— Евгений Леонидович, тема защиты информации в промышленности далеко не нова, но сейчас дискуссия, очевидно, выходит на новый уровень. На конференции звучит термин «киберустойчивость». В чем принципиальное отличие от уже ставшей нам привычной «информационной безопасности»? Почему этой теме посвящена конференция и почему именно сейчас?
— Классическое определение информационной безопасности касается непосредственно информации: ее целостности, конфиденциальности и доступности. Процесс цифровой трансформации обусловлен происходящим сегодня резким смещением информационной составляющей от ИТ-процессов в промышленную инфраструктуру. Это значит, что с помощью информационных решений становится возможно управлять физическими активами — как различными переключателями на подстанции, так и более сложными многоступенчатыми решениями, которые управляют, например, тепловой генерацией или другими объектами. В результате на первый план выходит обеспечение безопасности как непосредственно эксплуатационного персонала, так и населения, проживающего поблизости, при условии достижения бизнес-целей реализуемых производственных процессов.
Исторически понятие устойчивости всегда существовало в технологическом развитии человечества. Но почему сегодня появился термин киберустойчивость? В общем смысле он определяется как способность системы обеспечивать реализацию бизнес-целей в условиях различного рода информационных воздействий. Это могут быть продуманные воздействия хакера, когда специальным образом атакуются системы. Или могут быть просто ошибки персонала, который недостаточно освоился с новой цифровой реальностью. Но, тем не менее, результаты этих воздействий могут носить достаточно тяжелый характер. К сожалению, как и любая новая технология, цифровизация сегодня переживает лишь стадию становления.
И когда, например, меняется обычное реле на цифровой терминал релейной защиты, технологи проверяют, насколько корректно работает новый терминал, те же действия при тех же внешних условиях, как и классическая релейная защита. Конечно, цифровой терминал работает быстрее, эффективнее, обеспечивает визуализацию информации. Все это красиво, удобно и вроде бы надежно.
Но при этом появляются новые возможности воздействия на эти процессы, к сожалению, на первых порах необходимость оценки этого зачастую упускали из вида. И сейчас очень важно перейти от понимания функциональной взаимозаменяемости к более серьезному анализу возникающих рисков: какими из них можно управлять, каким образом еще на этапе проектирования систем можно предусмотреть различные методы снижения этих рисков. Если резюмировать и дать короткий ответ на ваш вопрос, информационная безопасность сегодня — это про информацию и ее защиту, тогда как термин киберустойчивость предполагает обеспечение устойчивости технологических процессов.
Да, с информацией может что-то случиться, ее могут украсть и попытаться как-то использовать. Но непрерывность процессов, информационных или производственных, должна быть обеспечена, например, за счет дублирования или других методов.
Что характерно для текущего момента? Мы переживаем очень интересный переходный период, период осмысления. Если брать общую рисковую модель любого предприятия, мы сегодня из общей модели берем только часть рисков, в основном оперируем риском наличия требований государства, административных требований в виде законодательства, приказов и так далее, которые имеют прямое воздействие на бизнес. Если мы их не выполняем, то, соответственно, будут какие-то последствия со стороны государства или надзорных органов, которые государство к этому уполномочило. Однако эти риски не исчерпывают всю рисковую модель цифровых решений.
Вот, вышел, например, очередной закон. И все оказываются в ситуации, похожей на сказку о рыбаке и рыбке, у разбитого корыта: нужно срочно что-то делать, и это уже требует значительных вложений. Понятно, это можно было сделать давно, в течение 5–6 лет, а тут тебе надо сделать быстро и совсем за другие деньги. Эффективный бизнес, в том числе в энергетике, в условиях цифровой трансформации должен постоянно работать над обеспечением информационной безопасности и киберустойчивости, должен отслеживать критически важные параметры, учитывать риски потери прибыльности или ожидаемой доходности бизнеса, а не только реактивно реагировать на изменения законодательства.
Информационная безопасность сегодня — это про информацию и ее защиту, тогда как термин киберустойчивость предполагает обеспечение устойчивости технологических процессов.
С информацией может что-то случиться, ее могут украсть и попытаться как-то использовать. Но непрерывность процессов, информационных или производственных, должна быть обеспечена, например, за счет дублирования или других методов.
— Цифровизация промышленности неизбежно ведет к необходимости переосмысления подхода к информационной безопасности в отрасли. Насколько рынок и его участники — предприятия, регуляторы, вендоры — готовы к новому этапу? Чем обусловлена такая необходимость?
— Пока, по моей субъективной оценке, готовность достаточно низкая. Вопрос даже не в чьем-то желании или нежелании это применять, а в устоявшейся корпоративной культуре. Начиная с обучения в вузах и далее на производстве функциональное распределение выстраивалось на базе предыдущего технологического уклада.
Самый известный пример: в начале XX века изобретение господином Фордом конвейера. Тогда речь шла о сборке двигателя для автомобиля, раньше собирали за рабочую смену 3 — 4 штуки, а в результате ввода конвейера стали производить один генератор за 5 минут. Затем конвейер стал применяться для все более сложных систем. Появилась узкая специализация, помните, как там у Райкина? К пуговицам претензий нет, пришиты намертво, а в целом-то какой костюм получился, кто его шил? Это характеристика того, как мы входим в цифровизацию, когда у нас происходит полная конвергенция информационных потоков. Например, когда у нас в решении, связанном уже с релейной защитой (а это святая святых электроэнергетики), фактически стоит промышленный компьютер с устаревшим программным обеспечением, с операционной системой, которая включается в сеть. К нему может подойти специалист с ноутбуком, то есть с устройством, доступ к которому может быть получен по информационным каналам. А этот компьютер стоит непосредственно на процессе обеспечения релейной защиты и автоматики.
Соответственно, требуется переосмысление процессов. Фактически знания по информационным технологиям и информационной безопасности должны стать такой же частью базовой подготовки, как у нас в школе подходили к преподаванию русского языка и математики. Ты не можешь учиться дальше, если ты не умеешь писать или считать, и ни у кого это давно не вызывает вопросов.
Сегодня в университетах продолжают готовить специалистов, которые не имеют базовых знаний по информационной безопасности или не ориентируются в сетевой инфраструктуре ИТ. Постепенно это меняется. Мы, как коммерческая компания, много работаем с вузами и корпоративными заказчиками. Часто в вузах, смешно сказать, иногда две соседние кафедры приходится знакомить друг с другом…
В рамках работ Центра НТИ МЭИ был создан цифровой двойник энергосистемы (ЦДЭС), который позволяет моделировать как энергетическую инфраструктуру, так и систему управления для обеспечения работы этой инфраструктуры.
Один из наших продуктов — киберполигон, предназначен для моделирования кибератак на виртуальную ИТ-инфраструктуру.
Путем интеграции ЦДЭС с нашим киберполигоном мы проводим различные исследования, связанные с вопросами информационных воздействий на физическую инфраструктуру, организуем обучение профильных специалистов.
Они мало общаются, у каждой из них свои задачи, а студенты в результате, приходя на предприятие, фактически вынуждены переучиваться, потому что там их учили по классической схеме, а здесь уже все другое. Над предприятиями же зачастую висит дамоклов меч — государственные требования в области информационной безопасности, которые надо выполнять. Если даже количество специалистов по ИБ удастся увеличить на несколько порядков, проблему устойчивой работы технологических процессов мы не решим, потому что классический безопасник это специалист из мира информационных технологий, который знает сетевую инфраструктуру, как работают средства защиты информации, но у него недостаточно знаний о технологических процессах. Он не знает критические моменты, связанные с работой отраслевых АСУ ТП. Они еще существенно отличаются в каждой конкретной отрасли…
Опыт показывает, чтобы обучить грамотного специалиста АСУ ТП или технолога, нужно знать базовые принципы, надо понимать, что может произойти именно в вашем сценарии, на вашем объекте, и, соответственно, понимать, каким образом строится сетевая инфраструктура, что может повлиять на ее работоспособность. Сеть строится как набор сегментов, между которыми стоят интеллектуальные устройства, которые могут маршрутизировать потоки информации. Изменения в конфигурации маршрутизатора влияют на работоспособность того или иного процесса. Мы сейчас переживаем болезненный этап в цифровой трансформации, потому что менять корпоративную культуру всегда очень тяжело. Люди уже привыкли, что у нас есть такой департамент, который отвечает за определенные процессы. Цифровизация эти границы стирает.
— Специалисты автоматизированных систем управления и специалисты информационной безопасности зачастую говорят на разных языках? Почему при подготовке специалистов АСУ важно формировать базовые знания по информационной безопасности? Кто этим должен заниматься? Регулятор, вендор, вузы?
— Недопонимание возникает в целом из-за институциональных проблем, связанных с корпоративной культурой: от обучения до непосредственной эксплуатации на местах того или иного оборудования. Рано или поздно мы придем к необходимости это менять, но лучше раньше, чем позже. Не хотелось бы, чтобы мы начинали менять корпоративную культуру в результате каких-то серьезных системных аварий в энергетике, и новые правила киберустойчивости были «написаны кровью», как армейский устав караульной службы…
Задача АСУ — обеспечить автоматизацию управления тем или иным технологическим процессом. Тогда как цель ИБ — обеспечить защиту информации.
Должно быть понимание, что у этого процесса немного другие требования, чем в ИТ, в связи с теми результатами, которые несут для бизнеса риски информационных инцидентов.
За последние годы российская энергетика показала высокую устойчивость. При высокой интенсивности кибератак электроэнергетика работает. Хорошо показали себя и специалисты в сфере информационной безопасности. Но вопрос в том, наша ли это заслуга или мы до сих пор пользуемся результатами инфраструктуры, созданной в СССР, с большим уровнем резервирования и централизованным управлением единой энергосистемой.
Например, в постановлении правительства о расследовании системных аварий среди перечня причин аварий информационная составляющая отсутствует. В составе комиссии, назначаемой для расследования аварий, отсутствуют какие-либо специалисты в этой области. То есть, какие бы аварии ни происходили с физическими последствиями, результатом расследования будет либо брак на производстве, либо ошибка персонала. Хотя реальная причина может быть совершенно другая, но, не расследовав истинную причину аварии, не приняв соответствующие меры, мы не можем ни гарантировать, что она не повторится в обозримом будущем, ни сформировать необходимые меры для устранения реальных причин.
Проблема разговора на разных языках, она, на самом деле, не новая. Первый раз я о ней услышал еще в 2008 — 2009 годах. Основная проблема заключается в корпоративной культуре. Задача АСУ — обеспечить автоматизацию управления тем или иным технологическим процессом. Тогда как цель ИБ — обеспечить защиту информации. Должно быть понимание, что у этого процесса немного другие требования, чем в ИТ, в связи с теми результатами, которые несут для бизнеса риски информационных инцидентов.
Да, могут возникнуть проблемы на уровне разработки программного обеспечения, могут появиться проблемы с работоспособностью той аппаратной части, которую вы используете. Потому что при разработке вендор не уделял проблеме киберустойчивости должного внимания, поскольку его ресурсы были ограничены. Кроме того, если заказчику это было не интересно, вендор этим не занимается. Кто должен готовить специалистов для грамотной постановки и решения подобных задач? У нас достаточно серьезная работа в этой области ведется с Московским энергетическим институтом. Мы вместе прорабатываем вопросы, связанные с тематикой информационной безопасности, которая начала преподаваться как отдельный, дополнительный курс для специалистов релейной защиты. В рамках работ Центра НТИ МЭИ был создан цифровой двойник энергосистемы (ЦДЭС), который позволяет моделировать как энергетическую инфраструктуру, так и систему управления для обеспечения работы этой инфраструктуры. Один из наших продуктов — киберполигон, предназначен для моделирования кибератак на виртуальную ИТ-инфраструктуру. Путем интеграции ЦДЭС с нашим киберполигоном мы проводим различные исследования, связанные с вопросами информационных воздействий на физическую инфраструктуру, организуем обучение профильных специалистов.
Также в Центре НТИ МЭИ ведутся исследования, связанные с вероятностной оценкой влияния информационных воздействий на показатели надежности терминалов релейной защиты. Совместно мы создаем виртуальные отраслевые модели, которые потом можно тиражировать, в том числе в целях подготовки специалистов. Таким образом формируются современные программы подготовки кадров, ориентированные на то, чтобы выпускники, приходя на предприятие, уже владели бы необходимым багажом знаний, в том числе и в сфере информационной безопасности.
.svg)
WhatsApp
ВКонтакте
