16+
Регистрация
РУС ENG
http://www.eprussia.ru/epr/366/9143800.htm
Газета "Энергетика и промышленность России" | № 10 (366) май 2019 года

Безопасность или удобство – что важнее в эпоху цифровизации?

Максим Никандров, директор компании iGrids «Интеллектуальные сети», к. т. н.

Стопроцентной безопасности информационных систем в энергетике достичь невозможно, но можно сделать вероятность возникновения инцидентов информационной безопасности крайне малой.

Так считает директор компании iGrids «Интеллектуальные сети», к. т. н. Максим Никандров, с которым журналист «ЭПР» побеседовала о значении и тонкостях систем промышленной кибербезопасности, прогрессе российских разработчиков и рисках в сфере интеллектуальных решений для электроэнергетики.

– Какова роль вашей компании в процессе цифровизации энергетики?

– iGrids – команда высококвалифицированных инженеров с практическим опытом внедрения различных комплексов управления и кибербезопасности, поэтому мы, как никто другой, понимаем, что при планировании мероприятий промышленной информационной безопасности необходимо учитывать специфику отрасли, ведь любые простои и сбои в работе оборудования чреваты серьезными проблемами. Наш бизнес – это опыт и уникальность знаний, которые позволяют нам в технологический процесс заказчика внедрять качественную систему защиты.

Проблема безопасности программного обеспечения в электроэнергетике однозначно существует: долгое время ПО и информационные системы создавались без учета требований информационной безопасности, во главу угла ставили создание быстрых и удобных по функционалу программ, но безопасность и удобство – вещи, противоречащие друг другу.

Если устройство или сервис удобные, то они, как правило, небезопасные, и наоборот, «абсолютно» безопасными устройствами невозможно пользоваться – нужно искать баланс. По нашим исследованиям, уровень безопасности устройств и ПО, применяемых в энергетике, недостаточный. Например, устройства РЗА не имеют функций безопасности – к этим устройствам, теоретически, может подключиться любой школьник, обладающий минимальными навыками по взлому, получивший знания с просторов интернета.

– Почему до сих пор никто этим не воспользовался?

– Наверное, потому, что у нас в стране пока нет критической массы активных «студентов», которые этим могут заинтересоваться, и нет понятной цели, для чего это делать. На традиционном международном форуме по практической безопасности Positive Hack Days в Москве в рамках конкурса по взлому промышленного объекта участники, а это школьники и студенты, должны были обесточить подстанцию. Один из студентов, изучив тему и скачав пиратское ПО, примерно за час совершил многоходовую атаку на подстанцию и устроил короткое замыкание. Это была всего лишь модель, но студент смог вывести ее из работы с повреждением первичного оборудования. Самое интересное, во время награждения победитель сообщил, что просто соревновался за приз, и это все, что его интересовало.


«Препятствия в реализации наших планов разные: от неопределенности законодательства, непонимания, для чего нужна система безопасности, до типичного человеческого фактора, когда к серверам, управляющим технологическим оборудованием, подключают телефоны для зарядки или личные флэшки, открывают соцсети на рабочих местах».


Вывод очевиден: объекты энергетики не должны быть доступны тем, кто ради интереса сможет вывести их из строя. Мы не можем гарантировать полную безопасность объекта, но готовы повысить этот уровень до приемлемого. Разумно тут руководствоваться принципом Парето – 20 % усилий должны закрывать 80 % проблем.

– Какими средствами вы намерены этого добиться?

– К сожалению, мы пока не владеем всем необходимым набором технических средств. На сегодняшний день негативного воздействия от средств защиты достаточно много, поэтому приходится проводить массу предварительных тестов, чтобы убедиться в их совместимости c технологическими процессами. В рамках партнерства с вендорами мы проводим тесты и исследования с целью адаптации систем информационной безопасности к требованиям и особенностям объекта защиты.

– Какой минимальный функционал вы предлагаете для интеллектуальных устройств в электроэнергетике?

– По нашему мнению, для устройств гарантированно должна отсутствовать возможность несанкционированного изменения критически важных параметров путем удаленного вмешательства. Необходимы достаточно надежные механизмы проверки того, кто подключается к устройствам. Мы подготавливаем для разработчиков и производителей устройств технические задания, где подробно указано, что нужно изменить в ПО устройства, чтобы оно соответствовало требованиям информационной безопасности. Сейчас требования по информационной безопасности зафиксированы в российском законодательстве и предъявляются в том числе к зарубежным поставщикам.

– Что эти законы дают нам, кроме сложностей и возможных отказов партнеров, особенно зарубежных, предоставлять информацию?


«Сердце компании – это наша лаборатория, которая позволяет сымитировать реальный энергообъект благодаря наличию большого набора распространенного вторичного оборудования. Технически это выглядит так: мы собираем модель энергообъекта, затем проектируем и внедряем систему информационной безопасности и проверяем ее совместимость с технологическими процессами. Таким образом можно попробовать выполнить атаку на техпроцесс, отключить турбину или выключатель и проследить, чтобы система защиты это обнаружила и помогла в расследовании инцидента. На реальном объекте это невозможно: никто не даст вам отключить работу станции и запустить хотя бы тестовый вирус».



– Гарантию, что в ПО нет никаких вредоносных элементов. Это особенно важно для зарубежного ПО, а в энергетике 80 % применяемого ПО иностранное. Раньше мы должны были просто верить на слово, а это серьезный риск, ведь всем нам известны прецеденты, когда доверие было большой ошибкой, которая влекла за собой серьезные последствия. Мы давно сделали выбор в пользу российских систем безопасности. И считаем, что АСУ ТП может быть любая, но система безопасности должна быть национальной, разработчики должны находиться в России, соответствовать российскому законодательству и иметь разрешительные документы согласно закону.

– Операционная система тоже должна быть российской?

– В идеале – да. Но на сегодня работаем с тем, что есть, и, например, мы считаем, что Windows очень грамотно построена и на нее можно надстроить систему безопасности, которая обеспечит приемлемый уровень защищенности.

– Известно, что вы работаете с «Лабораторией Касперского». Это ваш единственный партнер?

– Нет, это самый крупный партнер, который владеет наибольшим спектром сертифицированных программных продуктов, но не единственный. Мы плотно сотрудничаем с другими лидерами в области информационных технологий и кибернетической защиты, среди них – «ИнфоТеКС», «Позитив Технолоджиз» и другие.

– Какие риски характерны для информационной безопасности в энергетике?

– Оставим в стороне теорию заговора Евгения Касперского, который говорит, что если вы боитесь за свои данные, знайте, они уже украдены сначала американцами, потом китайцами. Я не поддерживаю это, как и то, что якобы, наша энергетика уже имеет резервную информационную систему и на нее отрасль можно переключить когда угодно. Риски в том, что в развитии цифровизации мы можем перейти критическую массу: сейчас нет крупных аварий, потому что оцифрованы лишь немногие мегаполисы и крупные подстанции, но мы идем к тому, что энергетика на 100 % будет цифровой. Есть такой термин «поверхность атаки», с цифровизацией эта поверхность увеличится, значит, ее надо «закрывать» более совершенными и сбалансированными системами безопасности. Умный дом еще несколько лет назад был фантазией, а сейчас это грамотная система, обеспечивающая комфорт и удобство, надо лишь сделать ее безопасной.

– Нужна ли нашей стране полная цифровизация?

– Выгоды, которые она сулит в энергетике, достаточно интересны, они обеспечат новый этап развития отрасли. К тому же это цель государства. С цифровизацией энергетики появятся новые функции, которые сегодня недоступны, например один специалист сможет обслуживать весь энергорайон, энергетика станет более мобильной и потребует меньшей резервной мощности. Но главное, чтобы все эти преимущества не стоили нам дороже того, что мы планируем.

– Как скоро это будущее наступит?

– Судя по стратегии «Россетей» – к 2030 году. За всю страну сказать не могу, но все новые энергообъекты уже цифровые, и там нужно создавать системы безопасности на всех уровнях.

На недавней выставке РЕЛАВЭКСПО наш стенд посетили сотни специалистов АСУ и РЗА, разработчики, которым поручено внедрять системы безопасности. Поскольку тема для них совершенно новая и вызывает множество вопросов, мы постарались максимально раскрыть тему, поделиться опытом и ответить на вопросы.

Порой приходится ломать сознание даже самых опытных профессионалов. «Зачем нам эти серверы, если я не могу купить изоляторы?» – с такой идеологией приходится бороться достаточно часто. Помимо повышения безопасности информационных систем в энергетике, наша задача – донести до технических специалистов особенности современных реалий, повысить осведомленность в области проблем кибербезопасности промышленных объектов.


Безопасность или удобство – что важнее в эпоху цифровизации?
igrids.jpg

Россия, г. Чебоксары,
Пристанционная ул., 1/9
Тел. 8 (831) 280-97-89
e-mail: info@igrids.ru
igrids.ru

Информационная безопасность, Цифровизация