Весной в Ялте прошла очередная конференция ИТ ОПК, где нам удалось в комфортной обстановке пообщаться сразу с большим количеством представителей различных отраслей производства. Подобные встречи тем и удобны, что за небольшой срок позволяют оценить срез основных проблем и задач, которые встают перед нашими существующими и потенциальными клиентами. Что можно отметить по результатам этих наблюдений?
ИТ в ОПК
Основное внимание руководителей ИТ-служб, конечно, сосредоточено на решении бизнес-задач. Им интересны технологии для комплексной автоматизации, управления бизнес-планированием, разработки новых продуктов, в том числе для формирования сквозного управления проектированием и производством – инженерное ПО, управление производственным оборудованием, обеспечение жизненного цикла предприятия и продуктов. В докладах и на секциях выступающие использовали термины «электронное производство», «умное предприятие» и даже «цифровизация».
При этом на ИТ-выставке были представлены и производители решений по информационной безопасности. Странно ли это? Нисколько, на наш взгляд. Если так получилось, что производство и бизнес в целом начинают больше зависеть от работы ИТ-инфраструктуры, неизбежно возникают вопросы по поводу связанных с этим рисков ИБ.
Не стоит также забывать и о внимании регулирующих органов к тематике защиты инфраструктуры от возможных атак через информационные системы. Уже вступил в действие Закон № 187-ФЗ, который накладывает определенные требования на защиту в том числе и промышленной инфраструктуры. Поэтому при эксплуатации и развитии ИТ-инфраструктуры придется учитывать особенности и требования закона. Но вопросы безопасности информационной инфраструктуры явно заботят специалистов на производстве, и не всегда требования государства являются причиной такой озабоченности.
Реальная безопасность АСУТП
Если мы говорим о заводах, о реальном производстве, то не стоит забывать, что за последние годы эти предприятия реализовали сложные проекты по построению или модернизации своих сетей автоматики, а это связано с необходимостью импортозамещения и потребностью в российских продуктах. Производители ОПК активно вкладывались в разработку и продолжают развивать свои средства АСУТП, так как это необходимо для управления производством и производства продукции.
Мы живем в XXI веке, так что, даже если не касаться конкретных производственных процессов, такие задачи, как вентиляция и подготовка воздуха, электропитание, складирование – повсеместно управляются с применением тех или иных средств автоматизированного управления. Работа этих средств зависит от надежности той самой информационной инфраструктуры, к которой они зачастую подключены, т. е., как минимум, от локальных сетей в закрытых сегментах.
Чем больше количество средств автоматизации, тем выше растет зависимость от них основных процессов производства и тем значительнее сил и средств требуется на обслуживание и доработку этих систем. Если учесть, что для предприятий ОПК еще и требования импортозамещения являются достаточно жесткими, то можно представить, насколько бывают обеспокоены некоторые наши заказчики вопросами надежности функционирования инфраструктуры и оборудования.
Поскольку далеко не все предприятия способны подготовить и удержать в штате специалистов необходимого уровня для АСУТП, то они обращаются к соответствующим специалистам со стороны, в том числе напрямую к производителям ПО и оборудования. При этом предприятия получают из внешних источников обновления, допускают специалистов компаний-партнеров в периметр для проведения диагностики и обслуживания. Это необходимо, чтобы «колеса продолжали крутиться», и отказаться от такой практики мало кто готов, хотя бы по финансовым соображениям.
В результате решения по управлению рисками при работе технически подготовленных специалистов на ключевых объектах инфраструктуры привлекают обоснованный интерес со стороны представителей предприятий ОПК.
Сценарии
Классическая история, которую часто рассказывают представители самых разных предприятий ОПК: инженер написал, что не смог решить проблему, пытался-пытался – и не смог. Стали разбираться: а он вообще никогда не работал над подобными задачами. Такой риск в принципе характерен не только для АСУТП. Но если мы говорим про обслуживание, то нельзя не задуматься о соблюдении SLA – ведь за предоставляемый сервис для решения проблем тратятся деньги. Если такие факты, как некомпетентность, будут обнаружены, то это повод для пересмотра договора с обслуживающей организацией.
Некоторые наши заказчики, не только из ОПК, но и из других областей, например в энергетике, для выявления подобных случаев используют решение по контролю действий привилегированных пользователей, чтобы подтвердить, что работы приглашенными специалистами действительно были проведены.
Электронное производство (цифровизация)
Вопросы, связанные с обеспечением работы систем управления производством, также задают регулярно. Если мы говорим о предприятиях ОПК, то неизбежно приходится упоминать о гособоронзаказе, связанных с этим вопросах про обязательства и необходимость широкой кооперации между конструкторскими бюро, производителями комплектующих и предприятиями-партнерами. Чтобы повысить эффективность работы, производственные корпорации внедряют изощренные средства управления производственным циклом, системы конструкторского ПО, документирования и прочее инженерное обеспечение.
Любые оборонные заказы предъявляют к участникам массу требований по срокам, финансированию, качеству и непрерывности работы этих сложных систем, поскольку именно использование этих информационных систем реализует и обеспечивает то самое «умное» производство.
Очевидно, что, приобретая сложное ПО у поставщиков, внедряя его, часто с уникальными доработками, производственные предприятия обязательно реализуют необходимые процессы поддержки и обновления. Даже не касаясь вопросов, связанных с обеспечением требований по соблюдению работы с секретной информацией, доступность и полноценная работоспособность сервисов управления предприятием является причиной регулярных работ ответственных за ИТ специалистов. Конечно же, представители производителей и интеграторов участвуют в обслуживании и развитии этих технологических цепочек на регулярной основе, что опять же приводит к рискам, связанным с необходимостью контроля действий администраторов.
Сценарии
У подобного рода проектов есть интересная особенность: для управления производством заказчики ищут наиболее «развесистое» решение, чтобы иметь возможность его развивать в дальнейшем. А вот системы безопасности в этих проектах выбирают такие, чтобы не требовали сложного внедрения и обучения персонала службы безопасности: нужно, чтобы задачи решались, а затраты на их использование должны быть минимальны.
Еще одна особенность защиты конструкторского ПО и связанных с этим процессов – это масштабы. Производственные цепочки ОПК покрывают собой всю Российскую Федерацию. Когда инженерная группа во Владивостоке рапортует, что закончила работать, в Москве специалисты ИБ еще стоят в утренней пробке. Следовательно, вопросы предоставления доступа, в том числе по расписанию, закрытия ненужных разрешений, выполнение задач по контролю должны решаться по возможности в автоматическом режиме, с последующим контролем. Если СБ ведет несколько десятков проектов поддержки с разными поставщиками, а система автоматически закрывает доступ после даты окончания проекта – это очень удобно, офицеру СБ не нужно помнить об этом моменте самостоятельно.
Также, учитывая масштабы привлечения внешних специалистов, заказчики радуются, что подобные технологии позволяют скрывать устройство внутренней инфраструктуры от приглашенных специалистов, например не выдавать настоящие логины и пароли от целевых систем, не разглашать сетевую архитектуру.
Требования регуляторов
Говоря о безопасности, нельзя пропустить задачи соответствия формальным требованиям регуляторов. В области ОПК эта тема очень горячая, и неудивительно. Не хочется углубляться в частности, но регуляторы приложили и прикладывают массу усилий, чтобы эта тема не остывала. Сейчас на этом направлении все, кого бы мы ни спрашивали, занимаются подготовкой к категорированию по Закону № 187-ФЗ «О безопасности КИИ». В этом смысле ситуация очень похожа на предыдущие крупные кампании по доработке требований, например на реализацию требований Закона № 152-ФЗ «О персональных данных». Это во многом этап подготовки документов, включающий в себя в том числе взаимодействие с компаниями-интеграторами, которые проводят необходимые действия по аудиту, инвентаризации и разработке моделей угроз. Естественно, что при этом приглашенные инженеры проводят работы на самых ответственных и критичных элементах инфраструктуры.
Сценарии
Мы обсуждали процесс подготовки проекта по категорированию с одним из производителей авиационных компонентов. Как объяснил нам специалист заказчика, одним из основных вопросов, по которому от него требуют полного отчета, является контроль факта выполнения работ приглашенными специалистами. Таких работ много, ведутся они во многом параллельно. Стоимость работ – из-за большого объема – существенная. Платить за отсутствие работы никто не хочет.
Еще об одной особенности, связанной с текущими процессами по соблюдению требований регуляторов, нам рассказали заказчики, связанные с выполнением заказов ВМФ. Закон № 187-ФЗ реализован так, что покрывает своими требованиями несколько принятых ранее нормативных актов, включая требования приказов ФСТЭК № 17, № 21 и № 31 , а также закона по защите персональных данных (№ 152-ФЗ). Как следствие, специалисты, ответственные за соблюдение требований законодательства, в процессе подготовки документов на категорирование вскрывают недостатки и расхождения имеющейся картины с подготовленными ранее документами. Обоснованно предполагая, что при дальнейшей работе контроль со стороны регулятора также обратит на эти расхождения внимание, они вынуждены приводить эти неувязки в порядок. Такие работы также требуют привлечения соответствующих специалистов, проведения работ и в ряде случаев обращения к внешним аудиторам для получения необходимых заключений.
Применение средств контроля действий привилегированных пользователей для предоставления доступа аудиторам позволяет не только подтвердить, что работы проводились, но и предоставлять доступ только к тем областям инфраструктуры, которым требуется аудит в рамках законодательства. Более того, такой подход позволяет подтвердить, что никакого постороннего доступа, кроме необходимого, аудиторам не предоставлялось, а также что применение средств аудита ничего в инфраструктуре не сломало.
Выводы
Так получается, что требования регуляторов усложняются год от года, и все больше факторов требуют внимания специалистов по нормативным документам. Работать в такой обстановке очень и очень непросто, как минимум, очень затратно. Ведь основная деятельность предприятий ОПК вовсе не обеспечение информационной безопасности – им надо оборонный заказ выполнять.
Тем не менее мы в этом году наблюдаем характерное изменение в поведении: если еще год назад к новым требованиям все относились спокойно – пока гром не грянет, ничего делать не будем. Сегодня же практически все, с кем нам удается поработать при выполнении пилотных проектов или просто встретиться на мероприятиях, так или иначе вспоминают Закон № 187-ФЗ «тихим, ласковым» словом.
Тенденция ужесточения контроля наблюдается невооруженным взглядом, а быть ответственным за нарушения никто на самом деле не хочет. Соответственно, необходимые мероприятия нужно будет провести, нужные средства защиты – приобрести, внедрить и освоить, а потом эксплуатировать и сопровождать – других вариантов не будет.
Если вам для этого нужно будет привлекать внешних исполнителей – системы контроля действий администраторов вам в помощь.