В сфере кибербезопасности на промышленных объектах один из самых сложных моментов – соединить специалистов воедино.
Почему так происходит? Все просто. Обеспечение информационной безопасности в АСУ ТП – дополнительная финансовая нагрузка на предприятие и дополнительная проблема для эксплуатации систем автоматизации.
Ведь изначальная идея автоматизации на производстве – это удобство управления технологическими процессами и ускорение длительных работ за счет исключения из них человека.
Информационная безопасность вводит запреты, регламенты, усложняет выстроенные годами процессы, что неизменно вызывает некую «нелюбовь» к ИБшникам.
Но это не единственная причина сложности встраивания информационной безопасности в общий технологический процесс.
Сегодня инженеры в АСУ ТП и ИБ-специалисты часто не понимают друг друга, и взаимодействие друг с другом выстраивают крайне сложно.
Когда мы говорим о защите информации в АСУ ТП, кажется, что речь пойдет сразу о некоей научно-проектной деятельности, но на самом деле самая первая миссия компаний, занимающихся информационной безопасностью на промышленных объектах, заключается в том, чтобы комплексно понимать все стороны, выстраивать взаимодействие между специалистами, так сказать, соединять людей друг с другом, формировать команду. Выстраивание этих коммуникаций занимает огромную часть времени при выполнении каждого проекта по информационной безопасности.
Здесь очень важно, чтобы команда инженеров со стороны ИБ-компании, которая берется за подобные проекты, хорошо знала систему автоматизации, понимала АСУ ТП, знала их технические особенности. Понимала, чем именно занимаются инженеры АСУ ТП и что для них важно. А с другой стороны, глубоко понимала собственную систему защиты информации, как она работает, какие у нее есть особенности, обладала экспертизой.
Промышленные системы сложны и многогранны в своем устройстве. И компании, занимающиеся внедрением систем информационной безопасности в АСУ ТП должны понимать, что защищают не какую-то отдельную систему. Система безопасности строится комплексно и является единой для всего предприятия.
Главная задача при защите информации на промышленном объекте - внедрить подсистему защиты так, чтобы каждая система автоматизации продолжала работать бесперебойно, а технологический процесс оставался непрерывным.
Однако на сегодня ситуация обычно складывается так, что все смотрят на систему ИБ, словно она живет сама по себе, а системы автоматизации сами по себе.
Причины этого просты - системы АСУ ТП в России внедряются уже много лет. Выработаны типовые решения, проведено разделение ответственности и т.д. А информационная безопасность начала встраиваться в этот процесс сравнительно недавно. Сейчас она пытается все технологические процессы соединить в единую систему защиты, потому что невозможно защитить только одну систему. Поэтому командам инженеров по защите АСУ ТП на каждом этапе проекта приходится много коммуницировать между специалистами, проектными институтами, генподрядчиками и т.д.
Для корпоративных систем чаще всего средства защиты поставляются прямыми поставками, то есть напрямую конечному Заказчику. В отношении промышленных объектов обычно работает иная схема. Здесь основной участник процесса – компания-строитель промышленного объекта, либо компания, которая реконструирует объект.
Например, была электрическая подстанция. Ее решили реконструировать, полностью или частично. Осуществлять работы по реконструкции будет генподрядчик. А у него в свою очередь будут субподрядчики, каждый из которых будет выполнять свою часть работ – строители, поставщики первичного оборудования, вторичного оборудования (систем автоматизации).
И теперь в эту цепочку субподрядчиков начали встраиваться компании, занимающиеся проектированием и внедрением систем безопасности в АСУ ТП.
Основная сложность работ для ИБ-направления заключается как раз в том, что ИБ-специалистам приходится взаимодействовать со всеми участниками процесса, чтобы после сдачи объекта с внедренной системой защиты, все АСУ ТП работали исправно.
На практике, к сожалению, не все участники желают менять привычную схему работы и зачастую просто забывают об информационной безопасности вовсе. И иногда делают это намеренно.
Поэтому первостепенная задача компании-субподрядчика по информационной безопасности разобраться во всем процессе комплексно, то есть вникнуть в происходящие процессы других субподрядчиков. Разбираться не только в своей сфере, но и в строительстве (руководстве проектами по строительству, сметах, гос. экспертизе), и в технологическом процессе, и в связи. И в других отраслях. Для этого нужна опытная команда с многогранным опытом работ.
Если условно за нулевую точку принять дату принятия ФЗ № 187 касательно объектов КИИ, то на сегодня прогресс в развитии коммуникаций есть и достаточно серьезный.
После принятия закона какое-то время промышленность продолжала пребывать в инертном состоянии – специалисты предпочитали не думать об исполнении требований. Это продолжалось около 4-х лет.
Но лед все-таки тронулся, чему в значительной степени поспособствовало принятие новых законодательных и отраслевых требований, приказов, а также усиление регуляторного надзора.
Если рассматривать происходящие процессы шире, то можно заметить, что необходимость выстраивания коммуникаций между смежными отраслями или подразделениями внутри отдельно взятой компании, сегодня весьма актуальна, и не только в АСУ ТП. Это общая тенденция сегодняшнего рынка.
Возьмем для примера компанию ИБ-интегратора. В структуре будут технический блок, маркетинг, коммерческий отдел. И здесь мы наблюдаем все те же процессы несостыковки, недопонимания друг друга, ценностей одного отдела перед другим. И на первых этапах выстраивания взаимодействий неясно, кто и где выполняет, и какую роль. Но благодаря желанию всех участников процесса происходит сближение: улучшается взаимопонимание, настраивается взаимодействие. Смежные подразделения начинают интегрироваться друг в друга.
Учиться понимать друг друга и начинать взаимодействовать – важнейшие из процессов, особенно если мы говорим об обеспечении информационной безопасности в организации.
Резюмируя все выше сказанное, отметим главный результат зрелых коммуникативных процессов в АСУ ТП, и не только, — это безусловное понимание всеми участниками процесса необходимого результата общего дела, учитывание особенностей работы смежных отраслей, каждого кубика общего процесса, а также поиск совместных решений общей командой.