Журнал "Information Security/ Информационная безопасность" #2, 2025

• 59 Защита аСУ тП www.itsec.ru Евгений Генгринович, ИнфоТеКС В формулировке вопроса содержится классическая ошибка переноса методов решения ИБ-проблем из ИТ-инфраструк- туры на промышленную. В промышлен- ном сегменте решается задача устойчи- вого функционирования технологических процессов, настройка и тестирование систем лежат в сфере ответственности специалистов, отвечающих за их экс- плуатацию. Киберинциденты в промыш- ленном сегменте могут возникать в силу ряда причин, и кибератаки – только одна из них, поэтому АСУ/АСУ ТП/IED должны создаваться сразу с учетом осо- бенностей функционирования в инфор- мационном окружении, обеспечивая на функциональном уровне возможность корректного функционирования при информационных воздействиях (адап- тивность), прекращения функциониро- вания при некорректном выполнении основных бизнес-функций (ответствен- ность). То, что в международной прак- тике называется Security-by-Design. Роль SOC при этом не меняется, он получает из внешних источников (логи устройств, сообщения об инцидентах SCADA-систем и т.п.) информацию о киберинцидентах и проводит анализ их возникновения. Специалисты SOC при- влекаются к расследованию аварий, анализируют корректность работы сетей передачи данных. Будет ли SOC раз- вернут локально, в ЦОД инсорсинговой сервисной компании или на стороне сервис-провайдера, для решения данной задачи не важно. Вячеслав Половинко, АМТ-ГРУП Аутсорсинг SOC в промышленности может дать эффект экономии на мас- штабе, доступ к экспертизе и готовым ML-решениям, ИИ-аналитике, позволит высвободить внутренних ИБ специали- стов. С другой стороны, такой SOC будет иметь ограниченный контекст в отношении контролируемого объекта, медленнее реагировать и координиро- вать свои действия с производственными подразделениями на местах, должен будет учитывать возможность физиче- ской изоляции сегмента АСУ ТП, напри- мер диодами данных. Отдельно стои’ т юридический аспект: ответственность за инциденты, ограничения на передачу в SOC данных определенных категорий. Илья Карпов, BI.ZONE Часто АСУ ТП поддерживаются сто- ронними компаниями. Наряду с этим набирает популярность и модель аут- сорса SOC. Однако подключение ком- мерческого SOC без учета промышлен- ной специфики и понимания специфики АСУ ТП несет риски. Например, задерж- ки, пропуски или неполное реагирование на инциденты. Модель аутсорса пер- спективна и эффективна только в случае, если SOC привлекает специалистов раз- ного профиля, например сотрудников с опытом администрирования СЗИ АСУ ТП или инженеров АСУ ТП. При этом реагирование на инциденты и тестиро- вание следует осуществлять сотрудникам внутри компании при плотном взаимо- действии со специалистами коммерче- ского SOC. Такой SOC, в свою очередь, может осуществлять мониторинг, инвен- таризацию активов, анализ уязвимостей и обработку событий низкого уровня. Андрей Кузнецов, АйТи Бастион Современные решения позволяют обезопасить даже такие процессы. Если потоки шифруются, жестко разграниче- ны (желательно с участием систем раз- ных классов), а удаленный доступ конт- ролируется, то риски почти нивелируют- ся. При организации подобных процессов больше стоит задуматься над вопросом что опаснее: оставить сегмент без како- го-либо присмотра, потому что нет ресур- сов на это, но зато он останется изоли- рованным; или предоставить доступ к некоторым данным, нарушая изоляцию? На каждом предприятии условия будут индивидуальные, и решения принимать нужно тоже индивидуально. Евгений Гончаров, Kaspersky ICS CERT Квалифицированных специалистов по информационной безопасности вообще не хватает – это общая проблема для организаций всех секторов, не только промышленности. Поэтому помощь внеш- них экспертов из специализированных команд – единственно возможный выход. И это уже даже не неизбежное будущее, а объективная реальность, которую мно- гие почему-то не хотят признавать. Если вас атаковали прицельно, вы вынуждены прибегать к посторонней помощи, даже если вы не называете это SOC. Продви- нутые злоумышленники редко приходят со старым инструментарием, почти навер- няка они подготовили для вас что-то Как вы оцениваете пер- спективу перехода к модели аутсорсингового SOC в промышленном сегменте? Какие риски и ограничения вы видите в такой модели, и какие функции вы бы довери- ли внешнему провайде- ру, а какие – оставили внутри компании? Мост через изоляцию Круглый стол о построении защиты для АСУ ТП Т и АСУ ТП исторически развивались в разных парадигмах – одна сосредоточена на гибкости и обновляемости, другая – на стабильности и непрерывности. Но когда про- мышленная кибербезопасность выходит на первый план, этим двум мирам приходится находить общий язык. Где пролегает граница ответственности, можно ли доверить мониторинг внешнему SOC и как выстроить взаимодействие так, чтобы оно не мешало производству – обсуждают эксперты в области защиты АСУ ТП. И Эксперты: Михаил Гельвих, руководитель отдела технической поддержки ООО “ПВС" Евгений Генгринович, советник генерального директора компании “ИнфоТеКС" Евгений Гончаров, руководитель Kaspersky ICS CERT Илья Карпов, руководитель экспертной группы в области безопасности АСУ ТП, BI.ZONE Андрей Кузнецов, менеджер продукта “Синоникс", АйТи Бастион Михаил Молчанов, руководитель группы систем защиты АСУ ТП компании “Газинформсервис" Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП