Рубрикатор | ![]() |
![]() |
Статьи | ![]() |
![]() |
Николай НОСОВ | 13 марта 2019 |
Безопасность КИИ в энергетике – время для проектов
Масштабные отключения света в Венесуэле, причиной которых, по утверждению местных властей, стали кибератаки на автоматизированные системы управления энергосистемой, вновь привлекли внимание к теме кибербезопасности инфраструктуры нашей страны.
В целом реализация 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» идет, но многие игроки рынка по-прежнему занимают выжидательную позицию. Так, согласно данным, приведенным на Национальном форуме информационной безопасности «Инфофорум-2019» компанией «Код безопасности», треть заказчиков еще не приступила к категорированию и только 3% занялись созданием систем защиты КИИ.
При этом у половины компаний есть вопросы, касающиеся выполнения конкретных мер защиты. По сей день не закончилось формирование нормативных правовых актов, нет методических рекомендаций, помогающих безопасникам разобраться в потоке зачастую дублирующих друг друга документов, не хватает ресурсов для проведения работ по выполнению 187-ФЗ.
Тем не менее появились и лидеры – 18% компаний уже завершили категорирование и приступили к разработке проектов по реализации мер защиты. Полученным опытом и рекомендациями поделились эксперты на секции, посвященной безопасности КИИ в энергетике.
Первоочередные меры
На первоочередные технические и процессные меры по обеспечению безопасности КИИ обратил внимание руководитель направления продаже сетевых решений компании «Код Безопасности» Александр Немошкалов. Среди процессных мер эксперт отметил не только выделение инцидентов ИБ и реагирование на них, но и стандартные рекомендации по обеспечению информационной безопасности – разделение полномочий системного администратора и администратора ИБ, своевременную установку обновлений и исключение слабых паролей.


Александр Немошкалов напомнил о необходимости технических решений: сегментирования системы с выносом критически важных для работы систем в отдельный сегмент; контроля мобильных устройств и точек доступа; управления настройками и конфигурацией систем и отсутствия на АРМ конфигурационных файлов сетевого оборудования. Рекомендации не новые, но на практике они реализуются далеко не всеми компаниями, в том числе из-за отсутствия в штате квалифицированных специалистов по ИБ.
Первые рабочие проекты

В ходе работ было изучено 259 объектов заказчика (подстанции разного класса напряжения, структурные подразделения и связанные с ними системы), 33 процесса основной деятельности и более 200 систем заказчика. «Ростелеком-Solar» выделила 15 объектов защиты: пять значимых объектов КИИ и 10 объектов без категории значимости, для которых собственник решил обеспечить защиту. Компания провела очное и заочное (с опросными листами) обследование объектов, в соответствии с приказом ФСТЭК от 22.12.2017 № 236 составила акты о категорировании и сформировала модели угроз по методике, рекомендованной регулятором.
После этого «Ростелеком-Solar» разработала подсистемы безопасности, релевантные выделенным актуальным угрозам, и выбрала технические средства защиты. В ходе работ рассматривались три варианта тестирования выбранных средств защиты на совместимость с системами АСУ заказчика: стенд на стороне заказчика; инфраструктура на стороне вендора АСУ ТП; и тестирование на реальной инфраструктуре заказчика. В итоге остановились на самом сложном варианте – развертывании на реальной сетевой инфраструктуре энергетической компании.
«Мы одни из первых в отрасли рассмотрели возможность использования в проекте обеспечения безопасности КИИ встроенных средств защиты информации систем АСУ ТП и телемеханики субъектов электроэнергетики», – отметил Владимир Карантаев.
В результате заказчик получил технический проект подсистем безопасности 15 объектов и корпоративный проект ГосСОПКА (системы обнаружения, предупреждения и ликвидации последствий компьютерных атак).
Выявленные проблемы
Работа над проектом выявила ряд проблем. Компания использовала межсетевые экраны, производители которых заявляли о поддержке наиболее массово используемого в инфраструктуре протокола МЭК 60870-5-104. Оказалось, что его реализация у каждого вендора систем телемеханики имеет свою специфику, что не учитывается вендорами СЗИ.
Кроме того, в реестре ФСТЭК практически нет сертифицированных по типу «Д» (уровень промышленной сети) межсетевых экранов самого высокого класса защиты, да и те, которые есть, зачастую не поддерживают характеристик, заявленных производителем.
Остро стоит проблема нехватки кадров в регионах, где трудно найти достаточное количество квалифицированных специалистов разного профиля для создания структурного подразделения по безопасности в соответствии с приказом ФСТЭК № 235 от 21.12.2017. В решении «Ростелеком-Solar» проработана возможность сопровождения системы и предоставления услуг корпоративного центра ГосСОПКА по сервисной модели. SOC, предоставляющий АСУ ТП услуги по сервисной модели, -- хороший вариант для компаний, не имеющих своих специалистов по ИБ.
По утверждению эксперта, это первый проект для энергетики, в котором удалось пройти все этапы построения КИИ в соответствии с 187-ФЗ и дойти до этапа построения технорабочего проекта. Взаимодействие с вендорами АСУ ТП позволило создать типовой проект обеспечения безопасности КИИ для сетевых энергетических компаний, включающий использование встроенных систем безопасности АСУ ТП.

В Министерстве энергетики сознают наличие проблем в обеспечении информационной безопасности энергетических объектов страны. Как сообщил директор департамента оперативного контроля и управления в электроэнергетике Минэнерго России Евгений Грабчак, ведомство сформировало требования по кибербезопасности энергетических установок.
Среди выделенных угроз – встроенные в энергосистемы вендорами возможности удаленного контроля и управления: такие возможности есть, например, в газовых турбинах Siemens и GE. Даже мониторинг объемов выработки электроэнергии с географической привязкой установки к местности представляет угрозу национальной безопасности страны. Так, если установка расположена рядом с военным заводом, то по объему потребленной электроэнергии можно оценить объемы производимой им продукции.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!