Импортозаместить не значит защитить

До российского правительства дошло очевидное: невозможно заставить менять оборудование, которое есть и работает на то, которого еще нет. Плюс ко всему, задачи импортозамещения промышленной инфраструктуры и ее защиты далеко не тождественны. При этом то, что реально работает, надо защищать до полного вывода из эксплуатации. Постановление правительства № 1912 от 14 ноября документально закрепило признание того факта, что завершить перевод критической информационной инфраструктуры (КИИ) на отечественные решения к началу 2025 г. невозможно, и срок этого перехода документ сдвигает на пять лет — до 2030 г. Уже с самого появления требования о переводе КИИ на российские системы к 1 января 2025 г. подавляющее большинство экспертов назвало его как минимум трудновыполнимым.\[quote\] https://www.comnews.ru/content/230258/2023-11-20/2023-w47/1008/subekty-… \[/quote\] В принципе, успеть было можно, но для этого необходимо было выполнить целый ряд условий, прежде всего, наладить производство промышленного оборудования и элементной базы в достаточном количестве. А его как не было, так и нет, причем не только российского, но и произведенного в дружественных странах. Кризис в полупроводниковой отрасли продолжается, а ограничения против Китая его еще больше усугубляют. Хотя, стоит сказать, что ничего экстраординарного для промышленных систем не нужно: в этой сфере востребованы и будут востребованы еще долго микросхемы, разработанные в прошлом веке. В 1980-е гг. производство таких чипов советская электронная промышленность успешно освоила, но большая часть этих производств была утеряна, равно как и почти вся станкостроительная промышленность. "Дорожная карта" развития российской микроэлектроники появилась чуть больше месяца назад, 10 октября 2023 г. Там прописаны четкие планы развития производства микроэлектроники и материалов, необходимых для ее изготовления. Например, производство компаунда (полимерного материала, необходимого для производства корпусов микросхем в промышленном исполнении) в достаточном количество должно быть налажено до декабря 2025 г. Массовое производство микроконтроллеров, соответственно, стоит ждать не раньше 2026 г. Но предположим, что отечественные системы вдруг появились в достаточном количестве, и ими можно заменить те системы, которые уже установлены. Кто будет в таких условиях защищать то, что предстоит заменять в близкой перспективе? Боюсь, что никто. Особенно если подходы к защите будут другими. Тем более, что регулирование кибербезопасности на уровне отраслей в России только формируется, и на создание стройной системы понадобится еще минимум года два, причем по самой оптимистичной оценке. Да и в других странах цельной системы регуляторики в сфере промышленной кибербезопасности нет.\[quote\] https://www.comnews.ru/content/223170/2022-11-23/2022-w47/kontury-zavtr… \[/quote\] "В эксплуатации находится так называемая унаследованная инфраструктура — это когда мало кто помнит, как внедрялась какая-то система АСУ ТП. Она работает со времен чуть ли не СССР без сбоев, и трогать ее никто не хочет. Там стоит старый компьютер, который не обновляется, и доступа к нему из сети никогда не было. Решение по защите такого "уязвимого" сегмента — это серьезная головная боль ИБ. Или даже очень современное оборудование, но установлено оно в ходе крупного проекта зарубежным вендором, и в договоре технической поддержки четко написано: "тронете — гарантию снимаем", - рассказал заместитель директора Центра промышленной безопасности интегратора "Информзащита" Игорь Рыжов. По его оценке, такая ситуация для многих отраслей является типичной, и речь идет об очень дорогом оборудовании, которое будет меняться только в плановом режиме через много лет. И в целом проекты по промышленной кибербезопасности длятся долго.\[quote\] https://www.comnews.ru/content/223968/2022-12-30/2022-w52/innovacii-pro… \[/quote\] Плюс ко всему, "отечественное оборудование" и "защищенное оборудование" отнюдь не синонимы. Например, как показал отчет отдела реагирования на угрозы ИБ PT ESC ПАО "Группа Позитив" (Positive Technologies), злоумышленники успешно освоили проникновение в ИТ-инфраструктуру, построенную на российском системном ПО. Это относится к офисному сегменту, но проникновение в промышленный, если не принять меры, потребует лишь несколько дополнительных шагов.\[quote\] https://www.comnews.ru/content/230203/2023-11-17/2023-w46/1008/celi-ata… \[/quote\] Много примеров и того, что продукты, которые вроде бы соответствуют всем критериям российского ПО, но "под капотом" имеют зарубежные компоненты. При этом российские вендоры не устранили уязвимости, в том числе критичные, которые давно исправили авторы оригинальной системы. Неоднократно приходилось слышать и даже видеть "российские" системы, к которым полностью отсутствует русскоязычная документация.\[quote\] https://www.comnews.ru/content/222396/2022-09-30/2022-w39/kto-zaschitit… \[/quote\] Проблема защиты объектов КИИ отнюдь не надумана. Как показывает статистика, собранная профильными компаниями и регуляторами, в России следы проникновения в промышленную инфраструктуру обнаружены на каждом шестом объекте, а пытаются атаковать приблизительно каждый третий. Раньше активность злоумышленников сдерживало лишь то, что они просто не знали, что делать дальше. Сейчас они вполне могут запустить в промышленном сегменте тот же шифровальщик или инфостилер для уничтожения информации. Такие прецеденты уже начинают появляться. Так что всем - и регуляторам, и тем, кто эксплуатирует промышленные системы, и ИТ и ИБ службам промышленных компаний - предстоит большая и трудная работа. С наскоку проблему защиты КИИ не решить, что государство, как кажется, осознало. И это хорошо, поскольку лишняя поспешность чревата ошибками, устранить которые потом будет трудно. Ссылка на источник