Утверждение, что Газпром это страна чудес, даже не нуждается в доказательствах, для этого достаточно включить первый канал ТВ или почитать интервью Top Manager компании. Однако утверждать, что подобные структуры опираются исключительно на таланты своего высокого руководства, было бы ошибочно. Хотя их PR убежден именно в этом. Примером высочайших компетенций и активной профессиональной позиции для меня является Игорь Решетников, заместителя начальника САИТиС компании «Газпром центрремонт». В моем личном рейтинге подтвержденного профессионализма и мастерства он занимает очень высокие позиции! Ниже я приведу развернутые тезисы его выступления на секции по безопасности промышленных объектов в рамках выставки InfoSecurity 2013:
«…То что в цехах стали появляться информационные системы говорит о том, что это еще не АСУ ТП, но уже не уровень датчиков или контролеров, однако еще не полноценная систему управления ТП. Но что при этом принято понимать под термином Security? Статистика из мировой практики на первое место выводит следующие причины инцидентов:
- 47% Некорректная обработка входных данных- 18% Ошибки при настройке правд доступа
- 11% Нарушения при аутентификации
- 8% Пренебрежение проверкой источника данных.
И пр.
Т.е. ошибки ПО и человеческий фактор в лидерах.
Тот кто связан с производством, тот знает, что грань между АСУ ТП и тем менеджментом, который отвечает за то как все происходит на предприятии размазана полностью. Это значит, что если в производственной цепочке происходит сбой, то плохо становится всем. А так как сбой может произойти где угодно, то и локализовать его тоже не удается. Но больше всего проблем следует ожидать по статистике на уровне MES-систем. Ниже идут инциденты на уровне локального управления корпоративной ERP в той ее части, где они связаны с производственными ИС. Потому что если в управляющую ИС дать некорректную информацию, то она некорректно и отработает. И тогда вся ценность ИС теряет смысл.
Сейчас на производстве все больше профильных и непрофильных задач сваливаться на цеховой уровень. Если раньше у человеке в цехе стояла только одна система управления станком или технологическим процессом, то теперь ему приходится работать и в SAP, BI-системе и еще в десятке других. Что в таком случае делать сисадмину? Он устанавливает везде где нужно и не нужно дополнительное ПО (антивирусы). Был случай, когда установленный на сервере антивирус положил систему Oracle, так как нашел в нем что-то похожее на вирус и перенес его в карантин.
Производственные системы работают не в псевдо, а в реальном масштабе времени. Это значит что такие системы крайне сложно администрируются, так как требуют уникальных компетенций. Кто при этом отвечает за ИБ на цеховом уровне? Есть три центра компетенций, которые пытаются разделить между собой систему АСУ ТП: ИТ-служба, производственники и служба АСУ ТП. ИТ как правило предпочитает ограничиться только сопровождение, чтобы все работало и больше ничем. Производственники хотят получить решение своих производственных проблем. А служба АСУ ТП пытается как-то выжить между двумя первыми интересами. Как ожидать в этих условиях системы с нормально построенным уровнем надежности, защищенности и безопасности?
Фраза «у нас есть регламенты и они кровью написаны», это верно, но написаны они для того, чтобы найти крайнего в случае инцидента, а не для того, чтобы избежать подобных ЧП в принципе. Критическую ситуацию надо предотвращать до того, как она произошла. А мало кто копит логии и еще меньше тех, кто их анализирует».
считает Игорь Решетников.
Точка зрения автора может не совпадать с позицией редакции.