Общий анализ состояния информационной безопасности в электроэнергетике в 2021 году. Отчеты центра компетенций по кибербезопасности НТИ "Энерджинет"
Алексей Петухов, 23/06/22
7 декабря 2021 г. состоялось заседание круглого стола Комитета Государственной Думы по энергетике на тему “Вопросы нормативно-правового регулирования в части обеспечения технологической независимости и безопасности объектов критической информационной инфраструктуры”. Результаты состоявшегося обсуждения были опубликованы в виде Рекомендаций [1]. При этом ряд специалистов обратил внимание на то, что они ссылаются в том числе на данные подгруппы по кибербезопасности НТИ “Энерджинет”: согласно отчету экспертной подгруппы по кибербезопасности Национальной технологической инициативы “Энерджинет”, сформированному по результатам опроса компаний, более 80% отечественных производителей вторичного оборудования для электроэнергетики используют иностранную электронную компонентную базу и 40% компаний – зарубежное программное обеспечение, объясняя это низкой конкурентоспособностью российских разработок и зрелостью иностранных решений.
Авторы:
Алексей Петухов, лидер рабочей группы “Кибербезопасность” (НТИ “Энерджинет”)
Дмитрий Правиков, заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М.Губкина
Наличие ссылки из столь серьезного источника, как Государственная Дума, обусловило внимание со стороны экспертного сообщества как к самому отчету, так и в целом к подгруппе "Кибербезопасность" НТИ "Энерджинет".
Подгруппа была сформирована в декабре 2018 г., в ее состав вошли специалисты, занимающиеся проблемами информационной безопасности в энергетике, работающие в субъектах электроэнергетики и компаниях, занимающихся разработкой, внедрением и эксплуатацией систем защиты информации, подготовкой и переподготовкой кадров.
Помимо текущей работы по экспертизе проектов НТИ "Энерджинет", разработки материалов для образовательных программ по кибербезопасности и формирования цифровой открытой базы знаний по информационной безопасности, в 2020–2021 гг. проведено три исследования, по результатам которых подготовлены аналитические отчеты:
- "О нормативной правовой и методической базе Российской Федерации в областях информационной безопасности и информационных технологий" [2].
- "Об импортозамещении в электроэнергетике России" [3].
- "Об образовании специалистов по информационной безопасности в Российской Федерации" [4].
Отчет о проблемах импортозамещения в сфере электроэнергетики, на который сослались в Комитете Государственной Думы по энергетике, основан на данных, полученных в ходе опроса, проведенного среди разработчиков и производителей вторичного оборудования для электроэнергетики – участников VI Международной научно-практической конференции "Цифровая трансформация в электроэнергетике" и выставки "Релавэкспо-2021" (Чебоксары, апрель 2021 г.), и в целом посвящен исследованию проблем импортозамещения в электроэнергетике.
В выводах отчета отмечается, что:
- менее 18,2% отечественных производителей вторичного оборудования используют отечественную электронную компонентную базу, программное обеспечение российского производства используют почти 60% опрошенных;
- более 50% опрошенных компаний обеспечивают соответствие своей продукции требованиям ИБ независимо от наличия требований заказчиков продукции, вместе с тем менее четверти опрошенных готовы инвестировать ресурсы в стандартизацию ИБ своей продукции. Таким образом, в настоящий момент опрошенные производители видят две основные проблемы импортозамещения:
- достаточно трудно обеспечить полную цепочку производственного цикла производимых изделий за счет исключительно российской электронной компонентной базы;
- производители российского электронного оборудования уделяют мало внимания решению проблем информационной безопасности, что в условиях как реальных угроз, так и требований нормативной базы снижает привлекательность его использования.
Отдельно в исследовании отмечено, что компании в целом низко оценивают уровень зрелости обеспечения своей информационной безопасности: только 14% опрошенных находятся на высоком уровне зрелости, что свидетельствует о необходимости более активно заниматься безопасностью цепи поставок.
Возможно, это связано с обширностью трактовок и особенностью применения нормативной базы. Проблематика понятности нормативной базы также была рассмотрена группой в 2021 г.
Согласно отчету "О нормативной правовой и методической базе Российской Федерации в областях информационной безопасности и информационных технологий" наиболее популярными направлениями развития нормативной правовой и методической базы по ИТ и ИБ респонденты видят следующие.
- Устранение неоднозначности и противоречий. Исключение возможности широкой и вольной трактовки, 55%.
Компании в целом низко оценивают уровень зрелости обеспечения своей информационной безопасности.
Обеспечение качества образования по ИБ является частным случаем обеспечения инженерного образования в целом в Российской Федерации, вместе с тем оно имеет свою специфику. - Обеспечение одновременного выпуска с нормативными правовыми актами их подзаконных актов, методических документов и средств для реализации их положений, 20%;
- Использование практики предварительной апробации нормативных правовых и методических документов перед их утверждением, 10%.
Эти тренды были поддержаны всеми группами респондентов, при этом 69% представителей интеграторов ИБ- и ИТ-услуг отдают безусловное первенство устранению неоднозначности документов. Вариант ответа "Исключение из практики выпуска документов в области ИТ и ИБ с ограничительными пометками" не выбрал ни один респондент.
Проблемы воспитания кадров
Завершающим для деятельности подгруппы в 2021 г. стало исследование по образованию в области ИБ, презентация результатов которого состоялась на ТБ Форуме в феврале 2022 г. Хотелось бы представить неформальное изложение результатов исследования в том виде, как его видят сами авторы.
С одной стороны, обеспечение качества образования по ИБ является частным случаем обеспечения инженерного образования в целом в Российской Федерации, вместе с тем оно имеет свою специфику.
Обычная схема подготовки специалистов может быть представлена классической картинкой (см. рис. 1).
Рис. 1. Лебедь, рак и щука
В качестве лебедя можно рассматривать вуз, который обязан ориентироваться на нормативную базу Минобрнауки России, регламентирующую развитие у студентов достаточно широкого круга знаний и умений, в том числе носящих общегуманитарный характер. Вузы, образно выражаясь, тянут вверх, именно поэтому на рисунке их изображает лебедь. При этом руководящими документами для вузов, помимо прочего, являются федеральные государственные образовательные стандарты (ФГОСы), которые определяют, чему и как нужно учить студентов. Так, например, существует приказ Минобрнауки России от 26.11.2020 г. No 1457 "Об утверждении федерального государственного образовательного стандарта высшего образования – специалитет по специальности 10.05.03 Информационная безопасность автоматизированных систем" (зарегистрировано в Минюсте России 17.02.2021 г. No 62532).
Работодатель – это щука или, в общем случае, рыба. С одной стороны, он вроде бы должен руководствоваться профессиональными стандартами. Причем профессиональные и образовательные стандарты – это не одно и то же, хотя образовательные стандарты ориентированы на профессиональные. Как показывает практика, работодатель "ищет, где глубже": на первый план выходят потребности бизнеса, а формирование набора профессиональных требований к конкретному специалисту идет по остаточному принципу. Более того, в конечном итоге именно потребности бизнеса и определяют облик специалиста. Как следствие, существует несовпадение в запросе на компетенции конкретного специалиста, работающего у конкретного работодателя, и обобщающим эти компетенции профессиональным стандартом.
Студент или абитуриент – это рак. Как правило, он еще не знает, чего хочет, какие компетенции ему надо развивать, но может точно сказать, от чего он бежит. Поэтому студент, особенно на первых курсах, пробует какую-нибудь деятельность и пятится, убегая от нее, если она не понравилась.
Рис. 1 примечателен еще и тем, что на нем есть вектор Д – это регуляторы, и работодатели вынуждены руководствоваться разработанной ими нормативной базой. С одной стороны, их как бы не видно, но на самом деле на движение "воза обучения" в Российской Федерации они влияют весьма сильно. Достаточно сказать, что по ряду направлений программы подготовки должны быть согласованы с регуляторами.
На основании модели "лебедя, рака и щуки" можно предполагать, что одним из ключевых моментов в обеспечении качества образования являются профессиональные и образовательные стандарты, точнее их взаимооднозначная связка. Опрос показал, что в целом респонденты знают о существовании образовательных стандартов. Если рассматривать долю значимости в обеспечении качества образования, то она составляет, как следует из опроса, только половину от всей совокупности факторов, влияющих на качество образования. При этом готовность участвовать в доработке образовательных стандартов отметили только 40% опрошенных, что в принципе подтверждает предыдущий тезис: наличие стандарта – только часть, при этом даже не ведущая, в обеспечении качества образования.
Отраслевая специфика
Следующий момент, на который следовало бы обратить внимание: в образовательных стандартах ключевым является сочетание общепрофессиональных и профессиональных компетенций. Для практической работы важно сочетание профессиональных компетенций и знаний предметной области. Понятие информационной безопасности развивается, трансформируется, и на сегодняшний день уже нет информационной безопасности "вообще". Есть информационная безопасность в определенной сфере, которая учитывает отраслевую специфику и "завязана" на нее. Это фактически определяет результат спора между сторонниками и противниками специализации в информационной безопасности. Так, можно утверждать, что существует своя специфическая информационная безопасность в банковской сфере, аналогично появляется своя информационная безопасность в сфере энергетики и ТЭК. Как следствие, 75% опрошенных утверждают, что образование должно содержать больше отраслевой специфики. И это, по нашему мнению, резерв для повышения качества образования.
Следующим моментом, содержащим внутреннее противоречие, является, с одной стороны, стремление работодателя получить выпускника, полностью соответствующего текущим потребностям предприятия. С другой стороны, учитывая принцип "рыба ищет, где глубже", необходима перестройка функциональных процессов, а значит, методов и способов обеспечения информационной безопасности. Так, выпускники соответствовали требованиям работодателя (полностью или в основном) только примерно в 15% случаев. Следовательно, они должны либо самостоятельно, либо под руководством более опытных специалистов суметь адаптироваться под новые обстоятельства. Поэтому в такой ситуации бóльшую роль играет не набор конкретных знаний и умений, а способность адаптироваться к меняющимся обстоятельствам.
Следствием из сформулированных рассуждений является необходимость иметь в учебном плане предметы, позволяющие сформировать у студентов понимание основ информационной безопасности, ее базовых механизмов. Как представляется, указанные знания должны ими применяться в случае необходимости перестройки функциональных процессов без получения от регуляторов или заказчиков конкретных указаний по решению возникших производственных задач.
Таким образом, в образовании в области ИБ есть две разнонаправленные тенденции: необходимость получения хороших фундаментальных знаний, которые обеспечат понимание основ информационной безопасности, и необходимость владения современными, в том числе "остромодными", технологиями. На наш взгляд, выиграют те учебные заведения, которые смогут обеспечить такое сочетание.
По результатам опроса обращает на себя внимание ориентация в первую очередь на зарубежные, а не на отечественные источники информации по ИБ.
Это говорит о том, что в целом мы пока проигрываем иностранным ИБ-вендорам как в части идей, так и в части реализации решений. Это опять приводит к определенному противоречию: российские регуляторы формируют собственные подходы, но рядовые предприятия предпочитают ориентироваться на зарубежные решения. Следствием является запрос на доведение до студентов материалов из зарубежных источников информации по ИБ.
Возвращаясь к исходному посылу, отмечаем, что значительная доля опрошенных не удовлетворена качеством выпускников. Повышение качества возможно фактически несколькими путями:
- через более точные и актуальные профессиональные и образовательные стандарты;
- через участие сотрудников предприятий в образовательном процессе в качестве преподавателей;
- через оснащение вузов своими разработками.
Лучше всего предприятия реагируют на возможность проведения практики для студентов: такая форма получила поддержку около половины опрошенных.
Заключение
В качестве итога данного краткого обзора можно отметить следующее. Основная неудовлетворенность качеством образования формируется со стороны работодателей. Вместе с тем только незначительная доля компаний, работающих в сфере ИБ, участвует в формировании обратной связи. Представляется, что более активное участие компаний в образовательной деятельности в сфере ИБ (в различных формах) позволит в целом вывести качество образования на новый уровень.
Проведение опросов и исследований позволяет подгруппе по кибербезопасности НТИ "Энерджинет" выявлять актуальные проблемы в области информационной безопасности и стимулировать их обсуждение в профессиональной среде. Наличие в подгруппе представителей различных профессий отрасли позволяет формировать позицию, не связанную с деятельностью конкретных организаций, а также вырабатывать актуальные предложения, представляющие интерес для широкого круга возможных потребителей.
Исследования подгруппы свидетельствуют о том, что для достижения наиболее высоких результатов в части обеспечения информационной безопасности в Российской Федерации требуется сфокусировать усилия на работах, связанных с гармонизацией нормативной правовой и методической базы, усилении платформ и инструментов для подготовки молодых и развития существующих специалистов, а также поощрении и развитии экспертного сообщества.
Комментарии экспертов
Дмитрий Овчинников, главный специалист отдела комплексных систем защиты информации компании “Газинформсервис”
Критика советского, а теперь и российского стиля образования идет многие годы. Она активизируется каждый раз, когда выясняется, что вчерашний выпускник не соответствует требованиям, предъявляемым работодателем. Но корень проблемы заключен не в российской специфике: в иностранной прессе активно идет критика англосаксонского стиля образования, который ориентируется на получение студентом практических компетенций. Но там работодатель недоволен отсутствием как раз фундаментальных знаний и широкой эрудиции, ведь это затрудняет получение новых навыков. Так что стоит воспринимать критику как нормальную обратную связь, но вместе с тем искать пути, как уменьшить разрыв между требованиями работодателей и возможностями выпускников вузов.
Информационная безопасность напрямую основывается на информационных технологиях, которые за последние десятилетия стремительно развиваются и трансформируются. Если в начале 2000-х гг. обычной практикой являлось использование отдельного сервера под каждую задачу, то сейчас уже никого не удивишь контейнерной виртуализацией на уровне приложений и облачными технологиями. Усложняется технологический стек, а вместе с ним изменяются и способы реализации ИБ. В такой ситуации вузы априори не имеют возможности вовремя подстроить свои учебные программы под новые реалии. В лучшем случае они могут выпускать студентов с широким кругом знаний, которые способны адаптировать свои умения и быстро наращивать компетенции под текущие рабочие задачи.
Сократить возникающий разрыв между знаниями выпускника и требованиями работодателя можно только совместной работой вузов и основных игроков на рынке ИБ. Прохождение практики на предприятиях и чтение вузовских лекций представителями работодателей могут дать студентам необходимые актуальные и практические знания.
Неплохим подспорьем для будущих профильных специалистов станет временное трудоустройство на предприятиях на время летних каникул. А это прежде всего вопрос инициативы руководителей компаний.
Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
Проблемы импортозамещения и кадров давно являются актуальными в сфере информационной безопасности.
Особую актуальность вопрос импортозамещения приобрел в связи с изданием Указа Президента РФ от 30 марта 2022 г. No 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации", согласно которому с 1 января 2025 г. подавляющему большинству субъектов КИИ запрещается использование иностранного программного обеспечения на значимых объектах. Пока что запреты касаются программного обеспечения ввиду того, что ситуацию с отечественными аналогами в этой части можно охарактеризовать как более-менее нормальную. Но следующим шагом с большой вероятностью будет запрет на применение зарубежной электронной компонентной базы. При этом отечественная электронная компонентная база на текущий день практически отсутствует.
Довольно старая, но так и не решенная проблема подготовки квалифицированных и готовых к полноценному выполнению функциональных задач кадров. Информационную безопасность часто приравнивают к инженерным специальностям, однако практическая деятельность специалистов по информационной безопасности очень тесно связана и с гуманитарными дисциплинами, в частности с юриспруденцией.
Если посмотреть размещаемые работодателями вакансии, практически везде в требованиях фигурирует знание 152-ФЗ или 187-ФЗ. Но одного знания – мол, прочитал и запомнил – мало, важно также понимание принципов правоприменения. В частности, важно понимать (хотя бы базово) специфику и отличие частного от публичного права, материального от процессуального. Так, например, специалисты по ИБ часто воспринимают процедуру аттестации как некое требование по обеспечению информационной безопасности. Но аттестация – это не требование по защите информации, а процедура (процесс) подтверждения выполнения требований, обязанностей, установленных материальным правом. Естественно, что таким моментам практически не уделяют внимания в учебных заведениях (исключение могут составлять отдельные преподаватели-практики) и студенты зачастую воспринимают гуманитарные дисциплины как нечто второстепенное, неинтересное.
К слову, данную проблему отмечает и регулятор. Так, на одном из координационных советов, посвященных подготовке специалистов, в котором принимал участие автор, руководством одного из территориальных органов ФСТЭК России было обозначено, что наблюдается неверное толкование и/или непонимание требований, изложенных в документах регуляторов, что требует дополнительных усилий образовательных учреждений в части юридической подготовки специалистов.
Безусловно, присутствует и отраслевая специфика: АСУ ТП в энергетике сильно отличаются от АСУ ТП, например, в металлургии. Еще больше различий можно найти с банковской сферой (где, если говорить о бизнес-процессах, АСУ ТП вообще нет). Однако если мы говорим про подготовку специалиста, то основной акцент должен быть сделан на привитии базовых, характерных для всех отраслей экономики навыков. Дело в том, что реалии современного рынка труда таковы, что специалисты меняют специализацию (часто совместно с местом работы) в среднем раз в 3–5 лет.
При этом и отраслевую специфику также можно учесть в процессе обучения, ее следует прорабатывать на этапе подготовки выпускной квалификационной работы, когда у студента уже есть понимание относительно своего будущего работодателя. На этом же этапе проще привлечь к данной работе практиков, например, в рамках производственной практики или как участников государственной экзаменационной комиссии. Ведь преподавать по совместительству в вузе или ссузе, а по сути иметь общественно полезную нагрузку, окупающую лишь затраты на ее осуществление, готов не каждый профессионал.
- Рекомендации круглого стола Комитета Государственной Думы по энергетике на тему “Вопросы нормативно-правового регулирования в части обеспечения технологической независимости и безопасности объектов критической информационной инфраструктуры", 2022, http://komitet2-13.km.duma.gov.ru/Rabota/Rekomendacii-po-itogam-meropriyatij/item/28298238/
- “О нормативной правовой и методической базе Российской Федерации в областях информационной безопасности и информационных технологий", 2021, https://github.com/SecureEnergynet/Research/blob/main/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9%20%D0%BE%D1%82%D1%87%D0%B5%D1%82_%D0%9D%D0%9F%D0%90_20210518.pdf
- “Об импортозамещении в электроэнергетике России", 2021, https://github.com/SecureEnergynet/Research/blob/main/Аналитический_отчет_Импортозамещение_20210713.pdf
- “Об образовании специалистов по информационной безопасности в Российской Федерации", 2022, https://github.com/SecureEnergynet/Research/blob/main/Отчет_исследование_образования.pdf