Энергетики обсудили актуальные вопросы кибербезопасности
Одной из актуальных тем, рассматриваемых на ХII Международной научно-практической конференции «Развитие и повышение надежности распределительных электрических сетей», стали вопросы кибербезопасности. Презентация Андрея Антонова, начальника управления информационной безопасности филиала ПАО «Россети Волга» — «Самарские распределительные сети» о повышении защиты субъектов критической информационной инфраструктуры (КИИ) вызвала интерес среди коллег, поскольку в Стратегии развития группы «Россети» риск кибератак признан одним из ключевых на объектах сетевой инфраструктуры.
Основным критическим процессом группы «Россети» является надежное и качественное энергоснабжение. Большинство информационных и автоматизированных систем управления (АСУ) электросетевого комплекса обеспечивают автоматизацию энергоснабжения и смежных с ним процессов. От эффективного построения систем защиты энергетических объектов от кибератак зависит стабильность и непрерывность процессов обеспечения электроэнергией населения, системно значимых предприятий, медицинских учреждений, государственных органов и т.п. При успешной реализации кибератаки будет нарушен бизнес-процесс, и может быть нанесен ущерб не только электросетевой компании, но и, что самое главное, потребителям.
Защита от угроз кибератак является нетривиальной задачей ввиду того, что в контексте Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» объектами защиты в настоящее время являются не разобщенные «физические» объекты энергетического комплекса, а информационные системы большой сложности (АСУ ТП, ИТКС). К сожалению, в соответствии со сложившейся до появления 187-ФЗ практикой, продолжаются попытки обеспечить безопасность больших распределенных объектов (систем), подлежащих защите, применением частных решений по информационной безопасности, не учитывающих системный принцип построения распределительного комплекса. Как правило, это приводит к построению неэффективных подсистем защиты как по функциональности (способности предотвращения, обнаружения, реагирования и ликвидации последствий компьютерных атак), так и по стоимости создания таких подсистем и затратам на владение ими.
По мнению Андрея Антонова, указанные проблемы могут быть решены только применением процессного подхода в создании подсистем безопасности, т.е. тех принципов, на которых базируется законодательство в области защиты критической информационной инфраструктуры Российской Федерации. (187-ФЗ и подзаконные акты).
При этом алгоритм создания подсистем защиты должен подразумевать в качестве первого шага определение (актуализацию) и утверждение перечня критических бизнес-процессов, нарушение стабильности которых может негативно сказаться на достижении стратегических целей предприятия. На втором шаге информационные системы (АСУ ТП и ИТКС), автоматизирующие критические бизнес-процессы, определяются как объекты, подлежащие защите и устанавливается их категория значимости, т.е. устанавливается потенциальный ущерб от реализации в отношении них кибератак.
— От правильности исполнения этих этапов зависит обоснованность дальнейших действий по построению систем безопасности, так как ошибки при определении защищаемых бизнес-процессов и проведении категорирования влекут за собой неверное построение систем обеспечения безопасности, — подчеркнул в своем докладе Андрей Антонов. — Несмотря на то, что эти вещи очевидны, на практике наблюдается иная картина: зачаcтую эти два первых этапа игнорируются. Решается сразу практическая задача подбора средств защиты информации без описания исходных данных на защищаемую систему.
Участники сессии сошлись во мнении, что упомянутая проблема актуальна для электросетевого комплекса, когда эксплуатируется множество географически распределенных систем автоматизации процессов. Ни одна из них не определена как единый объект изначально, но при этом состоит из множества объектов. В качестве примера была приведена электроподстанция, которая управляется не с помощью локальной системы автоматизации, распложенной на ней, а при посредстве распределенной АСУ ТП, управляющей (ведающей) кроме этой подстанции большим количеством других энергообъектов.
— Распределенная система автоматизации должна появиться как единый объект, подлежащий защите. Только в этом случае будет четкое понимание архитектуры и особенностей объекта КИИ, и, следовательно, будет безошибочно и с минимальными затратами реализован весь комплекс мероприятий по построению его подсистемы защиты в соответствии с требованиями законодательства, — подвел итог Андрей Антонов.