«Транснефть» решила отказаться от оборудования Schneider Electric, не дождавшись своевременной реакции французской компании на требования устранить «многочисленные критические уязвимости». Случай «Транснефти» стал первым отказом российской компании от услуг иностранного поставщика по причине промедления с устранением угроз кибербезопасности, констатируют эксперты. В Schneider Electric утверждают, что анализом проблемы сейчас занимается совместная рабочая группа.
АК «Транснефть» не будет использовать оборудование Schneider Electric из-за уязвимости их систем, передает «Интерфакс». Об этом сообщил первый вице-президент компании Максим Гришанин на экспертном совете «Противодействие киберугрозам при обеспечении безопасности объектов критической информационной инфраструктуры».
В 2016–2017 годах «Транснефть» сделала глубокий анализ защищенности автоматизированной системы управления технологическим процессом (АСУ ТП) и обнаружила «многочисленные критические уязвимости», сообщил господин Гришанин. «Информация об этом была доведена до производителя, но реакции пришлось ждать очень долго. Полгода пытались призвать к порядку, после неоднократных напоминаний дело сдвинулось. Ну а сейчас мы оборудование данного производителя запретили использовать для целей АСУТП в системе "Транснефти"»,— уточнил он. «Мы ежедневно сталкиваемся со случаями кибератак, причем в большом количестве. Все это вызывает серьезную озабоченность. Это очень чувствительная тема»,— подчеркнул президент компании Николай Токарев.
«Над анализом уязвимостей и выработкой оптимальных технических решений работает совместная рабочая группа,— сообщили “Ъ” в Schneider Electric.— У нас нет сведений о некорректной работе наших решений с решениями других поставщиков. Помимо "Лаборатории Касперского" мы активно и продуктивно работаем с компаний Infowatch и другими российскими поставщиками решений в области кибербезопасности. Многочисленные тесты подтверждают корректность совместной работы систем». Schneider Electric сотрудничает со специалистами «Транснефти» «на предмет выявления и устранения любых возможных уязвимостей наших систем». «Мы работаем с компанией “Транснефть” около 20 лет и очень дорожим этим сотрудничеством»,— отметили во французской компании.
Сейчас «Транснефть» комбинирует российские программные продукты с иностранными, так как подходящего компании российского продукта нет. Такая комбинированная система является неоптимальной, дорогой и громоздкой, однако пока необходимого уровня зрелости российские производители не достигли, констатирует Максим Гришанин.
Зарубежные решения, используемые на сложных производствах, действительно часто содержат неустраненнные уязвимости, говорит руководитель операционного направления центра мониторинга и реагирования на кибератаки Solar JSOC Антон Юдаков. «Дело в том, что с момента обнаружения уязвимостей до выпуска патча может пройти несколько лет, и еще несколько — до его установки на конкретном производстве (даже в случае оперативного устранения уязвимостей производителем)»,— поясняет он.
Кроме того, зарубежные производители не всегда идут на сотрудничество с разработчиками ПО в области информационной безопасности, предпочитая выпускать собственные решения, совместимые с их продуктами. Отечественные вендоры АСУ ТП в этом смысле выигрывают, поскольку оперативнее реагируют на запросы российских компаний, в том числе и в вопросах информационной безопасности. Однако в плане функциональности они действительно пока уступают зарубежным и на текущий момент не позволяют комплексно подходить к решению задач АСУ ТП, констатирует господин Юдаков.
При этом у многих производителей АСУ ТП недостаточно четко выстроены процессы реагирования на жалобы, связанные с уязвимостями, отмечает гендиректор компании «Код безопасности» Андрей Голов, поэтому довольно часто возникают ситуации, когда пользователь или исследователь обнаруживает уязвимость, но при этом вендор не хочет или не может в течение длительного времени эту уязвимость закрыть.
Случай с «Транснефтью» — первый, когда крупная российская организация отказывается от услуг западного производителя, потому что производитель не реагирует на требование вовремя закрыть уязвимость, уверен господин Голов. В связи с тем, что с 1 января 2018 года вступает в силу закон «О безопасности критической информационной инфраструктуры РФ», то подобный случай отказа от сотрудничества с иностранными производителями не будет последним, полагает он. «На место продуктов, которые не обеспечивают безопасность надлежащим образом, будут приходить конкуренты, которые более ответственно подходят к защите инфраструктуры и данных»,— полагает господин Голов.
Schneider Electric является разработчиком и поставщиком решений для энергетики, инфраструктуры, промышленных предприятий, объектов гражданского и жилищного строительства, а также центров обработки данных, указано на сайте компании.