Российские интеграторы не понимают специфики защиты АСУ ТП

Российские интеграторы не понимают специфики защиты АСУ ТП
Решил сделать краткий пост на тему, вынесенную в заголовок, ну и немного порекламировать свой доклад про безопасность АСУ ТП на сочинском пытаетсясоздать свою ОС для решения таких задач, но пока до готового и тиражируемого продукта дело не дошло. А ведь им еще надо заинтересовать производителей решений для АСУ ТП.

С уровнем взаимодействия более менее все понятно - технологии обеспечения конфиденциальности и целостности существуют давно. А вопрос их соответствия требованиям ФСБ к СКЗИ я поднимать не буду преднамеренно ;-)

Но самое интересное заключается в другом - в России защита этих уровней не так востребована, как это кажется интеграторам, предлагающим защиту именно их. Многих заказчиков волнует совершенно другой вопрос. А как мне предотвратить кражу пары составов с рудой, которую может провернуть привилегированный пользователь системы управления цепочками поставок? А вы можете отследить на каком звене цепочки доставки нефтепродукта от нефтехранилища по нефтепроводу до нефтеперерабатывающего завода (принадлежащих зачастую разным юрлицам) произошла кража нефтепродукта? Или еще один из вопросов, который могут задать, когда возникнет тема "защиты АСУ ТП" (под которой понимают очень много различных задач, не всегда впрямую связанных с самой АСУ ТП). А вы можете нам помочь отследить операторов-мошенников, которые несанкционированно изменяют маршруты транспортировки бензина в системе контроля передвижения опасных грузов через ГЛОНАСС/GPS? Или вот еще. Как можно обнаружить модификацию ПО, отвечающее за сигнализацию о падении давления в магистральном трубопроводе (по снижению давления можно определить наличие и примерное местоположение незаконной врезки в трубу).И как защищаться от таких инцидентов?

Решить такие задачи очень непросто, т.к. требуется досконально знать, как работает та или иная система на уровне ее бизнес-логики. Инструментов для обнаружения инцидентов на бизнес-уровне немного и можно пересчитать по пальцам одной руки. Например, Appercut Security (и то с оговорками и доработками). Но это именно то, что нужно потребителю и то, на чем он теряет деньги, несопоставимые с ущербом от других видов инцидентов. Точнее это реальные деньги, которых недополучает владелец критически важного объекта. В отличие от вирусных эпедимей, простоев от DoS-атак, утечек информации, ущерб от которых еще надо посчитать и обосновать.

Возможно ситуация со временем поменяется. Если документ СовБеза начнут претворять в жизнь, то акценты могут и сместиться в сторону первых двух описанный мной уровней. Ведь Совету Безопасности по сути все равно - сколько денег не досчитается конкретный владелец критически важного объекта. А вот инцидент, который может повлиять на национальную безопасность, привести к чрезвычайной ситуации, сделать невозможным оказание какой-либо услуги в час Х и т.п. их волнует гораздо больше и поэтому их документы, скорее всего, будут описывать то, что описывают почти все современные стандарты безопасности АСУ ТП - традиционные вопросы защиты - обеспечение доступности, конфиденциальности, целостности компонентов АСУ ТП на нижних уровнях; закрывая глаза на верхний. И потребитель задумается о решении и этой задачи только тогда, когда число инцидентов применения кибероружия увеличится многократно (и именно в России) или когда за невыполнение требований нормативных документов будут выставляться реальные и значительные штрафы.

Пока же потребитель подходит к вопросу защиты АСУ ТП с точки зрения риск-ориентированного подхода (за что было бы глупо его ругать) и требует совершенно не тех средств и услуг защиты АСУ ТП, которые ему пытаются предлагать интеграторы и вендоры. А может я ошибаюсь и есть интеграторы, которые учитывают то, что я написал?

PS. Помимо ИнфоБЕРЕГа на тему АСУ ТП буду также выступать 3-го октября на круглом столе в рамках " Инфобезопасности ".
SCADA угрозы
Alt text