Как доказать, что ИТ-специалист не враг?
Темы: IT
Как доказать, что ИТ-специалист не враг?
С менеджерами, организующими процессы продаж и доставки продукции, вроде бы как‑то договорились — они ради сохранности и защищенности данных готовы терпеть некоторые неудобства. Но как быть с производственниками, упорными и суровыми парнями, которые и создают материальные ценности Корпорации, производят продукты?
Их задача понятна: выпуск качественного продукта в срок и с минимальными затратами. Это непросто. Поэтому все дополнительные ограничения, которые пытаются на них наложить «белые воротнички», ИТ-специалисты, воспринимаются не очень позитивно и с долей иронии. Да и за что любить этих айтишников, мешающих выполнять основные производственные задачи?
Как доказать, что ИТ-специалисты не враги и искренне хотят помочь? Тем более что объектов для защиты на производстве более чем достаточно. Не меньше, чем в офисах. Не случайно многие атаки внешних «злодеев» направлены именно на захват управления технологическими линиями.
Очень часто там используется компьютерное оборудование, установленное вместе с самой линией. Мало того, что программное обеспечение этого оборудования устарело, но и «заточено» оно на производство продукции. О защите информации несколько лет назад, когда данная линия вводилась в строй, еще мало кто задумывался.
Производственные системы, сети и АСУТП отстают по скорости внесения изменений и, как следствие, хуже защищены. Вводя гигиенические требования по безопасности на производстве, а также дополнительно разделение сетей, мы существенно уменьшаем риски.
Кроме того, обновление «прошивок» в производственных контроллерах (это уже общий тренд и глобальная проблема) производится редко. Даже выявленные уязвимости («дырки») годами могут оставаться незакрытыми. Зачастую устаревший контроллер вообще нельзя обновить, его нужно менять. А это дорого, страшно и сложно, поскольку ведет к остановке и значительным изменениям в работе технологической линии.
При проектировании технологической линии или завода в целом ИТ-составляющей уделяется (или, точнее, уделялось до последнего времени) недостаточно внимания. Сети, выбор сетевого оборудования, архитектура ИТ-решений, каналы связи, серверы — все приобреталось по остаточному принципу.
Да еще и эксплуатируется это оборудование без профилактики и обновления с момента установки до момента физической смерти. Никто не задумывается ни о моральном, ни о физическом здоровье ИТ-оборудования на технологических линиях, и очень часто его обслуживание не попадает даже в «окна технологического ремонта».
Но времена меняются и на производстве. Для повышения качества управления нужен большой объем информации с технологических линий, поэтому одна из крупных наших бизнес-единиц внедрила у себя MES (Manufacturing Execution System) — систему управления производственными процессами.
Данные с технологических линий о расходе сырья и выпуске готовой продукции передаются в системы верхнего уровня, и, как следствие, возникает дополнительное требование к безопасности и надежности работы ИТ-оборудования на производственных линиях.
Современные линии требуют постоянного внимания не только от специалистов на заводах, иногда требуется удаленное подключение через Интернет к производителям контроллеров и модулей технологической линии. Задача ИТ-специалистов — сделать подобное подключение безопасным и удобным.
А что, если любознательный системный администратор на заводе в Хабаровске надумает поэкспериментировать и остановит работу технологической линии, к примеру, в Выборге? Фантастика? Нет. Совсем недавно подобный сценарий был у нас возможен. Сейчас нет. На централизованном уровне запущен «межсетевой экран» (для защиты сетей от проникновения).
Регулярные аудиты и тестирование решений по информационной безопасности (не стесняемся приглашать для этого лидеров отрасли) помогают выявлять проблемные или небезопасные технические или инфраструктурные решения на предприятиях. Фиксируем проблемы, мероприятия по их устранению (компенсации) попадают в план развития ИТ и ИТ-стратегию.
Забавный эпизод. Тестируя производственную сеть одного из наших заводов, мы обнаружили большое количество производственных компьютеров без паролей. Однако отсутствие паролей для учетных записей оказалось дополнительной защитой, так как выстроенная в Корпорации система по умолчанию не предоставляет доступ с пустыми паролями к критичным бизнес-ресурсам. Так что отсутствие пароля — не всегда зло.
По щелчку пальцев невозможно сделать все красиво и надежно, но многое уже предпринято для защиты технологических линий — начиная от жесткого разделения технологических сетей и сетей верхнего уровня, шлюзования потока информации между сетями и заканчивая управляемыми портами на сетевом оборудовании с целью контроля присоединения незарегистрированных устройств в технологические сети.
ИТ в Корпорации глубоко проникли во все процессы, в том числе производственные. Невозможно представить технологическую линию без компьютеров, мнемосхем на мониторах, управляемых сенсорных панелей. Растут требования к культуре общения с информацией и на производстве. Все сотрудники, работающие с информацией и за компьютерами, проходят комплексное обучение информационной безопасности, и производственники теперь не исключение.
