В условиях современного уровня проникновения ИКТ в АСУ ТП и состояния ландшафта ИБ-угроз российские критически важные объекты (КВО) сегодня скорее можно признать информационно безопасными, чем наоборот. Во всяком случае так считают те, кто в нашей стране непосредственно занят эксплуатацией и техническим обеспечением КВО.
К такому выводу подталкивают (несмотря на свою неоднозначность) результаты круглого стола на тему «Мифы и реальность кибербезопасности АСУ ТП КВО», который прошел в Москве в рамках конференции «Безопасность критически важных объектов ТЭК».
По мнению заместителя генерального директора компании Positive Technologies Бориса Симиса, ситуация с ИБ в АСУ ТП (и не только в нашей стране) напоминает ситуацию с ИБ в информационных технологиях лет пятнадцать назад, т. е. имеют место тот же уровень ИБ-зрелости и с то же отношение к ИБ-рискам.
Согласно его наблюдениям, тема ИБ не актуальна ни для эксплуатационников, ни для разработчиков, работающих в области АСУ ТП КВО. По его словам, разработчики оборудования для АСУ ТП (среди которых подавляюще доминируют иностранные) устраняют всего лишь 14% обнаруживаемых в их продукции уязвимостей; эксплуатационники КВО категорически против аудита своих объектов и раскрытия информации об инцидентах. Что же касается российских регуляторов, то законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», который должен внести ясность в тему, определить ответственных за ИБ на КВО, меру их ответственности, источники и размеры финансирования, уже пару лет несогласованным путешествует между правительством и Госдумой.
Актуализированный «Лабораторией Касперского» после многочисленных проверок (подтвердивших, кстати, наличие признаков атаки Stuxnet на российские АСУ ТП) и разосланный заказчикам для защиты от этой атаки антивирус, установленный в местах эксплуатации контроллеров компании Siemens (на которые и была «заточена» атака Stuxnet) никем из заказчиков, согласно данным ЛК, установлен не был.
Подобную «беспечность» начальник управления ИТ «Мосэнерго» Георгий Петросюк объясняет просто: «Если оборудование на КВО работает и приносит прибыль, хотя при этом может находиться под угрозой заражения или уже заражено, лицо, ответственное за функционирование оборудования, рабочий процесс не остановит». По его мнению, в настоящее время никто реально не может оценить и взять на себя ответственность за корректность оценки влияния состояния ИБ КВО на возникновение там чрезвычайных ситуаций. Поэтому из классической триады «доступность — целостность — конфиденциальность» приоритеты на КВО сегодня безальтернативно отдаются доступности и целостности.
Хотя, как считают эксперты, у киберкриминалитета и нет стимулов ломать АСУ ТП КВО ввиду невозможности получения от этого прямой выгоды, КВО, тем не менее, становятся мишенями в межгосударственных кибервойнах и нечестной конкуренции. Так, по словам независимого эксперта по ИБ АСУ ТП Антона Шипулина, практика его общения с профильными заказчиками свидетельствует о том, что у каждого второго из них был зарегистрирован ИБ-инцидент.
Ситуацию может изменить государственное регулирование в области ИБ КВО. «Бизнес без понуждения со стороны государства не спешит заниматься задачами ИБ, — поясняет Борис Симис. — Об этом свидетельствует также и опыт экономически развитых стран, где „кнут“ государственного принуждения сегодня бьет посильнее, чем „кнут“ российских госрегуляторов. Однако, с другой стороны, там государство помогает бизнесу в выполнении своих требований к ИБ: доступны оформленные в методики лучшие практики, государство компенсирует некоторые из мер ИБ, обществом учитываются выполнения регулятивных требований в рейтингах, биржевых котировках...»
Возможно и неопосредованное регулированием воздействие на бизнес в области ИБ. Начальник отдела ИБ «Мосэнерго» Сергей Козленок отмечает, что только опыт, порой горький, поможет накопить доказательную базу, с помощью которой ИБ-специалистам можно будет вести конструктивный диалог с управляющим звеном КВО.
Чтобы начать такой диалог Борис Симис рекомендует использовать десятилетиями наработанный в промышленности аппарат расчетов рисков функциональной безопасности — любая система КВО, сдаваемая в эксплуатацию, снабжается документацией с данными о требованиях к ее надежности. Если ИБ-специалисты научатся переводить ИБ-риски в показатели снижения надежности критически важных объектов, эксплуатационники КВО будут адекватно реагировать на задачи снижения ИБ-рисков, причем даже в условиях нынешних бюджетных приоритетов, когда усилия прилагаются не на развитие, а только на поддержку бизнес-процессов.