На момент написания статьи Роман Попов занимал должность начальника отдела информационной безопасности ПАО «Юнипро».
Нельзя сказать, что ситуацию не пробуют исправить, создаются различные группы и форумы, призванные собрать промышленные предприятия. Однако за всеми этими инициативами по-прежнему стоят системные интеграторы и производители ИБ-решений, а заказчики предпочитают «не выносить сор из избы». Я выступаю категорически против сложившейся практики и считаю, что ни одна компания в отдельности не сможет изобрести эффективную «серебряную пулю» – это задача отрасли и сообщества, а публикация информации о закрытых уязвимостях и проблемах не только не навредит компании, а скорее, наоборот, принесет ей дополнительные очки на рынке. На этом фоне нельзя не отметить инициативу компании «Норильский Никель» – создать клуб ИБ АСУ ТП среди промышленных предприятий. Создание такого клуба позволит информации о реальном состоянии ИБ АСУ ТП заполнить сложившийся вакуум, предприятиям сформировать портфель реально работающих решений, а производителям ИБ-решений и системным интеграторам сфокусироваться на реальных, а не выдуманных проблемах.
Лично я не могу сказать, что у меня большой опыт проектов ИБ АСУ ТП. В «Юнипро» (ранее «Э.ОН Россия») мы начали процесс построения информационной безопасности АСУ ТП два года назад. Я считаю, что мы до сих пор находимся на старте. Первым шагом на этом пути стал аудит, который позволил определить, в каком состоянии сейчас находятся наши процессы и куда нам двигаться дальше.
Причем был проведен и обычный, и инструментальный аудит, для получения максимально подробной информации о том, что происходит в АСУ ТП сейчас. Нашей целью было собрать достаточную базу для разработки дальнейших решений.
Сразу скажу, что аудит идет до сих пор. Дела на предприятиях обстоят по-разному, все зависит в том числе от времени создания автоматизированной системы управления технологическим процессом. В целом, несмотря на популярные страшилки, промежуточный результат оказался весьма позитивным. Например, если рассматривать соответствие требованиям приказа ФСТЭК № 31, мы значительно соответствуем ему. Неправильно говорить, что ИБ АСУ ТП до нас никто не занимался – занимались, просто не знали, что это так называется. В то же время есть ряд ошибок, скорее даже недочетов, связанных с человеческим фактором и отсутствием/неиспользованием в данной отрасли стандартов и лучших практик по ИБ.
Огромной проблемой является то, что на сегодняшний день под ИБ большинство понимает исключительно конфиденциальность, а так как в АСУ ТП конфиденциальности практически нет, то и обеспечение ИБ считается неважным. Не хватает общеобразовательной и государственной поддержки данной тематики и широкого разъяснения того, что же такое ИБ и ИБ АСУ ТП в частности.
Если говорить о промежуточных результатах наших работ, можно сделать следующие выводы: существующему предприятию, у которого АСУ ТП уже построена, никакие срочные решения по обеспечению ИБ АСУ ТП не нужны. В худшем случае на некоторых объектах требуется лишь более глубокая защита периметра. Нет смысла лезть внутрь АСУ ТП. А вот на новых, модернизируемых или строящихся объектах к обеспечению ИБ АСУ ТП стоит подходить внимательнее и на начальных этапах решить, в каких объемах допустимо использовать современные технологии.
Для убедительности могу привести такой пример: на старых АСУ ТП выявлено порядка 200 уязвимостей, а на современных системах – более 18 000. Отрадно, что общая система организации АСУ ТП практически не позволяет их эксплуатировать, но это вопрос времени. Есть над чем задуматься.
По итогам вышесказанного может сложиться мнение, что вопросами ИБ АСУ ТП пока можно не заниматься, но это совершенно не так. Проектный цикл в АСУ ТП весьма длителен. Если вы начнете заниматься этим вопросом сегодня, говорить о первых результатах можно будет только через несколько лет. Откладывая вопрос на завтра, вы рискуете просто не успеть. Последние новости в области технологических кибервойн только подтверждают тот факт, что начинать нужно было еще позавчера.
Как же обеспечить ИБ АСУ ТП?
Первый этап – привести в порядок существующую инфраструктуру, причем рекомендую эту задачу разделить на несколько подзадач. Во-первых, необходимо навести порядок там, где это возможно, без влияния на функционал автоматизированной системы управления технологическим процессом: пароли, права доступа, сегментирование сетей. Во-вторых, привести в порядок процессы ИБ: документы, регламенты, разграничение ответственности и прочее. В-третьих, обеспечить безопасность периметра АСУ ТП или даже установить системы анализа уязвимостей. Отдельный вопрос, как их использовать. В одних случаях подобные системы можно поставить на «окраине» периметра и эксплуатировать постоянно, а в других проверку уязвимостей нужно проводить очень аккуратно и только в моменты технологической остановки, если она вообще есть. Бывают ситуации, когда это просто невозможно.
На втором этапе необходимо привлечь системного интегратора, специализирующегося на обеспечении ИБ, который проведет аудит непосредственно АСУ ТП, по итогам этого аудита будет взаимодействовать с производителем АСУ ТП и искать возможности закрытия найденных угроз в интересах заказчика. В дальнейшем проект по обеспечению ИБ АСУ ТП должен перейти к производителю АСУ ТП, но под контролем системного интегратора. Это важно, так как ответственность за функционирование системы должна нести только одна компания (производитель АСУ ТП). Выявленные уязвимости он может устранить, например, при следующей модернизации. Это позволит заказчику получить уверенность в том, что примененные меры не нарушат технологический процесс и обеспечат его стабильность и надежность в современных условиях. Естественно, данный цикл требует регулярного повторения.
Важно отметить, что оправдывать отсутствие ИБ АСУ ТП нехваткой денег не уместно. Затраты, необходимые для обеспечения жизненного цикла АСУ ТП, должны включать и ИБ, расходы на которую, как правило, не сопоставимы с производственными. Здесь все начинается с простых вопросов к главному инженеру: «Ты хочешь спать спокойно?», «Ты уверен, что у тебя все под контролем?» Скорее всего, он скажет «нет» или «не знаю». А дальше, практика – лучший учитель. Как правило, нескольких дней достаточно, чтобы на любом предприятии, которое еще не озадачилось обеспечением ИБ АСУ ТП, показать, что доступ к технологическим процессам предприятия возможен. На данном этапе очень важно не совершить популярную ошибку: приходить к производственникам нужно не с предложением провести проверку, а с предложением квалифицированных ресурсов, которые можно загрузить проблемами производственников. От таких предложений не отказываются. Главное – правильно объединить усилия служб АСУ ТП, ИТ и ИБ в одном направлении для решения появившейся задачи, а не искать виновных. Эта работа должна проводиться планомерно и без суеты.
В завершение своей статьи позволю себе привести часто задаваемый мне вопрос: «Когда наступит судный день?». На мой взгляд, он наступит, когда вся релейная автоматика перейдет на цифровой канал. Что, в общем-то, мы сейчас и наблюдаем. Возможно, пора искать домик где-то в удаленном от предприятий месте...