«Мало кто выбирает безопасность в ущерб экономике». Дискуссия «Современные тренды SOC в технологическом сегменте» на SOC-Форуме 2021

«Мало кто выбирает безопасность в ущерб экономике». Дискуссия «Современные тренды SOC в технологическом сегменте» на SOC-Форуме 2021

SOC-Форум нынешнего года собрал репрезентативную, на первый взгляд, выборку докладов и докладчиков на тему об использовании SOC для обеспечения кибербезопасности производственных процессов:

• конечные потребители – «Трубная металлургическая компания» и Евраз (бренды на слуху даже у обывателя и сферы производства практически очевидны), Сегежа Групп (деревообработка);
• вендоры, интеграторы, эксперты, консультанты – Лаборатория Касперского Инфосистемы Джет, R-Vision, IBS Platformix, Checkpoint, Cisco Systems.

Темы докладов свидетельствовали о трезвомыслии и о критическом настрое, о знании современной методологии, о наличии опыта и о знании «болевых» точек:

• «Не все сценарии одинаково полезны. Практика применения в ТМК»; «SOAR, IRP: зачем внедрять»; «Как подружить SOC с АСУ ТП?»;
• «Практические, отраслевые аспекты использования внешнего SOC провайдера в деревообрабатывающей отрасли»; «Кейс по построению сервисного SOC в промышленной компании»;
• «Цифровая модель ИБ для промышленного SOC»; «Защита устройств и сетей IoT от кибератак на промышленные предприятия и ТЭК»; «Как мониторить ИБ изолированной от внешнего мира производственной площадки? Три практичных сценария».

И по завершении марафона докладов аудитории была предложена дискуссия под управлением Антона Шипулина (он в т. ч. и сооснователь сообщества специалистов по промышленной кибербезопасности RUSCADASEC), для обсуждения широкого круга вопросов:

• Мониторинг и управление уязвимостями в АСУ ТП;
• Инвентаризация активов, проблема и решение;
• Мониторинг атак на цепочки поставок в России;
• Какая автоматизация реагирования допустима в АСУ ТП;
• Общий или разные SOC для АСУ ТП и ИТ. Мониторинг и предотвращение атак «программ-вымогателей» в АСУ ТП.

И здесь произошёл некий «затык» (возможный синоним – «засада), который проще всего объяснить временем проведения дискуссии – конец второго дня Форума.

Уместно заметить, что с самого начала заявленный состав дискуссионной панели разительно отличался по своему количественному и представительскому формату от сессии, посвящённой обеспечению кибербезопасности в реальном производстве.

И при этом из заявленного списка участников: Сергей Терехов, руководитель центра экспертизы по информационной безопасности, IBS Platformix; Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems; Алексей Мартынцев, руководитель направления регионального сопровождения и инспекций ИБ, Норильский Никель; представитель Норникеля не вышел на «ринг».

В отсутствии «начальников транспортного цеха» обсуждение поставленных вопросов было достаточно «модельным», что-то вроде анализа поведения «сферического коня в вакууме». При этом уже в начале дискуссии никто не попытался оспорить тезис представителя IBS Platformix о том, что сегодня «мало кто выбирает безопасность в ущерб экономике».

И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель ТМК на Круглом столе «Промышленный SOC. Необходимость, функции, векторы развития» фактически откровенно сознался, что не стал «зарубать» идею промышленного SOC’а «на корню» лишь из уважения к организаторам Круглого стола, смело выбравшим столь скользкую тему. И предпочёл обосновать отсутствие у него абсолютного «за»-энтузиазма сомнениями в том, что «за» будет т. н. «бизнес».

Алексей Лукацкий, сегодня рассуждая о возможностях автоматизации работы «промышленного SOC» (а автоматизация – это сегодня не только модный тренд, но и тренд, обусловленный кадровым голодом), вполне обоснованно заявил о том, что конечный этап работы SOC при отражении кибератаки – блокирование – в промышленности не поддаётся автоматизации «от слова совсем» (почти дословная цитата комментария Алексея Лукацкого).

И тут уместно вспомнить прошлогодний SOC-Форум, когда представитель Positive Technologies (это нынешний лидер по части идеологии автоматизации работы SOC с помощью инструментария на основе т. н. «метапродуктов», инструментария, который позволяет в автоматическом режиме обнаруживать и останавливать атаку силами одного человека) обратил внимание собравшихся на уже упомянутом прошлогоднем Круглом столе на то обстоятельство, что в отличие от Банка, Гражданского Госучреждения и иных Непроизводственных Организаций, «риски», осуществляющиеся в промышленности, измеряются  и деньгами, и непоправимым ущербом для людей и окружающей среды, а также ещё и тяжестью санкций по статьям УК РФ к конкретным людям. И эти конкретные люди точно не согласятся на то, что SOC’оские будут принимать решения, влияющие на непрерывность производственных процессов.

В этих условиях первоочередным и (очевидно?) приемлемым и реализуемым приёмом снижения уровня киберугроз производственному сегменту современного «цифрового и сетевого» предприятия» является «сегментирование «корпоративки» от АСУТП физически (не программно) однонаправленным файерволом» (почти дословная цитата комментария Алексея Лукацкого).

Главная же ИМХО проблема кибербезопасности современной промышленности не в отсутствии «промышленных SOC’ов», а в том, что сегодня происходит либо выламывание рук «асутпэшникам» для получения их согласия на подключение к Интернету оборудования, купленного у иностранных вендоров, либо недоученностью и/или безответственностью «айтишников», которые принтер, обслуживающий АРМ оператора АСУТП «втыкают» ещё и в корпоративную сеть.

Но решать проблемы такого рода надо не всё более широким раскрытием окон Овертона для цифровизации АСУТП в ущерб использованию аналоговых технологий управления, а безусловным захлопыванием этих «форточек» в рамках управления промышленной кибербезопасностью «по требованиям».