15 Марта, 2013

Моя презентация с конференции \"Безопасность КВО ТЭК\"

Алексей Лукацкий
Вчера прошла конференция " Безопасность в КВО ТЭК ", организованная АИС. Хорошее мероприятие - новое на российском рынке ИБ. Потому и интерес вызвало со стороны отрасли - аудитория в зале сидела интересная - действительно те, кто отвечает за безопасность, в т.ч. и индустриальных систем. Меня просили сделать краткий доклад на тему стандартов Североамериканской электрический корпорации (NERC) по информационной безопасности критических инфраструктур (CIP). Но я чуть расширил тему, рассмотрев общие вопросы ИБ в американской электроэнергетике.




На самом деле, тема не такая уж и ненужная - в России немало организаций, в отсутствии актуальных российских документов, следуют требованиям NERC CIP (исключая аудит, конечно). Кто-то смотрит на документы NIST. Ну а так как мы (я имею ввиду Cisco) участвуем в разработке NIST'овских стандартов по ИБ, а также знаем и отечественную нормативку, то можем смотреть на проблему с двух сторон ;-)

В целом же могу заметить, что моя заметка от 5 сентября  по-прежнему актуальна ;-) Я не могу считать себя большим специалистом-практиком по ИБ в индустриальных системах, но даже здравый смысл (не говоря уже о тоннах изученных материалов) подсказывает, что продвигать ИБ в ТЭК также как это делается для банков или персданных нельзя. Это совершенно разные области. Как с точки зрения технологической, так и с точки зрения "продажной". Ну нельзя предлагать свою универсальную ОС и говорить, что она решит все проблемы с недоверенной средой (а железо под и прикладная часть надо?). И классические услуги по аудиту просто так не предложить. И заявить, что выкиньте все иностранное (АСУ ТП, сенсоры, контроллеры и т.д.) и вкладывайте деньги в НИОКР по разработке отечественных решений тоже не сработает.

Я уже не говорю про то, что это при продаже защиты ПДн интегратор не несет никакой ответственности, т.к. там рисков неправильной реализации как таковых нет. В индустриальных системах МСЭ или сканер безопасности, нарушившие работу системы управления технологическими процессам, могут стать причиной многих человеческих жертв, экологической катастрофы или просто экономических убытков на миллиарды рублей. А готов ли интегратор отвечать за предлагаемые решения? Далеко не у всех вообще такой вопрос возникает - многие привыкли продавать свои продукты и услуги "as is" и рынку только еще предстоить учесть всю специфику работы в сегменте критически важных объектов.

А вообще все докладчики (кроме меня) были оптимистами в отношении ИБ в КВО ;-)