Игорь Душа: «Современный вендор, предлагающий решения ИБ АСУ ТП, должен быть в состоянии взять на себя автоматизацию работы по аналитике и написанию правил для выявления угроз и предоставить необходимые инструменты в системе, а не разрозненно. Только тогда заказчик сможет бесшовно строить цепочки событий, ведущих к инциденту, и проводить расследования автоматизированно».

Развитие продуктов защиты для OT-сетей традиционно происходит медленнее, чем для ИТ-сегмента, Мы поговорили с Игорем Душой, техническим директором InfoWatch ARMA, чтобы узнать его мнение о происходящих переменах на рынке ИБ АСУ ТП. Команда InfoWatch ARMA за предыдущий год часто выступала хедлайнером новостей про новинки для защиты промышленных сетей, продемонстрировала рынку сразу два новых продукта (для защиты на уровне рабочих станций и серверов и единый центр управления системой защиты), а также выпустила несколько обновлений ключевого продукта – промышленного межсетевого экрана нового поколения. С чем связан такой рост активности и как на него отреагировал рынок, читайте

 

– Что изменилось за прошедший год на рынке средств защиты АСУ ТП?

Какие тенденции наблюдаются в России?

 

– Прошлый год показал, что до сих пор у нас на рынке не было единой системы защиты информации, которая позволяла бы закрыть основные потребности в защите информации, управления событиями безопасности и реагирования на инциденты. В большинстве случаев на предприятиях существует зоопарк разрозненных продуктов, которые не функционируют как единая система. Мы приложили все усилия, чтобы не только проповедовать преимущества единого системного подхода к защите информации и управлению событиями и инцидентами безопасности, но и предоставить заказчикам такую систему для практического применения.

 

Кроме того, наблюдается кадровый голод в сфере ИБ в целом и в области ИБ АСУ ТП в частности. Отсюда спрос на решения, помогающие эффективнее использовать время сотрудников служб ИБ. Мы, например, предлагаем с помощью InfoWatch ARMA создавать замкнутую среду (что само по себе сокращает поток событий, который требуется обработать), а также использовать преимущества автоматизации управления событиями и инцидентами.

 

Возможность автоматически настраивать и передавать рекомендации по решению инцидентов сотрудникам внутри штата ИБ и диспетчерам АСУ ТП на производственной площадке позволяет быстрее локализовать кибератаку и предотвратить ее последствия.

 

– Как изменилось положение InfoWatch на рынке средств защиты АСУ ТП?

 

– В конце 2020 г. наша компания выпустила два новых продукта в дополнение к уже существующему промышленному межсетевому экрану нового поколения InfoWatch ARMA Industrial Firewall: средство для защиты рабочих станций и серверов (InfoWatch ARMA Industrial Endpoint) и систему централизованного управления системой защиты InfoWatch ARMA (InfoWatch ARMA Management Console). Мы презентовали рынку комплексную систему защиты АСУ ТП от кибератак, которая позволяет решать задачи не разрозненно, а использовать синергию от интегрированных между собой средств защиты.

На прошлый год приходятся и массовые внедрения промышленного межсетевого экрана нового поколения (InfoWatch ARMA Industrial Firewall).

 

– Какие наиболее интересные проекты в области защиты АСУ ТП специалисты InfoWatch реализовали в прошедшем году?

 

– В 2020 г. мы реализовывали крупные проекты в нефтегазовой сфере и электроэнергетике. Внедрением занимались партнеры-интеграторы, а наша компания оказывала техническую поддержку.

Большая часть проектов – это внедрение системы обнаружения и предотвращения вторжений (СОВ) для контроля сетевого трафика внутри АСУ ТП. Уже типовыми для нас стали проекты по установке промышленного межсетевого экрана на границе АСУ ТП, иногда с выделением DMZ. На 2021 г. запланированы более сложные проекты – с тесной интеграцией в саму АСУ ТП.

 

– Что изменилось в подходах к защите АСУ ТП?

 

– Одна из тенденций: рынок в России наконец принял концепцию микросегментации, т. е. применения межсетевого экрана внутри АСУ ТП. Такая реализация защиты допустима не для всех промышленных систем, но в отдельных случаях необходима. Сам термин пришел из-за рубежа, где данная концепция уже успешно реализуется.

Второе наблюдение: к заказчикам постепенно приходит понимание, почему нужны именно промышленные межсетевые экраны и что встроенная в них система предотвращения вторжений необходима для реализации виртуального патчинга. В промышленных системах зачастую остаются уязвимости, которые не закрываются по техническим причинам реальным патчем ПО. Именно межсетевой экран на границе является последним рубежом сетевой защиты. Только наличие системы СПВ позволяет предотвратить эксплуатацию уязвимости извне. Это и называется виртуальным патчем.

 

– Какие планы развития систем защиты АСУ ТП у InfoWatch на текущий год?

 

– Мы определили три основных направления: защита промышленной сети, защита конечных точек АСУ ТП, наблюдение и автоматизация деятельности АСУ ТП.

В 2021 г. планируем добавлять функции, связанные с автоматизацией деятельности отдела защиты информации, упрощением процесса обработки информации и расширением экспертизы, внедренной в нашу систему. Акцент делается на повышение удобства при внедрении. Для нас особенно важно дать пользователям единую систему, которая будет тесно интегрирована «из коробки».