Ну собственно об этом и речь. ИБшник вообще не увидит или не распознает как опасный инцидент повышение загрузки сети до 100% на 2 секунды. Поэтому эти метрики по здоровью сети должны так или иначе попадать к инженеру АСУ ТП для анализа. Для поставщиков ИБ это даст большой + к карме если они будут говорить заказчику что у них есть отдельные средства для инженера АСУ для мониторинга сети. Я за почти 20 лет в АСУ не встречался с системами мониторинга сетей, и если этот функционал зайдет на объект вместе с ИБ то будет гуд и для объекта и для поставщика ИБ.

Т.е. вы хотели сказать следующее: разработчики ИБ должны сделать модули интеграции в АСУ ТП, для более оперативного "чего-то".

По-моему, с 2018 года такие системы обязательны для АСУ ТП

Кстати, такие вещи позволяет делать ПО для промышленных коммутаторов, АСУТПшник к ним имеет доступ.

Из моей практики АСУшники сами по себе пока не занимаются таким анализом, хотя проблема уже нарастает.

Это уже политика - кто чем занимается или не занимается :) По факту - возможности есть

Если хотите моё мнение в части цпс и 61850 - автор статьи безусловно прав про сегментирование. Его просто нет во многих случаях. Зато есть необдуманная изоляция сегментов, которые по итогу сопряжены через непонятные дырявые коробки.. избыточное резервирование также есть. И про жертвование каналами связи правильно написано - появилось ощущение, что тебя ломают - изолируй РЗА и разбирайся..

На мой взгляд в статье и обсуждении выше есть некоторая подмена понятий. Мониторинг «здоровья» сети в ИТ-целях и в ИБ-целях, может проводиться одними и теми же техническими средствами, но это разные задачи и они требуют разных компетенций. А если их подвесить на АСУшника,  будет совсем беда..

МЭ вообще должен очень плотно интегрироваться в АСУ ТП.

Так неправильное проектирование ЛВС подстанций это отдельная проблема и лежит она явно не в плоскости ИБ.

В том числе. Но подход должен быть целостный. Сейчас некоторые проектировщики не буду показывать пальцем нацарапают, а к ИБ попадает проект когда уже всё . Защищай, Вася... А самый смак когда иб вообще не обговаривается, а потом заказчик резко переобувается и говорит что без иб не примет объект - делай СОИБ бесплатно.. и поставщик делает, только не СОИБ, а ПОИБ... Которую потом невозможно эксплуатировать и сзи отключают )))

Такая шляпа присутствует во всех отраслях народного хозяйства.

Что по ним может увидеть АСУТПшник?

АСУ ТП - как минимум один объект КИИ, значит требуется собирать события и анализировать, а об инциденте сообщать в нкцки. Думаю, оперативному дежурному точно не всё нужно, а вот центру мониторинга - критически важно. Учитывая, что МЭ это ещё и ids, антивирус и в идеале dpi технологических протоколов..

Добрый вечер. А все с проекотм указа президента согласны, о отечественном ПО в кии в "преобладающем" количестве?)

Про ИБ - вопросов нет, а зачем МЭ нужны в АСУ ТП я правда не понимаю :)

Как минимум, периметр, DMZ, потом сегмент с коллекторами SIEM, сегментирование на L3up составных частей. РЗА, ПА, АСУ. Изоляция сегментов в случае опасности. Но предметно говорить можно только со схемой.

Смысл нет отсекать что-либо в сети, если атака будет производиться из самой сети АСУ ТП, например, с АРМ-а оператора. Все равно потребуется останов
АСУ. А вот при обнаружении атаки извне - да. Но нужно ли для этого физическое устройство типа Ethercut?

Для начала проникните в саму сеть АСУ, если она в изолированном сегменте

Достоверно известно для широкой публики это удалось сделать без физического доступа только однажды, 0 дней до упоминания Stuxnet