Rambler's Top100
Статьи
Николай НОСОВ  13 марта 2019

Безопасность КИИ в энергетике – время для проектов

Масштабные отключения света в Венесуэле, причиной которых, по утверждению местных властей, стали кибератаки на автоматизированные системы управления энергосистемой, вновь привлекли внимание к теме кибербезопасности инфраструктуры нашей страны.

В целом реализация 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» идет, но многие игроки рынка по-прежнему занимают выжидательную позицию. Так, согласно данным, приведенным на Национальном форуме информационной безопасности «Инфофорум-2019» компанией «Код безопасности», треть заказчиков еще не приступила к категорированию и только 3% занялись созданием систем защиты КИИ.

При этом у половины компаний есть вопросы, касающиеся выполнения конкретных мер защиты. По сей день не закончилось формирование нормативных правовых актов, нет методических рекомендаций, помогающих безопасникам разобраться в потоке зачастую дублирующих друг друга документов, не хватает ресурсов для проведения работ по выполнению 187-ФЗ.

Тем не менее появились и лидеры – 18% компаний уже завершили категорирование и приступили к разработке проектов по реализации мер защиты. Полученным опытом и рекомендациями поделились эксперты на секции, посвященной безопасности КИИ в энергетике.

Первоочередные меры

На первоочередные технические и процессные меры по обеспечению безопасности КИИ обратил внимание руководитель направления продаже сетевых решений компании «Код Безопасности» Александр Немошкалов. Среди процессных мер эксперт отметил не только выделение инцидентов ИБ и реагирование на них, но и стандартные рекомендации по обеспечению информационной безопасности – разделение полномочий системного администратора и администратора ИБ, своевременную установку обновлений и исключение слабых паролей.



Александр Немошкалов напомнил о необходимости технических решений: сегментирования системы с выносом критически важных для работы систем в отдельный сегмент; контроля мобильных устройств и точек доступа; управления настройками и конфигурацией систем и отсутствия на АРМ конфигурационных файлов сетевого оборудования. Рекомендации не новые, но на практике они реализуются далеко не всеми компаниями, в том числе из-за отсутствия в штате квалифицированных специалистов по ИБ.

Первые рабочие проекты

Нехватку собственных специалистов по безопасности КИИ могут компенсировать внешние организации, по крайней мере на стадиях предпроектного обследования, моделирования угроз и разработки систем защиты. О примере практической реализации требований 187-ФЗ в одной из компаний электросетевого комплекса страны рассказал руководитель направления защиты АСУ ТП «Ростелеком-Solar» Владимир Карантаев.

В ходе работ было изучено 259 объектов заказчика (подстанции разного класса напряжения, структурные подразделения и связанные с ними системы), 33 процесса основной деятельности и более 200 систем заказчика. «Ростелеком-Solar» выделила 15 объектов защиты: пять значимых объектов КИИ и 10 объектов без категории значимости, для которых собственник решил обеспечить защиту. Компания провела очное и заочное (с опросными листами) обследование объектов, в соответствии с приказом ФСТЭК от 22.12.2017 № 236 составила акты о категорировании и сформировала модели угроз по методике, рекомендованной регулятором.

После этого «Ростелеком-Solar» разработала подсистемы безопасности, релевантные выделенным актуальным угрозам, и выбрала технические средства защиты. В ходе работ рассматривались три варианта тестирования выбранных средств защиты на совместимость с системами АСУ заказчика: стенд на стороне заказчика; инфраструктура на стороне вендора АСУ ТП; и тестирование на реальной инфраструктуре заказчика. В итоге остановились на самом сложном варианте – развертывании на реальной сетевой инфраструктуре энергетической компании.

«Мы одни из первых в отрасли рассмотрели возможность использования в проекте обеспечения безопасности КИИ встроенных средств защиты информации систем АСУ ТП и телемеханики субъектов электроэнергетики», – отметил Владимир Карантаев.

В результате заказчик получил технический проект подсистем безопасности 15 объектов и корпоративный проект ГосСОПКА (системы обнаружения, предупреждения и ликвидации последствий компьютерных атак).

Выявленные проблемы

Работа над проектом выявила ряд проблем. Компания использовала межсетевые экраны, производители которых заявляли о поддержке наиболее массово используемого в инфраструктуре протокола МЭК 60870-5-104. Оказалось, что его реализация у каждого вендора систем телемеханики имеет свою специфику, что не учитывается вендорами СЗИ.

Кроме того, в реестре ФСТЭК практически нет сертифицированных по типу «Д» (уровень промышленной сети) межсетевых экранов самого высокого класса защиты, да и те, которые есть, зачастую не поддерживают характеристик, заявленных производителем.

Остро стоит проблема нехватки кадров в регионах, где трудно найти достаточное количество квалифицированных специалистов разного профиля для создания структурного подразделения по безопасности в соответствии с приказом ФСТЭК № 235 от 21.12.2017. В решении «Ростелеком-Solar» проработана возможность сопровождения системы и предоставления услуг корпоративного центра ГосСОПКА по сервисной модели. SOC, предоставляющий АСУ ТП услуги по сервисной модели, -- хороший вариант для компаний, не имеющих своих специалистов по ИБ.

По утверждению эксперта, это первый проект для энергетики, в котором удалось пройти все этапы построения КИИ в соответствии с 187-ФЗ и дойти до этапа построения технорабочего проекта. Взаимодействие с вендорами АСУ ТП позволило создать типовой проект обеспечения безопасности КИИ для сетевых энергетических компаний, включающий использование встроенных систем безопасности АСУ ТП.

Взгляд Минэнерго

В Министерстве энергетики сознают наличие проблем в обеспечении информационной безопасности энергетических объектов страны. Как сообщил директор департамента оперативного контроля и управления в электроэнергетике Минэнерго России Евгений Грабчак, ведомство сформировало требования по кибербезопасности энергетических установок.

Среди выделенных угроз – встроенные в энергосистемы вендорами возможности удаленного контроля и управления: такие возможности есть, например, в газовых турбинах Siemens и GE. Даже мониторинг объемов выработки электроэнергии с географической привязкой установки к местности представляет угрозу национальной безопасности страны. Так, если установка расположена рядом с военным заводом, то по объему потребленной электроэнергии можно оценить объемы производимой им продукции.

Часть проблем решает импортозамещение в машиностроении и использование российского ПО. Важную роль может сыграть принятие закона о хранении технологических данных, несущих угрозы энергетической безопасности, на территории страны (по аналогии с внесением поправок в закон «О персональных данных») – они нужны российским разработчикам для повышения точности предикативных моделей. Но основной вклад внесут специалисты по кибербезопасности – работы, проводимые в рамках выполнения требований 187-ФЗ, должны гарантировать, что события в энергосистеме Венесуэлы не повторятся в нашей стране.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!