СОИБ. Анализ. Безопасность технологических сетей и систем
Не секрет, что в ряде предприятий
параллельно с компьютерной вычислительной сетью существует ещё одна
технологическая сеть с технологическими системами (SCADA, АСУ ТП).
Последнее время растет количество опубликованных
уязвимостей АСУ ТП. Например свежие
новости про уязвимости в самых популярные в России производителях SCADA:
Schneider-Electric и Siemens.
Вместе с этим эксперты по ИБ всё чаще
поднимают эту проблему и предлагают решения:
·
Михаил Емельянников предупреждает о возможныхкатастрофах
·
Андрей Комаров неоднократно поднимает эту тему в своем блоге
·
Алексей Тюрин пишет в журнале “информационнаябезопасность” №2 за 2012
·
Алексей Лукацкий приводит обзоры различныхстандартов обеспечения безопасности технологических сетей в своем блоге и наконференциях
Но реакции со стороны специалистов
занимающихся безопасностью технологических сетей и систем не видно.
А вместе с тем предприятий, в которых
есть технологические сети немало. Вот перечень основных отраслей:
·
промышленное производство;
·
производство электроэнергии;
·
управление передачей и распределением
электроэнергии;
·
водозабор, водоочистка и водораспределение;
·
добыча, транспортировка и распределение нефти
и газа;
·
все виды транспорта: авиа, метро,
железнодорожный, автомобильный, водный
·
космические, пограничные и военные объекты;
·
операторы сотовой связи, телевидения, радио;
·
автоматизированные хранилища;
·
системы безопасного города: видеонаблюдение, экстренная
помощь;
·
автоматизация зданий, развлекательных, спортивных,
строительных объектов, систем “умный дом” и т.п.
АУ. Где вы, специалисты, отвечающие за
безопасностью технологических сетей и систем? Почему их не слышно и не видно?
Исходя из собственного опыта, предположу,
что таких ответственных нет. Сотрудникам отдела ИБ строго настрого запрещено
трогать технологические сети. Специалисты АСУ ТП и SCADA знать ничего не знают про угрозы ИБ.
Именно поэтому в данную секунду
реализуется большое количество проектов по созданию или модернизации
технологических сетей и систем, в котором и слова нет про ИБ: Открытые тендеры B2B, Мосэнерго
Именно поэтому вконференциях по АСУ ТП нет секций по ИБ. В конференциях по ИБ нет секций по АСУТП. А если есть
отдельные доклады, то специалисты по АСУТП не приглашаются на данные
конференции и не знают о поджидающих их проблемах.
И если ситуация кардинально
не изменится, то ждать нам в ближайшее время подобных новостей: ММВБ, Северный поток, Авиакомпания Сибирь, Нефтянаякомпания Ирана.
UPD. Интереcная дисскусия развернулась на форуме АСУТП.
UPD. Интереcная дисскусия развернулась на форуме АСУТП.
Комментарии
ФСТЭК пробовал нагибать крупных операторов больших систем АСУ ТП, но не очень активно.
Поэтому интерес к этой теме пока что небольшой.
И КСИИ предъявляет требования далеко не ко всем технологическим сетям и системам, а только к Ключевым для государства.
Вопрос - почему сами собственники и владельцы технологических сетей и систем не интересуются этой проблемой?