Импортозаместить не значит защитить
Шпунт корреспондент ComNews.ru
До российского правительства дошло очевидное: невозможно заставить менять оборудование, которое есть и работает, на то, которого еще нет. К тому же задачи импортозамещения промышленной инфраструктуры и ее защиты далеко не тождественны. При этом то, что реально работает, надо защищать до полного вывода из эксплуатации.
Постановление правительства №1912 от 14 ноября документально закрепило признание того факта, что завершить перевод критической информационной инфраструктуры (КИИ) на отечественные решения к началу 2025 года невозможно, и срок этого перехода документ сдвигает на пять лет - до 2030 года. Уже с самого появления требования о переводе КИИ на российские системы к 1 января 2025 года подавляющее большинство экспертов назвали его как минимум трудновыполнимым.
https://www.comnews.ru/content/230258/2023-11-20/2023-w47/1008/subekty-…
В принципе, успеть было можно, но для этого необходимо было выполнить целый ряд условий - прежде всего наладить производство промышленного оборудования и элементной базы в достаточном количестве. А его как не было, так и нет, причем не только российского, но и произведенного в дружественных странах. Кризис в полупроводниковой отрасли продолжается, а ограничения против Китая его еще больше усугубляют. Хотя, стоит сказать, что ничего экстраординарного для промышленных систем не нужно: в этой сфере востребованы и будут востребованы еще долго микросхемы, разработанные в прошлом веке. В 1980-е годы производство таких чипов советская электронная промышленность успешно освоила, но большая часть этих производств утеряна, равно как и почти вся станкостроительная промышленность.
Дорожная карта развития российской микроэлектроники появилась чуть больше месяца назад, 10 октября. Там прописаны четкие планы развития производства микроэлектроники и материалов, необходимых для ее изготовления. Например, производство компаунда (полимерного материала, необходимого для изготовления корпусов микросхем в промышленном исполнении) в достаточном количестве должно быть налажено до декабря 2025 года. Массовое производство микроконтроллеров, соответственно, стоит ждать не раньше 2026-го.
Но предположим, что отечественные системы вдруг появились в достаточном количестве и ими можно заменить системы, которые уже установлены. Кто будет в таких условиях защищать то, что предстоит заменять в близкой перспективе? Боюсь, что никто. Особенно если подходы к защите будут другими. Тем более что регулирование кибербезопасности на уровне отраслей в России только формируется и на создание стройной системы понадобится еще минимум года два, причем по самой оптимистичной оценке. Да и в других странах цельной системы регуляторики в сфере промышленной кибербезопасности нет.
https://www.comnews.ru/content/223170/2022-11-23/2022-w47/kontury-zavtr…
"В эксплуатации находится так называемая унаследованная инфраструктура - это когда мало кто помнит, как внедрялась какая-то система АСУ ТП. Она работает со времен чуть ли не СССР без сбоев, и трогать ее никто не хочет. Там стоит старый компьютер, который не обновляется, и доступа к нему из Сети никогда не было. Решение по защите такого "уязвимого" сегмента - это серьезная головная боль ИБ. Или даже очень современное оборудование, но установлено оно в ходе крупного проекта зарубежным вендором, и в договоре технической поддержки четко написано: "тронете - гарантию снимаем", - рассказал заместитель директора центра промышленной безопасности интегратора "Информзащита" Игорь Рыжов. По его оценке, такая ситуация для многих отраслей является типичной, и речь идет об очень дорогом оборудовании, которое будет меняться только в плановом режиме через много лет. И в целом проекты по промышленной кибербезопасности длятся долго.
https://www.comnews.ru/content/223968/2022-12-30/2022-w52/innovacii-pro…
К тому же "отечественное оборудование" и "защищенное оборудование" - отнюдь не синонимы. Например, как показал отчет отдела реагирования на угрозы ИБ PT ESC ПАО "Группа Позитив" (Positive Technologies), злоумышленники успешно освоили проникновение в ИТ-инфраструктуру, построенную на российском системном ПО. Это относится к офисному сегменту, но проникновение в промышленный, если не принять меры, потребует лишь несколько дополнительных шагов.
https://www.comnews.ru/content/230203/2023-11-17/2023-w46/1008/celi-ata…
Много примеров и того, что продукты, которые вроде бы соответствуют всем критериям российского ПО, но "под капотом" имеют зарубежные компоненты. При этом российские вендоры не устранили уязвимости, в том числе критичные, которые давно исправили авторы оригинальной системы. Неоднократно приходилось слышать и даже видеть "российские" системы, к которым полностью отсутствует русскоязычная документация.
https://www.comnews.ru/content/222396/2022-09-30/2022-w39/kto-zaschitit…
Проблема защиты объектов КИИ отнюдь не надуманна. Как показывает статистика, собранная профильными компаниями и регуляторами, в России следы проникновения в промышленную инфраструктуру обнаружены на каждом шестом объекте, а пытаются атаковать приблизительно каждый третий. Раньше активность злоумышленников сдерживало лишь то, что они просто не знали, что делать дальше. Сейчас они вполне могут запустить в промышленном сегменте тот же шифровальщик или инфостилер для уничтожения информации. Такие прецеденты уже начинают появляться.
Так что всем - и регуляторам, и тем, кто эксплуатирует промышленные системы, и ИТ- и ИБ-службам промышленных компаний - предстоит большая и трудная работа. С наскоку проблему защиты КИИ не решить, что государство, как кажется, осознало. И это хорошо, поскольку лишняя поспешность чревата ошибками, устранить которые потом будет трудно.
