Импортозаместить не значит защитить

Яков Шпунт
кор­рес­пон­дент ComNews.ru

© ComNews

27.11.2023

До российского правительства дошло очевидное: невозможно заставить менять оборудование, которое есть и работает, на то, которого еще нет. К тому же задачи импортозамещения промышленной инфраструктуры и ее защиты далеко не тождественны. При этом то, что реально работает, надо защищать до полного вывода из эксплуатации.

Постановление правительства №1912 от 14 ноября документально закрепило признание того факта, что завершить перевод критической информационной инфраструктуры (КИИ) на отечественные решения к началу 2025 года невозможно, и срок этого перехода документ сдвигает на пять лет - до 2030 года. Уже с самого появления требования о переводе КИИ на российские системы к 1 января 2025 года подавляющее большинство экспертов назвали его как минимум трудновыполнимым.

ЧИТАЙТЕ ТАКЖЕ Субъекты КИИ перейдут на доверенные отечественные ПАКи к 2030 году До 1 января 2030 г. субъекты критической информационной инфраструктуры (КИИ) обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные комплексы (ПАК). А уже с 1 сентября 2024 г. субъекты КИИ не смогут приобретать и использовать недоверенные ПАКи. Однако для некоторых комплексов есть исключения.

В принципе, успеть было можно, но для этого необходимо было выполнить целый ряд условий - прежде всего наладить производство промышленного оборудования и элементной базы в достаточном количестве. А его как не было, так и нет, причем не только российского, но и произведенного в дружественных странах. Кризис в полупроводниковой отрасли продолжается, а ограничения против Китая его еще больше усугубляют. Хотя, стоит сказать, что ничего экстраординарного для промышленных систем не нужно: в этой сфере востребованы и будут востребованы еще долго микросхемы, разработанные в прошлом веке. В 1980-е годы производство таких чипов советская электронная промышленность успешно освоила, но большая часть этих производств утеряна, равно как и почти вся станкостроительная промышленность.

Дорожная карта развития российской микроэлектроники появилась чуть больше месяца назад, 10 октября. Там прописаны четкие планы развития производства микроэлектроники и материалов, необходимых для ее изготовления. Например, производство компаунда (полимерного материала, необходимого для изготовления корпусов микросхем в промышленном исполнении) в достаточном количестве должно быть налажено до декабря 2025 года. Массовое производство микроконтроллеров, соответственно, стоит ждать не раньше 2026-го.

Но предположим, что отечественные системы вдруг появились в достаточном количестве и ими можно заменить системы, которые уже установлены. Кто будет в таких условиях защищать то, что предстоит заменять в близкой перспективе? Боюсь, что никто. Особенно если подходы к защите будут другими. Тем более что регулирование кибербезопасности на уровне отраслей в России только формируется и на создание стройной системы понадобится еще минимум года два, причем по самой оптимистичной оценке. Да и в других странах цельной системы регуляторики в сфере промышленной кибербезопасности нет.

ЧИТАЙТЕ ТАКЖЕ Контуры завтрашнего регулирования По мнению участников российского рынка кибербезопасности промышленных предприятий, в ближайшие два-три года активность регуляторов будет развиваться в двух направлениях. Прежде всего появится регулирование на уровне отраслей. Другим направлением станет продвижение технологий безопасной разработки.

"В эксплуатации находится так называемая унаследованная инфраструктура - это когда мало кто помнит, как внедрялась какая-то система АСУ ТП. Она работает со времен чуть ли не СССР без сбоев, и трогать ее никто не хочет. Там стоит старый компьютер, который не обновляется, и доступа к нему из Сети никогда не было. Решение по защите такого "уязвимого" сегмента - это серьезная головная боль ИБ. Или даже очень современное оборудование, но установлено оно в ходе крупного проекта зарубежным вендором, и в договоре технической поддержки четко написано: "тронете - гарантию снимаем", - рассказал заместитель директора центра промышленной безопасности интегратора "Информзащита" Игорь Рыжов. По его оценке, такая ситуация для многих отраслей является типичной, и речь идет об очень дорогом оборудовании, которое будет меняться только в плановом режиме через много лет. И в целом проекты по промышленной кибербезопасности длятся долго.

ЧИТАЙТЕ ТАКЖЕ Игорь Рыжов заместитель директора центра промышленной безопасности компании "Информзащита"Инновации в промышленной безопасности В современных условиях высокий уровень развития информационных технологий можно отметить во всех видах промышленности: в атомной, горнодобывающей, металлургической, химической, нефте- и газодобыче и пр. Практически все такие предприятия являются субъектами критической информационной инфраструктуры (КИИ), на них есть значимые объекты КИИ (ЗОКИИ) различных категорий. Такие предприятия часто являются градообразующими, располагаясь в нескольких регионах страны, рядом с ними находятся объекты, обеспечивающие жизнедеятельность местного населения. Нарушение технологических процессов предприятий не только создает угрозу здоровью и жизни людей, но и негативно влияет на экономическую и социальную устойчивость региона. Объекты КИИ требуют защиты от угроз и в соответствии с законодательством РФ, и со здравым смыслом.

К тому же "отечественное оборудование" и "защищенное оборудование" - отнюдь не синонимы. Например, как показал отчет отдела реагирования на угрозы ИБ PT ESC ПАО "Группа Позитив" (Positive Technologies), злоумышленники успешно освоили проникновение в ИТ-инфраструктуру, построенную на российском системном ПО. Это относится к офисному сегменту, но проникновение в промышленный, если не принять меры, потребует лишь несколько дополнительных шагов.

ЧИТАЙТЕ ТАКЖЕ Цели атак кардинально изменились В 2023 г. злоумышленники кардинально изменили приоритеты при атаках на российские организации: если в 2022 г. целью был пропагандистский эффект, то в 2023 г. акцент сместился на кибершпионаж и нанесение ущерба. До 60% всех атак производили профессиональные группировки.

Много примеров и того, что продукты, которые вроде бы соответствуют всем критериям российского ПО, но "под капотом" имеют зарубежные компоненты. При этом российские вендоры не устранили уязвимости, в том числе критичные, которые давно исправили авторы оригинальной системы. Неоднократно приходилось слышать и даже видеть "российские" системы, к которым полностью отсутствует русскоязычная документация.

ЧИТАЙТЕ ТАКЖЕ Кто защитит 50 тысяч объектов КИИ Более 70% объектов критической информационной инфраструктуры (КИИ) в России расположены на предприятиях ТЭК. На втором месте находится здравоохранение с 12% и связь с 9%. Общее количество объектов КИИ в России составляет более 50 тыс. Такие результаты получило в ходе исследования АНО "Цифровая экономика".

Проблема защиты объектов КИИ отнюдь не надуманна. Как показывает статистика, собранная профильными компаниями и регуляторами, в России следы проникновения в промышленную инфраструктуру обнаружены на каждом шестом объекте, а пытаются атаковать приблизительно каждый третий. Раньше активность злоумышленников сдерживало лишь то, что они просто не знали, что делать дальше. Сейчас они вполне могут запустить в промышленном сегменте тот же шифровальщик или инфостилер для уничтожения информации. Такие прецеденты уже начинают появляться.

Так что всем - и регуляторам, и тем, кто эксплуатирует промышленные системы, и ИТ- и ИБ-службам промышленных компаний - предстоит большая и трудная работа. С наскоку проблему защиты КИИ не решить, что государство, как кажется, осознало. И это хорошо, поскольку лишняя поспешность чревата ошибками, устранить которые потом будет трудно.