Кибербезопасность в промышленном секторе: как оценить прикладную критичность систем, автоматизирующих производство
Подход со стороны закона
Хотелось бы начать про кибербезопасность в промышленности с провокационного момента. Есть ощущение, что стране не требуется обеспечение кибербезопасности всей промышленности.
Во-первых, в важном законе о защите критической информационной инфраструктуры мы видим химическую, оборонную, горнодобывающую, металлургическую промышленность, а также ТЭК и атомную энергетику. Однако никак не учтена легкая и пищевая промышленность, хотя, как минимум, последняя важна с точки зрения обеспечения продовольственного суверенитета государства. Во-вторых, для иных промышленных предприятий и технологических установок, не ставших значимыми объектами критической информационной инфраструктуры, есть требования Приказа ФСТЭК № 31. Однако положения этого приказа составлены таким образом, что можно его трактовать как рекомендательный, т.к. в первом же абзаце указано, что решение о его применении остается за руководителем организации. Итого для легкой и пищевой промышленности почти отсутствует законодательный драйвер для обеспечения кибербезопасности, который при этом учитывает интересы не только государства, но и бизнеса как такового.
При этом важно отметить, что легкая и пищевая промышленность — это достаточно существенная часть экономики, в которую входят крупные и важные производства. Некоторым подспорьем остается Указ Президента № 250 с точки зрения назначения заместителя руководителя организации, ответственного за ИБ, а также определения недопустимых событий. Но подобные действия на практике применимы только в отношении стратегических и системно значимых предприятий. Подход с «недопустимыми событиями» требует серьезной вовлеченности со стороны топ-менеджмента компаний, что, к сожалению, нечасто встречается, когда обеспечение кибербезопасности не носит обязательный характер с точки зрения законодательства, а часть производств законодательством не охвачено.
Прикладная критичность систем
Какой еще путь есть у промышленников в том случае, если законодательного фундамента для них нет, а для движения по пути «недопустимых событий» недостаточно поддержки со стороны руководства, компетенций, времени и человеческого ресурса? Можно пойти путем оценки прикладной критичности систем, автоматизирующих производство.
Шаг первый – проанализировать производственные процессы.
Необходимо все производственные процессы разделить на:
- основные – процессы превращения сырья и материалов в готовую основную продукцию, которое производит предприятие;
- вспомогательные – направлены на изготовление неосновной продукции или обеспечения нормального протекания производственных процессов (ремонтное, инструментальное хозяйство и пр.);
- обслуживающие – обеспечивают создание нормальных условий для протекания основных и вспомогательных производственных процессов (транспортировка сырья и продукции, хранение);
- контролирующие – процессы, задачей которых является постоянный или периодический контроль за безопасностью протекания прочих процессов;
- измерительные – задачей которых является учет ресурсов и готовой продукции.
Шаг второй – определить критичность процессов по целевому назначению.
При распределении процессов по типам одновременно присваиваем им степень критичности по целевому назначению:
- основные – высокая степень, т.к. оказывает прямое влияние на основной процесс и выпуск основной готовой продукции;
- вспомогательные – низкая, т.к. не оказывает прямого влияния на выпуск основной продукции;
- обслуживающие – равна степени критичности обслуживаемого процесса;
- контролирующие – равна степени влияния на основной процесс и условиям, при которых оказывается влияние;
- измерительные – средняя, т.к. может снижать общую эффективность процессов при искажении измеряемых данных.
Шаг третий – определить итоговую критичность систем для бизнеса.
После распределения процессов на типы и определения степени их критичности, определяем степень автоматизации этих процессов (ручной, механизировано-ручной, автоматизированный и автоматический). Чем выше степень автоматизации процесса, тем выше потери от нарушений функционирования промышленных систем.
После чего в соответствии с небольшой матрицей определяем итоговый уровень критичности систем по пересечениям.
«Гигиенический» уровень ИБ
После идентификации систем, которые попадают под высокий уровень критичности, а также для систем, которые напрямую взаимодействуют с наиболее критичными, рекомендуется внедрить так называемый «гигиенический» набор мер обеспечения безопасности, среди которых:
- назначение ответственного за обеспечение информационной безопасности и регламентация основных процессов ИБ,
- внедрение межсетевого экрана на периметре сети, создание демилитаризованной зоны между технологическим и корпоративным сегментами сети предприятия, а также сегментация технологического сегмента сети,
- организация мониторинга ИБ, включающего сканирование трафика, а также контроля за действиями привилегированных пользователей,
- инсталляция антивирусного программного обеспечения на сервера и рабочие места операторов и инженеров, а также регулярное выявление и устранение уязвимостей в программном обеспечении.
Этот перечень мер для самых ключевых систем позволит любому производству обеспечить минимальный уровень киберустойчивости, после чего можно будет спланировать внедрение данных мер для остальных систем (например, с средним уровнем критичности), а также дополнить их иными техническими мерами безопасности.
Опубликовано 06.06.2024