Category: энергетика

Category was added automatically. Read all entries about "энергетика".

World

Дежа вю. Впечатления от SOC-Forum

«… воображение расцветает лишь тогда, когда оно свободно от оков, в неволе же оно чахнет и хиреет. Скованные фантазии прокисают и начинают бурно бродить, поскольку лишены своего главного естественного ограничителя, имя которому – Разум»
(с) Терри Пратчет

Активно участвовать в мероприятиях по информационной безопасности я начал только этой осенью. Хотя опыт участия в различных конференциях, выставках, семинарах и других публичных мероприятиях у меня достаточно богатый, так что есть с чем сравнивать.
Долго думал стоит ли мне писать о самом форуме, насколько мнение «начинающего» может быть интересно «старожилам», не будут ли мои оценки чересчур субъективны и непрофессиональны. Последним толчком к написанию данного обзора послужил обзор на эту тему Дмитрия Дудко (Dudko Dmitry http://ddudko.ru/soc_forum_overview/), где он, задав ряд вопросов выступающим, не оставил шанса ответить, так как комментировать разрешил, только «друзьям». Итак, приступим.
Начну с того, что сам форум мне понравился. Да были изъяны в организационной части, может быть место проведения было выбрано не самое удачное, но по содержательной части такие мероприятия крайне важны для любой тематики, которая предполагает серьезное развитие в ближайшем будущем. Это, в том числе, подтверждает количество участников, их состав и спектр обсуждавшихся вопросов.
С первых минут, стало понятно, что сам термин Secure Operational Center, не сегодняшний день, маркетинговое понятие, однозначного определения которого, сегодня не существует. В этом смысле уникальность форума в том, что формирование новых направлений происходит только там, где нет устоявшихся границ, нет четких определений, где необходимо уметь анализировать, придумывать и предлагать. Мне приходилось участвовать в подобных этапах по развивающимся тематикам и в других отраслях, например, АСКУЭ (автоматизированные системы контроля (коммерческого) учета электроэнергии), САЦ (ситуационно-аналитические центры), Цифровые подстанции и т.д. Сценарии очень похожи, меняются действующие лица. Отдельное спасибо, ведущему Олегу Седову (Oleg Sedov), пленарное заседание он провел профессионально, не давая, президиуму уйти в работу «по секциям», а с другой стороны, давая озвучить весь диапазон мнений по теме. Жаль, никто не составил перечень повисших в воздухе вопросов, неважно отвечали ли на них или нет, так как любой ответ в данной ситуации – это только частное мнение, а их совокупность – это техническое задание, которое позволит в будущем начать формировать документы, позволяющие более четко формализовать функционал SOC и область его применения в России. Ну и конечно нельзя не отметить уровень конферанса, тон которому был задан фразой «Две забавы в России: революции и сертификации», подкреплен (в процессе особенно жаркого обмена мнениями) «два регулятора и Сычев», ну и на посошок «Пресса и деньги возьмет и правду напишет». Благодаря ведущему, несмотря на переполненный зал и большой разброс мнений по одним и тем же вопросам в президиуме и в зале, пленарная сессия прошла конструктивно и спокойно.
Теперь по сутевой части пленарной сессии. Я не готов восстановить сейчас полный перечень обсуждавшихся вопросов, но часть из них позволяет задуматься о том, что же реально ждут от внедрения SOC и каким его видят участники с различных сторон «баррикад». Начнем с самого простого, коммерческие SOC, которые активно создают, практически все крупные интеграторы, а Positive Technologies даже уже решил пропиарится отказом от создания самого SOC, но тут же предложил сервисы остальным игрокам. Опять таки, ситуация один в один, как в других отраслях, пока понятие не устоялось, нет четкой терминологии и рынка услуг, почему бы не быть первым и не снять с рынка сливки.  Отсюда и звучавшее воззвание к регуляторам, обяжите Заказчиков! Желание понятно и как я уже говорил неоригинально. Опыт показывает, что регуляция (государственная, ведомственная или групповая) появляется только тогда, когда предлагаемый функционал начинает выполнять роль поддержки, какого-то другого бизнес-процесса более высокого уровня. Например, АСКУЭ, регуляция появилась в момент, когда необходимо было запустить Оптовый рынок электроэнергии, расчеты на котором требовалось легитимизировать. Тема САЦ стала актуальной, после аварии на Саяно-Шушенской ГЭС, когда выяснилось, что у первых руководителей энергокомпаний отсутствуют инструменты контроля процессов на местах. Что может послужить триггером в данном сегменте, сложно сказать, могу высказать два вероятных сценария развития событий.
Первый, обозначил позже на одной из сессий представитель 8-го центра ФСБ, представляя систему СОПКА. В предыдущих обзорах обсуждался уровень готовности системы, ее работоспособность и т.д., но это, на данный момент, не важно. Важен сам сценарий, возникает доверенный SOC, один на всю страну, куда автоматически директивно включаются все госпредприятия, в этом случае коммерческие SOC с этого рынка уходят и им остается пойти по пути Positive Technologies, предлагая сервисы Заказчикам, до момента пока они не освоят бюджеты по формированию собственных аналогов, купленных у тех же интеграторов, которые выстроятся в очередь на получение сертификатов о совместимости их решений с СОПКА. Да при этом остается еще банковский сектор и коммерческий рынок, но он в последние годы в России сужается и такого количества коммерческих SOC будет просто не нужно. Ответ на вопрос Алексея Лукацкого (Alexey Lukatsky) по ответственности коммерческих SOC, в данном сценарии будет звучать так, если SOC (его сервисы) сертифицированы для работы с СОПКА, то если не было нарушений со стороны подрядчика, то никакой, есть сертификат, все должно работать, в этом весь смысл таких конструкций, прошу прощения за банальность.
Второй сценарий, связан с рынком страхования. В мире страховые компании активно страхуют риски по информационной безопасности. Для страховых компаний – это достаточно емкий сегмент бизнеса, учитывая общую ситуацию в мире. Для Заказчиков – это возможность хеджировать риски в области, в которой «эффективный» менеджмент не в состоянии сформировать показатели ROI, основанные не на страшилках, а на реальных расчетах. В данном сценарии страховые компании уже определяют требования к функционалу SOC (неважно внешних или внутренних), что напрямую связано со страховыми тарифами. В этом случае ответом на вопрос Лукацкого, будет являться аккредитация SOC у страховой компании и потеря такой аккредитации (а соответственно денег), при появлении непредусмотренных инцидентов.
     Для Заказчиков, все гораздо сложнее, он, как и в любой отрасли, платит за все. В первом сценарии, если все будет развиваться директивно, скорее всего все пойдут по пути создания собственной иерархии SOC, функциональность которых будет определяться степенью проработанности требований и готовности собственной инфраструктуры их выполнить. Во втором сценарии, потребуется два-три года на формирование устойчивого рынка услуг и как следствие формирования уровня цен. Безусловно, возможных сценариев десятки и я попытался привести только крайние «регуляционный» и «коммерческий».
Я выступал с докладом на сессии «Опыт построения SOC», поэтому скажу пару слов именно об этой сессии. Начнем с того, что попал я туда случайно. Числа второго ноября, наткнулся на статью в блоге Лукацкого, с упоминанием SOC-Forum, пока согласовал с руководством участие компании в форуме ушло еще несколько дней, короче к моменту подачи заявки «на флажке», вторая сессия, которую модерировал, как раз Алексей «Технические средства построения SOC», где я предполагал выступать, похоже была переполнена. И меня уверенно поставили в состав, выступающих второй сессии. На мой звонок организаторам с подробными объяснениями, почему это не совсем корректно, реакция была как на радио, то есть никакой. Хотя теперь, оценивая произошедшее и уровень моего выступления, в части технических деталей, возможно судьба мне помогла. На сессии Алексея, наверно моя более концептуальная, чем техническая, презентация, да еще на нишевую тематику SOC в критической инфраструктуре, смотрелась бы бледно, с другой стороны, хотя моя презентация содержала представление трех нишевых продуктов, но их описание было дано, исходя из опыта их использования (правда не в России) в составе систем, которые вполне подходят под описание SOC.
Итак, сессия «Опыт построения SOC». Я не буду подробно останавливаться на каждом докладе, просто сделаю несколько ремарок. Первым выступал представитель РЖД, который подробно рассказал об эксплуатируемом внутреннем «SOC», созданном на базе своих разработок. Хотя Дмитрий Дудко в своем обзоре негативно отнесся к содержанию доклада, зная внутреннюю инфраструктуру данной компании, могу сказать, что при создании системы объем работ проделан громадный объем работ, как технический, так и организационный. Высказанное Дмитрием предположение из непроверенных источников, что ЦБИ не работает думаю отчасти верно. Как SOC, в его понимании термина (четкого определения то нет), наверно не работает, но те задачи, под которые он создавался внутри организации решает, иначе эти люди бы не продолжали там работать. С другой стороны, создан прецедент, его теперь можно совершенствовать (здесь даже полная замена будет названа модернизацией), первый шаг, самый трудный уже сделан. И то, что в следующем докладе Информзащита рассказывала о создаваемых региональных элементах SOC в той же РЖД, у меня абсолютно не вызывает удивления. Теперь по вопросам к моему докладу:     Как иностранный GRC применять в РФ? Правильно ли что вы предлагаете «консультант» с практиками по ИБ? Не вижу проблем (кроме одной из «забав», из цитаты Седова) применять продукт GRC израильского производства в России, тем более, что его производители имеют экспертизу в области разработки ИБ стандартов в Европе и США. Подготовка корреляции международных правил с российскими и внутрикорпоративными проводится по отлаженной технологии. Опыт проектов в финансовой и технологической областях позволяет гарантировать Заказчикам качественный результат. Второй вопрос: Как происходит обновление фидов в сегменте АСУ ТП без интернета? Никак не происходит. В сегменте АСУТП решаются немного другие задачи. Каждая АСУТП детально документирована, каждый элемент имеет описанный функционал и режимы работы. Система, о которой шла речь, позволяет описать набор правил, описывающих поведение объектов и обеспечить детальный разбор ICS-протоколов в ее зоне видимости. Ей не важно, что послужило причиной изменений, она контролирует «нормальный» режим работы, любое изменение такого режима, фиксируется в виде алерта, который дальше анализируется и предоставляется в центр сбора. Сама сессия проходила в хорошем темпе и запомнилась замечательной оговоркой ведущего по «Фрейду», который нескольких выступающих называл не Докладчиками, а Заказчиками, ну и аплодисменты сорвал молодой человек, попросивший микрофон, когда задавали вопросы и начал свой вопрос с представления Генеральная Прокуратура и далее фамилия, по моему, сам вопрос уже никто не слушал.
В целом повторюсь, мне мероприятие понравилось возможностью послушать разные точки зрения, понять тренды, формирующиеся на рынке, услышать мнение регуляторов, пообщаться с интеграторами, технологическими партнерами и заказчиками.