В конце февраля‑начале марта 2023 года в Магнитогорске проходил форум «Цифровая устойчивость и промышленная безопасность России», который чаще называют «Магнитка». Несколько лет подряд он был посвящён банковской кибербезопасности. Однако в этот раз мероприятие перенесли в Екатеринбург, поэтому «Магнитку, проходящую в Магнитогорске, было решено переориентировать на индустриальную или промышленную ИБ. Информационная служба Хабра посетила форум и сделала несколько материалов. Начнём с отчёта.
![](https://habrastorage.org/getpro/habr/upload_files/a88/b20/fdb/a88b20fdb8a3762ae4c7d3dda8027e3c.jpg)
Выпуск отчёта по «Магнитке» задержался. Я хотел посетить на форуме побольше сессий, треков и дискуссий, отсмотреть материалы докладов, где присутствовать не мог, так как они шли параллельно, чтобы обзор мероприятия был полный. Видеоматериалы выложили не сразу, и я не успел их все посмотреть и описать каждый доклад, поэтому расскажу именно о сессиях, что посетил сам, а ссылку на видео оставлю здесь для самостоятельного просмотра.
Официальная часть форума состояла из двух дней, а накануне был «нулевой» спортивный день. Каждый день были пленарные заседания с конкретной темой, обсуждения важных отраслевых вопросов в формате дискуссий и мастер‑классы.
Итак, первый день «Магнитки» открыла пресс‑конференция Positive Technologies, посвящённая исследованию кибератак в 2022 году на промышленный сектор. Пресс‑конференцию вёл Директор экспертного центра безопасности Positive Technologies Алексей Новиков. Он рассказал, что промышленный сектор в течение последних пяти лет входит в тройку самых атакуемых отраслей. Также этот сектор привлекает лёгким заработком многих киберпреступников, даже малоквалифицированных. Злоумышленники получают первоначальный доступ, а далее его просто продают более компетентным киберпреступникам для развития атаки.
![](https://habrastorage.org/getpro/habr/upload_files/fe2/d27/2eb/fe2d272ebc613ea659b187d93f99bf8f.jpg)
По словам Новикова, вопрос обеспечения кибербезопасности промышленных предприятий стоит остро. Число инцидентов остаётся высоким, злоумышленники реализуют всё больше недопустимых событий, влияющих не только на конкретную организацию, но и на всю отрасль или даже на целый ряд отраслей. В 2023 году киберпреступники будут атаковать промышленность не только ради финансовой выгоды, но и с целью остановки важнейших технологических процессов и организации аварий. В связи с этим Новиков прогнозирует новые кампании кибершпионажа в отношении промпредприятий и ТЭК, а также более широкое применение вайперов. Например, каждая десятая успешная атака на организации приходится на промышленные предприятия.
После пресс‑конференции панельную часть открыла неофициальная «Антипленарка». Как я понял из замысла организаторов, спикеры от компаний‑клиентов и вендоров специально выглядели неформально (одеты в халаты, футболки и шорты), а представитель регулятора (Минцифры) — формально‑официально (одет в костюм), потому что регулятор всегда в «боевой готовности», даже на отдыхе, а остальные могут работать в расслабленном состоянии. На сцене стояли шезлонги, а на экране транслировался пейзаж с изображением пляжа, моря и пальм. По замыслу эта обстановка стала антиподом пленарного заседания. Однако лёгкое и непринуждённое общение участников в начале переросло в обычное пленарное заседание с обсуждением ответственности компаний за инциденты кибербезопасности.
![](https://habrastorage.org/getpro/habr/upload_files/fd7/94e/405/fd794e40566e6646d9a5ec03fefeb000.jpg)
Жаркая дискуссия разгорелась при обсуждении вопроса сокрытия инцидентов, ужесточении наказаний за это, как не попасть на штрафы, а ответственным лицам — избежать наказания. Но хотелось больше услышать, как же быть с наиболее страдающей от инцидентов стороной: клиентами и сотрудниками компании — чьи данные могут утечь в сеть. Каковы потери самого бизнеса при публикации его коммерческой тайны? При этом ужесточение наказания не мера, чтобы заплатить больше штрафов, а направление ответственных лиц в компании на путь изменения отношения к ИБ, определения недопустимых для бизнеса событий.
После «Антипленарки» состоялся пресс‑подход к директору департамента обеспечения кибербезопасности Минцифры России Владимиру Бенгину. На пресс‑подходе Владимир подтвердил мысль, что у регуляторов нет цели кого‑то штрафовать ради штрафа, это меры воздействия для изменения отношения к ИБ и повышения её качества. После пресс‑подхода мне удалось взять интервью у Бенгина. Об этом будет отдельный материал. Так как пресс‑подход проходил параллельно с сессией «Дорога в облака» и диалогом «SOC Добрый и не очень», их послушать не получилось.
![](https://habrastorage.org/getpro/habr/upload_files/f6e/d8f/cb9/f6ed8fcb9f61c31032b0dd154d880740.jpg)
Далее я посетил первую часть сессии о кибербезопасности в АСУ ТП. Параллельно с ней проходил мастер‑класс по защите региональных органов исполнительной власти (РОИВ), но так как форум был посвящён промышленной ИБ, я посчитал, что лучше углубиться в эту тему. Модератором первой части была руководитель направления индустриальных решений отдела развития продуктов компании «ИнфоТеКС» Марина Сорокина.
![](https://habrastorage.org/getpro/habr/upload_files/6bc/39c/45c/6bc39c45c5e33e62538dd8c276343100.jpg)
Начал сессию руководитель практики промышленной кибербезопасности Positive Technologies Дмитрий Даренский. Он поделился опытом отраслевых проектов по защите промышленных предприятий. Сильно углубляться в его доклад не буду. Мне удалось взять у него интервью, где затрагиваются темы из доклада. В этом интервью Дмитрий рассказывает о своём опыте работы в промышленной безопасности, о ситуации в ней и многом другом. Этот материал также опубликую позже.
После Дмитрия Даренского выступал руководитель направления АО «ИнфоТеКС» Александр Реунов. Он рассказывал о построении системы защиты технологических процессов предприятий, особенностях взаимодействия с иностранными вендорами в АСУ ТП и вариантах наложенных и встраиваемых средств защиты. Как представитель российского вендора он рассказал о новых решениях компании, программно‑аппаратных и программных. Кроме того, Реунов подчеркнул то, что можно назвать сквозной мыслью всего форума — это кратное увеличение атак на промышленный сегмент. Об этом говорили не только со сцены, но и представитель разработчика решений для кибербезопасности Дмитрий Даренский. Также Реунов говорил о просьбах заказчиков по импортозамещению разных устройств: от межсетевых экранов до TLS‑серверов для отозванных сертификатов.
Вторая сквозная нить форума — это импортозамещение оборудования ушедших из России фирм и технологическая независимость отрасли ИБ в РФ, в том числе и в промышленности. Причём эта проблема началась как раз год назад. У российского сегмента ИБ нашлись ответы на запросы заказчиков, однако не для всего оборудования и не для всего ПО. До сих пор наблюдаются проблемы, связанные с user friendly интерфейсом ПО и удобствами эксплуатирования ПО и ПАК, но это наменьшая проблема. Как раз второй день «Магнитки» начинался с панельной дискуссии о технологической независимости ИБ и импортозамещения.
После Реунова выступал заместитель руководителя отдела кибербезопасности АСУ ТП, Innostage Айрат Мухаметшин с докладом под названием «Анализ рисков информационной безопасности в АСУ ТП: что, где, когда и для чего. Экспертиза Innostage». Доклад был посвящён риск‑ориентированному подходу к защите систем промышленной автоматизации. В нём говорилось о проблемах построения кибербезопасности производства, модернизированного несколько раз, где представлены разные поколения устройств и разные поколения технологий. В своём докладе Мухаметшин также отметил рост инцидентов, связанных с ИБ в последнее время. В целом, доклад рассказывал о работе компании по экспертизе, построению ИБ и предпринятых конкретных шагах в этой части. Углубляться в доклад не буду, тем более, спикер на вопрос из зала — есть ли у них эти алгоритмы работы для отрасли — ответил, что это конкретно для их компании модель, и пока они делиться ей не будут. Возможно, в будущем они какую‑то часть представят, но не сейчас.
Заключительным в первой части второй сессии был доклад заместителя генерального директора АО «НИИАС» Андрея Галдина. Выступление Галдина было посвящено обеспечению безопасности информации в системах организации движения поездов. Рассказывал Галдин на примере движения поездов на московском центральном кольце в беспилотном режиме. Сразу хочется оговориться, что поезд ходит без машиниста в тестовом режиме и без пассажиров, однако находится в общем графике движения поездов. Эту систему и решено было рассматривать как АСУ ТП.
По словам Андрея Галдина, после создания системы мониторинга движения поездов в реальном времени, позволяющей менять график поездов, возникла идея создать беспилотный поезд с подключением к этой системе. Подключение было реализовано через радиоканалы связи, именно тут возникла проблема в ИБ. При подключении все уязвимости, связанные с каналом, сразу перешли на всю тестовую систему беспилотного поезда. С этого момента специалисты по функциональной безопасности начали совместно работать со специалистами по ИБ. Они пришли к выводу, что есть очень мало совместимых средств защиты информации и функциональной безопасности. Поэтому специалистам обеих областей пришлось искать компромисс. Решение было создано, но докладчик не рассказал детали.
Потом был перерыв, после него сессия «Кибербезопасность АСУ ТП» продолжилась, но у неё поменялся ведущий, им стал Дмитрий Даренский. Полное видео сессии тут.
Если подводить итоги первого дня «Магнитки», то форум можно разделить на три большие части. Первая — это сессии, больше подходящие для бизнеса и компаний, интересующихся ИБ‑решениями в промышленной отрасли. Очень много рассказывали про экспертизу, про опыт работы и взаимодействия с промышленными объектами. Вторая часть вытекает из первой — это стенды, где можно познакомиться с ИБ‑решениями и аппаратной частью. Третья часть — это мастер‑классы и дискуссии технических экспертов. Последняя часть важна для специалистов, кому ещё предстоит столкнуться со спецификой ИБ в промышленности.
Второй день форума по информационной безопасности «Магнитка» открыла панельная дискуссия «Технологическая независимость как основа информационной безопасности или не про полимеры». На ней обсуждалась технологическая независимость РФ и то, какой будет уровень импортозамещения к 2025 году. Согласно прогнозам, программное обеспечение будет импортозамещено на 80%, а вот с техникой всё хуже — только 40%. Но один из спикеров отметил, что вряд ли даже эти значения будут достигнуты. После перерыва было ещё несколько дискуссий и мастер‑классов. Но я не смог присутствовать на них, так как у меня было запланировано интервью с Дмитрием Даренским. После разговора с ним я прошёлся по стендам выставки.
![](https://habrastorage.org/getpro/habr/upload_files/ecc/291/9c9/ecc2919c98bdafbb02b142496f4a59c9.jpg)
Кроме двух стендов, я обошёл всё. На одном мне отказались рассказывать о компании, на втором просто никого не было. Основных вопросов у меня было три: что за компания и чем занимается, если представляет ПО, то оно полностью своё или переделанный open source, и третий вопрос был связан с увеличением запросов на ИБ‑решения.
Немного расскажу про все стенды, что обошёл.
![](https://habrastorage.org/getpro/habr/upload_files/cc5/d59/670/cc5d5967024a71000b1270c1dbd6ed1b.jpg)
Начал я со стенда «С‑Терра». Компания занимается выпуском криптошлюзов на базе платформ Aquarius, Kraftway, «АТБ‑Электроника», как на зарубежных вендорах, каких, представитель не уточнил. Кроме шлюзов, у компании есть ещё решения по обнаружению атак, TLS‑сервер и всё, что связано с защитой каналов связи.
Далее я пошёл на стенд компании «Индид» (не путать с Indeed). У компании несколько продуктов: многофакторная аутентификация и PAM‑решения (решения по разграничению прав доступа к IT‑структурам). После стенда «Индид» я пошёл к стенду компании «Цибит». Как рассказал представитель на стенде «Цибит» занимается организацией помощи компаниям в получении лицензий ФСБ и ФСТЭК, помощью в получении лицензий для работы с гостайной, аттестацией объектов информатизации, проведением категорирования КИИ, проведением аудитов по ГОСТу 57 580, тестированием на проникновения и профпереподготовкой специалистов ИБ и IT.
Далее меня заинтересовал стенд Ideco, так как в моём недавнем прошлом IT‑специалиста мне приходилось сталкиваться с их оборудованием и ПО. На «Магнитке» они представляли решение Ideco UTM. По словам представителя компании, это решение занимается защитой и организацией защиты информационных сетей. Решение Ideco целиком программное. Ядро платформы создано на основе Linux и переработанных open source‑решений.
Потом я пошёл на стенд Qiwi‑банка. Самый неожиданный стенд, если рассматривать с точки зрения промышленного IT‑форума. Однако если знать, что «Магнитка» была банковским форумом — ничего удивительного. Также Qiwi‑банк — один из спонсоров форума. Больше рассказывать нечего, с Qiwi‑банком все знакомы. Об используемых российских решениях в IT‑инфраструктуре компании представители не рассказали. Из забавного: на стенде можно было получить игрушку‑маскота за визитку.
Далее располагался стенд «Ай‑Ти Бастион». Компания представляла решения, связанные с СКДПУ, PAM‑системы с функцией поведенческого анализа. Потом я пошёл к самому большому и заметному стенду от компании Positive Technologies. На нём были представлены три продукта: PT Network Attack Discovery для обнаружения угроз, сложных целевых атак и проведения экспертного расследования по копии сетевого трафика, PT Industrial Security Incident Manager для анализа трафика сетей АСУ ТП и поиска следов нарушений ИБ и кибератак. Третий продукт, про который мне рассказали, это PT Application Inspector — инструмент для выявления уязвимостей и тестирования безопасности приложений. Кроме того, каждый желающий мог поучаствовать в интерактивной игре «Взломай Positive Technologies за 60 секунд». Компания была генеральным партнёром форума.
![](https://habrastorage.org/getpro/habr/upload_files/a5e/95f/52b/a5e95f52bccdca4983383be43931dc4e.jpg)
Рядом со стендом Positive Technologies был стенд IBS Plafomix. Эта компания существует на рынке давно, занимается поставками оборудования и проектными решениями. Следующий стенд принадлежал компании ARingteg, пришедшей на форум с двухконтурным АРМ «Врата» и разработкой ARzip (надстройку над DLP‑решениями). Двухконтурный АРМ представлял собой два компьютера плюс переключатель для корпоративной и технологических сетей. Комплектация ПК не была уточнена.
Далее располагался стенд Security Vision, на котором были представлены различные программные решения компании. После Security Vision я пошёл на стенд компании Infowatch, рассказывающей про свой DLP‑трафик монитор и Infowatch Arma NGFW. Последний может быть в формате ПАК и в формате ПО. Что за аппаратная часть в ПАК, представитель компании называть отказался.
После был совместный стенд Usergate и Axsoft. Как сказал представитель компаний, на форуме представлены межсетевые экраны следующего поколения. Решение поставляется ПАКом, но может быть и виртуальным. Какую аппаратную часть использует компания в своём ПАК, представитель не указал. Потом я пошёл на стенд Ngrsoftlab, представляющий программные решения: SIEM‑систему Alertix, платформу по поиску аномального поведения Dataplan и PAM‑решение Infrascope.
На последующем стенде компании Zecurion были представлены DLP‑решения. Компания также была одним из организаторов форума. Потом я направился к стенду компании RuSIEM, создающей одноимённое SIEM‑решение. Следующий стенд принадлежал компании Webmonitorx и с её продуктом по защите WAF (web application firewall), веб‑приложений и API‑разработку. Решение представляет собой переработанный fork ПО Wallarm.
Предпоследним был стенд компании «Актив», представляющей бренды «Рутокен» и Guardant. Думаю, многие IT‑специалисты знают эти бренды. На стенде были и аппаратные средства электронной подписи, аутентификации, защиты ПО и лицензирования. Последним был стенд компании «ИнфоТеКС». Она представляла свои промышленные решения. У компании есть и обычная линейка, но на форум они привезли только промышленные.
![](https://habrastorage.org/getpro/habr/upload_files/1dc/400/ec9/1dc400ec96f0c7518805c44b0ac90007.jpg)
Проанализировав ответы компаний, я узнал, что 80% ПО, представленного на форуме — это собственная разработка. В 15% случаев используются только некоторые open source решения, и только 5% — переделанный open source.
В случае ПАК и техники всё хуже, но и тут компании стараются хотя бы использовать свой дизайн плат или самих устройств (внутри и снаружи). К сожалению, часть комплектующих поставляется из‑за рубежа или решения собирается на фирмах, получающих комплектующие из‑за границы. Но, объективно, в ИБ ситуация с технологическими и ПО решениями обстоит лучше, чем в IT, хотя обе отрасли и связаны. Возможно, из‑за того, что как самостоятельная отрасль ИБ формировалась на основе требований госструктур и связанных с ними компаний, а может потому что ИБ‑компаний не так много, как IT‑компаний.
Также у всех выросли запросы на поставки. Однако тут и понятно: очень много зарубежных ИБ‑вендоров ушло, образовавшуюся пустоту надо занимать, заказчикам нужны решения с поддержкой. Причём поддержка нужна больше, чем само решение. Подводить итоги второго дня вряд ли стоит — они продолжают итоги первого дня.
Если подводить итоги всего мероприятия, то обсуждение вопросов ИБ, связанных с бизнесом, с самой отраслью, не заканчивалось ни на секунду. Охарактеризовать обсуждение можно как развитие бизнеса ИБ в отраслях, где раньше об ИБ думали во вторую или третью очередь. Поэтому перепрофилирование форума пошло на пользу, по моему мнению. Банковская отрасль с точки зрения ИБ укреплена лучше, чем промышленная. Фраза, что прозвучала на одной из сессий — «А мы не думали, что нас будут атаковать» — показывает, какие первоочередные проблемы были у промышленной индустрии.