Выступал я тут давеча на одном мероприятии для ТЭК с рассказом о безопасности АСУ ТП (полная версия выложена тут ). Выступил, но вопросов не было. То ли утро субботы сказалось (после пятничного отжига), то ли еще что. И на обратном пути, размышляя о безопасности АСУ ТП, пришла мне в голову мысль, что тема эта благодарно-неблагодарная.
Благодарна она потому, что она относительно нова, а потому интересна. Она также нестандартна, т.к. АСУ ТП отличаются от обычных информационных систем и по используемым технологиям, и по их жизненному циклу.
Но есть и множество неблагодарных вопросов. Новизна приводит к тому, что в России нет ни обучения по этой теме, ни достаточного количества литературы, ни специалистов. Т.е. у сотрудников служб ИБ просто не хватает опыта и знаний, чтобы заниматься этой, новой для них темой. Во-вторых, безопасников зачастую просто не подпускают к АСУ ТП. И по историческим причинам, и по чисто меркантильным. Вот пример от одной российской компании. Ее АСУ ТП процентов на 90 заражены Stuxnet'ом. Все все знают, но ничего не делают. Мотивация простая - приостановка АСУ ТП и связанных с ней процессов на 1-2 дня (чтобы вычистить все элементы от вредоносного кода) встанет в несколько миллиардов долларов (!). А ведь Stuxnet может и не сработать... И кто будет принимать решение об остановке системы при такой диллеме? То-то и оно...
Регуляторы тоже не сильно пока помогают в данном вопросе. А все потому, что парадигма защиты АСУ ТП отличается от традиционной, в которой нужно обеспечить в первую очередь конфиденциальность. А в АСУ ТП на первое место выходит доступность. Если же посмотреть на документы по КСИИ, то при всей их замечательности, в них тоже не избежали этого недостатка. При постулировании открытости информации в КСИИ, основные механизмы защиты направлены именно на обеспечение конфиденциальности, а не доступности или целостности.
Ну и вендоры тоже смотрят на эту тему традиционно - пытаясь просто переложить имеющийся опыт на новую область. Причем, не имея опыта защиты АСУ ТП и не общаясь с реальными их пользователями, представители вендоров называют компании, уже пострадавшие от атак на АСУ ТП идиотами, ничего не смыслящими в безопасности. Но пример выше показывает, что безопасники может и рады, но их не пускают. А уж когда вендоры просто предлагают свои продукты для установки в АСУ ТП, не удосужившись уточнить, возможно ли это в принципе (например, обычный МСЭ для нетрадиционных TCP/IP-протоколов или антивирус на PLC), это вообще...
Может поэтому на семинарах безопасники в основном молчат?.. Опыта нет, делиться пока нечем, а показывать свое незнание боятся...
Благодарна она потому, что она относительно нова, а потому интересна. Она также нестандартна, т.к. АСУ ТП отличаются от обычных информационных систем и по используемым технологиям, и по их жизненному циклу.
Но есть и множество неблагодарных вопросов. Новизна приводит к тому, что в России нет ни обучения по этой теме, ни достаточного количества литературы, ни специалистов. Т.е. у сотрудников служб ИБ просто не хватает опыта и знаний, чтобы заниматься этой, новой для них темой. Во-вторых, безопасников зачастую просто не подпускают к АСУ ТП. И по историческим причинам, и по чисто меркантильным. Вот пример от одной российской компании. Ее АСУ ТП процентов на 90 заражены Stuxnet'ом. Все все знают, но ничего не делают. Мотивация простая - приостановка АСУ ТП и связанных с ней процессов на 1-2 дня (чтобы вычистить все элементы от вредоносного кода) встанет в несколько миллиардов долларов (!). А ведь Stuxnet может и не сработать... И кто будет принимать решение об остановке системы при такой диллеме? То-то и оно...
Регуляторы тоже не сильно пока помогают в данном вопросе. А все потому, что парадигма защиты АСУ ТП отличается от традиционной, в которой нужно обеспечить в первую очередь конфиденциальность. А в АСУ ТП на первое место выходит доступность. Если же посмотреть на документы по КСИИ, то при всей их замечательности, в них тоже не избежали этого недостатка. При постулировании открытости информации в КСИИ, основные механизмы защиты направлены именно на обеспечение конфиденциальности, а не доступности или целостности.
Ну и вендоры тоже смотрят на эту тему традиционно - пытаясь просто переложить имеющийся опыт на новую область. Причем, не имея опыта защиты АСУ ТП и не общаясь с реальными их пользователями, представители вендоров называют компании, уже пострадавшие от атак на АСУ ТП идиотами, ничего не смыслящими в безопасности. Но пример выше показывает, что безопасники может и рады, но их не пускают. А уж когда вендоры просто предлагают свои продукты для установки в АСУ ТП, не удосужившись уточнить, возможно ли это в принципе (например, обычный МСЭ для нетрадиционных TCP/IP-протоколов или антивирус на PLC), это вообще...
Может поэтому на семинарах безопасники в основном молчат?.. Опыта нет, делиться пока нечем, а показывать свое незнание боятся...