Журнал "Information Security/ Информационная безопасность" #2, 2024

• 41 ЗАщИТА АСУ ТП www.itsec.ru рынке практически не существует кон- куренции: в некоторых сегментах пред- ставлено всего 1–2 продукта с богатым функционалом. Но многие вендоры начи- нают активно выпускать новые достой- ные решения, поэтому со временем ситуация нормализуется. Дмитрий Михеев, АйТи Бастион: На данный момент в России суще- ствует широкий спектр решений в обла- сти ИБ для промышленного сегмента, включая системы уровня Enterprise, например SIEM, NGFW, EDR. Однако стоит отметить нехватку локализован- ных аппаратных платформ, что может затруднять полноценную защиту про- мышленных сетей. Необходимые реше- ния на рынке существуют, могут быть приобретены и приносить пользу. Но их внедрение требует готовности инфраструктуры и процессов внутри предприятий, а также значительных бюджетов на закупку и техподдержку. Важно отметить, что в условиях санк- ционных ограничений растет спрос на российские решения и многие из них уже доступны на рынке благодаря достойным отечественным ИБ-разра- ботчикам. Алексей Петухов, InfoWatch: Для защиты промышленного сегмента чаще всего используется принцип бло- кирования всего, чего нет в списке раз- решенных устройств и ПО – как в сети, так и на рабочих станциях и серверах соответственно. Второй принцип – выявление отклонений от эталона. На российском рынке достаточно средств защиты информации для этого. Большая проблема заключается в том, что не все можно сертифицировать, так как, напри- мер, Windows недоступен для России, а соответственно, и сертифицировать, поддерживать ПО под него достаточно проблематично. Алексей Комаров, УЦСБ: Не так важно, внутренний SOC или внешний, как важно наличие эффектив- ных механизмов оперативного выявле- ния инцидентов и реагирования на них. С учетом особенностей АСУ ТП как объ- екта защиты принимать решение о том, самостоятельно ли создавать SOC либо воспользоваться аутсорсингом, нужно исходя из практической ситуации с кад- ровым обеспечением и возможностями по капитальным вложениям в создание соответствующих технической и орга- низационной структур. Михаил Молчанов, Газинформсервис: Плюсом является экономия заказчика на содержании внутреннего штата доро- гостоящих сотрудников. Из минусов стоит отметить, что внешний подрядчик не имеет доступа к компонентам АСУ ТП, а значит, не может сопровождать ИБ в части встроенных средств защиты информации прикладного ПО и обору- дования АСУ ТП. А значит, для обес- печения комплексного подхода к обес- печению ИБ необходимо привлекать штатный персонал, эксплуатирующий АСУ ТП. Артем Туренок, ДиалогНаука: Из минусов следует отметить: 1. SOC не обладает возможностью оперативного отслеживания изменения в инфраструктуре АСУ ТП в организа- ционной части. 2. Отсутствует возможность оказания услуг по оперативному реагированию на инциденты и сбору и обработке собы- тий с контролируемых узлов в случае пропадания канала связи. 3. Увеличена поверхность атаки на объект КИИ за счет появления внешнего SOC. Дмитрий Кузин, Облачные сети: Кадровый голод в нашей сфере – это проблема последних нескольких лет. Но если для администрирования СЗИ долж- ны быть специалисты в каждой службе заказчика, то в случае с внешним под- рядчиком один инженер может зани- маться администрированием сразу на нескольких объектах. При этом этот инженер будет иметь все необходимые сертификаты и на постоянной основе проходить продуктовые обучения и курсы повышения квалификации. Минусы – необходимость предоставлять удален- ный доступ к инфраструктуре и, соот- ветственно, искусственно добавлять дополнительные векторы атаки. Для минимизации рисков в процессе созда- ния систем защиты, до момента переда- чи на аутсорсинг, потребуется внедрять дополнительные классы СЗИ. Дмитрий Михеев, АйТи Бастион: Решение о передаче сопровождения АСУ ТП внешнему подрядчику (внешне- му SOC) должно быть тщательно взве- шено. Необходимо оценить риски, про- вести глубокий аудит потенциальных подрядчиков, подробно проговорить условия обслуживания и зоны ответ- Каковы плюсы и минусы передачи сопровождения ИБ АСУ ТП внешнему подрядчику, в частности внешнему SOC? Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT “Инфосистемы Джет” Ряд работ по сопровождению ИБ АСУ ТП можно проводить только в ограниченный период времени – как правило, в рамках технологического окна. Привлекая внеш- него подрядчика, специалисты заказчика успевают выполнить все работы в сжатые сроки, пока партнер проводит исследования, производит настройки безопасности и другие действия для устранения выявленных уязвимостей. Подрядчик также формирует план повышения уровня защищенности АСУ ТП, который можно реа- лизовать при следующем плановом простое. К плюсам такого сотрудничества можно отнести экономию времени, сохранение плановых сроков простоя, получение дополнительной внешней экспертизы и глу- бокого понимания состояния ИБ АСУ ТП, оценку состояния ИБ для модернизации и долгосрочного планирования изменений в АСУ ТП. В качестве минусов отмечу необходимость предоставления очного доступа для сотрудников подрядчика к целевым системам, передачу доступов и реквизитов (которые могут быть утеряны), подтверждение изменений конфигураций, а также потребность в тестировании АСУ ТП после внесенных изменений. Мониторинг ИБ АСУ ТП силами внешнего SOC в большинстве случаев (кроме АСУ ТП, изолированных от любых сетевых сегментов) производится непрерывно и позволяет отследить любые изменения как в штатном режиме функционирования, так и в ходе простоя, когда АСУ ТП подвержены повышенному риску. Это помогает выявить инциденты ИБ на раннем этапе или найти предпосылки к их воз- никновению. Например, во время технологического окна компоненты АСУ ТП могут получить доступ в Интернет, внешний носитель с легитимным обновлением для специального ПО АСУ ТП может быть заражен вредоносным ПО, а к АСУ ТП могут появиться временные доступы, которые из-за спешки могут стать посто- янными. Среди ключевых плюсов такого подхода можно отметить возможность контроля и повышение видимости процессов ИБ в АСУ ТП в любом режиме функционирования системы, значительное ускорение реакции на возникающие инциденты и снижение возможного ущерба, сокращение незапланированного простоя, а также адекватные параметры SLA. Что касается недостатков, я бы отметил потребность в организации безопасных каналов для передачи телеметрии и прочих данных внешнему SOC, настройку встроенных, накладных и дополнительных средств обеспечения ИБ, а также внесение изменений во внутренние нормативные документы в целях повышения оперативности реагирования на инциденты. Комментарий эксперта