Карен Карагедян об ответственности при защите КВО

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(0)
()
Опубликовано в: ,

О вопросах защиты критически важных объектов инфраструктуры, поднятых на недавно прошедшем   Инфофоруме, рассказывает Карен Карагедян, заместитель директора по развитию бизнеса Stonesoft в России, СНГ и странах Балтии

Расскажите, как вы оцениваете эффективность прошедшего мероприятия?

Мы уже четвертый раз подряд принимаем участие в данной конференции. Безусловно,  с каждым годом форум становится все интереснее и представительнее, в нем принимает участие все больше представителей государственных органов из России и других стран. В этот раз доклады и обсуждения в основном касались вопросов защиты критически важных элементов инфраструктуры, а также общих концепций ИБ. В результате мы получили возможность предложить потенциальным заказчикам практические подходы к решению озвученных на форуме задач.

Как вы считаете, насколько актуальны сегодня задачи по защите технологических систем?

Проблема защиты АСУ ТП, я считаю, стоит даже более остро, чем другие задачи в области защиты информационных систем. Ведь последствия злонамеренных действий в данном случае будут куда более разрушительными, чем, например, при краже миллиона долларов из банка,   - могут пострадать люди, произойти техногенная катастрофа. Поэтому сегодня нужно оперативно решать задачи по защите уже автоматизированных производств от действий злоумышленников.

Почему потребность защиты АСУ ТП появилась только сейчас?

Отрасль защиты автоматизированных технологических систем переживает качественный скачок во всем мире. От различных закрытых протоколов системы управления производством постепенно переходят на стандартные механизмы взаимодействия (стек TCP/IP). И как только в АСУ ТП начинают использоваться обычные протоколы, она становится уязвимой для всех угроз, характерных для IP сетей. На это накладывается еще и тот факт, что все больше компаний начинают использовать распределенные системы управления технологическими процессами. Но там, где есть удаленное управление, всегда имеется возможность несанкционированных подключений. Так, злоумышленник может удаленно подключиться к системе управления городским хозяйством, которая напрямую подключена к Интернет (и за примерами далеко ходить не нужно), к очистным сооружениям или автоматизированной системе на нефтеперерабатывающем заводе, и последствия наверняка будут очень печальными для всех нас.

Данный тип угроз всеми осознан, и их актуальность растет по мере увеличения активности хакеров. «Подрывная деятельность» приобретает массовый характер, и сегодня мы говорим не о студентах, которые хотят удовлетворить свое эго, а о криминальных группировках, умеющих монетизировать любые свои действия. Если они что-то взломали,разрушили, значит кто-то на этом заработал.

Что мешает обеспечить адекватную защиту технологических систем?

Сейчас мы сталкиваемся с определенной инертностью мышления законодателей и руководителей подобных компаний. Они привыкли оперировать другими категориями и не осознают до конца тенденции современного информационного пространства. Не для всех очевидно, что цепочка цифр, посланная с удаленного компьютера, может нарушить цикл технологического процесса. Компании из таких отраслей как металлургия,  электроэнергетика и ТЭК пока применяют высокие технологии не столь активно, как банки или телекомы. А к этому еще и законы не успевают за меняющимся ландшафтом угроз, и люди не готовы воспринимать новые вызовы, и выделяемых бюджетов на информационную безопасность попросту не хватает. В результате жертвуют «неочевидным»  - тем, чего нельзя «пощупать».

Как вы считаете, нужны ли новые инициативы по регулированию и контролю безопасности критически важных объектов?

Без регулирования такой сферы, как безопасность, безусловно, не обойтись. Однако есть и обратная сторона медали - излишний контроль  иногда вредит компаниям. Я считаю, что максимальный эффект принесет разработка специфичных рекомендаций на уровне отраслевых ассоциаций.  Дело в том, что существующая на сегодня система регулирования и те штрафные санкции, которые есть, не работают должным образом. Возможные штрафы просто несопоставимы с теми последствиями, которые может нанести авария на химическом предприятии или взрыв на нефтеперерабатывающем заводе. Чтобы обеспечить нужный уровень безопасности бизнес должен провести оценку рисков. Ведь если единственное обозримое последствие от нарушения – денежный штраф, да еще и несущественный, для компаний не существует достаточного мотиватора к защите АСУ ТП.

В результате ситуация складывается такая же, как и с запретом курения. Формально курить нельзя во множестве мест, но штраф составляет 1500 рублей. В результате курить можно где угодно, если в кармане есть такая сумма. Да и контроль за исполнением закона, по сути, еще отсутствует.  Также и рекомендация, даже выданная в виде строгой инструкции, не может оказать должного действия, если бизнес не видит прочих последствий. При этом простое увеличение суммы штрафа не принесет желаемых результатов. Я считаю, что бизнес должен осознать степень своей ответственности перед обществом и перед всем миром за те инциденты, которые могут произойти по его вине из-за нежелания выделять бюджет на построение систем защиты.

На мероприятии высказывалось мнение о том, что сегодня существует проблема избыточного кода в программных продуктах различных поставщиков. Вы согласны с такой позицией?

Действительно, некоторые производители программных продуктов создают избыточный код в результате низкой культуры создания ПО в целом. Масштабные системы часто создаются несколькими группами программистов. При этом разработчики могут не удалять временные  элементы кода, создавать шуточные сегменты, послания другим членам команды и так далее. Более того, софтверные компании все чаще стараются оптимизировать затраты, поручая создание кода сторонним группам и передавая задачи разработки на аутсорсинг. В результате программный код может  быть раздутым и порой его эффективная часть составляет менее 50% . Если же все разработчики будут внедрять международные стандарты по созданию оптимального когда во внутреннюю культуру, современные программные продукты станут не только эффективнее (быстрее), но и безопаснее.

На заседании, посвященном защите АСУ ТП вы рассказывали о своих системах сетевой безопасности. Расскажите, в чем их особенности?

Мы изначально стремимся разрабатывать надежные системы, которые смогут обеспечить непрерывность бизнеса. Решения Stonesoft позволяют агрегировать каналы передачи данных, обеспечивая непрерывность связи, даже если произошел физический обрыв кабеля на одном из каналов. Также мы практикуем кластеризацию устройств. И даже если какой-то узел полностью вышел из строя, например, в случае аварии, пожара или по любой другой причине, это не приведет к отключению сегмента сети  или к появлению бреши в периметре системы. Чтобы добиться высокой отказоустойчивости, происходит не просто переключение на резервный узел - решения Stonesoft автоматически перераспределяют нагрузку в кластере без каких-либо простоев. Также хочется отметить лучшие в своем классе решения по защите от вторжений, способные противостоять новейшим и наиболее опасным угрозам – AET, число которых постоянно растет. Также мы презентовали первый защищенный NGFW, способный работать в широком температурном диапазоне, не боясь вибраций  и высокой влажности – это Stonesoft MIL-320, который предназначем для использования не только в гражданской, но и военной сфере, а также на вредных производствах или на открытом воздухе в экстремальных  погодных условиях. Мы уверены, что с этим продуктом наши заказчики смогут создать по настоящему надежные решения, в том числе, для защиты КВО. 

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.