Сегодня энергокомпании все больше ощущают серьезность киберугроз. Выражение «взлом сети» теперь может означать вовсе не то, что некий хакер взломал ресурс в интернете, а то, что энергетические сети подверглись атаке из киберпространства.

Более того, причинить ущерб оборудованию подстанции может даже компьютерный злоумышленник без глубоких знаний энергетической специфики.

То, что киберугрозы энергетической инфраструктуре реальны, признается уже и на государственном уровне. Например, в Стратегии национальной безопасности России, утвержденной указом президента от 31 декабря 2015 г., обращается внимание на угрозы критической информационной инфраструктуре страны, к которой, конечно, относится и информационное обеспечение энергетики. А МЧС в своем прогнозе чрезвычайной обстановки в Российской Федерации на 2016 г. среди потенциальных угроз выделяет кибертерроризм в отношении наших энергетических объектов.

Фантазии, которым лучше бы не сбываться

Кибератаки в отношении энергетической инфраструктуры в настоящее время приходят к нам не из голливудских фильмов, а из новостных лент. Достаточно вспомнить вирус Stuxnet, атаковавший иранскую АЭС в Бушере, или блэкаут на Украине в 2015 г., когда из‑за кибератаки (по крайней мере, так утверждают нынешние власти этой страны) более 200 тыс. потребителей остались без света. На память приходят и другие, не столь громкие случаи. Так что угроза для энергетической отрасли вполне реальна.

Как же злоумышленникам удается взламывать сети энергообъектов? На первом месте, как обычно, – человеческий фактор: применение одинаковых паролей, возможность несанкционированного доступа к журналу паролей и т. д. Сколько людей ставят простейшие пароли на свои личные электронные почтовые ящики «чтобы не забыть»? Но нередко так происходит и в энергетике. Добавим низкоквалифицированный обслуживающий персонал, который легко совершает ошибки при установке нужных параметров сетей, а также несоблюдение правил доступа к оборудованию…

Специалисты отмечают и такие проблемы, как возможное наличие вредоносного ПО на переносных цифровых устройствах, с которых осуществляется наладка микропроцессорных терминалов РЗА, возможность доступа к индивидуальным компьютерам через централизованные системы управления и контроля оборудования цифровой системы передачи информации (ЦСПИ) и возможность удаленного доступа через центр управления сетью (ЦУС) к системе автоматизации подстанции по протоколу TCP / IP.

Следует учитывать и постепенное распространение цифровых технологий на объектах энергетики (концепция ЦПС, Smart Grid и т. д.), что также расширяет перечень возможных направлений несанкционированного доступа. Стоит заметить, что ТЭК России находится в состоянии постоянной (и зачастую бессистемной) модернизации, особенно в части релейной защиты и автоматики. Как следствие, возникает множество частично реконструируемых объектов с различными уровнями цифровизации вторичных систем и разными уровнями доступа. В результате появляются косвенные проблемы, связанные с кибербезопасностью, которые не приводят к моментальному появлению неисправностей, а носят накопительный характер и становятся «бомбой замедленного действия».

Среди других проблем – то, что на некоторых объектах электроэнергетической отрасли (например, на трансформаторных и распределительных подстанциях) из всех мер физической охраны в лучшем случае есть видеонаблюдение и сигнализация, а в худшем – только замок. При этом оборудование, установленное на этих объектах, включено в общую технологическую сеть, что может стать удобной точкой входа для злоумышленников и привести к атакам практически на любые объекты технологической сети. Как подчеркивают специалисты, сегментация технологической сети, межсетевое экранирование и двусторонний контроль проходящего трафика существенно снизят вероятность успешной реализации атак «снизу вверх». Кроме того, стоит обеспечить жесткое разграничение доступа и контроль передаваемых данных на различных уровнях сети с подобных объектов.

Методы борьбы

Как же бороться с киберугрозами? Очень важно создание моделей угроз и моделей нарушителей, поскольку только такая аналитика поможет определить уязвимости и пути их контроля с учетом внешних и внутренних факторов. Проведение такой оценки позволяет определить, какие конкретные защитные меры потребуются. Кроме того, большое значение имеет защита периметра сети энергообъекта (физической и информационной). Также сокращению рисков способствуют организационные меры, мониторинг сети и периодический анализ защищенности.

Кстати, не всегда оправдано применение дополнительных средств защиты: во‑первых, это значительно увеличивает стоимость и усложняет конструкцию цифрового оборудования, что повышает риск сбоев и отказов, во‑вторых, требует дополнительного обучения специалистов. Поэтому в первую очередь необходимо оценить все риски и проектировать систему безопасности так, чтобы она защищала от угроз, но не снижала надежность и оперативность работы системы. Путь к компромиссу иногда может лежать в тщательном конфигурировании уже имеющегося оборудования и ПО, в использовании встроенных механизмов защиты и в реализации ряда дополнительных организационных мер.

Кроме того, при создании системы информационной безопасности необходимо проанализировать не только инфраструктуру объекта, но и определить критические точки и обеспечить защиту именно им. Например, в системах, где нельзя обеспечить надежную защиту на уровне управляющего ПО, можно обеспечить контроль передачи управляющих команд на уровне сети.

Также важна грамотная организация получения, тестирования и установки обновлений, причем как прикладного и системного ПО технических средств самого объекта, так и внедряемых средств защиты.

Щит от кибератак

В конечном итоге кибербезопасность системы зависит от политики энергетического предприятия и от того, как оно управляет своими активами. Не получится купить антивирус и думать, что твои сети неуязвимы: в современном мире программа защиты от кибератак должна быть детально проработана и адаптирована под конкретный защищаемый объект. Требуется выявить все уязвимые места, а также обеспечить качественный контроль обновлений для системы безопасности устройств. Интерактивная диагностика систем может быть использована для отслеживания возможных атак, за которым должно последовать принятие мер по уменьшению степени воздействия, зависящих от уровня уязвимости системы. Особые меры необходимы в том случае, если для доступа к системе объект применяет сеть общего пользования.

Стоит задуматься и о создании эшелонированной обороны. Это не означает, что нужно устанавливать все средства защиты подряд, напротив, это сделает ваши сети более уязвимыми. Необходимо адекватно закрывать все каналы актуальных угроз. Как говорят специалисты в области кибербезопасности, одним из важнейших механизмов является знание своих систем, сетей и коммуникаций в промышленной сети. Как подчеркивается во всех инструкциях по безопасности, современные средства киберразведки позволяют заранее обнаружить подготовку к атаке. Вот почему мониторинг систем и сетей – важнейшая мера защиты. Кроме того, он является пассивной мерой, не влияющей на работоспособность объекта мониторинга, но способной оперативно информировать о возникающих угрозах.

Самая же логичная и действенная мера – разделение объектов критически важной инфраструктуры и интернета. Тут на помощь может прийти опыт военных сетей: как в случае с такими сетями, объекты энергетики, нарушение работы которых может привести не только к финансовым и репутационным потерям, но и к угрозе для человеческих жизней, не должны иметь соединения с интернетом и пересекаться с классическими локальными сетями предприятий. В этом случае их взлом будет очень затруднен, если вообще возможен. Второе – это использование различных сенсоров или систем обнаружения и предотвращения атак. При этом для объектов критической инфраструктуры важно использовать полностью пассивные системы, которые сами не смогут нанести никакого вреда, случайно вмешавшись в работу систем реального времени. В целом, в деле обеспечения информационной безопасности энергообъектов важны контроль, разграничение доступа и своевременная установка обновлений безопасности.

И в заключение: не только энергетические, но и другие инфраструктурные объекты обладают особой спецификой, которую необходимо учитывать как при проектировании систем безопасности, так и при выборе отдельных средств защиты. Прежде чем проектировать систему защиты, необходимо оценить имеющиеся риски и четко понимать, что именно и от каких угроз необходимо защищать. Ну и постоянную бдительность, постоянный мониторинг угроз и состояния системы никто не отменял.