Что важно учитывать директорам по ИБ

Когда мы говорим о безопасности промышленных предприятий, всегда есть огромный соблазн свести разговор к 2-3 темам, одной из которых обязательно будет импортозамещение в разных его проявлениях.

Но на самом деле, если взглянуть на эту тему чуть шире, то выясняется, что поговорить можно много о чем, даже если речь только про информационную безопасность. 

Например, такая вечная история, как человеческий фактор. Его часто рассматривают отдельно от прочих угроз ИБ, но в сегодняшних реалиях различные формы социальной инженерии — это очень грозное оружие в руках злоумышленников и конкурентов. Да и без всякого злого умысла игнорирование процедур и недобросовестны действия сотрудников могу привести к крайне неприятным результатам. И вышеупомянутое импортозамещение никак не поможет сделать работу предприятия безопаснее. 

С этим разобрались, а как насчет популярных сегодня атак на цепочки поставок? Это про ИТ, но ведь и современные предприятия — это автоматизация всего и вся, значит, и там применима эта техника. Даже в самой импортозамещенной инфраструктуре, где каждое техническое решение проверяется уважаемой комиссией перед тем как быть включенным в розетку, есть решения, которые разрабатывают подрядчики. А эти подрядчики используют сторонние библиотеки от других разработчиков, а те, в свою очередь, используют решения с открытым исходным кодом, которые привычны и понятны всем.

В итоге, если в одном из звеньев такой цепи удастся внедрить вредоносный код, то он однажды будет благополучно запущен на сервере такого предприятия, на котором, возможно, в целях безопасности даже не было доступа в интернет.
Ну и, конечно же, не будем забывать про старый добрый вредоносный код. Stuxnet, Havex, Idustroyer — это все события недавнего будущего. Под конкретный набор промышленных контроллеров можно разработать вредоносный код и придумать способ его доставки. Сделать с этим что-то можно, но нужны очень грамотно продуманные процедуры работы.
А еще есть продолжающая зависимость от западных решений, угрозы через облачные сервисы, устаревшее оборудование, которое нет денег обновить, и масса другой головной боли, кроме решения вопроса скорейшего импортозамещения, чтобы не конфликтовать с государством в лице соответствующих регуляторов. 

Поэтому директорам по ИБ хочется порекомендовать тоже посмотреть на ситуацию чуть шире и подумать над несколькими вещами. Если это еще не сделано, конечно.

• Во-первых, разграничить технологические сети и офис

  Да, это азбука, но опыт работ с заказчиками разного уровня зрелости процессов ИБ показывает, что даже азбуку читают не все. Если с сегментированием разобрались, задумайтесь про Zero Trust и минимизацию привилегий. Это долгий путь, но его можно пройти, если грамотно подготовиться и привлечь толковых специалистов. 

• Во-вторых, вкладывайтесь в обучение персонала

  Сюда входят не только лекции и практики, но и настоящие учения — что делать в той или иной ситуации, как восстановить работоспособность, как вернуться к исходному состоянию. Безопасность должна стать частью корпоративной культуры. В ходе таких учений можно привлекать пентестеров, чтобы имитировать реальные атаки. 

• Ну и третье — промышленные предприятия сегодня — это заповедник legacy-систем, и с этим надо что-то делать

  Модернизация и обновления — это отличный шанс перестроить инфраструктуру по современным представлениям об ИБ, и этот шанс упускать нельзя.
   

Резюмируя, хочется сказать, что промышленная ИБ — это не только защита серверов и контроллеров, это управление целым экосистемным риском — от человека до конкретной микросхемы. В этом смысле нужно размышлять уже не в парадигме «что мне нужно защищать», а думать о том, «как восстановить?», «как может навредить?» и даже «чем заменить?», если решение не устраивает.