Інтерв’ю з Михайлом Каліним
Після серії цікавих інтерв’ю експертів по стандартам вертикальної інтеграції, КПЕ та порційного виробництва, прийшла черга інших стандартів. Першим з експертів по кібер-безпеці, дає відповіді Михайло Калін – СЕО Red & Blue team, провідної української команди з області кібер-безпеки в АСУТП.
- Декілька слів про себе: освіта, позиція, досвід роботи.
Освіта- Інститут спеціального зв’язку та захисту інформації України; Позиція- cofounder, CISO компанії R&B team LLC. Досвід роботи – Державна служба спеціального зв’язку та захисту інформації України на офіцерських посадах, потім робота в консалтингових компаніях та інтеграторах на посаді керівника напрямку інформаційної безпеки, зараз очолюю компанію R&B team, яка сфокусована на захисті від кібер атак.
- Як ви оцінюєте розвиток в Україні кібер-безпеки в промислових системах керування (АСКТП)? – наскільки ми відстаємо від сусідів, від розвинутих країн й наскільки просунулись за останні 3 роки?
Розвиток дуже повільний, але тенденція позитивна, тобто промислові компанії вже починають впроваджувати заходи із кібер безпеки в АСКТП. Найбільшу активність ми спостерігаємо на об’єктах, пов’язаних з нафто-газовою промисловістю, металургією та енергетикою, де рівень ризику і ймовірність катастрофічних наслідків найвищий. Основним двигуном розвитку стала атака на енергетичні об’єкти України в кінці 2016 року, xPetya червня 2017го року та усвідомлення, хоча і частково, реальності кібер загроз.
Сусідні країни, як Польща, Туреччина і навіть Румунія, вже опереджають нас на 3-4 роки за технічним оснащенням, а головне, розумінням менеджменту в необхідності урахування кібер ризиків в промислових системах керування.
На сьогоднішній день українські промислові компанії знаходяться в дуже вигідному положенні, як би це дивно не звучало. Оскільки промислові системи керування ще автоматизовані частково і процеси автоматизації та цифровізації підприємств в Україні лише розпочинаються, більшість з них має можливість впровадити процеси і засоби кібер захисту під час своєї трансформації, що значно підвисить рівень ефективності безпеки.
- Чи знаєте ви що-небудь про координацію – синхронізацію в цій сфері зусиль різних гравців на державному рівні? – Адже мова про кібер-безпеку критичної інфраструктури.
Більше десяти років я спостерігаю в сфері інформаційної безпеки протистояння різних державних установ за отримання бюджетів на галузь інформаційної, а зараз і кібер безпеки. І вже навіть після гучних інцидентів ситуація не змінюється, вона тільки посилюється боротьбою за вплив на координацію і контроль в даній галузі.
Однак є і позитивні спостереження, наприклад, ініціатива незалежної організації (АППАУ) за підтримкою Німецького товариства міжнародного співробітництва у виведені міжнародного стандарту ISA/IEC 62443-2-1 на рівень ДСТУ. Ми теж намагаємось долучитись до цього процесу. Сподіваємось, що ця активність приведе до результатів і ми отримаємо раціональні вимоги на державному рівні.
- Хто взагалі повинен координувати такі дії та яким чином? Хоча б на рівні законодавства? І як це робиться в інших країнах?
Координувати дії в галузі кібер безпеки, на мою думку, повинен лише кваліфікований державний орган і діючі закони, щодо зобов’язання захисту різних типів об’єктів та інформації певним чином. Таким шляхом пішли і Сполучені Штати і Європейський Союз.
Наприклад в 2002 році в США було оновлено методи захисту інформації в урядових організаціях – створено федеральний закон про управління інформаційною безпекою, потім прийнята національна стратегія захисту кіберпростору в США в 2003 році (це 16 років тому) ми прийшли до цього лише в 2016му. Зараз в США по кожній галузі створені певні стандарти та вимоги із кібер безпеки, за невиконання яких передбачені величезні штрафи і це працює. В енергетичному секторі штрафи за невиконання вимог НКРЕ доходять до десятків мільйонів доларів і це реально працює.
- Що можуть робити самі учасники (замовники, провайдери, галузеві асоціації), щоб прискорити процеси впровадження надійних систем протидії кібер-загрозам?
Вивести це питання на рівень діючого законодавства та визначити розміри штрафів за порушення закону, що будуть значно більше ніж вартість впровадженя процесів та засобів безпеки.
Усвідомлювати ризик та в першу чергу залучити керівництво підприємств до процесу оцінки кібер ризику.
- Яку роль в цих спільних процесах еволюції ви відводите стандартам як ISO 27001 та IEC 62443?
Названі стандарти є ефективними допоміжними засобами для впровадження та підтримки неперервного процесу кібер безпеки на підприємствах, тим більш що стандарт ISA/IEC 62443 враховує саме функціональні властивості АСУТП, в той час, як ISO 27001 більше підходить до систем і процесів корпоративного рівня.
[perfectpullquote align=”full” cite=”” link=”” color=”” class=”” size=””]Якщо взяти ці два стандарти за основу технічних політик підприємств в області кібер безпеки на промислових підприємствах і оперативними темпами, за 1,5 -2 роки здійснити хоча б 70-80% вимог та рекомендацій які там викладені, ми прийдемо до покращення стану кібер захисту всієї промисловості в рази.[/perfectpullquote]
Звісно, не слід забувати, що навіть 100% відповідність стандарту не гарантує нульового ризику і на кожному об’єкті, в системі необхідно враховувати їх специфічні властивості.
Резюмуючи, наголошу, що створення вимог до кібер безпеки на об’єктах промисловості необхідно запроваджувати на державному рівні і негайно, оскільки ризик з кожним днем тільки зростає і його реалізація призводить не лише до фінансових втрат з семизначними цифрами але й до екологічних катастроф міждержавного значення.