Редакция журнала "Информационная безопасность", 25/06/25
Переход на отечественные компоненты в АСУ ТП – задача не только технологическая, но и стратегическая: от правильного выбора решений зависят безопасность, стабильность и сопровождаемость критической инфраструктуры. Участники отрасли отмечают, что при всей интенсивности развития российского рынка, зрелость отечественных решений все еще неоднородна – особенно в части интеграции с системами ИБ и реализации принципов безопасной разработки.
Какие подходы позволяют минимизировать риски при переходе на отечественные компоненты в АСУ ТП, и насколько, по вашему опыту, зрел рынок с точки зрения качества, сопровождаемости этих продуктов и возможности их интеграции с системами киберзащиты?
Вячеслав Половинко, АМТ-ГРУП
Внедрение мероприятий РБПО и у заказчика, и у поставщика решений, безусловно, позволяет в целом по-новому взглянуть на процессы поставки и сопровождения отечественных продуктов. Рынок средств АСУ ТП еще только в процессе становления. Процессы, построенные для продуктов киберзащиты пока значительно опережают аналогичные процессы систем и решений сегмента АСУ ТП. До этапа приобретения того или иного решения полезным будет более детально знакомится с процессом его производства, обновления, заранее обратить внимание на наличие технологических партнерств с СЗИ.
Михаил Молчанов, Газинформсервис
Для минимизации рисков при импортозамещении АСУ ТП нужно тщательно выбирать вендоров и производимое ими оборудование и ПО. Отечественные компоненты должны не только выполнять свои основные функции, но и соответствовать современным требованиям ИБ. Наличие сертификата ФСТЭК России и записи в реестре российского ПО на АСУ ТП говорит о зрелости производителя, а значит, качество и поддержка этих продуктов будут на хорошем уровне. Для возможности интеграции с системами защиты необходимо проводить мероприятия по тестированию совместной работы СЗИ и АСУ ТП с производителями. Наличие сертификатов совместимости АСУ ТП с СЗИ также снижает риски при переходе на отечественные АСУ ТП. Сегодня рынок АСУ ТП развивается полным ходом с точки зрения качества и сопровождаемости, а вот в части ИБ и интеграции с системами киберзащиты находится в самом начале своего пути.
Михаил Гельвих, ПВС
Наш опыт показывает, что успешное импортозамещение начинается с создания полноценной тестовой среды для отработки всех сценариев. Ключевым фактором становится выбор надежных вендоров с подтвержденной экспертизой, готовых активно участвовать в процессе миграции. Тщательное документирование и создание регламентов эксплуатации обеспечивают безопасный переход и простоту дальнейшего сопровождения системы.
Андрей Кузнецов, АйТи Бастион
Наши заказчики, как и заказчики наших коллег по рынку, неоднократно отмечали, что отечественный вендор куда охотнее прислушивается к мнению своего клиента, чем глобальные компании. Идеальный подход – когда решение можно взять на пилот, в его рамках оценить совпадение возможностей с желаниями, а в рамках процессов пилотных внедрений оценить взаимодействие как с другими решениями, так и с людьми "на той стороне". Бонусом может послужить обновление дорожной карты. Я описал идеальный вариант, но есть ощущение, что рынок стремится к этому. Выиграют те игроки, кто будет стремиться к этой модели.
Илья Карпов, BI.ZONE
Многие российские производители существенно отстают от зарубежных коллег во внедрении практик безопасной разработки ПО и работе с уязвимостями, в том числе и при разработке СЗИ. Это связано с тем, что отечественные решения стали развивать не так давно. Сейчас в ПО находят "простые" уязвимости, которые были актуальны в 2010–2013 гг., например по рейтингу OWASP TOP-10. Встроенные средства защиты не обладают широким спектром функциональных возможностей и зачастую недостаточно задокументированы. Помимо этого, при переходе на отечественные операционные системы можно столкнуться с неготовностью многих производителей СЗИ поддерживать российские ОС. Эти факторы оказывают значительное влияние на комплексную кибербезопасность и скорость импортозамещения. Однако стоит учитывать, что прошло не так много времени с начала активного развития отечественных решений. Ожидается, что высокая интенсивность перехода российских компаний на отечественные решения положительно скажется на динамике развития продуктов.
Евгений Гончаров, Kaspersky ICS CERT
Рынок отечественных продуктов для АСУ ТП и, в более широком смысле, для OT (операционные технологии – например еще и компоненты управления автомобилями и системы автоматизации транспорта вообще) растет. И если еще три года назад о свойствах информационной безопасности отечественных решений можно было говорить только в сослагательном наклонении или в лучшем случае в будущем времени, то сегодня многие производители стали куда серьезнее относиться к этому вопросу не только на словах, но и на деле. Так, наша команда исследователей уязвимостей сейчас почти полностью занята глубокими исследованиями безопасности по заказам отечественных производителей различных "умных" продуктов – например, автомобилей, систем энергетики и их компонентов, к слову сказать, далеко не всегда отечественных. Но пока в информационную безопасность готовы по-настоящему вкладываться только лидеры рынка, и то не все.
Что касается интеграции отечественных продуктов с продуктами по ИБ – то этим занимаются пока в основном производители средств ИБ. Вообще, чтобы перейти на новый уровень кибербезопасности, производителям придется изменить парадигму разработки и перейти к принципам и методологии конструктивной кибербезопасности.
