Прошло несколько месяцев с момента публикации отчета Positive Technologies «Безопасность промышленных систем в цифрах». Тогда, в начале ноября, я отметил для себя данную работу как хорошую заявку на лидерство на зарождающемся российском рынке ИБ АСУТП и поставил эту компанию на первое место в моем рейтинге челенджеров (восходящих звезд) данного рынка.

Думал написать комментарии по данному отчету, да не сложилось...

И вот на днях, просматривая новости, набрел на сайт http://asutpforum.ru , где сообщество специалистов набросилось на Сергея с резкой и в основном не конструктивной критикой.

Для начала опишу глобальную ситуацию на рынке ИБ АСУТП, как я ее понимаю. Защита в смысле ИБ, как «фича» АСУТП, мало кому нужна сейчас (в общем по понятным причинам), поэтому её ценность мала. А значит производителю не интересно тратить на разработку этой «фичи» ресурсы. Всё. Рынок ИБ АСУТП заснул до момента «пока гром не грянет». А в том, что он грянет никто не сомневается. Это реактивный подход. Не прогрессивно. Проактивный подход (подготовиться заранее) намного лучше. Но как для этого разбудить рынок?

Умные головы сказали: давайте будем контролируемо разглашать информацию об уязвимостях продуктов и повышать озабоченность общества (awareness). Именно так всем нам и надо действовать, терпеливо и настойчиво. Как говорится, и волки сыты, и овцы целы. 

А теперь посмотрим на обсуждение упомянутого отчета на форуме (реакции форумчан очень показательны для многих специалистов автоматизации), учитывая сказанное выше:

А кто же крайний?

Главными пользователями АСУТП и самое главное ОТВЕТСТВЕННЫМИ за безопасность и охрану труда являются диспетчерский и дежурный персонал во время своего дежурства. Пока они никак не участвуют в публичных обсуждениях проблем ИБ АСУТП. А жаль... Наш вопрос данным специалистам: готовы ли вы нести ответственность, в том числе и уголовную, за действия злоумышленника.

Мы вас не ждали, а вы припёрлись.

Так можно описать реакцию специалистов автоматизации. Наш ответ: мы не враги, а будущие союзники.

Мой твоя не понимай.

Мы плохо понимаем и преувеличиваем риски и последствия нарушения работы АСУТП, а специалисты автоматизации никогда не видели на что способен высококлассный пен-тестер, а следовательно и злоумышленник. Наш ответ: будем работать дальше.

Всё это проявления конфликта между промышленной и информационной безопасностью. Будем его решать, другого пути нет.

Несмотря на всю обоснованную и необоснованную критику отчета я высоко оцениваю проведенную компанией Positive Technologies работу, потому что в России они первые, кто так громко добавил что-то реально новое в области защиты АСУТП. Уж поверьте моему экспертному мнению.