Комментарии 8
Написано конечно все хорошо, но могу вам сказать что это всё очень очень далеко от реальности, по крайней мере в России. Работаю в очень крупной конторе инженером по АСУ ТП и ситуация с ИБ очень печальная, вернее на неё вообще положили болт, главная задача руководства не допустить аварийных остановов любым способом, хоть отключением датчиком, хоть заглублением уставок, главное не встать, а то премию не дадут и на ковер пойдешь объясняться, напишешь кучу объяснительных и тому подобное. Но как я считаю, в нашей стране основная проблема на производстве это не ИБ, а катастрофический, просто дикий износ всего, начиная от датчиков и заканчивая PLC. У нас на производстве есть оборудование которое отработало 30 и более лет и менять его ни кто не собирается, хотя геморрой с ним постоянный, но мерсы руководство меняет крайне чётко, раз в три года.
Спасибо за неравнодушный комментарий.
Согласен, все так и есть, но вот целью статьи как раз и является привлечение внимание к тому, как должны и могут обстоять дела в области информационной и функциональной безопасности АСУ ТП. Даже, несмотря на то, что не все идеально в настоящий момент, что-то может быть изменено в сторону улучшения. И начальство тоже можно воспитывать различными методами ))
Согласен, все так и есть, но вот целью статьи как раз и является привлечение внимание к тому, как должны и могут обстоять дела в области информационной и функциональной безопасности АСУ ТП. Даже, несмотря на то, что не все идеально в настоящий момент, что-то может быть изменено в сторону улучшения. И начальство тоже можно воспитывать различными методами ))
В России недавно принят приказ ФСТЭК №31, который устанавливает требования к обеспечению информационной безопасности АСУТП на критически важных и потенциально опасных объектах, под это определение подпадают почти все производства. По поводу обязательности этих требований нам не удалось получить исчерпывающего ответа, но мне думается, что это дело очень недалекого будущего.
Да, по поводу ФСТЭК №31 коллеги из Positive Technologies статью на хабре постили, а на сайте у них есть сравнительный анализ требований ФСТЭК №31 с требованиями международных стандартов.
Я так вам скажу — в России на федеральном уровне Вы приняли ФСТЭКовский закон, обязывающий любую контору с АСУТП иметь защиту по ИБ для АСУТП.
И сейчас уже лед тронулся. Большие и средние компании худо-бедно начали приводить эти дела впорядок. Почему я это знаю — я с относительно недавнего времени покинул стены истинного АСУТП и перешел в сферу ИБ для АСУТП (мое образование по ИБ и бэкграунд в КИП/АСУТП сыграли роль)
И еще, так как я занимался АСУТП в Казахстане, пытаясь продвигать тут идеи ИБ в АСУТП — то скорость развития этого направления в России намного превосходит нашу, но конечно сильно отстает от запада. Посмотрите на Касперского — с сентября этого года они официально запустили направление ICS-Cert. Москва не сразу строилась и я думаю что все придет к этому.
Что касательно того что на предприятии все беспокоятся лишь о том чтобы не было АО — так это закономерный факт. Я сам как АСУ-шник и процессник тоже бы заботился в первую очередь об этом, так как это основной доход и приносит.
У нас (вас) в России и Казахстане — непочатый край работы над ИБ!
Автору статьи — как всегда благодарность и восхищение способностями и желанием писать сюда! (у меня вот все руки или время не доходит изложить свои мысли для общественного суда)
И сейчас уже лед тронулся. Большие и средние компании худо-бедно начали приводить эти дела впорядок. Почему я это знаю — я с относительно недавнего времени покинул стены истинного АСУТП и перешел в сферу ИБ для АСУТП (мое образование по ИБ и бэкграунд в КИП/АСУТП сыграли роль)
И еще, так как я занимался АСУТП в Казахстане, пытаясь продвигать тут идеи ИБ в АСУТП — то скорость развития этого направления в России намного превосходит нашу, но конечно сильно отстает от запада. Посмотрите на Касперского — с сентября этого года они официально запустили направление ICS-Cert. Москва не сразу строилась и я думаю что все придет к этому.
Что касательно того что на предприятии все беспокоятся лишь о том чтобы не было АО — так это закономерный факт. Я сам как АСУ-шник и процессник тоже бы заботился в первую очередь об этом, так как это основной доход и приносит.
У нас (вас) в России и Казахстане — непочатый край работы над ИБ!
Автору статьи — как всегда благодарность и восхищение способностями и желанием писать сюда! (у меня вот все руки или время не доходит изложить свои мысли для общественного суда)
Спасибо за позитив))
Я наблюдаю за развитием нормативной базы для АСУ ТП (в первую очередь, в атомной энергетике) последние 15 лет, ну и участвую по мере возможности.
За это время была не одна волна новых нормативных требований и каждый раз слышалось «кому и зачем это надо?», «теоретики и чиновники ничего не понимают в наших системах» и т.п. И всегда все спокойно внедряли и осознавали, что от повышения безопасности в конечном итоге выигрывают все ))
Я наблюдаю за развитием нормативной базы для АСУ ТП (в первую очередь, в атомной энергетике) последние 15 лет, ну и участвую по мере возможности.
За это время была не одна волна новых нормативных требований и каждый раз слышалось «кому и зачем это надо?», «теоретики и чиновники ничего не понимают в наших системах» и т.п. И всегда все спокойно внедряли и осознавали, что от повышения безопасности в конечном итоге выигрывают все ))
Полностью согласен с Вашим доводом на счет трудностей процесса объяснения дилетантам — необходимости внедрения прогрессивных решений. Сам через это прошел и много крови пролил. И больше чем уверен что в ближайшие 3-5 лет наши страны захлестнет волна внедрений, новых разработок и найденных zedo day и уязвимостей.
Так в основном прикрываются последним пунктом — «Физическое расположение». Даже GSM модемы могут выпускать в отдельную локальную сеть, а не в глобальный интернет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Информационная безопасность АСУ ТП: Дон Кихот в эру кибероружия