Патчить АСУ ТП трудно, но жить без режима обновлений ещё опаснее

Разговор об обновлениях в промышленных системах почти всегда заходит в тупик по одной схеме. Команда информационной безопасности говорит: "Уязвимость критическая, нужно патчить". Инженеры эксплуатации говорят: "Патч на работающую линию мы не поставим, это риск остановки". Оба правы. И оба стоят на месте.

Я видел эту ситуацию в разных вариациях. Обычно она не разрешается сама по себе. Она либо разрешается через совместную работу, либо консервируется до следующего инцидента.

Почему АСУ ТП - это особый случай

Промышленные системы управления проектировались под другие приоритеты, чем корпоративный ИТ. Там главное - непрерывность и предсказуемость. Тезис о том, что безопасность АСУ ТП нельзя считать чужой проблемой, убедительно поставил инцидент со Stuxnet - сегментация была первым жёстким уроком, а обновления - следующим. Остановка линии на 4 часа для обновления программного обеспечения - это не абстрактный риск, а вполне конкретные потери.

Кроме того:

• производители АСУ ТП часто выпускают обновления редко и с задержкой;
• тестирование патча на живой системе практически невозможно без стенда;
• гарантия поставщика может аннулироваться при несанкционированных изменениях;
• многие системы работают под управлением операционных систем, поддержка которых уже прекращена.

Это не повод ничего не делать. Это контекст, в котором нужно работать.

Что происходит, когда режима обновлений нет

Отсутствие режима обновлений - это не нейтральная позиция. Это накапливающийся долг:

• уязвимости в компонентах не устраняются годами;
• никто точно не знает, какие версии программного обеспечения реально установлены;
• при инциденте непонятно, было ли это следствием известной уязвимости;
• регулятор или страховщик задаёт неудобные вопросы о состоянии системы.

Риск остановки от патча реален. Риск от отсутствия патчей тоже реален - просто он менее видимый и менее срочный, пока не случится что-нибудь конкретное.

Как выстроить рабочий режим

Практический подход, который работает, строится не на "патчить всё немедленно", а на управляемом процессе:

Инвентаризация и приоритизация. Сначала нужно знать, что реально установлено. Какие версии, какие компоненты, какие из них имеют известные уязвимости с высоким рейтингом. Без этого любое обсуждение абстрактно.

Тестовый стенд. Для критических систем - отдельная среда, максимально близкая к боевой, где патч можно проверить до применения. Да, это стоит денег. Это всё равно дешевле незапланированной остановки.

Окна обслуживания. Обновления планируются на плановые остановки - их обычно и так есть. Это значит, что ИБ должна знать расписание, а эксплуатация должна включать обновления ПО в план технического обслуживания.

Компенсирующие меры. Для уязвимостей, которые нельзя закрыть патчем прямо сейчас - изоляция, мониторинг, ограничение сетевого доступа. Это не замена патчу, но снижение риска до следующего окна обслуживания.

Где проходит граница между ИБ и эксплуатацией

Главная точка конфликта - это то, кто принимает решение. ИБ говорит "надо", эксплуатация говорит "нельзя". Это не спор о технических деталях - это спор о приоритетах, и его не решить технически.

Решение - общий документ с критериями: какие уязвимости требуют немедленного действия вне зависимости от обстоятельств, а какие могут ждать следующего планового окна. Этот документ должен быть подписан обеими сторонами и, желательно, руководством.

Без этого каждый раз будет одна и та же пауза.

Несколько вопросов для проверки текущего состояния

1. Знаете ли вы точные версии программного обеспечения на всех узлах АСУ ТП прямо сейчас?
2. Есть ли у вас тестовый стенд хотя бы для ключевых компонентов?
3. Включены ли обновления ПО в план планового технического обслуживания?
4. Есть ли согласованный список уязвимостей, требующих немедленного реагирования?
5. Когда последний раз проверялась процедура восстановления после обновления?

Если больше двух ответов "не знаю" или "нет" - режима обновлений фактически не существует. И первый шаг - не патч, а разговор между ИБ и эксплуатацией с целью построить этот режим.