Нам необходимо говорить о промышленной безопасности

Впечатления от первого Иберо-Американского конгресса по безопасности промышленных систем

Общение с коллегами и потенциальными клиентами на мероприятиях, посвящённых кибербезопасности, всегда очень полезно. Особенно, если ваша область деятельности – это защита критической инфраструктуры. Данная сфера кибербезопасности до сих пор находится в «младенческом» состоянии, и потому общение здесь имеет особую значимость.

В сентябре мне представилась возможность поговорить с несколькими высококлассными профессионалами в ходе первого Иберо-Американского конгресса по безопасности промышленных систем (1^st Ibero-American Industrial Cybersecurity congress). Мероприятие проходило в Мадриде –как всегда, прекрасном, великолепном и тёплом городе. Несколько презентаций продемонстрировали, насколько велик диапазон мнений по поводу того, как необходимо защищать критическую инфраструктуру. Некоторые из них напрямую касались вопросов защиты, часть, однако, вообще не имела никакого отношения к делу.

В целом, сложилось впечатление, что большинство тех, кто занимается работой в области промышленной кибербезопасности, — очень умные и смелые люди. Проблема заключается в том, что для дальнейшего развития нужно участие экспертов из смежных областей, которые помогли бы составить объективную картину действительности.

По данным Gartner, количество «потенциальных хакеров» в ближайшие два года вырастет в десять раз. Инвестиции в образовательные инициативы в сфере кибербезопасность достаточно велики, и это обнадёживает; однако, некоторые могут «перейти на Тёмную Сторону». И это означает, что количество атак на промышленные объекты – сегодня достаточно ограниченное – также может вырасти.

В этом и заключается вызов. Каков будет ответ? Как я уже сказал выше, необходимо, чтобы свой ход сделали поставщики защитных инструментов (речь идёт о разработке новых решений, адаптированных под критическую инфраструктуру, и «Лаборатория Касперского» занимается имено этим), а с ними и владельцы промышленных систем и правительства.

Прошедший конгресс явил миру отличный пример дальновидного клиента: SABIC уже движется в нужном направлении, не только обеспечивая защиту своим промышленным системам, но также и разрабатывая конкретные требования для своих поставщиков с учётом безопасности. И это великолепно. Подобные «индивидуальные» требования должны получить статус «типичных», а затем быть преобразованы в «отправное положение» безопасности промышленных систем. Подобный подход принёс бы пользу всей отрасли.

Чтобы появление нового стандарта стало реальностью, сообществам специалистов по безопасности и промышленной автоматизации необходимо как можно скорее выработать единый словарь терминов. После этого мы сможем перейти от отдельных случаев применения к массовому рынку, когда люди станут использовать некоторый разумный набор защитных инструментов просто потому, что «все в нашей отрасли говорят об этих инструментах и используют их, так что мне тоже приходится».

Да, каким бы светлым было такое будущее. Есть, однако, проблема: пракатически все сегодняшние стандарты (промышленные, такие как NERC CIP, и международные, такие как ISA99/62443, а также внутренние стандарты коммерческих компаний) сосредоточены на том, чтобы «иметь готовый набор инструментов управления и установленные процедуры». То есть, исповедуют «соответствие нормативам».

Но, говоря откровенно, нормативы – это не безопасность. Куда лучшим вариантом было бы исходить из стратегии, основывающейся на реальных рисках. «Выстоит ли в теории данная инфраструктура, оснащённая теми или какими-то иными защитными средствами, перед всеми известными нам угрозами?» Только в случае такого реалистичного тестирования клиенты получат истинное понимание, насколько эффективна их защита. Простая проверка соответствия ничего не даст.

Однако донести эту идею до клиентов и правительственных учреждений по-прежнему непростая задача. Склонность больше «соответствовать», нежели защищать, приводит к очень скверному, но вполне типичному сценарию:

• IT-департамент приобретает антивирус для производственной фабрики, либо потому что так предписывают нормативы, либо потому, что IT-департамент хочет защитить системы промышленного контроля.
• Однако у IT-департамента отсутствует контроль над средствами управления оборудованием, это – «епархия» инженеров.
• Итог: инженеры неходя устанавливают у себя антивирус, но отключают все его опции. Это просто иконка в системном трее, а базы никто не обновлял уже 2,5 года.

Как легко заметить, на клиентской стороне киберзащита промышленных систем зависит от трёх ключевых групп:

• Директорат. На этом уровне главная проблема – это понимание, как расходы на киберзащит соотносятся с прибылями
• Руководители подразделений, отвечающего за IT в целом или IT-безопасность. Они участвуют в принятии решений о приобретении, но часто не имеют никакого доступа к критической инфраструктуре.
• Инженеры. Для них высший приоритет – это бесперебойная работа инфраструктуры. Поэтому они могут опасаться возможных последствий развёртывания новых защитных решений, причём в куда большей степени, чем рисков, связанных с кибератаками.

Добиться успеха в сфере промышленной безопасности станет возможным лишь в том случае, если мы учтём все проблемы, с которыми сталкиваются эти группы, и обеспечим их общим языком «непрерывности бизнеса», который заменит сегодняшний жаргон айтишников. Все причастные должны понимать и потребности остальных, и общие требования безопасности (а не нормативов соответствия).

Напоследок по итогам мадридского конгресса хотелось бы отметить, что было бы неплохо, если подобные мероприятия в будущем станут более интерактивными. Коммуникации между клиентами, поставщиками и правительственными организациями – это всегда плюс. Людям необходимо разговаривать, спорить и совместно обдумывать те или иные идеи, а не просто слушать друг друга.

Огромное спасибо Сэмюэлю Линаресу из Центра промышленной кибербезопасности за организацию конгресса и тёплую атмосферу всего мероприятия.