«Мало кто выбирает безопасность в ущерб экономике». Дискуссия «Современные тренды SOC в технологическом сегменте» на SOC-Форуме 2021

15 декабря, 2021

«Мало кто выбирает безопасность в ущерб экономике». Дискуссия «Современные тренды SOC в технологическом сегменте» на SOC-Форуме 2021

SOC-Форум нынешнего года собрал репрезентативную, на первый взгляд, выборку докладов и докладчиков на тему об использовании SOC для обеспечения кибербезопасности производственных процессов:

  • конечные потребители – «Трубная металлургическая компания» и Евраз (бренды на слуху даже у обывателя и сферы производства практически очевидны), Сегежа Групп (деревообработка);
  • вендоры, интеграторы, эксперты, консультанты – Лаборатория Касперского Инфосистемы Джет, R-Vision, IBS Platformix, Checkpoint, Cisco Systems.

Темы докладов свидетельствовали о трезвомыслии и о критическом настрое, о знании современной методологии, о наличии опыта и о знании «болевых» точек:

  • «Не все сценарии одинаково полезны. Практика применения в ТМК»; «SOAR, IRP: зачем внедрять»; «Как подружить SOC с АСУ ТП?»;
  • «Практические, отраслевые аспекты использования внешнего SOC провайдера в деревообрабатывающей отрасли»; «Кейс по построению сервисного SOC в промышленной компании»;
  • «Цифровая модель ИБ для промышленного SOC»; «Защита устройств и сетей IoT от кибератак на промышленные предприятия и ТЭК»; «Как мониторить ИБ изолированной от внешнего мира производственной площадки? Три практичных сценария».

И по завершении марафона докладов аудитории была предложена дискуссия под управлением Антона Шипулина (он в т. ч. и сооснователь сообщества специалистов по промышленной кибербезопасности RUSCADASEC), для обсуждения широкого круга вопросов:

  • Мониторинг и управление уязвимостями в АСУ ТП;
  • Инвентаризация активов, проблема и решение;
  • Мониторинг атак на цепочки поставок в России;
  • Какая автоматизация реагирования допустима в АСУ ТП;
  • Общий или разные SOC для АСУ ТП и ИТ. Мониторинг и предотвращение атак «программ-вымогателей» в АСУ ТП.

И здесь произошёл некий «затык» (возможный синоним – «засада), который проще всего объяснить временем проведения дискуссии – конец второго дня Форума.

Уместно заметить, что с самого начала заявленный состав дискуссионной панели разительно отличался по своему количественному и представительскому формату от сессии, посвящённой обеспечению кибербезопасности в реальном производстве.

И при этом из заявленного списка участников: Сергей Терехов, руководитель центра экспертизы по информационной безопасности, IBS Platformix; Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems; Алексей Мартынцев, руководитель направления регионального сопровождения и инспекций ИБ, Норильский Никель; представитель Норникеля не вышел на «ринг».

В отсутствии «начальников транспортного цеха» обсуждение поставленных вопросов было достаточно «модельным», что-то вроде анализа поведения «сферического коня в вакууме». При этом уже в начале дискуссии никто не попытался оспорить тезис представителя IBS Platformix о том, что сегодня «мало кто выбирает безопасность в ущерб экономике».

И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель ТМК на Круглом столе «Промышленный SOC. Необходимость, функции, векторы развития» фактически откровенно сознался, что не стал «зарубать» идею промышленного SOC’а «на корню» лишь из уважения к организаторам Круглого стола, смело выбравшим столь скользкую тему. И предпочёл обосновать отсутствие у него абсолютного «за»-энтузиазма сомнениями в том, что «за» будет т. н. «бизнес».

Алексей Лукацкий, сегодня рассуждая о возможностях автоматизации работы «промышленного SOC» (а автоматизация – это сегодня не только модный тренд, но и тренд, обусловленный кадровым голодом), вполне обоснованно заявил о том, что конечный этап работы SOC при отражении кибератаки – блокирование – в промышленности не поддаётся автоматизации «от слова совсем» (почти дословная цитата комментария Алексея Лукацкого).

И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель Positive Technologies (это нынешний лидер по части идеологии автоматизации работы SOC с помощью инструментария на основе т. н. «метапродуктов», инструментария, который позволяет в автоматическом режиме обнаруживать и останавливать атаку силами одного человека) обратил внимание собравшихся на уже упомянутом прошлогоднем Круглом столе на то обстоятельство, что в отличие от Банка, Гражданского Госучреждения и иных Непроизводственных Организаций, «риски», осуществляющиеся в промышленности, измеряются  и деньгами, и непоправимым ущербом для людей и окружающей среды, а также ещё и тяжестью санкций по статьям УК РФ к конкретным людям. И эти конкретные люди точно не согласятся на то, что SOC’оские будут принимать решения, влияющие на непрерывность производственных процессов.

В этих условиях первоочередным и (очевидно?) приемлемым и реализуемым приёмом снижения уровня киберугроз производственному сегменту современного «цифрового и сетевого» предприятия» является «сегментирование «корпоративки» от АСУТП физически (не программно) однонаправленным файерволом» (почти дословная цитата комментария Алексея Лукацкого).

Главная же ИМХО проблема кибербезопасности современной промышленности не в отсутствии «промышленных SOC’ов», а в том, что сегодня происходит либо выламывание рук «асутпэшникам» для получения их согласия на подключение к Интернету оборудования, купленного у иностранных вендоров, либо недоученностью и/или безответственностью «айтишников», которые принтер, обслуживающий АРМ оператора АСУТП «втыкают» ещё и в корпоративную сеть.

Но решать проблемы такого рода надо не всё более широким раскрытием окон Овертона для цифровизации АСУТП в ущерб использованию аналоговых технологий управления, а безусловным захлопыванием этих «форточек» в рамках управления промышленной кибербезопасностью «по требованиям».

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.03.2024
Банки будут строже следить за криптотранзакциями, связанными с дропперами
01.03.2024
Холода прошли, но голос берегите — скамеры усиленно собирают слепки
01.03.2024
Лишение банковской лицензии — это ещё не всё
01.03.2024
«Они подобны смартфонам на колёсах». В США проверят «умные» авто из Китая
01.03.2024
Набиуллина: Дважды «красные» клиенты будут исключаться из реестра
01.03.2024
Банк России усовершенствует платформу цифрового рубля
01.03.2024
Организации здравоохранения США стали жертвами массовых кибератак
29.02.2024
«ИнфоТеКС» — о проблемах стандартизации ИБ
29.02.2024
Почему нормативные акты выполняются формально
29.02.2024
Почему затянулся переход на российские решения

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных