В этом году компания «Ростелеком-Солар» создала крупнейший в России Центр компетенций управления доступом. Специалисты этого центра сфокусированы на построении типовых и индивидуальных систем управления доступом для государства и бизнеса. Эта технология не является конечным продуктом, компания планирует инвестировать на ее развитие еще более полумиллиарда рублей. О негативном эффекте цифровизации для промышленного сектора, методах подсчета рисков информационной безопасности и перспективах использования киберполигонов рассказал менеджер по развитию направления кибербезопасности АСУ ТП компании «Ростелеком-Солар» Ян Сухих.

Каков уровень цифровизации и проникновения современных информационных технологий на промышленных предприятиях? Повлияла ли пандемия на уровень цифровизации в промышленном сегменте в той степени, в которой это произошло в других отраслях?

—Конечно, мы отстаем от глобальных лидеров, таких как Exxon, Chevron, BP в нефтяной отрасли, но и у нас работа ведется. Во многих компаниях были запущены инвестиционные программы по развитию цифровизации и внедрению продуктов, которые помогают повысить эффективность производственных процессов. Это происходило достаточно активно и до пандемии.

Если говорить о внедрении ИТ-технологий в целом, то уровень цифровизации очень сильно зависит от отрасли. Впереди планеты всей предприятия нефтепереработки, химии, нефтехимии и смежных отраслей. На этих предприятиях большинство АСУ ТП интегрированы с корпоративной сетью, там используются системы оперативного управления производством, так называемые MES-системы. Активно внедряются системы усовершенствованного управления технологическими процессами — СУУТП или APC (Advanced Process Control). Запускаются проекты по моделированию, оптимизации производства и т. д. То есть предприятия действительно сделали большие шаги вперед. Но все это подкреплено реальной бизнес-экономией. Большинство таких проектов проходят довольно серьезный цикл отбора. Оцениваются технические и функциональные характеристики систем, рассчитывается экономический эффект от внедрения, и только после всестороннего анализа принимается решение о внедрении тех или иных систем. Если подытожить, то на таких предприятиях уровень интеграции АСУ ТП с корпоративными информационными системами очень высок, они максимально приблизились к тому, чтобы называться «цифровыми». И эффективная работа этих предприятий уже невозможна без сквозной интеграции всех этих систем.

Я думаю, что в отличии от других отраслей, пандемия негативно сказалась на цифровизации в промышленности. Внедрение таких сложных систем, как MES, СУУТП и другие, невозможно выполнить дистанционно. Для этого требуются высококлассные специалисты, в том числе зарубежные. Из-за того, что были закрыты границы, а доступ на предприятия был (да и во многом остается) ограниченным, работа по таким проектам сильно замедлилась или же вообще остановилась.

В условиях жестких ограничений предприятия могли пересмотрели свои политики по использованию удаленного доступа к АСУ ТП от полного запрета к организации защищённого удаленного доступа. Не могу говорить за весь рынок, но мне известны такие случаи. Защищенный удаленный доступ при правильной реализации позволяет сохранить риски ИБ на приемлемо низком уровне, при этом значительно увеличив гибкость в плане управления и обслуживания промышленных систем управления. Наверно, это единственный положительный момент с точки зрения цифровизации промышленности за время пандемии, который способен помочь предприятиям повысить свою эффективность.

— Какие основные проблемы, связанные с информационной безопасностью, вы видите в сфере промышленности?

— Основные проблемы можно разделить на две группы – организационную и кадровую. В организационной группе я бы выделил отсутствие культуры информационной безопасности. С одной стороны, отсутствие культуры ИБ выливается в некорректную оценку роли ИБ в бизнесе. Вместо «ИБ — это помощник, который позволяет снизить риски и повысить устойчивость бизнеса» возникает отношение, что «ИБ – это исключительно затраты». Такой подход негативно сказывается на состоянии ИБ на предприятии в целом, и особенно, когда речь идет про ИБ АСУ ТП, не случайно краеугольным камнем при построении надежной системы ИБ в компании является поддержка высшего руководства. С другой стороны, отсутствие культуры ИБ выливается в неправильный подход к созданию систем информационной безопасности, когда компании вместо того, чтобы начать со стратегии и единой концепции ИБ АСУ ТП по предприятию или холдингу, а затем разработать частные технические задание на конкретные системы, которые будут соответствовать концепции, начинают с частного, т.е. с защиты самих АСУ ТП. В такой ситуации компании обычно не имеют детальных требований к системе защиты АСУ ТП и в результате получают «зоопарк» из вендоров СрЗИ и используемых технологий.

Вторая группа проблем – кадровая. На рынке ИБ в России, да и в мире наблюдается острый дефицит кадров. Для направления ИБ АСУ ТП эта проблема особенно актуальна. Если крупнейшие компании могут себе позволить нанять компетентных специалистов и нарастить собственную экспертизу, то для средних и малых промышленных предприятий это задача становится практически невыполнимой.

— Как правильно оценивать риски информационной безопасности в промышленности?

— Очень важно рассматривать риски информационной безопасности в связке с функциональной безопасностью (прим. Часть общей безопасности, относящаяся к системе управления и технологическому оборудованию, которая зависит от правильного функционирования системы ПАЗ и других слоев защиты). Мы защищаем не сами промышленные системы управления, мы защищаем технологический процесс, мы защищаем людей, мы защищаем основную деятельность компании. В таком случае, мы должны говорить о комплексной безопасности, которая включает в себя как кибербезопасность, так и функциональную безопасность.

На практике на производстве часто говорят: если в случае кибератаки у нас выйдет из строя система управления, у нас есть система противоаварийной защиты. Она должна будет отключить технологический процесс. Даже если злоумышленник сможет как-то вывести из строя систему противоаварийной защиты, у нас остается механическая защита – различные предохранительные клапаны и т. п., которые вообще не подвержены кибератаке. Поэтому крупная авария в случае кибератаки невозможна.

Это не совсем так. У большинства предохранительных клапанов и других видов механических защит достаточно высокая вероятность несрабатывания (PFD – probability of failure on demand). По принятым стандартам для предохранительных клапанов этот показатель составляет от 1 до 10%. Поэтому если предприятие надеется, что в случае успешной кибератаки эти механические защиты спасут от аварии, то нужно учитывать эти данные. К сожалению, надежность механических защит не так высока, иначе никто бы не использовал системы ПАЗ на производствах.

С другой стороны, даже если атакующая сторона не сможет взломать систему ПАЗ и\или отработают механические защиты это приведет к продолжительному останову производства. Сутки простоя крупного нефтехимического предприятия будут стоить собственникам от 0,5 до 3 млн долларов США. Вряд ли руководство сочтет такие риски приемлемыми.

— Каковы перспективы использования киберполигонов для проведения киберучений ИБ-специалистами промышленных предприятий?

— Мы ожидаем существенный рост спроса на проведение киберучений в ближайшее время. Для этого есть два основных драйвера. Первый – это государство. Регуляторы требуют от компаний периодически проводить учения и повышать компетенции и готовность персонала к отражению кибератак.  Второй – это рост зрелости компаний в области ИБ. Тренировки на киберполигоне это реальная возможность получить практические навыки, которые больше нигде не отработаешь. И если компания инвестирует в реальную защищённость, она точно будет заинтересована в том, чтобы ее персонал умел на практике работать с разнообразными средствами защиты информации и понимал, что и как делать в случае настоящей кибератаки. У нас уже есть запросы от таких компаний. Мы уверены, что с развитием предложения такая услуга будет еще больше востребованной среди компаний, ориентированных на практическую кибербезопасность. Кроме практической ценности в пользу киберполигона играет экономическая модель. Создание собственного киберполигона процесс очень дорогостоящий, большинству компаний будет гораздо выгоднее использовать данную услугу как сервис.

— Какими компетенциями обладает «Ростелеком-Солар» и какие проекты сейчас реализуются в сфере информационной безопасности в промышленности?

—  Нельзя не отметить классические услуги по информационной безопасности в промышленности, такие как категорирование, пентесты, проектирование и внедрение комплексных систем защиты информации, услуги по мониторингу и реагированию на инциденты (сервисы JSOC). Отдельное внимание хотелось бы уделить таким услугам как комплексный анализ защищённости. Это наш новый сервис, который позволяет провести максимально полный анализ защищенности промышленных систем управления, который в отличии от пентестов, позволяет получить полную и объективную картину по защищенности АСУ ТП. Также хотелось бы отметить интерес компаний к количественной оценки рисков кибербезопасности АСУ ТП. Мы предлагаем данную услугу как отдельно, так и в составе комплексного анализа защищенности. Анализ рисков кибербезопасности АСУ ТП позволяет количественно оценить вероятность взлома АСУ ТП при целенаправленной атаке с учетом особенностей архитектуры АСУ ТП и имеющихся средств защиты, оценить потенциальный ущерб от реализации риска и оценить эффективность внедрения средств защиты информации.

В настоящий момент мы наблюдаем существенный интерес компаний к сервисам по мониторингу АСУ ТП. Мы уже отработали механизмы сбора событий с источников АСУ ТП, куда входят и контроллеры, и промышленное сетевое оборудование, и АРМ, и серверы, и наложенные средства защиты информации, разработали уникальные правила корреляции для АСУ ТП в Solar JSOC. На данный момент мы поддерживаем несколько ведущих вендоров АСУ ТП и планируем в ближайший год наладить партнерство и протестировать решения со всеми остальными ключевыми игроками рынка АСУ ТП.