когда это просто невозможно.

 

На втором этапе необходимо привлечь системного интегратора, специализирующегося на обеспечении ИБ, который проведет аудит непосредственно АСУ ТП, по итогам этого аудита будет взаимодействовать с производителем АСУ ТП и искать возможности закрытия найденных угроз в интересах заказчика. В дальнейшем проект по обеспечению ИБ АСУ ТП должен перейти к производителю АСУ ТП, но под контролем системного интегратора. Это важно, так как ответственность за функционирование системы должна нести только одна компания (производитель АСУ ТП). Выявленные уязвимости он может устранить, например, при следующей модернизации. Это позволит заказчику получить уверенность в том, что примененные меры не нарушат технологический процесс и обеспечат его стабильность и надежность в современных условиях. Естественно, данный цикл требует регулярного повторения.

 

Важно отметить, что оправдывать отсутствие ИБ АСУ ТП нехваткой денег не уместно. Затраты, необходимые для обеспечения жизненного цикла АСУ ТП, должны включать и ИБ, расходы на которую, как правило, не сопоставимы с производственными. Здесь все начинается с простых вопросов к главному инженеру: «Ты хочешь спать спокойно?», «Ты уверен, что у тебя все под контролем?» Скорее всего, он скажет «нет» или «не знаю». А дальше, практика – лучший учитель. Как правило, нескольких дней достаточно, чтобы на любом предприятии, которое еще не озадачилось обеспечением ИБ АСУ ТП, показать, что доступ к технологическим процессам предприятия возможен. На данном этапе очень важно не совершить популярную ошибку: приходить к производственникам нужно не с предложением провести проверку, а с предложением квалифицированных ресурсов, которые можно загрузить проблемами производственников. От таких предложений не отказываются. Главное – правильно объединить усилия служб АСУ ТП, ИТ и ИБ в одном направлении для решения появившейся задачи, а не искать виновных. Эта работа должна проводиться планомерно и без суеты.

В завершение своей статьи позволю себе привести часто задаваемый мне вопрос: «Когда наступит судный день?». На мой взгляд, он наступит, когда вся релейная автоматика перейдет на цифровой канал. Что, в общем-то, мы сейчас и наблюдаем. Возможно, пора искать домик где-то в удаленном от предприятий месте...

Уведомления об обновлении тем – в вашей почте

Индустрия 4.0. Кибербезопасность: вызовы и решения

Совсем недавно вышел аналитический отчет «Лаборатории Касперского» о том, как обстоят дела с кибербезопасностью в 2018 г.

Автоматизированные системы управления технологическими процессами. Вопросы безопасности

Системы технологического управления и родственные им системы диспетчерского управления, противоаварийной автоматики и т. д. прочно входят в нашу повседневную жизнь

Выстрел на опережение: снижаем риски на старте проекта ИБ АСУ ТП

За последние несколько лет об обеспечении информационной безопасности в технологическом сегменте предприятий не начали говорить разве что только специалисты из кардинально других отраслей.

Тренды ИБ глазами практиков

Тренды в сфере ИБ, которые мы предлагаем вниманию читателей, — это не попытка конкурировать с аналитическими агентствами. Наше видение основано на опыте практической работы с заказчиками из разных отраслей, понимании их реальных потребностей, запросов и проблем.

1500 спартанцев: развитие русскоязычного сообщества специалистов по кибербезопасности АСУ ТП

Один из создателей сообщества «Кибербезопасность в АСУ ТП» рассказал о том, как оно формировалось и развивалось

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

Самый SOC в безопасности АСУ ТП

Задача построения полноценного SOC на сегодняшний день воспринимается уже как необходимость практически в любой компании

Типовые подходы к защите информации АСУ ТП

Типовые подходы защиты информации АСУ ТП это не столько технические средства защиты, сколько правильное процессы

ИБ-аутсорсинг в промышленности

Говоря об обеспечении информационной безопасности (ИБ) промышленных предприятий, нужно разделять корпоративный сегмент и сегмент технологических сетей.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня