Вебинар "Ликбез по кибербезу" (12+) для журналистов российских СМИ, посвященный теме кибербезопасности как одному из ключевых факторов цифровой трансформации экономики России, организовал 25 февраля Ростелеком, сообщает ИА PrimaMedia. Спикером вебинара выступил технический консультант компании Schneider Electric Андрей Иванов, который рассказал представителям прессы об информационной защите объектов промышленности и критической инфраструктуры, а также ответил на вопросы аудитории, сообщает ИА PrimaMedia.
Свое выступление Андрей Иванов посвятил вопросам обеспечения кибербезопасности таких объектов критической инфраструктуры, как автоматизированные системы управления технологическими процессами (АСУТП). Как отметил спикер, сегодня, когда цифровизация производственной деятельности стала абсолютным must be в мировой и российской экономики, тема кибербезопасности проходит "красной нитью" через все три уровня любой АСУТП, каковыми являются так называемые "полевые" устройства (различные сенсоры и датчики, "снимающие" показатели), устройства, которые обрабатывают эту информацию (программируемые логические контроллеры, ПЛК), и, наконец, те элементы АСУТП, которые используют компьютеры — как персональные в качестве рабочих станций для операторов, так и различные серверы для хранения и обработки данных.
Андрей Иванов посвятил отдельную часть выступления раскрытию наиболее известных терминов, связанных с информационной и кибербезопасностью.
— Кибербезопасность — как часть в целом информационной безопасности — подразумевает безопасность именно цифровой информации, — пояснил спикер. — То есть информации в киберпространстве, информации, обрабатываемой информационными технологиями. Кибербезопасность также подразумевает кибербезопасность различного прикладного программного обеспечения. Например, понятно, что тот же редактор Word никакой информации не содержит до тех пор, пока вы не наполнили документ информацией. Но ведь и сам Word может иметь определенные уязвимости, которые позволят информацию, содержащуюся в "вордовском" документе, похитить, изменить или еще что-то с ней сделать. Поэтому в понятие "Кибербезопасность" входит обеспечение безопасности как собственно информации, так и киберобъектов, которые ее обрабатывают.
Отвечая на вопрос, зачем защищать системы управления производством, которые по определению не содержат никакой финансовой и секретной информации, Андрей Иванов напомнил, что, по данным компании "Ростелеком-Солар" (один из лидеров на рынке кибербезопасности), 40% атак хакерских группировок приходится на серверы и технологические рабочие станции управления именно технологическими процессами, при этом злоумышленники преследуют широкий спектр целей — от шантажа и вымогательства денег у промышленного предприятия до шпионажа и диверсий.
Отдельно остановившись на тех решениях, которые на сегодняшний день предлагаются для обеспечения киберзащиты на всех уровнях АСУТП, представитель компании Schneider Electric рассказал и о том, как эти вопросы регулируются в РФ законодательно и организационно.
— Требования к защите таких систем определены 187-ФЗ "О безопасности критической информационной инфраструктуры РФ", — отметил Иванов. — Пункт 7 закона говорит о том, что является объектом критической информационной инфраструктуры РФ. Это, в том числе, и автоматизированные системы управления. То есть любые информационные системы, информационно-коммуникационные сети, в том числе автоматизированные системы управления субъектов критической информационной инфраструктуры. А кто является субъектами? Это организации, которые функционируют в 12 различных отраслях или сферах. Сюда относится здравоохранение, наука, транспорт, связь или телекоммуникации, банковская сфера, топливно-энергетический комплекс в полном объеме (в данном случае понимается нефтяная отрасль, газовая и энергоснабжение), атомная энергетика, оборонная промышленность, горная добыча, металлургия и химическая промышленность.
Регулятором же в области критической информационной инфраструктуры в России является Федеральная служба по техническому экспортному контролю (ФСТЭК), продолжил спикер. Приказ ФСТЭК №239 содержит положения по организационным и техническим требованиям безопасности, в том числе тем, которые применимы для систем АСУТП.
В завершение вебинара Андрей Иванов ответил на вопросы участников об особенностях рынка решений в сфере кибербезопасности производственных предприятий, его регулирования (в том числе и в связи с пандемией, "удаленкой" и массовым использованием мобильных устройств в бизнес— и производственных процессах), а также в целом о перспективах развития "кибербеза" в России.
