Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Первые шаги к безопасности АСУТП

    25.01.2013

    Прошло несколько месяцев с момента публикации отчета Positive Technologies «Безопасность промышленных систем в цифрах». Тогда, в начале ноября, я отметил для себя данную работу как хорошую заявку на лидерство на зарождающемся российском рынке ИБ АСУТП и поставил эту компанию на первое место в моем рейтинге челенджеров (восходящих звезд) данного рынка.

    Думал написать комментарии по данному отчету, да не сложилось...

    И вот на днях, просматривая новости, набрел на сайт http://asutpforum.ru , где сообщество специалистов набросилось на Сергея с резкой и в основном не конструктивной критикой.

    Для начала опишу глобальную ситуацию на рынке ИБ АСУТП, как я ее понимаю. Защита в смысле ИБ, как «фича» АСУТП, мало кому нужна сейчас (в общем по понятным причинам), поэтому её ценность мала. А значит производителю не интересно тратить на разработку этой «фичи» ресурсы. Всё. Рынок ИБ АСУТП заснул до момента «пока гром не грянет». А в том, что он грянет никто не сомневается. Это реактивный подход. Не прогрессивно. Проактивный подход (подготовиться заранее) намного лучше. Но как для этого разбудить рынок?

    Умные головы сказали: давайте будем контролируемо разглашать информацию об уязвимостях продуктов и повышать озабоченность общества (awareness). Именно так всем нам и надо действовать, терпеливо и настойчиво. Как говорится, и волки сыты, и овцы целы. 

    А теперь посмотрим на обсуждение упомянутого отчета на форуме (реакции форумчан очень показательны для многих специалистов автоматизации), учитывая сказанное выше:

    А кто же крайний?

    Главными пользователями АСУТП и самое главное ОТВЕТСТВЕННЫМИ за безопасность и охрану труда являются диспетчерский и дежурный персонал во время своего дежурства. Пока они никак не участвуют в публичных обсуждениях проблем ИБ АСУТП. А жаль... Наш вопрос данным специалистам: готовы ли вы нести ответственность, в том числе и уголовную, за действия злоумышленника.

    Мы вас не ждали, а вы припёрлись.

    Так можно описать реакцию специалистов автоматизации. Наш ответ: мы не враги, а будущие союзники.

    Мой твоя не понимай.

    Мы плохо понимаем и преувеличиваем риски и последствия нарушения работы АСУТП, а специалисты автоматизации никогда не видели на что способен высококлассный пен-тестер, а следовательно и злоумышленник. Наш ответ: будем работать дальше.

    Всё это проявления конфликта между промышленной и информационной безопасностью. Будем его решать, другого пути нет.

    Несмотря на всю обоснованную и необоснованную критику отчета я высоко оцениваю проведенную компанией Positive Technologies работу, потому что в России они первые, кто так громко добавил что-то реально новое в области защиты АСУТП. Уж поверьте моему экспертному мнению.


    Возврат к списку