Автор: Вячеслав Половинко, руководитель направления собственных продуктов АМТ-ГРУП
Предприятия ТЭК наравне с транспортом и финансовой сферой являются одними из наиболее крупных территориально распределенных объектов. Они часто включают в себя десятки и даже сотни отдельных учреждений (станций, шахт, подстанций и т.п.), которые могут находиться под общим управлением одного юридического лица или группы юридических лиц, обладающих высокой автономией и формирующих только общие правила взаимодействия в рамках холдинга. Безусловно, это накладывает свой отпечаток на формирование общих подходов к политике защиты от киберугроз и на возможность построения устойчивых систем защиты от внешнего воздействия на технологические и корпоративные сети объектов.
Коснемся наиболее значимых факторов, которые определяют финальный вид функционирующей системы защиты от киберугроз и которые могут напрямую влиять на эффективность решения задачи построения комплексной системы безопасности для объекта ТЭК.
Функционально-логический размер объекта – количество систем, персонала, аппаратных решений, доступные возможности по размещению систем и решений ИБ напрямую влияет на то, где будут сосредоточены функции управления этим объектом, может ли такой объект или группа объектов быть физически изолирован, смогут ли автономно функционировать, насколько они устойчивы к внешним атакам как самостоятельные единицы и какую угрозу они представляют, будучи скомпрометированными в общей сети организации. Все это, в свою очередь, напрямую влияет на то, какие классы СЗИ и в каком объеме могут применяться.
Как правило, наличие большого количества малых объектов (небольшие удаленные площадки, подстанции и т.п.) финансово и кадрово ограничивает размещение на них дорогостоящих решений ИБ, без которых в ряде случаев не обойтись. Например, может возрастать потребность во все более производительных и функциональных средствах межсетевого экранирования, что, в свою очередь, приводит к постоянному пересмотру специалистами моделей угроз и нарушителя, поиску специалистами новых мер и решений по защите (внедрению "диодов данных", построению резервных каналов и сетей связи и т.п.).
Мало кто может позволить себе в условиях высокой территориальной распределенности собственные физические каналы связи, наличие которых, в свою очередь, серьезно повышает не только уровень ИБ, но и стоимость владения. Отсутствие собственных физических каналов связи приводит к использованию общедоступных, в том числе сопрягаемых с сетью "Интернет". Этот аспект значительно влияет не только на особенность сегментации сети (выбор определенного класса межсетевых экранов или определение границ физической изоляции с помощью "диодов данных"), но и на выбор мест применения, объема применения решений по криптографической защите, шифрованию и даже средств антивирусной защиты.
Очень часто предприятия ТЭК в силу экономических связей коммуницируют, без преувеличения, с огромным числом контрагентов и организаций, от строительных и обслуживающих до организаций, характерных для отрасли (геологоразведка, сервис и т.п.); от научных организаций и консультаций до потребителей поставляемых продуктов и сырья. Подобные современные условия ставят сложные задачи по локализации угроз через цепочку поставок и взаимодействия, то есть тех угроз, которые специалисты ИБ сейчас рассматривают как наиболее вероятные и имеющие тенденции к росту. Злоумышленник вряд ли будет атаковать хорошо защищенное ядро головной организации, скорее он будет искать наиболее уязвимых контрагентов и использовать сторонние векторы атаки для реализации своего замысла. Все это делает комплексную защиту сетевого периметра предприятий ТЭК нетривиальной задачей.
Постоянно растущая вовлеченность объекта ТЭК во взаимодействие с окружающей средой. Современный объект ТЭК – давно не ветряная или водяная мельница, он имеет огромное и постоянно растущее количество точек сопряжения с окружающей средой (через системы управления, автоматики, датчики, АСУ ТП и выше на уровни MES, ERP). Злоумышленники нацелены именно на эти системы, поэтому защита АСУ ТП в контексте предприятий ТЭК приобретает все большее значение как по причине критичности самого объекта, так и по причине воздействия объекта на большое число окружающих экофизических систем (водоемы, землю, воздух, подземные воды и т.п.). Потребность в профильной специализации и хорошей подготовке именно в части защиты АСУ ТП для офицеров ИБ наиболее высока именно в сегменте ТЭК.
Предприятия энергетики и добычи чаще всего являются значимыми объектами критической инфраструктуры, причем не только информационной. Как следствие, стратегия компании ТЭК, политика ее безопасности, модель работы с рисками, модель угроз и нарушителя, а также другие внутренние документы обязательно должны учитывать несколько иной уровень абстракции при моделировании угроз, который может быть не так характерен для других отраслей экономики. Все это требует более высокой квалификации управленческого персонала ИБ-подразделений, нежели это может быть характерно для ряда других отраслей экономики.
Некоторые предприятия ТЭК в силу своих размеров и масштабов ограничены в подборе единых решений СЗИ, построении всего комплекса решений от одного поставщика. Таких продуктов (для конкретной отрасли или промышленности, группы объектов ТЭК) в ряде случаев просто не существует, потому что ряд энергосистем и решений существует в единичном масштабе на территории той или иной страны. С учетом размеров нашей страны это актуально практически для каждого вида промышленности, входящей в ТЭК (угольной, нефтяной, газовой, гидроэнергетики, атомной энергетики и др.). Как следствие, такой момент серьезно усложняет портфель СЗИ-решений и всю архитектуру безопасности объектов ТЭК как единого информационного пространства. Дополнительные ограничения накладывают и требования законодательства в части возможности применения иностранных средств защиты, что еще более сужает выбор применяемых решений и продуктов.
Несмотря на сложности и особенности формирования систем защиты объектов и групп объектов ТЭК, предприятий энергетики, следует отметить, что с аналогичными задачами сталкиваются практически все крупные мировые предприятия в области ТЭК. Это напрямую прослеживается в публикуемых стратегиях повышения безопасности компаний, документах органов власти и интервью зарубежных экспертов. Определенный оптимизм заключается в том, что предприятия топливно-энергетического комплекса могут идти в ногу со временем и, опираясь на отечественные решения, прямо сегодня выстраивать эффективные системы противодействия современным кибератакам. На российском рынке появляется все больше средств, которые готовы предлагать комплексные экосистемные и профильные решения в области ИБ с учетом нюансов этой отрасли.