25.03.2015

Битва пяти воинств

dar22vjpg

Автор: Дмитрий Даренский

Должность: главный архитектор департамента комплексных решений компании «Информзащита»

Любой бизнес – это история взаимоотношений людей, так или иначе в него вовлеченных. Успех каждого предприятия и проекта во многом зависит от того, насколько эффективно взаимодействуют участники бизнес-процессов. Активное обсуждение в нашей стране темы информационной безопасности АСУ ТП породило множество вопросов, связанных с взаимоотношениями между отраслевыми специалистами по ИБ, АСУ ТП, ИТ, владельцами компаний и регуляторами.

Поле битвы

Большой интерес, проявляемый в последнее время к информационной безопасности автоматизированных систем управления технологическими процессами (ИБ АСУ ТП), привел к обострению и без того накаленных отношений между специалистами разных секторов ИТ-отрасли и АСУ ТП, представителями бизнеса и, в некоторой степени, государственными и отраслевыми регуляторами. На тематических конференциях, в СМИ, на панельных дискуссиях, в социальных сетях обсуждается множество вопросов – от того, насколько целесообразно заниматься защитой АСУ ТП, до вариантов и способов реализации конкретных технических решений по обеспечению защиты и повышению ее уровня. Последние пару лет ни одно мероприятие, посвященное информационной безопасности, не обходится без докладов и дискуссий о безопасности промышленных систем управления и автоматизации.

Такая активность, конечно, не может не радовать. Во-первых, ИБ АСУ ТП, похоже, становится реальным драйвером сразу нескольких технологических секторов отечественного рынка – ИТ, ИБ и АСУ. Во-вторых, интерес к этой теме способствует формированию единого понимания соответствующих задач и подходов. В-третьих, он подталкивает законодателей и регуляторов к развитию нормативно-правовой базы.

Кроме того, если сравнить темы дискуссий, которые были актуальны два года назад и актуальны сегодня, можно сделать однозначный вывод: обсуждения получили более качественную направленность. И хотя выяснение отношений между специалистами из секторов ИТ, ИБ и АСУ продолжается, и порой дело доходит до взаимных обвинений в некомпетентности, само «поле битвы» изменилось.

Еще до недавнего времени на отдельных российских промышленных предприятиях разворачивались ситуации, похожие «по сюжету» то на боевики с саботажем, ликвидацией подразделений и лишением финансирования, то на комедии положений с «переодеваниями» специалистов и покупками хлама за миллионы, то на политические триллеры с интригами и громкими отставками. С ростом интереса к ИБ АСУ ТП в нашей стране увеличивалось и напряжение в отношениях специалистов по ИТ, ИБ и автоматизации производственных процессов. Причин для разногласий много, и находятся они сразу в нескольких плоскостях. Это и особенности организационных структур предприятий, и принципы финансирования функциональных подразделений, и вопросы технической реализации решений по обеспечению ИБ АСУ ТП, и то, что у некоторых руководителей до сих пор находится под вопросом сама целесообразность повышения уровня защищенности АСУ ТП.

Текущий виток отношений между отраслевыми специалистами по ИБ и АСУ ТП очень напоминает развитие уже ставшего «каноническим» спора за место под солнцем между ИТ- и ИБ-подразделениями. В свое время «ИТ-шники» и «ИБ-шники» сломали много копий в попытке доказать друг другу и владельцам предприятий значимость своей роли в повышении эффективности бизнес-процессов, увеличении капитализации компаний, обеспечении устойчивости и безопасности функционирования предприятия и т. п. «ИТ-шники» постоянно недоумевали, зачем «ИБ-шники» вставляют им палки в колеса: то доступ ограничивают, то сервисы режут, то в Интернет не пускают. А «ИБ-шники» в попытке завоевать их доверие были вынуждены заниматься просветительской деятельностью. С течением времени отношения нормализовались, большинство противоречий были сняты, и оба лагеря поняли необходимость деятельности друг друга. Отметим, что с ростом уровня информатизации предприятий и «цифровизации» производства, с проникновением ИТ в область АСУ ТП взаимоотношения между ИТ- и АСУ подразделениями тоже строились не так-то просто. В качестве примера можно упомянуть программу РАО ЕЭС, подразумевавшую замену устаревших аналоговых систем телемеханики на ГРЭС и ТЭЦ на новые цифровые системы сбора и передачи технологической информации. При ее реализации противодействие между специалистами по АСУ и ИТ было колоссальным. «АСУ-шники» тяжело расставались со старыми системами – доверия к новым у них не было. В итоге возникало противодействие функциональных заказчиков, технические решения не согласовывались, бюджеты проектов то раздувались, то схлопывались, а сроки реализации постоянно сдвигались. Причины таких отношений понятны. Эти две области, АСУ и ИТ, развивались параллельно, и с течением времени между ними увеличивался технологический разрыв. Как следствие, росло непонимание между специалистами. «АСУ-шники» искренне недоумевали, зачем им все эти ИТ, если и без них предприятие перевыполняет план по производству. А специалисты по ИТ удивлялись: зачем, например, вручную заполнять ведомости в цехе, если можно послать данные в электронном виде, ускорить бизнес-процесс, повысить эффективность, сэкономить

ресурсы и время!

Похоже, в настоящее время разворачивается очередной эпизод с выяснением отношений, но уже между специалистами по ИТ, ИБ, АСУ и бизнесом.

Расстановка сил

Обозначился ряд проблем, мешающих развитию ИБ АСУ ТП, в отношениях между представителями ИТ, ИБ, АСУ, бизнеса и регуляторов. Вот некоторые из таких болевых точек (перечень можно продолжить):

  • специалисты по ИТ до сих пор убеждены в том (и часто не без оснований), что ИБ ограничивает возможности ИТ-инфраструктуры и сервисов предприятия, а соответственно, развитие бизнес-процессов, делает их менее
  • гибкими;
  • большинство специалистов по АСУ уверены (чаще всего – без оснований), что их системы хорошо защищены и нет никакой необходимости в дополнительной защите. Они ничего не понимают в обеспечении ИБ и зачастую не считают необходимым знать эту проблематику;
  • многие специалисты по ИБ абсолютно не разбираются в особенностях АСУ ТП и не видят необходимости погружения в отраслевую специфику;
  • специалисты по ИТ, ИБ, АСУ и представители бизнеса говорят на разных языках и плохо понимают друг друга; • отсутствуют универсальные специалисты, одинаково хорошо знающие проблематику ИТ, ИБ и АСУ;
  • бизнес зачастую не видит эффекта от инвестиций в ИБ, а уж тем более в ИБ АСУ ТП;
  • регулятора не интересует эффективность бизнеса. Если вы имеете КСИИ (ключевые системы информационной инфраструктуры, в том числе АСУ ТП) или, того круче, являетесь КВО (критически важным объектом государственной инфраструктуры), то будьте добры исполнять!
Рис.1. Взаимосвязь областей компетенций и наличие «смежных» компетенций у профильных специалистов (а) и в кросс-функциональных командах (б)

Рис.1. Взаимосвязь областей компетенций и наличие «смежных» компетенций
у профильных специалистов (а) и в кросс-функциональных командах (б)

При этом всем с недавних пор стало понятно, что силами специалистов одного профильного направления (будь то ИТ, ИБ или АСУ) решить весь комплекс проблем, связанных с обеспечение информационной безопасности АСУ ТП, не получится. Во многих отраслевых презентациях встречается схема, наглядно демонстрирующая отсутствие у нас специалистов с необходимыми «смежными» компетенциями (рис.1, а). Однако в зарубежных стандартах, регулирующих обеспечение кибербезопасности технологических систем управления (например, в NIST 800), даются довольно подробные рекомендации по созданию кросс-функциональных команд специалистов из разных областей, в том числе технологов, и объясняется, для чего это нужно делать. В таком ракурсе приведенную на рис.1, а схему можно несколько изменить (рис. 1, б).

Развитие ситуации интересно и тем, что в головах руководителей и владельцев предприятий тема ИБ АСУ ТП пока присутствует лишь в виде тумана неопределенности. Они не понимают, для чего это нужно, какой «профит» от этого можно получить. Да, публикуется большое количество исследований по уязвимости и защищенности АСУ ТП, материалов, разъясняющих положения нормативно-правовых актов, описаний методик и решений по обеспечению ИБ, проводятся конференции и учебные курсы, посвященные тому, что и как защищать…. Однако, похоже, на языке бизнеса, то есть денег, объяснить необходимость защиты АСУ ТП пока никто не в состоянии.

Целесообразность инвестиций сначала в ИТ, чуть позже – в ИБ, а теперь – в ИБ АСУ ТП закономерно является краеугольным камнем в отношениях между бизнесом и представителями технологических подразделений предприятий. Ни для кого не секрет, что основные баталии разворачиваются в борьбе не за функциональные границы или штатные единицы технологических подразделений, а за бюджеты. И вполне понятно, что возможность увеличения бюджета одного подразделения, в данном случае ИБ, вызывает неоднозначную реакцию других подразделений (АСУ и ИТ).

Все против всех или все заодно?

Проиллюстрируем отношение специалистов по ИБ, ИТ, АСУ, представителей бизнеса и регуляторов к ИБ АСУ ТП (рис. 2). Закономерно, что представители профессиональных сообществ и бизнеса взаимодействуют примерно по такому сценарию, который приведен на рис. 3.

К счастью, данная картина сильно упрощена и потихоньку начинает устаревать, поскольку буквально в последние полгода-год ситуация на отечественном рынке стала

Рис. 2. Отношение специалистов по ИБ, ИТ, АСУ, представителей бизнеса и регуляторов к ИБ АСУ ТП

Рис. 2. Отношение специалистов по ИБ, ИТ, АСУ, представителей бизнеса и регуляторов к ИБ АСУ ТП

с тем, что регуляторы вплотную занялись нормотворчеством в области обеспечения безопасности АСУ ТП. Можно упомянуть Приказ № 31 ФСТЭК 2014 г., а также планируемые на 2015 г. публикации закона о безопасности КСИИ (КИИ) и на 2016 г. –  методических документов по безопасности АСУ ТП. Да и объявленное ФСТЭК начало работы по формированию банка данных угроз и базы данных уязвимостей вселяет некоторый оптимизм.

Немаловажную роль играет и то, что за последние годы резко увеличилось как число инцидентов, связанных с кибератаками на промышленные объекты и системы технологического управления, так и количество выявляемых уязвимостей в компонентах АСУ ТП. Естественно, рост деструктивной активности по отношению к промышленным системам никого не радует, но распространение данной информации способствует формированию единого взгляда на проблематику защиты АСУ ТП и единого вектора действий всех участников рынка.

Примерно с 2013 г. владельцы АСУ ТП стали предпринимать первые попытки повышения уровня защищенности своих систем. Они начали инициировать аудиты, изменение политик и организационно-распорядительной документации, проектирование организационных и технических мер защиты. Параллельно перестраиваются организационные структуры с учетом новых потребностей и задач обеспечения безопасности АСУ ТП. Например, на многих предприятиях электроэнергетики и ТЭК уже функционируют подразделения, занимающиеся защитой АСУ ТП. А кое‑где (например, на крупных ГЭС и предприятиях нефтепереработки) реализованы первые проекты внедрения систем и средств защиты АСУ ТП. Делая первые шаги в данном направлении при отсутствии полноценной отечественной нормативно-правовой базы, владельцы АСУ ТП в стремлении грамотно организовать взаимодействие подразделений берут на вооружение международные стандарты и методические документы зарубежных государств, которые лидируют по темпам развития данной области. Некоторые отечественные компании еще и заказывают у иностранных консалтинговых фирм, специализирующихся на безопасности АСУ ТП, аудит и анализ уровня защищенности своих систем.

Итак, буквально за последние полгода многие отечественные компании сделали первый, но очень важный шаг в верном направлении – начали налаживать взаимодействие между собственными подразделениями ИТ, ИБ и АСУ. Конечно, разногласия между ними остаются, а нужный объем компетенций по техническим и организационным вопросам по‑прежнему отсутствует. Да и бизнес еще не до конца понимает, зачем ему за это платить. Но самое главное, что есть движение. И это обнадеживает.

img3

Рис. 3. Сценарий взаимодействия представителей профессиональных сообществ, бизнеса и регуляторов