Rambler's Top100
 
Статьи ИКС № 1 2022
Сергей СЕНЮТИН  04 февраля 2022

Защита ИСУ электроэнергии: не опоздать и правильно построить

От электричества зависят практически все аспекты нашей жизни: от тепло- и водоснабжения до торговли, финансов и т.д. Поэтому система учета электроэнергии, которая, как и любая автоматизированная система, уязвима, представляет особый интерес для злоумышленников.

В последние годы одной из основных тенденций развития сектора энергетики в России стала интеллектуализация систем учета. В 2018 г. был подписан Федеральный закон «О внесении изменений в отдельные законодательные акты РФ в связи с развитием систем учета электрической энергии (мощности) в Российской Федерации», заложивший основы для внедрения интеллектуальных систем учета (ИСУ) электроэнергии.

Интеллектуальная система учета электроэнергии – это совокупность структурно объединенных компонентов и устройств, предназначенных для удаленного сбора, обработки и передачи показаний приборов учета (счетчиков). ИСУ обеспечивает информационный обмен, хранение показаний приборов учета электроэнергии и удаленное управление ее компонентами.

Интеллектуализация предполагает не только сбор данных об энергопотреблении с учетом тарифов, но и контроль качества электроэнергии, расчет величины потерь в силовом оборудовании и линиях электропередач. Предусмотрена и функция дистанционного отключения потребителей. Поскольку ИСУ – это автоматизированная система управления, которая влияет на технологический процесс передачи электроэнергии, то она подлежит категорированию и соответствующей защите.

Требования к защите информации ИСУ электроэнергии определены в Постановлении Правительства РФ от 19.07.2020 № 890, которым также установлена необходимость соответствия ИСУ требованиям безопасности критической информационной инфраструктуры (КИИ). 

А если не защищать?

Энергетический сектор занимает лидирующие позиции по количеству инцидентов ИБ. Так, еще в 2018 г. компания Positive Technologies в рамках Positive Hack Days провела соревнование по взлому элементов «умной» электросети Smart Grid. Задача атакующих заключалась в том, чтобы нарушить нормальный процесс учета электроэнергии в двух домах и повлиять на денежный баланс в биллинговой системе. За несколько часов система была успешно взломана.

В 2019 г. в Венесуэле произошло множество кратковременных и масштабных отключений электричества. Как показали расследования, одной из причин стали хакерские атаки.

Исходя из опыта взаимодействия с заказчиками Softline могу сказать, что и в России количество инцидентов в энергетической отрасли исчисляется десятками, но они практически никогда не становятся достоянием общественности. Для повышения эффективности атак злоумышленники могут нападать на небольших операторов, доставляющих электроэнергию на «последней миле».

Со второго полугодия 2021 г. начались проверки значимых объектов КИИ на предмет соответствия требованиям безопасности согласно закону № 187-ФЗ. Размер штрафов за невыполнение требований – от 500 тыс. руб. за каждое выявленное нарушение.

Последствиями отсутствия защиты ИСУ электроэнергии могут стать:
  • полное прекращение электроснабжения населения и объектов социальной инфраструктуры (организаций здравоохранения, банковской сферы, охраны правопорядка и т.д.);
  • значительные затраты на восстановление подачи электроэнергии потребителям;
  • потеря централизованного контроля над управлением автоматизированной системой коммерческого учета электроэнергии, в том числе полная или частичная потеря данных;
  • штрафы и пени за неисполнение обязательств гарантированной поставки электроэнергии;
  • внеплановые проверки со стороны ФСБ, ФСТЭК и прокуратуры с последующим привлечением к ответственности за невыполнение требований.
С чего начать?

Первыми шагами в обеспечении защиты ИСУ должны стать обследование инфраструктуры и ее категорирование в соответствии с Постановлением Правительства РФ от 08.02.2018 № 127. Далее подбираются средства защиты информации и проводится их пилотирование на предмет совместимости с инфраструктурой. При выборе системы защиты ИСУ, а также поставщика оборудования и ПО нужно учесть следующие моменты:
  • Архитектура ИСУ. На стадии проектирования необходимо стандартизировать способы обеспечения информационной безопасности и определить среды, интерфейсы и протоколы передачи данных. От грамотного подхода на этом этапе зависит простота использования, обслуживания и модернизации ИСУ, а также системы обеспечения безопасности.
  • SLA технической поддержки. Соглашение об уровне сервиса описывает параметры качества предоставляемой услуги. Для стабильной работы ИСУ особенно важны быстрое реагирование на запросы и исправление критических уязвимостей.
  • Возможность интеграции ИСУ со смежными системами. Возможность интеграции в систему новых средств создает потенциал для ее дальнейшего развития. Непоследовательность в построении системы приводит, как правило, к существенному увеличению затрат из-за поиска инструментов, подходящих к уже существующим решениям, или к отказу от ранее внедренных продуктов.
  • Доступ разработчика к ИСУ. Некоторые разработчики оборудования для проведения обновлений, снятия статистических данных и других операций осуществляют недекларированный доступ к элементам ИСУ напрямую. Такие действия – серьезное нарушение регламентов доступа к инфраструктуре. Их нельзя допускать, поскольку они могут стать причиной остановки работы системы и, как следствие, причинить значительный ущерб организации.
  • Отзывы о поставщиках. Рекомендуется ознакомиться с отзывами других пользователей рассматриваемых решений, чтобы избежать недобросовестного поведения поставщиков после внедрения ИСУ. Известны прецеденты значительного завышения цен, изменения условий договоров, отсутствия или затягивания сроков обработки обращений в службу техподдержки и т.д.
Дальнейшие шаги

После того, как технология построения и поставщик ИСУ выбраны, переходят к построению комплексной системы обеспечения информационной безопасности.

Система безопасности включает в себя три составные части:
  • техническая защита информационно-вычислительного комплекса и каналов связи;
  • система физической безопасности (система контроля и управления доступом, видеоконференцсвязь, дополнительный контроль и др.);
  • организация процесса обеспечения безопасности (организационно-распорядительная документация, ответственные лица и т.д.).
 Система защиты ИСУ

Затем выполняется корректировка средств защиты и детально описывается технический проект системы защиты ИСУ, а также разрабатывается организационно-распорядительная документация. При внедрении системы проводятся приемочные испытания, а соответствие организационной документации делается в компании обязательным.

* * *
С каждым годом в эксплуатацию запускается все больше ИСУ, и количество подключаемых к ним интеллектуальных приборов учета непрерывно растет. Пропорционально растет и потребность в безопасности и надежности их функционирования. Откладывать на завтра обеспечение защиты ИСУ нельзя.

Сергей Сенютин, руководитель группы по кибербезопасности в ПФО, Softline

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!