Вячеслав Половинко, 26/06/23
Предприятия ТЭК являются одними из наиболее критических объектов, которые требуют самых серьезных мер защиты от современных кибератак. Однако бок о бок с критичностью и актуальностью защиты предприятий ТЭК идут сложности организации комплексной системы информационной безопасности.
Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Предприятия ТЭК наравне с транспортом и финансовой сферой являются одними из наиболее крупных территориально распределенных объектов. Они часто включают в себя десятки и даже сотни отдельных учреждений (станций, шахт, подстанций и т.п.), которые могут находиться под общим управлением одного юридического лица или группы юридических лиц, обладающих высокой автономией и формирующих только общие правила взаимодействия в рамках холдинга. Безусловно, это накладывает свой отпечаток на формирование общих подходов к политике защиты от киберугроз и на возможность построения устойчивых систем защиты от внешнего воздействия на технологические и корпоративные сети объектов.
Семь факторов, определяющих эффективность системы защиты объектов ТЭК от киберугроз
Коснемся наиболее значимых факторов, которые определяют финальный вид функционирующей системы защиты от киберугроз и которые могут напрямую влиять на эффективность решения задачи построения комплексной системы безопасности для объекта ТЭК.
Две взаимно противоположные тенденции, смещающие акцент на точку принятия решений о мерах защиты и конкретных средствах защиты
- Централизация управления ИБ. Выделение отдельной структуры, отвечающей за выработку общей политики в сфере ИБ и защиты всех объектов в составе юридического лица или группы юридических лиц, то есть централизация построения системы защиты, в том числе централизация финансирования проектов в области ИБ и контроля их выполнения. Часто такие процессы протекают одновременно с централизацией функций управления всей сетевой инфраструктурой.
Плюсы такой модели заключаются в высокой координации усилий в области ИБ, унификации применяемых СЗИ и мер защиты, построении крупных многопрофильных подразделений ИБ, способных решать достаточно сложные задачи.
Минусами такой модели являются возможные побочные эффекты, а именно снижение квалификации специалистов ИБ или утеря специалистов ИБ на местах (по причине их избыточности и/или в целях экономии), неравномерность перераспределения бюджетов на системы и меры защиты ввиду невозможности в точности охватить все потребности предприятия на местах в части компенсации рисков и конкретных моделей угроз. - Высокая автономность отдельных предприятий ТЭК и подразделений ИБ в рамках общей структуры. Согласование лишь общих параметров обмена информацией и данными, часто сведение информационного взаимодействия к обмену, построенному на тех же принципах, что и между совершенно самостоятельными контрагентами.
Плюсами такого решения являются высокая автономность системы и мер защиты, выстраиваемых каждым предприятием, возможность получать комплексную систему мер защиты, оперативно учитывающую угрозы и потребности конкретного объекта и его информационных связей, а также достаточно высокая квалификация специалистов ИБ на местах.
Минусами являются: вероятность применения разрозненных (в ряде случаев несовместимых для централизованного обновления и поддержки) СЗИ, ограниченные возможности в построении центров безопасности, SOC-центров и лабораторий ИБ.
Функционально-логические размеры конечных объектов (добычи, генерации, производства) и промежуточных объектов (диспетчерских управлений и центров мониторинга)
Функционально-логический размер объекта – количество систем, персонала, аппаратных решений, доступные возможности по размещению систем и решений ИБ напрямую влияет на то, где будут сосредоточены функции управления этим объектом, может ли такой объект или группа объектов быть физически изолирован, смогут ли автономно функционировать, насколько они устойчивы к внешним атакам как самостоятельные единицы и какую угрозу они представляют, будучи скомпрометированными в общей сети организации. Все это, в свою очередь, напрямую влияет на то, какие классы СЗИ и в каком объеме могут применяться.
Как правило, наличие большого количества малых объектов (небольшие удаленные площадки, подстанции и т.п.) финансово и кадрово ограничивает размещение на них дорогостоящих решений ИБ, без которых в ряде случаев не обойтись. Например, может возрастать потребность во все более производительных и функциональных средствах межсетевого экранирования, что, в свою очередь, приводит к постоянному пересмотру специалистами моделей угроз и нарушителя, поиску специалистами новых мер и решений по защите (внедрению "диодов данных", построению резервных каналов и сетей связи и т.п.).
Территориальная распределенность отдельных объектов и наличие собственных физических каналов связи
Мало кто может позволить себе в условиях высокой территориальной распределенности собственные физические каналы связи, наличие которых, в свою очередь, серьезно повышает не только уровень ИБ, но и стоимость владения. Отсутствие собственных физических каналов связи приводит к использованию общедоступных, в том числе сопрягаемых с сетью "Интернет". Этот аспект значительно влияет не только на особенность сегментации сети (выбор определенного класса межсетевых экранов или определение границ физической изоляции с помощью "диодов данных"), но и на выбор мест применения, объема применения решений по криптографической защите, шифрованию и даже средств антивирусной защиты.
Большое количество внешних контрагентов, не являющихся юридически тем же лицом, что и компания ТЭК
Очень часто предприятия ТЭК в силу экономических связей коммуницируют, без преувеличения, с огромным числом контрагентов и организаций, от строительных и обслуживающих до организаций, характерных для отрасли (геологоразведка, сервис и т.п.); от научных организаций и консультаций до потребителей поставляемых продуктов и сырья. Подобные современные условия ставят сложные задачи по локализации угроз через цепочку поставок и взаимодействия, то есть тех угроз, которые специалисты ИБ сейчас рассматривают как наиболее вероятные и имеющие тенденции к росту. Злоумышленник вряд ли будет атаковать хорошо защищенное ядро головной организации, скорее он будет искать наиболее уязвимых контрагентов и использовать сторонние векторы атаки для реализации своего замысла. Все это делает комплексную защиту сетевого периметра предприятий ТЭК нетривиальной задачей.
Экофизический характер деятельности
Постоянно растущая вовлеченность объекта ТЭК во взаимодействие с окружающей средой. Современный объект ТЭК – давно не ветряная или водяная мельница, он имеет огромное и постоянно растущее количество точек сопряжения с окружающей средой (через системы управления, автоматики, датчики, АСУ ТП и выше на уровни MES, ERP). Злоумышленники нацелены именно на эти системы, поэтому защита АСУ ТП в контексте предприятий ТЭК приобретает все большее значение как по причине критичности самого объекта, так и по причине воздействия объекта на большое число окружающих экофизических систем (водоемы, землю, воздух, подземные воды и т.п.). Потребность в профильной специализации и хорошей подготовке именно в части защиты АСУ ТП для офицеров ИБ наиболее высока именно в сегменте ТЭК.
Включение страновых и геополитических рисков в рисковую модель практически любого объекта ТЭК
Предприятия энергетики и добычи чаще всего являются значимыми объектами критической инфраструктуры, причем не только информационной. Как следствие, стратегия компании ТЭК, политика ее безопасности, модель работы с рисками, модель угроз и нарушителя, а также другие внутренние документы обязательно должны учитывать несколько иной уровень абстракции при моделировании угроз, который может быть не так характерен для других отраслей экономики. Все это требует более высокой квалификации управленческого персонала ИБ-подразделений, нежели это может быть характерно для ряда других отраслей экономики.
Ограниченность в выборе комплексных технических решений и решений ИБ
Некоторые предприятия ТЭК в силу своих размеров и масштабов ограничены в подборе единых решений СЗИ, построении всего комплекса решений от одного поставщика. Таких продуктов (для конкретной отрасли или промышленности, группы объектов ТЭК) в ряде случаев просто не существует, потому что ряд энергосистем и решений существует в единичном масштабе на территории той или иной страны. С учетом размеров нашей страны это актуально практически для каждого вида промышленности, входящей в ТЭК (угольной, нефтяной, газовой, гидроэнергетики, атомной энергетики и др.). Как следствие, такой момент серьезно усложняет портфель СЗИ-решений и всю архитектуру безопасности объектов ТЭК как единого информационного пространства. Дополнительные ограничения накладывают и требования законодательства в части возможности применения иностранных средств защиты, что еще более сужает выбор применяемых решений и продуктов.
Несмотря на сложности и особенности формирования систем защиты объектов и групп объектов ТЭК, предприятий энергетики, следует отметить, что с аналогичными задачами сталкиваются практически все крупные мировые предприятия в области ТЭК. Это напрямую прослеживается в публикуемых стратегиях повышения безопасности компаний, документах органов власти и интервью зарубежных экспертов. Определенный оптимизм заключается в том, что предприятия топливно-энергетического комплекса могут идти в ногу со временем и, опираясь на отечественные решения, прямо сегодня выстраивать эффективные системы противодействия современным кибератакам. На российском рынке появляется все больше средств, которые готовы предлагать комплексные экосистемные и профильные решения в области ИБ с учетом нюансов этой отрасли.
