Рубрикатор |
Статьи | ИКС № 2 2018 |
Александр БАРСКОВ  | 05 сентября 2018 |
Цифровая экономика начинается с безопасности ЦОДа
В ходе цифровизации экономики ИТ становятся неотъемлемой составляющей все большего числа производственных и бизнес-процессов. Соответственно, растут риски, связанные с нарушением безопасности ИТ-комплексов.
Всего пара примеров. При кибератаке на одно из нефтяных предприятий была отключена система мониторинга скорости закачки нефти в резервуар. Превышение предельной скорости закачки привело к электризации топлива и взрыву. Во время тушения пожара погиб сотрудник технической службы… Атака элементами Stuxnet на системы одного крупного предприятия вызвала простой конвейера в течение четырех-шести суток. Проблема повторялась. Финансовые потери – $1,2 млн в месяц…
Безопасность ИТ – это безопасность ЦОДов. Центров обработки данных в широком понимании: от гигантских мегаЦОДов и крупных корпоративных дата-центров до совсем небольших edge-ЦОДов, развернутых, например, на производстве. Когда лет пятнадцать назад мы ломали копья в дискуссиях, что же такое ЦОД, то пришли к выводу, что дело не в размере, а в важности для бизнеса. Даже самые большие, на сотни стоек, серверные остаются просто серверными, если они вторичны для компании. А маленький «эдж», например с контроллерами системы прокачки нефти, – это настоящий ЦОД!
Безопасность – это, конечно, современные технические решения – от СКУД со средствами биометрии до виртуализированных МСЭ. Но главное – не технологии, а процедуры и люди. Вместо того чтобы разрабатывать хитроумную систему взлома, проще и дешевле подкупить кого-нибудь из сотрудников. И он принесет вам желанную информацию на флешке «с голубой каемочкой» или откроет лазейку для атаки на информационную систему.
Важно разработать и реализовать процедуры, сводящие к минимуму пресловутый человеческий фактор. Одно из направлений – автоматизация. Впрочем, здесь важно не переусердствовать. Пусть автоматика берет на себя весь мониторинг и оповещение о негативных трендах, однако ключевые решения, к примеру об отключении или смене режима работы кондиционеров, лучше доверить людям. Другое направление – разделение зон доступа. Скажем, инженеров по обслуживанию климатического оборудования лучше не пускать в зал с ИТ-оборудованием, ну а айтишникам нечего делать в помещениях с «инженеркой».
Сегодня проблемы, связанные с безопасностью ИТ, приводят к огромным финансовым и репутационным потерям, зачастую невосполнимым, и даже к человеческим жертвам...