Эксперт направления ИБ АСУ ТП компании ICL-КПО ВС Дмитрий Авраменко

«ИНОГДА ВОПРОСЫ БЕЗОПАСНОСТИ ЗАБЫВАЮТСЯ»

— Дмитрий, какова динамика по статистике роста атак на промышленные предприятия? Есть ли реальная угроза для них?

— По официальной статистике, которая публикуется различными международными и отечественными компаниями, в их числе «Лаборатория Касперского», Positive Technologies, в мире за 2011 год было зафиксировано 69 инцидентов, а за 2015-й — уже 189. Есть тенденция к росту, но речь идет именно об инцидентах, а каково число атак среди них — вопрос, на который нельзя однозначно ответить. Атаки на промышленный объект на начальных этапах зачастую проходят скрытно, и злоумышленники не выдают своего присутствия в системе. Специалисты компаний могут фиксировать отдельные инциденты информационной безопасности, предпринимать различные меры по их ликвидации, но не понять, что все это происходит в рамках одной целенаправленной атаки.

О произошедших атаках, как правило, можно узнать только из опубликованных официальных отчетов. Понятно, что не все сведения доводятся до общественности по разным причинам. Обычно информацией об инцидентах представители компаний делятся между собой в рамках различных мероприятий по информационной безопасности или в рамках совместных проектов.

Возвращаясь к официальным данным, стоит отметить, что американский институт компьютерной безопасности SANS проводил опрос в начале 2016 года и выяснил, что на 15 процентов (по сравнению с 2015 годом) увеличилось количество респондентов, которые оценивают уровень тревоги как «высокий» или «критичный». 60 процентов опрошенных считают, что внешний вектор угроз преобладает. По данным этого же источника, за последний год каждую 14-ю атаку из общего числа инцидентов можно считать успешной.

— А какова неофициальная статистика?

— Думаю, в действительности количество инцидентов существенно выше.

— В Татарстане развита промышленная кибербезопасность?

— Татарстан – передовой регион в области внедрения современных IТ-систем на промышленных объектах. Однако зачастую при создании этих систем очень мало внимания уделяется вопросам кибербезопасности.

Интеграция автоматизированных систем управления технологическим процессом (АСУ ТП) с корпоративными сетями приводит к тому, что появляется информационный обмен между этими сетями. Данный информационный обмен создает возможность для несанкционированного доступа в сети АСУ ТП. Если раньше автоматизированные системы строились в основном по закрытым протоколам, то сейчас от этого отходят. Когда на тебя давит бизнес и нужно как можно быстрее создавать взаимоинтегрируемые системы, вопросы безопасности опускаются на второй план.

Предприятия, которые уже активно внедряют современные автоматизированные системы, рискуют тем, что спешка при модернизации негативно скажется на безопасности. Мы сейчас сталкиваемся в проектах с тем, что наспех создаются системы, в лучшем случае только через полгода начинают задумываться, что нужно обеспечивать информационную безопасность. А может быть, все уже «украдено» и «сломано»?

По официальной статистике, число киберпреступлений в Татарстане растет ежегодно. Сегодня под угрозой в основном банки и различного рода провайдеры. Большинство промышленных предприятий в корпоративных сетях пользуются практически всеми системами, подверженными уязвимостям. Поэтому вопрос взлома больше зависит от желания, нежели от возможности его осуществить. Нельзя сказать, что предприятия республики совсем не задумываются о безопасности. Напротив, они нередко собирают круглые столы и участвуют в мероприятиях по теме кибербезопасности. Безусловно, есть и те, кто старается обойтись своими силами, полагая, что делают это хорошо.

ПРОБЛЕМА НА НЕСКОЛЬКИХ УРОВНЯХ

— Актуальна ли проблема квалификации кадров по информационной безопасности?

— Как правило, в вузах вопрос кибербезопасности толком не раскрывается, студенты не представляют, с чем им придется столкнуться после завершения учебы, не знают актуальных законов, современных методов и решений. Каждую весну компания ICL-КПО ВС принимает студентов разных вузов, в основном КГТУ имени Туполева, КФУ на стажировку.

— Как ICL-КПО ВС помогает татарстанским вузам?

— Ежегодный прием студентов на стажировку стал для нас в какой-то мере традицией. Мы стараемся объяснить ребятам, куда им двигаться, на что стоит сделать упор. Кто-то выбирает у нас работу после завершения учебы. Кроме того, в нашем Центре компетенции ИБ АСУ ТП мы прорабатываем различные обучающие курсы по теме кибербезопасности. Задача подготовки кадров стоит достаточно остро.

— Если говорить не о студентах, а о тех, кто уже работает на промышленных предприятиях, уровень знаний специалистов по безопасности дотягивает до того, чтобы обеспечить безопасность тех же самых электростанций?

— По-разному. На промышленных предприятиях, как правило, есть отдел автоматизации АСУ ТП, задача которого — обеспечивать безотказность протекания технологических процессов. Есть отдел IT, занимающийся поддержкой IT-сервисов, а есть отдел информационной безопасности, который работает на все предприятие, — дает инструкции, контролирует состояние ИБ и прочее. Ключевая проблема заключается в выстраивании взаимодействия между этими службами.

— А как вопрос кибербезопасности решается на законодательном уровне?

— В законодательстве есть движение по этой теме. Регулирующие органы ведут подготовку нормативных документов, есть Приказ ФСТЭК №31 от 14.03.2014 («Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах...»), готовятся другие документы. Крупные компании прорабатывают и принимают свои отраслевые стандарты по кибербезопасности. Есть, конечно, нерешенные вопросы, но со временем и до них дойдет очередь.

«МИНИМАЛЬНАЯ ДОРАБОТКА ОБЯЗАТЕЛЬНО НУЖНА»

— Как обычно промышленные предприятия выстраивают систему защиты? Как это делать эффективно?

— На основе Приказа ФСТЭК №31 проводится классификация систем по степени критичности и возможного ущерба. Выбираются меры в соответствии с классом системы, выполнение которых необходимо обеспечить. Далее изучается, есть ли возможность реализовать указанные меры, моделируются угрозы, и в случае, если актуальные угрозы не покрываются выбранными ранее мерами, необходимо добавить дополнительные меры. Для документирования этого процесса разрабатываются техническое задание и технический проект, в рамках которого выбираются средства защиты, удовлетворяющие требованиям. Надо отметить, что при всем при этом важно обеспечивать совместимость средств с АСУ ТП.

— Предприятие может выполнить это самостоятельно?

— Приказ ФСТЭК №31 опубликован на официальном сайте ФСТЭК в открытом доступе, предприятиями изучен. Вопрос в готовности обеспечивать защиту согласно этому Приказу.

— Как подбирается продукт по защите для предприятия? Есть универсальные решения?

— Для безопасности технологического процесса важна его непрерывность, тесно связанная со спецификой самого процесса. В энергетической отрасли одна специфика, в нефтяной — другая, на транспорте — своя. Универсальных решений — реализации необходимого функционала в полной мере для конкретного объекта — нет.

В отличие от решений для обеспечения информационной безопасности офисных систем решения по обеспечению кибербезопасности АСУ ТП не коробочные. Доработка или донастройка, даже минимальная, обязательно нужна для подобного класса решений. Есть решения, которые стопроцентно нужно настраивать под конкретное предприятие. Еще раз отмечу, что вопрос применимости и совместимости этих решений с программными и программно-аппаратными средствами АСУ ТП играет важную роль.

— Открытый недавно компанией ICL-КПО ВС Центр компетенции ИБ АСУ ТП может тестировать применяемость систем средств защиты?

— Центр был создан для того, чтобы разрабатывать, тестировать и предлагать подходы для обеспечения кибербезопасности на базе существующих и разрабатываемых производителями решений. Центр — это площадка для исследования, площадка, которая позволит организовать взаимодействие разработчиков различных средств и заказчиков, которым необходимо подобрать работающее решение для системы.

Кроме того, в качестве одной из задач мы видим повышение квалификации сотрудников предприятий. На базе Центра будут организованы курсы с привлечением экспертов и специалистов по конкретным продуктам, которые смогут проводить обучение практически без отрыва от производства. Нужно связывать потребителей и производителей решений, и мы делаем это.

Весной, во время проведения IT&Security Forum (ITSF), который ежегодно в Казани проводит компания ICL-КПО ВС, в Центре уже проводились первые подобные курсы. В рамках форума мы пригласили несколько специалистов-заказчиков из числа промышленных предприятий и при участии нашего партнера Академии информационных систем провели для них мастер-класс по информационной безопасности АСУ ТП. По итогам обучения участники получили именные сертификаты. Спрос на курс был большой, люди охотно шли на него — участие приняли около 200 человек.