Выгорание персонала ИБ АСУ ТП

Выгорание персонала ИБ АСУ ТП

В исследовании High Alert: Tackling Cyber Security Overload in 2019, проведённого Symantec с целью выявить актуальные проблемы кибербезопасности, приводятся данные опроса более 3000 профессионалов в области кибербезопасности, работающих на руководящих должностях во Франции, Германии и Великобритании.

Выводы достаточно неутешительны.

Отрасль в кризисе. CISO и команды безопасности чувствуют себя отстающими от киберпреступников, не успевают за темпами технологических изменений и перегружены всевозможными уведомлениями и предупреждениями средств защиты.

Хуже всего то, что профессионалы в области безопасности считают, что они буквально «доживают свои последние дни» из-за роста числа случаев выгорания. Мало того, что постоянное состояние повышенной готовности усиливает стресс, — по словам ведущего психолога, это резко повышает риск серьезных инцидентов кибербезопасности.

Возможно, что железобетонных оснований впрямую экстраполировать полученные результаты на российскую действительность, да ещё и конкретно на область ИБ АСУ ТП, не так уж и много, но, с другой стороны, анализ причин такого положения дел показывает, что все они (причины) в полной мере имеют место и в нашей действительности. Более того, как будет видно ниже, именно на промышленных предприятиях оснований для выгорания более, чем достаточно.

Перегрузка и цена ошибки

Как видно на приведённой иллюстрации из отчёта Symantec — специалисты по информационной безопасности перегружены. Две трети (65%) лиц, принимающих решения в области кибербезопасности, считают, что находятся в положении, в котором обречены на провал. Кроме того, 82% ощущают «выгорание», 64% думают о том, чтобы уволиться с работы, а 63% и вовсе — уйти из отрасли.

Специалисты по кибербезопасности чувствуют себя подавленными
Специалисты по кибербезопасности чувствуют себя подавленными

Опасность такого перманентного состояния понятна — стресс влияет на способность человека принимать правильные решения, ухудшая память, нарушая рациональное мышление и отрицательно влияя на все основные когнитивные функции.

При этом в сфере кибербезопасности цена одной ошибки может быть слишком высока — как в плане карьеры самого сотрудника, так и с точки зрения организации, в которой он работает, а то для более широкого круга людей и общественных институтов.

Уместно будет напомнить, что Федеральный закон №187-ФЗ « О безопасности КИИ » вводит пять критериев значимости объектов КИИ, прямо коррелирующих с возможными последствиями:

социальная значимость, выражающаяся в оценке возможного ущерба, причиняемого жизни или здоровью людей, возможности прекращения или нарушения функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимальном времени отсутствия доступа к государственной услуге для получателей такой услуги;

политическая значимость, выражающаяся в оценке возможного причинения ущерба интересам Российской Федерации в вопросах внутренней и внешней политики;

экономическая значимость, выражающаяся в оценке возможного причинения прямого и косвенного ущерба субъектам критической информационной инфраструктуры и (или) бюджетам Российской Федерации;

экологическая значимость, выражающаяся в оценке уровня воздействия на окружающую среду;

значимость объекта критической информационной инфраструктуры для обеспечения обороны страны, безопасности государства и правопорядка.

Ненулевая вероятность инцидента даже при принятии всех разумных мер вкупе с тяжестью последствий (особенно в промышленности) в свою очередь создаёт дополнительное психологическое давление, замыкая этот порочный круг.

Причины выгорания в ИБ АСУ ТП

В отчёте Symantec не выделяются отдельно опрашиваемые, работающие в сфере промышленной кибербезопасности, но в этой сфере ситуация во многом даже ещё сложнее. Ниже, говоря о причинах такого состояния дел, будем отдельно выделять особенности, характерные для ИБ АСУ ТП.

Киберугрозы и риски меняются ежедневно

Растущий объём угроз (в том числе из-за постоянно выявляемых новых уязвимостей) и повышение уровня сложности атак в ИБ АСУ ТП из года в год отмечается во многих отечественных и западных аналитических отчётах.

Киберпреступность сегодня по степени своей мотивации и методам работы более сравнима с крупными организациями, всё дальше отходя от расхожего стереотипного хакера-одиночки в капюшоне.

Нарастающая сложность технологий, применяемых в промышленных системах, в свою очередь расширяет поверхность атак, создавая новые риски там, где раньше использовались некомпьютеризированные подходы или отсутствовало постоянное сетевое взаимодействие с внешним миром.

К сожалению, далеко не всегда специалисты по кибербезопасности располагают эффективными инструментами для противодействия.

Рассмотрим, к примеру управление уязвимостями. В промышленных системах регулярная оперативная установка обновлений — достаточно дорогостоящее удовольствие: никто не будет останавливать действующее производство только чтобы накатить свежий патч. Не стоит забывать при этом и необходимость предварительного тестирования, а ещё лучше — официального согласования с поставщиком АСУ ТП. На всё это нужно время и, в конце концов, деньги.

Вместе с тем далеко не все даже критические уязвимости могут быть проэксплуатированы на практике, что позволяет выработать более стратегически правильный подход к управлению уязвимостями, основанный, например, на оценке вероятности их использования в реальных атаках.

Понятно, что для выработки такой стратегии нужно иметь возможность оперативно о новых уязвимостях в своих системах узнавать, а тут без специализированных решений по мониторингу состояния информационной безопасности в АСУ ТП обойтись трудно.

Рост регуляторных требований

Уже упомянутый 187-ФЗ поставил перед владельцами промышленных систем целый спектр задач по категорированию своих объектов (определению категории значимости), созданию систем безопасности значимых объектов и реализации целого набора мер в зависимости от категории .

Введённая уголовная ответственность за нарушение законодательства о безопасности КИИ , а также планируемые к принятию новые статьи Кодекса об административных правонарушениях не позволяют просто так отмахнуться от этой ветви законодательных требований.

При этом, в отличие от тех же государственных информационных систем (ГИС) или информационных систем персональных данных ( ИСПДн ), где требования к защите информации существуют уже не первый год и накоплен богатый опыт как у самих организаций, так и у проверяющих, для АСУ ТП обязательные требования, можно считать, появились впервые.

Как показывает практика, у промышленных предприятий с высокой степенью вероятности значимыми объектами КИИ как раз становятся АСУ ТП, а прочие информационные системы (ИС) и информационно-телекоммуникационные сети (ИТКС) — гораздо реже.

Поэтому именно на подразделения промышленного блока обычно и ложится задача по организации работы и непосредственно сами работы по приведению в соответствие требованиям законодательства.

Тут, чтобы не потеряться в обилии различных систем и требований, тоже как нельзя кстати приходятся соответствующие технические решения — для автоматизированного контроля выполнения требований ИБ в АСУ ТП.

Но одних средств автоматизации в любом случае явно недостаточно, если есть нехватка персонала с требуемым уровнем подготовки.

Нехватка квалифицированных кадров

В группе RUSCADASEC не так давно мы с коллегами проводили опрос о том, из каких сфер участники чата пришли к теме кибербезопасности АСУ ТП:

Откуда вы пришли к теме Кибербезопасность АСУ ТП?
Откуда вы пришли к теме Кибербезопасность АСУ ТП?

Опрос проводился накануне панельной дискуссии в рамках Код ИБ INDUSTRIAL как сопровождающая иллюстрация к вопросу о том, где логичнее брать кадры для решения задач ИБ АСУ ТП.

Разговор получился оживлённый и содержательный, прозвучало много интересных мнений, но важно отметить, что никто не оспаривал сам факт того, что кадры нужны и потребность в них достаточно остра.

Кибербезопасность и сама по себе специфическая область, а уж кибербезопасность АСУ ТП и вовсе требует обширных знаний из сразу двух смежных областей, что, давайте будем честны, пока всё ещё редкость.

Говоря о законодательных требованиях , стоит отметить, что требования, относящиеся к персоналу, распространяются далеко не только на специалистов, непосредственно отвечающих за ИБ АСУ ТП:

К силам обеспечения безопасности значимых объектов критической информационной инфраструктуры относятся:

— подразделения (работники) субъекта критической информационной инфраструктуры (КИИ), ответственные за обеспечение безопасности значимых объектов (ЗО) КИИ;

— подразделения (работники), эксплуатирующие ЗО КИИ;

— подразделения (работники), обеспечивающие функционирование (сопровождение, обслуживание, ремонт) ЗО КИИ;

иные подразделения (работники), участвующие в обеспечении безопасности ЗО КИИ.

( ст.4 Приказ ФСТЭК России от 21.12.2017 N 235 )

Для этого необходимо регулярно проводить обучение и повышение осведомлённости, по сути, всех, кто так или иначе влияет на ЗО КИИ.

Информирование и обучение персонала
Информирование и обучение персонала

Возвращаясь к теме выгорания и данным из отчёта Symantec, можно выделить такие тезисы, касающиеся профессиональных навыков:

  • Четыре из пяти (80%) опрошенных сообщили, что ощущают недостаточность своих навыков. Во многих случаях опытные специалисты по кибербезопасности сочли себя «устаревшими» из-за роста проникновения современных технологий.
  • Почти половина (48%) респондентов считают, что злоумышленники теперь имеют преимущество в навыках по сравнению с защитниками.
  • Эти проблемы не только усиливают стресс, испытываемый специалистами по безопасности, но и усложняют выполнение ими своих задач обеспечения безопасности.

Что делать?

Переходя к рекомендациям, даваемым специалистами и основанным на практическом опыте, можно выделить следующие:

  • Повышение уровня зрелости системы обеспечения информационной безопасности (например, применение таких методов, как те, что изложены в NIST Cybersecurity Framework, Директиве NIS, IEC 62443 и ISO 27000).
  • Взвешенная оценка реальных рисков, в том числе с использованием соответствующих решений по автоматизации этого процесса, ориентированных конкретно на работу с АСУ ТП.
  • Инвестиция (времени и/или денег) в образование и обучение в области кибербезопасности для персонала, так или иначе задействованного в работе с АСУ ТП и их системами обеспечения безопасности.
  • Автоматизация процессов управления информационной безопасностью в АСУ ТП.

Выгорание приводит к тому, что высококвалифицированные и дефицитные ресурсы становятся неэффективными, что может привести к ошибкам в их работе с достаточно дорогостоящими последствиями.

Организации могут снизить риски, возникающие из-за выгорания, разгружая специалистов по кибербезопасности:

  • регулярно занимаясь повышением осведомлённости персонала (меньше человеческих ошибок — меньше инцидентов);
  • сосредотачиваясь на более масштабных и приоритетных задачах, выбирая их с применением средств автоматизированной оценки состояния защищённости АСУ ТП и контроля выполнения требований ИБ в АСУ ТП;
  • автоматизируя рутинные операции и повышая прозрачность своих систем за счёт специализированных систем анализа и мониторинга состояния информационной безопасности АСУ ТП.

Ссылки по теме:

Мой Telegram-канал , сообщество ВКонтакте .

Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.