Энергетика – один из важных сегментов экономики страны и жизни ее граждан. Сложные механизмы, километры распределительных сетей, высокие мощности и потребности миллионов людей и производств в круглосуточном использовании ресурса. Кибератака на объекты этой сферы может иметь катастрофические последствия.
Информационная безопасность объектов энергетики – одна из приоритетных задач для государства и участников отрасли, особенно в последние годы. В этой статье я расскажу, каким угрозам подвергаются предприятия сферы и как их защищают.
Особая примета
Начнем с того, что энергетика не может производить пар, тепло и электричество впрок. Хотя технологии промышленных накопителей уже существуют и развиваются, они пока не получили широкого распространения. Поэтому, если происходит сбой в работе электростанции, это сказывается на снабжаемых ею объектах.
Помимо очевидных неудобств для населения в виде отключения света и понижения напряжения в розетках, опасность может грозить социально-значимым объектам (детские сады, школы и т.д.). Также перебои подачи энергии могут спровоцировать, в лучшем случае, простой предприятий, а в худшем, если речь заходит о непрерывно действующих организациях, приостановка деятельности которых приведет к невозможности возобновления их работы или возобновление работы которых будет возможно только при существенных затратах или создаст угрозу безопасности, здоровью и жизни людей, и крупным бедствием.
Распределительные сети позволяют снизить риск перебоев подачи электроэнергии. Для генерирующих предприятий устанавливается норма выработки, которая определяет, сколько энергии они должны отдать в сеть. В случае непоставки или недопоставки мощности, на генерирующее предприятие накладываются штрафы, а распределительная сеть стремится компенсировать недостаток за счет других участников. Однако данный защитный механизм в основном работает для крупных населенных пунктов, где присутствуют несколько генерирующих предприятий. В малых населенных пунктах непоставка или недопоставка мощности в распределительную сеть является существенной проблемой. Поэтому требуется прикладывать все меры для защиты от простоев и минимизации риска невыработки установленной нормы электроэнергии.
Не стоит забывать и про случаи, когда у объекта генерации (например, теплоэлектроцентрали) есть прямые потребители. Для них сетевые компании компенсировать простои не в состоянии. Помимо этого, сами сетевые компании не застрахованы от чрезвычайных происшествий. Если что-то произойдет с ними, вопрос доставки энергии потребителям станет первостепенным. Похожая ситуация и со сбытовыми компаниями, ведь именно на них лежит обязанность по доведению энергии до конечного потребителя, ее учету и тарификации. Учитывая это, электроэнергетика в целом, и каждый участник отрасли в отдельности – критичные объекты с точки зрения реализации возможных атак.
Чего опасаться
Теперь посмотрим, какие киберугрозы наиболее актуальны для отрасли. Если коротко, то те, которые могут привести систему в состояние «отказ в обслуживании», или к изменению параметров выработки энергии. Основные составляющие защиты информации — это обеспечение ее целостности, доступности и конфиденциальности. Например, оборудование, установленное на производственных подразделениях генерирующих предприятий, обменивается технологическими параметрами между собой. Для такой информации критически важными свойствами будут являться целостность и доступность, так как управление технологическим процессом генерации и распределения электроэнергии ведется непрерывно и осуществляется в реальном времени.
Искажение передаваемых параметров или задержка в их получении ведет к серьезным последствиям. Вспомним событие 2019 года, которое произошло в Венесуэле. Злоумышленники атаковали автоматическую систему контроля ГЭС «Эль-Гури», что привело к прекращению подачи электроэнергии на территории почти всей страны.
Не стоит забывать и про человеческий фактор. Работники энергокомпаний, помимо соблюдения техники безопасности, при работе на производстве должны соблюдать правила кибербезопасности. С одной стороны человеческий фактор может стать лазейкой для злоумышленников, с другой – правильно обученный и киберграмотный работник не допустит успешной кибератаки.
Взгляд сверху
Учитывая важность энергетической отрасли для государства, регуляторы уделяют отдельное внимание защите ее объектов. Напомню, что предприятия, функционирующие в сфере энергетики, согласно закону 187-ФЗ, являются субъектом КИИ. Также не стоит забывать про Указ Президента Российской Федерации от 30.03.2022 г. № 166, где говорится о необходимости отказа от иностранного программного обеспечения и оборудования на значимых объектах критической информационной инфраструктуры (ЗОКИИ), и переходе на аналоги от отечественных производителей до 1 января 2025 года. Во исполнение пункта 2 этого указа Правительство Российской Федерации приняло Постановление от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации». Данное постановление устанавливает правила перехода субъектов КИИ на преимущественное применение доверенных ПАК и определяет новый крайний срок: переход вступает в силу с 1 сентября 2024 года и осуществляется до 1 января 2030 года. Однако, учитывая масштаб электроэнергетической и других отраслей, которые располагают объектами КИИ, и необходимые для совершения перехода меры, даже с новым крайним сроком времени остается не так много.
Поэтому вопрос импортозамещения стоит довольно остро. Дело в том, что оборудование для сферы энергетики в большинстве своем иностранного производства. Крупнейшие технологические компании, такие как General Electric, Siemens, Schneider Electric и др., многие десятилетия создают оборудование и специализированное программное обеспечение (ПО), которое используется, в том числе, и в России. Отечественные производители сейчас активно наращивают необходимые навыки и производственные мощности, но на это нужно время. Из положительных примеров – недавно «Объединенная двигателестроительная корпорация» изготовила первую серийную газовую турбину большой мощности ГТД-110М. Агрегат успешно прошел испытания на Ивановских ПГУ и будет передан на ТЭС «Ударная» в Краснодарском крае.
Про автоматику на производствах тоже не забывают. Например, «КБ «АГАВА» выпускает шкафы автоматики и комплекты приборов, которые защищают котлоагрегат и автоматизируют работу на предприятии. Также развивается и контроллерное оборудование, используемое как при генерации, так и в электросетях. В качестве примера тут, компания «Энергомера» производит счетчики электрической энергии, которые поддерживают многотарифный учет, а также могут передавать измеренные параметры на диспетчерский пункт по контролю, учету и распределению энергии.
Помимо развития производства турбин, идет наращивание темпов в области создания специализированного ПО. В России при поддержке Минпромторга сформирована рабочая группа по созданию отечественной автоматизированной системы управления технологическим процессом (АСУ ТП). Предпринимаются попытки создать аналоги программно-технического комплекса Ovation от Emerson Electric Co., промышленных систем автоматизации Simatic от Siemens AG и др. Одним из таких стала программная платформа «Лацерта» от ООО «Лаборатория технологий автоматизации», которая, по заверениям создателей, не уступает иностранным продуктам.
Не стоит забывать про устаревание инфраструктуры на производственных подразделениях. Их модернизация ведет к большой финансовой нагрузке на организацию. Помимо закупки нового оборудования и ПО, требуется обучить персонал и произвести отладочные работы. Поэтому часто можно встретить устаревшие версии программного обеспечения и оборудования на производственных подразделениях.
Возвращаясь к теме, Минэнерго осознает сложившуюся ситуацию, и принимает меры по импортозамещению, регулярно обращаясь при этом к российским поставщикам ПО, в том числе и в ИБ-сфере, чтобы на основе полученной информации предлагать новые меры по решению проблем.
Чем защищаться?
В первую очередь нужно защитить внешний периметр сети. Базовым средством защиты информации (СЗИ) здесь являются межсетевые экраны. Новое поколение межсетевых экранов (Next-Generation Firewall, NGFW) позволяет не только осуществлять контроль и фильтрацию проходящего через него сетевого трафика. Такие решения включают антивирус, механизмы обнаружения и предотвращения вторжений (IDS/IPS), анализа трафика, применения политик безопасности на уровне отдельных приложений и многие другие функции, которые позволяют обеспечивать высокий уровень защиты от угроз.
В целом же следует развивать комплексную систему защиты, в которую, помимо NGFW, должны входить решения из целого ряда классов. Так, на законодательном уровне необходимы средства защиты информации от несанкционированного доступа, антивирусы, сканеры уязвимостей, средства криптографической защиты информации (СКЗИ) и VPN, инструменты доверенной загрузки и защиты виртуализации. Однако для продвинутого уровня защиты полезны будут также системы обнаружения угроз и реагирования на инциденты (EDR\XDR), обеспечения защиты от утечки данных (DLP), мониторинга и анализа ИБ-инцидентов (SIEM), защиты от целенаправленных атак (AntiAPT), анализа трафика (NTA), многофакторной аутентификации (MFA), аудита и защиты неструктурированных данных (DAG/DCAP) и пр. Разумеется, не каждому предприятию понадобится настолько полный комплекс решений, под каждый случай СЗИ подбираются индивидуально. Однако, чем более развита ИБ-инфраструктура, тем сильнее защита от киберугроз.
Еще одним ключевым моментом является обучение персонала правилам киберграмотности, во избежание появления простых паролей (например, 123456), установки не относящихся к работе приложений, например, стриминговых и игровых клиентов, и внесения изменений в политики безопасности. Важно, чтобы работники осознавали важность не только производственной, но информационной безопасности, и не нарушали ее.
Самым же сильным элементом защиты АСУ ТП будет максимальное ограничение доступа её компонентов к сети (как к интернету, так и к внутренней) и использование только самого необходимого для работы ПО.
Через тернии к безопасности
Основная проблема при внедрении СЗИ на предприятии – конфликт между средствами защиты и установленным ПО, который приводит к неработоспособности последнего. В моей практике был такой случай, когда возник конфликт между SCADA-системой и средствами защиты. Полностью исключить вероятность такого сценария невозможно. Причины могут быть разные – устаревшие программы, нюансы архитектуры АСУ ТП и др. Для минимизации последствий крайне рекомендуется, чтобы подрядная организация, которая осуществляет обслуживание АСУ ТП, также участвовала во внедрении СЗИ
Помимо этого, важно подробно изучать сертификаты совместимости средств защиты, установленного ПО и операционных систем. Особое внимание стоит обратить на версии, чтобы снизить риск возникновения проблем. Версия старше или новее – уже риск.
Помимо этого, нужно работать с самим персоналом производственных подразделений, т.к. бывают ситуации, когда сотрудники считают, что СЗИ не нужны. Нужно доносить до людей важность защиты, подробно отвечать на все вопросы, отрабатывать возражения, и проводить внедрение по прозрачному и понятному плану.
Желательно, чтобы внедрения проходили именно в моменты ежегодных запланированных работ по техническому обслуживанию оборудования. Да, это сложнее реализовать, т.к. необходимо детально проработать календарь работ, но это снижает риск возникновения проблем для потребителей электроэнергии.
Что дальше?
Итак, вы защитили периметр, обучили персонал, внедрили СЗИ, и теперь нужно построить работу дальше. В первую очередь следует поддерживать СЗИ в актуальном состоянии и стремиться к модернизации ПО и оборудования на производстве.
Что касается программного обеспечения, тут тоже должна исходить инициатива от государства. В настоящий момент требуется большое количество специалистов, которые обладают знаниями в области разработки ПО и понимают, как устроены SCADA-системы и АСУ ТП. Разработки должны проходить тщательное тестирование, а также учитывать разнообразие имеющегося сегодня оборудования.
Что касается новых производственных подразделений, то они уже сейчас создаются с использованием отечественного оборудования и программного обеспечения. Для импортозамещения уже существующих энергетическим предприятиям необходимы субсидии.
Вывод
Работа по защите электроэнергетики от киберугроз, безусловно, трудоемка на всех этапах. Помимо этого, отрасль подгоняет, пусть и отложенный до 2030 года новым постановлением Правительства РФ (№ 1912), но все-таки близкий крайний срок перехода на доверенные СЗИ. Все это ставит перед предприятиями масштабные задачи по внедрению, модернизации и поддержанию систем защиты, в условиях постоянно обновляющегося законодательства. Однако весь этот труд оправдан, т.к. последствия успешной кибератаки на объект энергетики могут привести к катастрофе.
Автор: Алена Парушкина, консультант по информационной безопасности iTPROTECT
Оригинал публикации на сайте CISOCLUB: "Защита от блэкаутов и катастроф – информационная безопасность в электроэнергетике".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
