Регулирование промышленной безопасности ужесточается

Результаты атак на промышленную инфраструктуру чреваты огромным ущербом и могут вызвать техногенную катастрофу с большим экологическим ущербом и гибелью людей. Об этом напомнил технический директор АО "Синклит" Лука Сафонов в выступлении на форуме CyberCamp. Однако, по его оценкам, информация о большей части таких атак не попадает в публичную плоскость несмотря на то, что ущерб может быть значительным. К примеру, выход из строя печи на металлургическом предприятии или крупной установки на крупнотоннажном химическом или нефтеперабатывающем производстве обойдется в сотни миллионов в валюте. Поэтому сфера безопасности промышленной инфраструктуры стала объектом пристального внимания регуляторов по всему миру, и Россия не стала исключением. Принят закон 187-ФЗ о защите критической информационной инфраструктуры, а 1 мая вышел президентский указ №250, за которым последовал целый ряд других нормативных актов. Лука Сафонов обратил внимание прежде на два нововведения. Это инициатива об организации Реестра событий в области безопасности, который будет вести Минцифры, а также находящийся на стадии согласования проект постановления правительства, который устанавливает усиление контроля над ПО, использующегося в технологическом сегменте. "Постепенное ужесточение регуляторных требований, регламентирующих обеспечение безопасности предприятий, касается как введения персональной ответственности (вплоть до уголовной), так и общих базовых принципов защиты. Ужесточение контроля, безусловно, является определенным драйвером для повышения защищенности промышленных объектов, - считает генеральный директор ООО "Инновейв АП" Денис Солодков. - С этой точки зрения, такая мера дополнительно подчеркивает важность вопрос безопасности. Ну а насколько эффективными окажутся эти меры контроля покажет время. Все мы знаем историю про Потемкинские деревни, поэтому крайне важно стремиться действительно работать на упреждение возможных угроз, а не на красивую отчетность". Директор центра компетенций по информационной безопасности "Т1 Интеграция" Игорь Кириллов считает, что сложно однозначно предсказать как повлияет на промышленные компании появление Реестра событий в области кибербезопасности, но в любом случае предприятиям потребуются каналы связи, крипто-оборудование, расходы на обеспечение работы систем. И если у компании отсутствует SIEM-система, вероятно, потребуется ее реализация, а такие системы недешевы и предполагают дополнительные расходы. "Создание такого Реестра стало логичным продолжением двух векторов принудительного развития ИБ у нас в отрасли - это модель угроз, теперь общая как минимум для защиты персональных данных и ЗОКИИ, и Указ президента № 250 о повышении защиты КИИ в целом. Но главное, напомню, в любом средстве информационной безопасности - это не статичная работа, а регулярные обновления. Как говорится, будем наблюдать", - говорит технический директор Cross Technologies Андрей Маклаков. Денис Солодков считает создание Реестра нужным шагом, но не менее важно построить систему защиты: "Данный подход довольно хорошо зарекомендовал себя как в России, так и на международной арене. Обмен данными о событиях, инцидентах, уязвимостях и атаках позволяет более эффективно адаптировать систему защиты на местах. Другой вопрос в том, что наполняемость Реестра и релевантность данных зависит от готовности промышленных предприятий такие данные предоставлять. Для этого должны быть реализованы соответствующие механизмы, которые в первую очередь позволяют агрегировать события ИБ на местах, анализировать и уже потом отправлять в реестр. В основе таких механизмов лежат как специальные технические средства защиты (системы мониторинга, сканеры безопасности, анализ сетевого трафика и др.), так и специалисты ИБ. По этой причине я бы не говорил о затратах на "подключение к реестру", а говорил бы о затратах на построение хотя бы базовой системы защиты. Подключение – это интерфейс, а вот ценность информации, которая передается через этот интерфейс уже напрямую зависит от того, насколько эффективно ведется обработка событий ИБ внутри предприятий. К сожалению, не редко в ходе аудитов ИБ выяснятся, что ИТ-инфраструктура скомпрометирована 100 и даже 200 дней назад, и все это время злоумышленник имел доступ к активам организации. Такие примеры явно говорят необходимости создания эффективных механизмов контроля ИБ внутри предприятий". Ведущий инженер CorpSoft 24 Михаил Сергеев уверен, что данный Реестр позволит собирать логи с различных площадок и в автоматическом режиме анализировать их, это, по сути, аналог IPS/IDS (системы обнаружения и предотвращения вторжений). Внедрение подобной системы не должно повлечь за собой больших расходов, необходимо просто собирать и отсылать логи работы информационной системы, а программное обеспечение реестра будет обрабатывать их. При этом ужесточение регуляторики будет, по мнению Михаила Сергеева, скорее полезным: "Ужесточение и огромные штрафы позволяют мотивировать компанию лучше защищать свою инфраструктуру, нанимая специализированных сотрудников по безопасности. Сейчас за кражу и утечку массивов персональных данных максимальное наказание компании составляет 100 тыс. рублей, в то время как найм специалиста обойдется свыше 200 тыс. рублей в месяц". Руководитель группы защиты АСУ ТП департамента проектирования и внедрения "Инфосистемы Джет" Антон Елизаров обратил внимание прежде всего на унаследованную инфраструктуру, при создании которой о безопасности не думали. При этом данные системы еще далеки от завершения жизненного цикла. С новыми решениями дела обстоят несколько проще: они оснащены хотя бы базовыми средствами обеспечения безопасности. "Анализ вопросов безопасности на ранних стадиях (планирование, проектирование) позволит сразу закладывать соответствующие функции безопасности в создаваемые системы и приложения, что даст возможность рассматривать проблемы безопасности промышленных систем не как вызов, а как часть плановой работы", - уверен Денис Солодков. Директор департамента по разработке ПО "Аурига" Елена Баранова называет обеспечение безопасности одной из важнейших тенденций последних 5-7 лет: "Прогресс требует интеграции медоборудования с системами общего мониторинга, информационными системами клиник и даже с мобильными устройствами специалистов. При этом, разумеется, повышаются как минимум риски уязвимости медицинских данных, а как максимум риски нарушения работоспособности жизненно критичных устройств. Естественно, что все производители, с которыми мы сотрудничаем, уделяют повышенное внимание кибербезопасности, разрабатывая дополнительные механизмы защиты для своих устройств и систем". По оценке Луки Сафонова, залог успеха атаки – использование устаревшей модели взаимодействия различных систем. Обычно такое взаимодействие происходит через так называемый воздушный зазор, который легко преодолим, что показывает практический опыт аудитов в области безопасности. При этом взаимодействие промышленных и бизнес-систем необходимо в условиях активно идущей цифровизации. "Интеграция данных технологических систем и бизнес-систем - это важный шаг в цифровизации. Естественно, бизнесу нужны точные и актуальные данные, желательно в режиме онлайн. Однако не следует забывать, что самым важным при работе в технологических сетях является безопасность и непрерывность бизнес-процессов. Например, все средства защиты АСУ ТП в первую очередь направлены именно на это. Возможно даже в ущерб основной задаче", - напоминает Андрей Маклаков. По оценке Луки Сафонова, главным препятствием для реализации мер по защите промышленной инфраструктуры является "кадровый голод". Дефицит ИБ-кадров в России составляет от 18 тысяч человек (по данным Минтруда России) до 95 тысяч (оценка вице-президента Сбербанка Станислава Кузнецова). "Состав и квалификация команды ИБ, разумеется, зависит от профиля предприятия и масштабов ИТ-инфраструктуры. Также не секрет, что уровень зарплат в добавок еще и зависит не только от квалификации, но от региона к региону. В среднем, можно сказать, что ожидаемый уровень дохода таких специалистов составляет от 100 тыс рублей в месяц. Не сложно посчитать, что годовые затраты на команду из 3 специалистов обойдутся, минимум, в 5-6 млн рублей (с учетом налогов, страховых взносов и т.д. )", - такие оценки приводит Денис Солодков. По оценке Михаила Сергеева, уровень заработной платы в 100 тыс. руб., скорее, является нижней границей заработной платы для ИБ-специалиста. Сотрудники средней квалификации вполне могут рассчитывать на 200-300 тыс. руб., а высокой – от 500 тыс. руб. Ссылка на источник