Скрытая цена безопасности: когда лаборатории работают как дата-центры

В этом интервью для Help Net Security Рич Келлен, вице-президент и директор по информационной безопасности в IFF, объясняет, почему командам безопасности не следует относиться к лабораториям АСУ ТП как к ИТ-средам. Он обсуждает, как компрометация может нанести ущерб научной целостности и создать риски для безопасности, которые не устранить резервными копиями.

Келлен также описывает, как выглядит «достаточно хорошая» видимость в АСУ ТП, почему компенсирующие меры контроля могут дать обратный эффект и как сотрудничество с учёными улучшает результаты в области безопасности.

Во многих компаниях кибербезопасностные модели, рождённые в ИТ, без изменений переносятся на операционные технологии и лабораторные среды. Хотя это делается с благими намерениями, такое расширение является одним из самых распространённых источников скрытого риска для научно-ориентированных организаций.

Лаборатории — это не миниатюрные дата-центры, а системы АСУ ТП — не просто «особый ИТ». Отношение к ним как к таковым создаёт ложные эквивалентности, которые незаметно подрывают научную достоверность, безопасность и доверие регуляторов. Самое опасное из этих заблуждений — предположение, что восстановимость в АСУ ТП аналогична восстановимости в ИТ. В ИТ системы считаются заменяемыми, их состояния обратимы, данные восстанавливаемы, а пользователи терпимы к задержкам.

Ни одно из этих условий не работает в лабораториях. В лаборатории система — это эксперимент, и её состояние часто недетерминировано и невозможно воссоздать. Восстановление системы не восстанавливает истину, а такие факторы, как температурные кривые, временные окна реакций и калибровочный дрейф, делают синхронизацию по времени столь же критичной, как и доступность. Система, возвращённая в работу, может уже сделать недействительными месяцы труда.

К другим рискованным допущениям относится приравнивание доступности к времени безотказной работы, поскольку в лабораториях «доступная, но неверная» система гораздо опаснее, чем отключённая. Возможность обновления также отличается: обновления АСУ ТП ограничены циклами валидации, регуляторными требованиями и процессами повторной калибровки, а не окнами технического обслуживания ИТ. И намерения пользователей кардинально разнятся; учёные обходят средства контроля не по небрежности, а для защиты целостности эксперимента в условиях дедлайна. Меры контроля, разработанные для устойчивости ИТ, могут непреднамеренно повысить научные риски и риски безопасности в АСУ ТП.

Когда компрометация затрагивает лабораторию, традиционные модели оценки ущерба для ИТ, такие как минуты простоя, потеря данных или нарушения SLA, не отражают того, что действительно важно. В научно-ориентированных средах, подобных IFF, оценка воздействия должна сместиться с метрик, ориентированных на услуги, к последствиям, ориентированным на результат. Невалидированные исследования, ложноположительные или ложноотрицательные результаты, регуляторные риски из-за поврежденных данных, потеря прав собственности или происхождения данных, а также риски для физической безопасности — всё это представляет собой значительные и часто необратимые последствия.

Если план реагирования на инциденты предполагает, что «восстановление из резервной копии» является достаточной мерой, он принципиально неполон для лабораторий. Восстановление без уверенности в целостности и прослеживаемости научных данных — это не восстановление, а усиление рисков.

Недавно IFF получила сертификат соответствия ISO/IEC 27001. Эта система и сертификация устанавливают формальную, поддающуюся аудиту Систему управления информационной безопасностью (СУИБ), которая по своей сути основана на оценке рисков. Это гарантирует, что средства защиты в средах АСУ ТП и лабораторий выбираются, расставляются по приоритетам и поддерживаются исходя из влияния на бизнес, а не из общих требований соответствия. В рамках этой системы реестр рисков служит центральным механизмом для выявления специфических активов, угроз, уязвимостей и потенциальных операционных, безопасностных и регуляторных последствий для АСУ ТП и лабораторий, что позволяет принимать обоснованные и защитимые решения в области безопасности.

В средах АСУ ТП полное обнаружение и исчерпывающая инвентаризация активов редко бывают практичными или желаемыми. «Достаточная видимость» означает понимание того, какие системы взаимодействуют, почему они это делают и как изменения могут повлиять на научные результаты или безопасность. Эффективная видимость позволяет командам быстро обнаруживать неожиданное поведение и отвечать на ключевые вопросы, например: «Какие эксперименты окажутся под угрозой, если затронуть эту систему?»

Когда операторы и учёные доверяют модели видимости, она становится надёжной основой для принятия решений; теоретическая видимость, существующая только на бумаге, не поддерживает реальные операции. Цель — достичь такого уровня понимания, который обеспечивает целостность данных, защищает безопасность и учитывает реалии научных рабочих процессов.

Компенсирующие меры контроля незаменимы в ограниченных средах АСУ ТП, однако без постоянного управления они могут незаметно превратиться в уязвимости. Риски возникают, когда о контролях забывают, когда ручные операции зависят от единственного специалиста или когда сетевая сегментация блокирует критически важную диагностику. Промежуточные серверы могут стать едиными точками отказа, а «временные» правила межсетевого экрана часто переживают оборудование, для защиты которого были созданы.

Компенсирующий контроль превращается в проблему, когда его невозможно проверить без нарушения рабочего процесса, когда он препятствует модернизации, воспринимаясь как постоянное решение, или когда вероятность его отказа превышает риск, для смягчения которого он был внедрён. В среде АСУ ТП накопленные проблемы безопасности редко проявляются до момента сбоя, который обычно происходит тогда, когда надёжность важнее всего.

Партнёрство с заинтересованными сторонами — ключ к формированию позитивных результатов в области безопасности, поддерживающих инновационную деятельность IFF, ориентированную на будущее. По моему опыту, когда учёные чувствуют, что безопасность навязывается, а не создаётся совместно, неизбежно появляются обходные пути, безопасность может восприниматься как препятствие для открытий, а риски уходят в тень.

Отношение к учёным как к заинтересованным сторонам полностью меняет динамику: риски в нестандартных ситуациях выявляются раньше, сигналы становится проще отличить от фонового шума, а меры контроля начинают соответствовать реальным рабочим процессам науки. Доверие заменяет обходные манёвры.

Успешная безопасность в лаборатории защищает эпистемическую целостность — фундаментальный вопрос о достоверности полученного результата. Она уважает ограничения научного метода и признаёт операторов союзниками, которые разделяют ответственность за сохранность данных и безопасность. Программы безопасности, игнорирующие миссию учёного, неизбежно терпят неудачу — тихо, дорого и часто слишком поздно для исправления.