Контуры завтрашнего регулирования

По мнению участников дискуссии "Кибербезопасность промышленных предприятий", которая прошла на площадке AM Live, основными проблемами в сфере промышленной безопасности России являются отсутствие регулирования на уровне отраслей и недостаточная зрелость отечественных вендоров АСУ ТП. Руководитель направлений защиты АСУ ТП и КИИ АО "Инфосистемы Джет" Александр Карпенко обратил внимание, что в каждой отрасли управление рисками имеет существенные различия и подходы, применимые в одной, не будут работать в других.

По мнению эксперта СИГРЭ (CIGRE, Conseil International des Grands Réseaux Electriques, Международный совет по большим электрическим системам высокого напряжения), доцента МИУ МЭИ Владимира Карантаева, нужна разработка соответствующих методик применительно к каждой из отраслей. Пока же даже перечень недопустимых событий сформулирован не для всех отраслей. По его информации, такой перечень существует только для энергетики. Однако это большая и довольно сложная работа.

Руководитель направления по развитию продуктов промышленной кибербезопасности ООО "Позитив Текнолоджиз" (Positive Technologies) Дмитрий Даренский заявил, что в России, в отличие от многих зарубежных стран, отраслевое регулирование в области кибербезопасности отсутствует. При этом, например, в США такое регулирование охватывает энергетику, машиностроение, добывающие отрасли, различные виды транспорта. Соответствующие функции выполняют специализированные государственные учреждения или отраслевые сообщества. По оценке Дмитрия Даренского, в России отраслевое регулирование должно появиться в течение ближайших дух-трех лет. По крайней мере, будут сформулированы отраслевые наборы требований к системам, что позволит разрешить сложности, связанные с недостаточной зрелостью заказчиков. Технический директор InfoWatch АРМА Игорь Душа считает такую оценку излишне оптимистичной - более реально появление отраслевого регулирования в перспективе пяти лет.

Не менее острой и насущной проблемой является недостаточная ИБ-зрелость российских производителей АСУ ТП. По оценке Александра Карпенко, это выражается и в том, что тема атак является табуированной для разработчиков систем промышленной автоматизации, и это серьезно осложняет работу по обеспечению кибербезопасности.

Не менее острой проблемой, как обратил внимание руководитель направления по защите промышленной инфраструктуры "Лаборатории Касперского" Александр Познякевич, является то, что российские вендоры не устраняют вовремя уязвимости, в том числе критичные. И для того чтобы заставить их это делать, приходится привлекать регуляторов. Как посетовал Дмитрий Даренский, иногда просто непонятно, к кому в российском вендоре АСУ ТП нужно обращаться, чтобы уведомить о наличии тех или иных проблем. В итоге импортозамещение не только не повышает защищенность объектов, а снижает.

https://www.comnews.ru/content/222396/2022-09-30/2022-w39/kto-zaschitit-50-tysyach-obektov-kii

Тут, однако, регуляторы уже активно работают. Архитектор решений ОАО "ИнфоТеКС" Андрей Иванов напомнил, что уже с 1 января 2023 г. становится обязательным требование об использовании технологий безопасной разработки для ПО, применяемого на объектах КИИ. И в целом активное лоббирование со стороны ФСТЭК технологий безопасной разработки, по мнению Александра Познякевича, позволит довольно быстро исправить ситуацию с прошивками для оборудования АСУ ТП.

Появляются и положительные примеры сотрудничества между вендорами средств защиты и АСУ ТП. Такой опыт, как отметил Игорь Душа, есть у InfoWatch АРМА, которая оказала помощь ряду производителей АСУ ТП в построении конвейера безопасной разработки.

Как подчеркнул Владимир Карантаев, активную работу по продвижению технологий безопасной разработки ведут и вузы. Как минимум в трех российских вузах соответствующий курс уже читается, и это число будет только расти. Также требования по обязательному использованию таких подходов к разработке включают в свои технические задания и многие крупные компании, в частности ПАО "Россети".

Также, по мнению технического директора UDV Group Андрея Суслина, необходимо формирование спроса на системы, спроектированные с нуля и на базе российской компонентной базы. И чем раньше это будет сделано, тем лучше. Сейчас же вендорам выгоднее продавать перемаркированную зарубежную продукцию, которая будет заведомо хуже оригинала, в том числе и за счет того, что вовремя не будут устраняться уязвимости в ПО.

Обратной стороной импортозамещения, как предупредил Дмитрий Даренский, также является необходимость перенастройки средств защиты, в частности систем мониторинга и корреляции событий (SIEM). Это связано с тем, что в системах на основе ядра Linux и Windows разные индикаторы компрометации.