ИБ промышленных производств: верхи уже хотят, но низы пока не могут
Секция «Можно ли изменить безопасность в АСУ ТП?» собрала скорее «пиджачный», нежели чем «джинсовый» состав экспертов в сфере ИБ.
Помимо вездесущего «Ростелеком-Solar», представленного Владимиром Карантаевым, руководителем направления защиты критической инфраструктуры и АСУ ТП, на секции присутствовали и представитель консалтинга, Виталий Соколов, партнёр, руководитель практики кибербезопасности из PwC, представители руководства из ПАО «МОЭСК» и «РусГидро», а вёл заседание Андрей Кульпин, начальник управления защиты IT-инфраструктуры ГМК «Норильский никель». Он же буквально парой часов позже уже представлял журналистам далеко не асутпэшный проект в своей организации – один из этапов создание системы ИБ ERP системы на основе платформы SAP.
Собранные эксперты безусловно не понаслышке знали проблемы «комплаенса», а многие – и реалии работы техники и проблемы сосуществования технических служб на больших предприятиях.
Владимир Карантаев несколько раз, комментируя ситуацию на разных этапах обсуждения, отмечал, что на заседании на удивление царила атмосфера полного согласия. И главное из согласий заключалось в том, что «в верхи» пришло понимание важности выделения ресурсов для создания полноценных служб ИБ в промышленном, производственном сегменте бизнеса.
Как отмечалось на секции, на поворот ситуации в такое русло благотворно повлиял закон 187 ФЗ. Призрак УК РФ, да и просто аббревиатура «ФСТЭК» стимулировали осознание того, что современные системы энергоснабжения, контроллеры турбин и химических колонн – это те же компьютеры в сети.
Однако ни осознание верхов, ни даже выделение ресурсов (а руководство мыслит это понятие по большей части обезличено, в финансовом выражении) не способны в одночасье вызвать с заливных лугов табуны коньков-горбунков, которые три десятка лет паслись там на самообеспечении, дожидаясь молодецкого посвиста работодателей. Ведь нет тех лугов, и нет, стало быть, готовых кадров. А ведь проблема кадрового дефицита в службах ИБ материального производства возводится, что называется, в квадрат по сравнению с той же проблемой в «офисном» ИБ. «Ибэшники» «асутпэшного» профиля должны разбираться и в ИТ, и в технологических процессах. Да ещё и жить в отдалённых от двух столиц России городах, где ещё работает промышленность.
Некогда рекламируемый аутсорсинг не спасёт безопасность АСУТП по ряду причин, одна из которых в том, что потенциальные аутсорсеры так же кадрово «голодают». И к тому же, как следует из системного толкования норм 187 ФЗ, разделять последствия реализации рисков техногенных катастроф они не будут.
Ещё сложнее, чем кадровая, – проблема импортозамещения средств АСУТП. Проблема та же: собственная радиоэлектронная промышленность, как и системная подготовка производственных кадров, ликвидирована.
Есть только одна проблема ИБ на промышленном предприятии, решение которой возможно уже сейчас. Зияющими дырами являются разрывы на границах зон ответственности служб главного энергетика, главного технолога и «главного» по ИТ. Но эта беда поправима, потому что люди, подобные тем, что вошли в экспертный состав секции «Можно ли изменить безопасность в АСУ ТП?» эту проблему понимают и готовы создавать нужные регламенты.
Так что дело за малым, ответственными и квалифицированными кадрами, и оборудованием, которое если и будет на первых порах иметь уязвимости, то хотя бы не в виде лючков для чужих Stuxnetов. А пока Cisco нам в помощь!
Марк Новодачный