Внедрение мероприятий РБПО и у заказчика, и у поставщика решений, безусловно, позволяет в целом по-новому взглянуть на процессы поставки и сопровождения отечественных продуктов. Рынок средств АСУ ТП еще только в процессе становления. Процессы, построенные для продуктов киберзащиты пока значительно опережают аналогичные процессы систем и решений сегмента АСУ ТП. До этапа приобретения того или иного решения полезным будет более детально знакомится с процессом его производства, обновления, заранее обратить внимание на наличие технологических партнерств с СЗИ.
Для минимизации рисков при импортозамещении АСУ ТП нужно тщательно выбирать вендоров и производимое ими оборудование и ПО. Отечественные компоненты должны не только выполнять свои основные функции, но и соответствовать современным требованиям ИБ. Наличие сертификата ФСТЭК России и записи в реестре российского ПО на АСУ ТП говорит о зрелости производителя, а значит, качество и поддержка этих продуктов будут на хорошем уровне. Для возможности интеграции с системами защиты необходимо проводить мероприятия по тестированию совместной работы СЗИ и АСУ ТП с производителями. Наличие сертификатов совместимости АСУ ТП с СЗИ также снижает риски при переходе на отечественные АСУ ТП. Сегодня рынок АСУ ТП развивается полным ходом с точки зрения качества и сопровождаемости, а вот в части ИБ и интеграции с системами киберзащиты находится в самом начале своего пути.
Наш опыт показывает, что успешное импортозамещение начинается с создания полноценной тестовой среды для отработки всех сценариев. Ключевым фактором становится выбор надежных вендоров с подтвержденной экспертизой, готовых активно участвовать в процессе миграции. Тщательное документирование и создание регламентов эксплуатации обеспечивают безопасный переход и простоту дальнейшего сопровождения системы.
Наши заказчики, как и заказчики наших коллег по рынку, неоднократно отмечали, что отечественный вендор куда охотнее прислушивается к мнению своего клиента, чем глобальные компании. Идеальный подход – когда решение можно взять на пилот, в его рамках оценить совпадение возможностей с желаниями, а в рамках процессов пилотных внедрений оценить взаимодействие как с другими решениями, так и с людьми "на той стороне". Бонусом может послужить обновление дорожной карты. Я описал идеальный вариант, но есть ощущение, что рынок стремится к этому. Выиграют те игроки, кто будет стремиться к этой модели.
Многие российские производители существенно отстают от зарубежных коллег во внедрении практик безопасной разработки ПО и работе с уязвимостями, в том числе и при разработке СЗИ. Это связано с тем, что отечественные решения стали развивать не так давно. Сейчас в ПО находят "простые" уязвимости, которые были актуальны в 2010–2013 гг., например по рейтингу OWASP TOP-10. Встроенные средства защиты не обладают широким спектром функциональных возможностей и зачастую недостаточно задокументированы. Помимо этого, при переходе на отечественные операционные системы можно столкнуться с неготовностью многих производителей СЗИ поддерживать российские ОС. Эти факторы оказывают значительное влияние на комплексную кибербезопасность и скорость импортозамещения. Однако стоит учитывать, что прошло не так много времени с начала активного развития отечественных решений. Ожидается, что высокая интенсивность перехода российских компаний на отечественные решения положительно скажется на динамике развития продуктов.
Рынок отечественных продуктов для АСУ ТП и, в более широком смысле, для OT (операционные технологии – например еще и компоненты управления автомобилями и системы автоматизации транспорта вообще) растет. И если еще три года назад о свойствах информационной безопасности отечественных решений можно было говорить только в сослагательном наклонении или в лучшем случае в будущем времени, то сегодня многие производители стали куда серьезнее относиться к этому вопросу не только на словах, но и на деле. Так, наша команда исследователей уязвимостей сейчас почти полностью занята глубокими исследованиями безопасности по заказам отечественных производителей различных "умных" продуктов – например, автомобилей, систем энергетики и их компонентов, к слову сказать, далеко не всегда отечественных. Но пока в информационную безопасность готовы по-настоящему вкладываться только лидеры рынка, и то не все.
Что касается интеграции отечественных продуктов с продуктами по ИБ – то этим занимаются пока в основном производители средств ИБ. Вообще, чтобы перейти на новый уровень кибербезопасности, производителям придется изменить парадигму разработки и перейти к принципам и методологии конструктивной кибербезопасности.