Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ - Ключевые вызовы для мирового сообщества

В современных условиях информационные системы АСУ ТП должны как содержать защиту от «обычных» зловредов, так и располагать специальными средствами для противодействия целенаправленным атакам.

К сожалению, сегодня в России защиту промышленной инфраструктуры затрудняют как архитектурные, так и организационные и технологические факторы. Не способствует решению проблем и сложная бюрократическая процедура внесения изменений в работу промышленных и особенно критически важных промышленных объектов.

Как известно, российские АСУ ТП, однажды пройдя процедуру ввода в эксплуатацию, «опечатываются» и работают без обновлений многие годы. Строгие регламенты и нормативные акты не позволяют вносить в уже сертифицированную систему какие-либо изменения, даже в виде обновления операционной системы. Между тем, когда происходила приемка системы, проверка встроенных свойств безопасности, скорее всего, не проводилась. Да и само понятие безопасности, как правило, до сих пор сводится к ограничению доступа пользователя по паролю, который, опять же, нередко хранится в открытом виде в базе данных самого приложения.

Вычислительное оборудование АСУ ТП тоже, как правило, вводится в эксплуатацию с уже устаревшими прошивками (внутренним исполняемым микрокодом). Однако на сайте производителя всегда доступна свежая прошивка, в которой ряд известных проблем с информационной безопасностью уже закрыт, но их наличие никто не проверяет даже на этапе развертывания системы – просто потому, что с администраторов этого никто не требует.

С другой стороны, автоматизацией технологических процессов обычно занимаются не сами предприятия-операторы, а сторонние фирмы-подрядчики. Они, в свою очередь, заинтересованы в реализации именно функциональной составляющей, не придавая особого значения информационной безопасности, поскольку ее реализация – довольно трудозатратное занятие. Таким образом, предприятие получает только ту степень защиты от киберугроз, которая требуется действующим законодательством, ни о каких специальных настройках и проверках речь не идет. В конце концов использующееся ПО «падает» или поддается несанкционированному управлению без особых проблем.

Помимо этого, существуют трудности с обнаружением киберугроз из-за отсутствия сетевого мониторинга, а также с необходимостью привлечения сторонних экспертов, в то время как предприятия не горят желанием сообщать об инцидентах. Наконец, проще переустановить, чем разбираться.

Вопрос информационной безопасности КВО в России давно назрел, и его следует решать комплексно. Государственные органы всерьез озабочены разработкой регламентных документов. Так, сейчас проходит согласование в министерствах проекта федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации». ФСТЭК РФ выпустил приказ от 14.03.2014 № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды». Эта деятельность, несомненно, полезна, но в условиях XXI в. ее недостаточно – регулирование в области IT/OT сегодня реактивно и явно отстает быстро развивающихся технологий. Помимо регламентных документов, должны быть:

• выработаны методологии и практики для построения защищенной инфраструктуры КВО;

• выработаны единые критерии защищенности инфраструктуры КВО, которые должны оперативно дорабатываться и адаптироваться под изменения ландшафта угроз;

• разработаны методы стимулирования и юридической поддержки КВО, которые уже разрабатывают и применяют эффективные меры защиты;

• образовательные программы для работников и управляющих КВО.

Надежную защиту АСУ ТП можно обеспечить только при сотрудничестве государства, самих предприятий, проектных, научных организаций и производителей решений информационной безопасности.

Необходимо выработать методологии и практики для построения защищенной инфраструктуры критически важных объектов, прийти к соглашению по единым критериям защищенности промышленной инфраструктуры, которые должны оперативно дорабатываться и адаптироваться под изменения ландшафта угроз, разработать методы стимулирования и юридической поддержки тех предприятий, которые уже применяют эффективные меры защиты, а также в обязательном порядке проводить образовательные программы для работников и управляющих АСУ ТП.