8 октября 2022

Регулирование промышленной безопасности ужесточается

Под кон­тро­лем Мин­цифры бу­дет соз­дан фе­дераль­ный Реестр со­бытий в об­ласти ки­бер­бе­зопас­ности. Кро­ме то­го, в ста­дии об­сужде­ния на­ходит­ся пос­та­нов­ле­ние пра­витель­ства, ужес­то­чаю­щее кон­троль за про­мыш­ленным ПО. Эти нор­ма­тив­ные из­ме­нения на­целе­ны на уси­ление про­мыш­ленной бе­зопас­ности и выз­ва­ны необ­хо­димостью ис­полне­ния ука­за пре­зиден­та РФ №250.

Результаты атак на промышленную инфраструктуру чреваты огромным ущербом и могут вызвать техногенную катастрофу с большим экологическим ущербом и гибелью людей. Об этом напомнил технический директор АО "Синклит" Лука Сафонов в выступлении на форуме CyberCamp. Однако, по его оценкам, информация о большей части таких атак не попадает в публичную плоскость несмотря на то, что ущерб может быть значительным. К примеру, выход из строя печи на металлургическом предприятии или крупной установки на крупнотоннажном химическом или нефтеперабатывающем производстве обойдется в сотни миллионов в валюте.

Поэтому сфера безопасности промышленной инфраструктуры стала объектом пристального внимания регуляторов по всему миру, и Россия не стала исключением. Принят закон 187-ФЗ о защите критической информационной инфраструктуры, а 1 мая вышел президентский указ №250, за которым последовал целый ряд других нормативных актов. Лука Сафонов обратил внимание прежде на два нововведения. Это инициатива об организации Реестра событий в области безопасности, который будет вести Минцифры, а также находящийся на стадии согласования проект постановления правительства, который устанавливает усиление контроля над ПО, использующегося в технологическом сегменте.

"Постепенное ужесточение регуляторных требований, регламентирующих обеспечение безопасности предприятий, касается как введения персональной ответственности (вплоть до уголовной), так и общих базовых принципов защиты. Ужесточение контроля, безусловно, является определенным драйвером для повышения защищенности промышленных объектов, - считает генеральный директор ООО "Инновейв АП" Денис Солодков. - С этой точки зрения, такая мера дополнительно подчеркивает важность вопрос безопасности. Ну а насколько эффективными окажутся эти меры контроля покажет время. Все мы знаем историю про Потемкинские деревни, поэтому крайне важно стремиться действительно работать на упреждение возможных угроз, а не на красивую отчетность".

Директор центра компетенций по информационной безопасности "Т1 Интеграция" Игорь Кириллов считает, что сложно однозначно предсказать как повлияет на промышленные компании появление Реестра событий в области кибербезопасности, но в любом случае предприятиям потребуются каналы связи, крипто-оборудование, расходы на обеспечение работы систем. И если у компании отсутствует SIEM-система, вероятно, потребуется ее реализация, а такие системы недешевы и предполагают дополнительные расходы.

"Создание такого Реестра стало логичным продолжением двух векторов принудительного развития ИБ у нас в отрасли - это модель угроз, теперь общая как минимум для защиты персональных данных и ЗОКИИ, и Указ президента № 250 о повышении защиты КИИ в целом. Но главное, напомню, в любом средстве информационной безопасности - это не статичная работа, а регулярные обновления. Как говорится, будем наблюдать", - говорит технический директор Cross Technologies Андрей Маклаков.

Денис Солодков считает создание Реестра нужным шагом, но не менее важно построить систему защиты: "Данный подход довольно хорошо зарекомендовал себя как в России, так и на международной арене. Обмен данными о событиях, инцидентах, уязвимостях и атаках позволяет более эффективно адаптировать систему защиты на местах. Другой вопрос в том, что наполняемость Реестра и релевантность данных зависит от готовности промышленных предприятий такие данные предоставлять. Для этого должны быть реализованы соответствующие механизмы, которые в первую очередь позволяют агрегировать события ИБ на местах, анализировать и уже потом отправлять в реестр. В основе таких механизмов лежат как специальные технические средства защиты (системы мониторинга, сканеры безопасности, анализ сетевого трафика и др.), так и специалисты ИБ. По этой причине я бы не говорил о затратах на "подключение к реестру", а говорил бы о затратах на построение хотя бы базовой системы защиты. Подключение – это интерфейс, а вот ценность информации, которая передается через этот интерфейс уже напрямую зависит от того, насколько эффективно ведется обработка событий ИБ внутри предприятий. К сожалению, не редко в ходе аудитов ИБ выяснятся, что ИТ-инфраструктура скомпрометирована 100 и даже 200 дней назад, и все это время злоумышленник имел доступ к активам организации. Такие примеры явно говорят необходимости создания эффективных механизмов контроля ИБ внутри предприятий".

Ведущий инженер CorpSoft 24 Михаил Сергеев уверен, что данный Реестр позволит собирать логи с различных площадок и в автоматическом режиме анализировать их, это, по сути, аналог IPS/IDS (системы обнаружения и предотвращения вторжений). Внедрение подобной системы не должно повлечь за собой больших расходов, необходимо просто собирать и отсылать логи работы информационной системы, а программное обеспечение реестра будет обрабатывать их. При этом ужесточение регуляторики будет, по мнению Михаила Сергеева, скорее полезным: "Ужесточение и огромные штрафы позволяют мотивировать компанию лучше защищать свою инфраструктуру, нанимая специализированных сотрудников по безопасности. Сейчас за кражу и утечку массивов персональных данных максимальное наказание компании составляет 100 тыс. рублей, в то время как найм специалиста обойдется свыше 200 тыс. рублей в месяц".

Руководитель группы защиты АСУ ТП департамента проектирования и внедрения "Инфосистемы Джет" Антон Елизаров обратил внимание прежде всего на унаследованную инфраструктуру, при создании которой о безопасности не думали. При этом данные системы еще далеки от завершения жизненного цикла. С новыми решениями дела обстоят несколько проще: они оснащены хотя бы базовыми средствами обеспечения безопасности.

"Анализ вопросов безопасности на ранних стадиях (планирование, проектирование) позволит сразу закладывать соответствующие функции безопасности в создаваемые системы и приложения, что даст возможность рассматривать проблемы безопасности промышленных систем не как вызов, а как часть плановой работы", - уверен Денис Солодков.

Директор департамента по разработке ПО "Аурига" Елена Баранова называет обеспечение безопасности одной из важнейших тенденций последних 5-7 лет: "Прогресс требует интеграции медоборудования с системами общего мониторинга, информационными системами клиник и даже с мобильными устройствами специалистов. При этом, разумеется, повышаются как минимум риски уязвимости медицинских данных, а как максимум риски нарушения работоспособности жизненно критичных устройств. Естественно, что все производители, с которыми мы сотрудничаем, уделяют повышенное внимание кибербезопасности, разрабатывая дополнительные механизмы защиты для своих устройств и систем".

По оценке Луки Сафонова, залог успеха атаки – использование устаревшей модели взаимодействия различных систем. Обычно такое взаимодействие происходит через так называемый воздушный зазор, который легко преодолим, что показывает практический опыт аудитов в области безопасности. При этом взаимодействие промышленных и бизнес-систем необходимо в условиях активно идущей цифровизации.

"Интеграция данных технологических систем и бизнес-систем - это важный шаг в цифровизации. Естественно, бизнесу нужны точные и актуальные данные, желательно в режиме онлайн. Однако не следует забывать, что самым важным при работе в технологических сетях является безопасность и непрерывность бизнес-процессов. Например, все средства защиты АСУ ТП в первую очередь направлены именно на это. Возможно даже в ущерб основной задаче", - напоминает Андрей Маклаков.

По оценке Луки Сафонова, главным препятствием для реализации мер по защите промышленной инфраструктуры является "кадровый голод". Дефицит ИБ-кадров в России составляет от 18 тысяч человек (по данным Минтруда России) до 95 тысяч (оценка вице-президента Сбербанка Станислава Кузнецова).

"Состав и квалификация команды ИБ, разумеется, зависит от профиля предприятия и масштабов ИТ-инфраструктуры. Также не секрет, что уровень зарплат в добавок еще и зависит не только от квалификации, но от региона к региону. В среднем, можно сказать, что ожидаемый уровень дохода таких специалистов составляет от 100 тыс рублей в месяц. Не сложно посчитать, что годовые затраты на команду из 3 специалистов обойдутся, минимум, в 5-6 млн рублей (с учетом налогов, страховых взносов и т.д. )", - такие оценки приводит Денис Солодков. По оценке Михаила Сергеева, уровень заработной платы в 100 тыс. руб., скорее, является нижней границей заработной платы для ИБ-специалиста. Сотрудники средней квалификации вполне могут рассчитывать на 200-300 тыс. руб., а высокой – от 500 тыс. руб.

Источник: Comnews

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend