Содержание
Особенности информационной безопасности в электроэнергетике
Назад к списку статей
Ярушевский Дмитрий, CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП
ЗАО «ДиалогНаука»
Электроэнергетика — отрасль, требующая особого внимания и тщательности во всем, в том числе и в вопросах организации защиты информации. Конечно, подход к информационной безопасности (ИБ) на уровне корпоративных сетей и систем принципиально не сильно отличается от подходов в других отраслях. Но стоит помнить, что объекты электроэнергетической отрасли корпоративными офисами не ограничиваются. А вот обеспечение информационной безопасности на технологических участках (на всей цепочке, от генерации энергии до ее доставки конечным потребителям) — это, как говорится, «совсем другая история».
Главное, что, на мой взгляд, следует учитывать при разработке систем обеспечения ИБ или выборе средств защиты информации (СЗИ) для электроэнергетической отрасли, — это то, что основным активом и защищаемым объектом является, как правило, не информация, а в первую очередь технологический процесс.
И речь в таком случае идет уже не о «привычной» защите от утечек информации, а о защите от нарушения технологического процесса за счет реализации киберугроз. Строить систему защиты надо, исходя из принципов обеспечения, главным образом, целостности и доступности самого технологического процесса и автоматизированных систем управления.
Если говорить о технологических объектах, то следует учитывать специфику АСУ ТП (автоматизированных систем управления технологическим процессом) вообще и систем, применяемых в электроэнергетике, в частности (в том числе систем управления, телемеханики, релейной защиты и автоматики, коммерческого и технологического учета электроэнергии и т.д.). При построении системы обеспечения информационной безопасности необходимо тщательно изучить объект защиты и сами технологические процессы и учитывать множество возможных факторов. О некоторых из них я расскажу ниже.
Специфичное программное обеспечение и протоколы передачи данных
(В том числе устаревшие ПО и протоколы с отсутствующими функциями и механизмами безопасности.
)
Одними из наиболее распространенных протоколов передачи данных в электроэнергетике является семейство стандарта МЭК/IEC 60870-5-101/104. При разработке этого стандарта вопросам кибербезопасности не уделялось должного внимания, поэтому не стоит ожидать большего, чем могут предложить протоколы уровня стека TCP/IP. Более современный протокол — IEC 61850, но полноценное использование его возможностей на отечественных объектах электроэнергетики мало распространено. Зачастую же разработчики АСУ ТП вообще используют собственные нестандартизированные протоколы. То же касается и программного обеспечения — встроенные механизмы ИБ (аутентификации, разграничения доступа, регистрации событий и т.д.) могут не отвечать современным требованиям или отсутствовать вовсе.
Что делать?
При создании системы обеспечения информационной безопасности или выборе отдельных СЗИ необходимо проанализировать не только инфраструктуру объекта, но и определить критические для ТП точки и обеспечивать именно их защиту.
Например, в системах, где отсутствует возможность обеспечить надежную защиту на уровне управляющего ПО, может быть возможность обеспечить контроль передачи управляющих команд на уровне сети.
Негативное отношение разработчиков к дополнительным средствам защиты
Для разработчиков технологических систем одним из главных показателей качества была и остается надежность, при этом ресурсы на дополнительное тестирование использования их продуктов совместно со средствами защиты выделяются крайне редко. Как следствие, разработчики часто отказываются осуществлять техническую поддержку в случае применения дополнительных средств защиты в АСУ ТП.
Что делать?
В первую очередь необходимо оценить все риски и проектировать систему обеспечения безопасности, с одной стороны, отвечающую требованиям ИБ, а с другой — не снижающую показатели надежности АСУ ТП. Путь к компромиссу иногда может лежать в тщательном конфигурировании уже имеющегося оборудования и ПО, в использовании встроенных механизмов защиты и в реализации ряда организационных мер и процессов ИБ.
Неприменение обновлений ПО
Отсутствие процесса обновлений — одна из наиболее распространенных проблем в защите АСУ ТП. Во-первых, многие технологические сети изолированы от сети Интернет, а собственная система обновлений не внедрена. Во-вторых, установка обновлений на технические средства, работающие в режиме 24/7, связана с простоями и рисками сбоев после обновлений, недопустимыми на большинстве технологических объектов.
Что делать?
На технологических объектах необходимо построить процесс получения, тестирования и установки обновлений. На первый взгляд это может показаться слишком ресурсоемким и не слишком важным, однако это не так. Для обеспечения информационной безопасности необходимо выстроить процесс обновления как прикладного и системного ПО технических средств самого объекта, так и внедряемых средств защиты.
Требования к скорости передачи данных
Ряд систем в электроэнергетике особенно чувствителен к характеристикам каналов передачи данных.
Применение в них дополнительных средств защиты может существенно снизить скорость реакции, что недопустимо с точки зрения технологического процесса.
Что делать?
При проектировании системы обеспечения ИБ точно определять, на каких участках сети передачи данных необходимо обеспечить максимальную скорость обмена данными, и не использовать на этих участках СЗИ, влияющие на загрузку каналов передачи данных.
Отсутствие контролируемой зоны
На некоторых объектах электроэнергетической отрасли (например, трансформаторные и распределительные подстанции) фактически отсутствует контролируемая зона (КЗ). Из всех мер физической охраны там в лучшем случае есть видеонаблюдение и сигнализация, а в худшем — только замок. При этом оборудование, установленное на этих объектах, включено в общую технологическую сеть, что может стать «удобной» точкой входа для злоумышленника и привести к атакам практически на любые объекты технологической сети.
А при сетевой связности сетей — даже к атакам на корпоративную сеть.
Трансформаторная подстанция
Что делать?
Прежде всего — понимать, какие риски влечет за собой отсутствие КЗ. Например, при рисках возможных атак на технологическую сеть с использованием несанкционированного доступа (НСД) к неохраняемым объектам необходимо обеспечить жесткое разграничение доступа и контроль передаваемых данных на различных уровнях сети. Сегментация технологической сети, межсетевое экранирование и двусторонний контроль проходящего трафика существенно снизят вероятность успешной реализации атак «снизу вверх».
Отсутствие средств управления микроклиматом
На ряде объектов отсутствуют системы управления микроклиматом, а значит, к техническим средствам, устанавливаемым на этих объектах, предъявляются дополнительные требования по защите от внешних воздействий.
Что делать?
Выбирать средства защиты, отвечающие требованиям по устойчивости к климатическим воздействиям, электромагнитной совместимости (ЭМС) или другим факторам, возникающим исходя из условий эксплуатации объекта защиты. К сожалению, тут проще сказать, чем сделать. На рынке средств защиты информации наблюдается острый дефицит качественных продуктов, поддерживающих используемые в электроэнергетике протоколы передачи данных, обладающих достаточной надежностью, функциональностью и защитой от внешних климатических и электромагнитных воздействий.
Последствия
Наконец, главное, что следует помнить при разработке систем информационной безопасности для электроэнергетики, — это то, что последствия от реализации угроз безопасности могут включать в себя не только финансовые и репутационные потери, но также и ущерб жизни и здоровью людей, окружающей среде и инфраструктуре города.
Что делать?
При проектировании систем обеспечения информационной безопасности необходимы тщательное изучение объекта защиты и проведение детальной и подробной оценки рисков при моделировании угроз ИБ.
Понимание существующих рисков реализации угроз безопасности поможет не только более эффективно распределить ресурсы при построении системы защиты, но и, возможно, избежать драматических последствий. Впрочем, процесс оценки рисков необходимо выстроить и при дальнейшей эксплуатации системы.
Итак, подытожив, можно сказать следующее:
1. Не только отрасль электроэнергетики, но и различные категории объектов обладают особой спецификой, которую необходимо учитывать как при проектировании систем обеспечения безопасности вообще, так и при выборе отдельных средств защиты.
2. Прежде чем проектировать систему защиты или выбирать СЗИ, необходимо оценивать существующие риски и четко понимать, что именно и от каких угроз необходимо защищать.
Информационная безопасность в энергетической отрасли
Энергетическая отрасль всегда отличалась особыми требованиями к обеспечению информационной безопасности, особенно предприятия нефтегазовой сферы и топливно-энергетического комплекса.
Большое количество важной информации и высокая цена ошибки заставляют такие организации подходить к вопросам защиты данных с максимальной серьезностью.
Предприятия энергетической сферы относятся к критически важным объектам инфраструктуры, поэтому обеспечение информационной безопасности на них — одна из самых ответственных задач. В связи с разнообразием деятельности различных организаций энергетической отрасли, для них актуальны практически все угрозы информационной безопасности. Наличие системы контроля за утечками данных в таких компаниях является жизненной необходимостью.
Нефтегазовая отрасль — компании, занимающиеся данной отраслью, представляют собой огромные концерны, обрабатывающие гигантское количество информации. Фактом, говорящим в пользу использования для защиты от утечки данных программного комплекса SecureTower, является возможность справляться с большими объемами обрабатываемой информации. При этом практически все операции по анализу трафика происходят в автоматическом режиме, что сводит к минимуму ошибки, связанные с человеческим фактором.
В такой высококонкурентной среде, как энергетика, качественное обеспечение защиты данных клиентов является тем самым фактором, позволяющим не потерпеть фиаско, оказаться в выигрышной позиции в случае неудач и не тратить время и силы на инциденты информационной безопасности в процессе развития.
Мы осуществляем деятельность в 5 регионах России, поэтому масштабируемость системы и простота ее внедрения являются принципиально важными факторами при выборе решения. Высокий уровень специалистов технической поддержки «Фалконгейз» позволяет быстро и результативно решать любые возникающие вопросы. Благодаря внедрению DLP-системы «Falcongaze SecureTower» оптимизирована работа подразделения информационной безопасности, сэкономлены человеческие и материальные ресурсы.
Б.М.Курочкин, директор по корпоративной защите компании ТГК-2
Одной из особенностей корпоративной информационной системы нашей организации является территориальная распределенность.
В силу этого нам необходим был инструмент с централизованным управлением, который можно было бы использовать с учетом существующей политики безопасности организации. Продукт компании Falcongaze, как показало время и практика, оказался тем самым инструментом, который в полной мере устроил нас как с функциональной точки зрения, так и с точки зрения удобства использования.
Александр Зализный, ведущий эксперт отдела информационной безопасности ОАО «СО ЕЭС»
Не нашли ответа на свой вопрос?
Задайте его профессионалу!
Если у вас возникли какие-либо вопросы, будем рады ответить на них. Пожалуйста, заполните приведенную форму, чтобы отправить вопрос или комментарий.
Ваше имя*
Компания*
E-mail*
Телефон (В международном формате)*
Ваш вопрос/комментарий*
Готовность энергетического сектора к кибербезопасности | Департамент энергетики
Готовность к кибербезопасности энергетического сектора является одной из трех ключевых областей, в которых программа кибербезопасности CESER поддерживает деятельность.
Мероприятия по обеспечению готовности направлены на ситуационную осведомленность и обмен информацией, а также на анализ рисков.
Ситуационная осведомленность и обмен информацией
CESER тесно сотрудничает с владельцами и операторами энергетического сектора, чтобы лучше выявлять риски и быстрее их снижать, расширяя возможности оценки отрасли, разрабатывая инструменты анализа операционных угроз и работая с разведывательным сообществом для улучшения делиться полезной информацией об угрозах и разведданными. CESER сотрудничает с партнерами из государственного и частного секторов в разработке технологий, инструментов, упражнений и других ресурсов, чтобы помочь энергетическому сектору в оценке и улучшении их состояния безопасности, методов и готовности.
Из-за высокодинамичной технологии и среды угроз эффективные методы кибербезопасности требуют постоянной и всесторонней оценки угроз, выявления уязвимостей системы, укрепления и распространения признанных методов обеспечения безопасности, а также анализа воздействия киберсобытий на энергетическую инфраструктуру.
. Своевременный двусторонний обмен информацией о киберугрозах между энергетическим сектором и правительством помогает определить серьезность, масштаб и характер угроз и быстро разработать необходимые меры по их устранению.
Двусторонний обмен информацией о кибер-рисках
Программа обмена информацией о кибер-рисках
Программа обмена информацией о кибер-рисках (CRISP) представляет собой государственно-частное партнерство, совместно финансируемое Министерством энергетики и промышленностью и управляемое Центр обмена и анализа информации об электроэнергии (E-ISAC). Целью CRISP является сотрудничество с партнерами из энергетического сектора для содействия своевременному двустороннему обмену несекретной и секретной информацией об угрозах, а также для разработки инструментов ситуационной осведомленности, которые повышают способность сектора выявлять, расставлять приоритеты и координировать защиту критической инфраструктуры и ключевых объектов.
Ресурсы. CRISP использует передовые датчики и методы анализа угроз, разработанные Министерством энергетики, а также опыт Министерства энергетики в рамках национального разведывательного сообщества, чтобы лучше информировать энергетический сектор о киберрисках высокого уровня. Текущие участники CRISP обеспечивают электроэнергией более 75 процентов от общего числа потребителей электроэнергии в континентальной части США.
Инструменты анализа рисков, практики и руководства
Модель зрелости возможностей кибербезопасности (C2M2)
В рамках усилий федерального правительства по совершенствованию возможностей кибербезопасности подсектора электроэнергетики CESER и отраслевые партнеры разработали Модель зрелости возможностей кибербезопасности подсектора электроэнергетики ( C2M2), чтобы помочь владельцам и операторам частного сектора лучше оценить свои возможности кибербезопасности. Оценка C2M2 помогает организациям расставлять приоритеты и улучшать действия в области кибербезопасности.
Это всеобъемлющий и заслуживающий доверия подход, который могут использовать все компании энергетического сектора для повышения уровня своей кибербезопасности. CESER также выпустила версии C2M2 для подсекторов нефти и природного газа, а также для промышленности в целом.
Признавая, что национальная и экономическая безопасность Соединенных Штатов зависит от надежного функционирования критической инфраструктуры, президент в соответствии с указом (EO) 13636 «Улучшение кибербезопасности критической инфраструктуры» поручил Национальному институту стандартов и технологий (NIST) работать с заинтересованными сторонами для разработки добровольной концепции снижения киберрисков для критически важной инфраструктуры. В 2015 году CESER выпустил руководство, чтобы помочь энергетическому сектору создать или согласовать существующие программы управления рисками кибербезопасности с целью достижения целей концепции кибербезопасности, выпущенной NIST в феврале 2014 года. добровольные рамки.
Процесс управления рисками кибербезопасности (RMP)
Риск кибербезопасности является одним из компонентов общей среды бизнес-рисков и входит в стратегию и программу управления рисками организации.
Риск кибербезопасности, как и любой другой риск, нельзя полностью устранить, вместо этого им необходимо управлять с помощью процессов принятия обоснованных решений.
Руководство по процессу управления рисками кибербезопасности (RMP) в подсекторе электроэнергии было разработано Министерством энергетики (DOE) в сотрудничестве с Национальным институтом стандартов и технологий (NIST) и Североамериканской корпорацией по обеспечению надежности электроснабжения (NERC). RMP построен на предпосылке, что управление рисками кибербезопасности имеет решающее значение для успеха миссии организации в достижении ее бизнес-целей и задач, в частности надежного производства и доставки электроэнергии. Внедрение RMP будет способствовать принятию более обоснованных решений во всей организации, что приведет к более эффективному распределению ресурсов, повышению эффективности работы и способности снижать риски кибербезопасности и быстро реагировать на них.
Кибербезопасность | Министерство энергетики
Офис
Кибербезопасность, энергетическая безопасность и аварийное реагирование
В современном сильно взаимосвязанном мире для надежной доставки энергии требуются системы доставки энергии, устойчивые к киберугрозам.
Ведь от надежной энергетической инфраструктуры зависит безопасность страны, экономическое процветание и благополучие наших граждан.
CESER продвигает исследования, разработку и внедрение технологий, инструментов и методов для снижения рисков для критически важной энергетической инфраструктуры страны, создаваемых киберугрозами и другими новыми угрозами. Дальнейшее повышение безопасности, надежности и отказоустойчивости нашей энергетической инфраструктуры поможет обеспечить успех модернизации энергосистемы и преобразования энергетических систем страны. Деятельность CESER включает постоянную поддержку исследований, разработки и демонстрации передовых решений в области кибербезопасности, ускорение обмена информацией для повышения ситуационной осведомленности и техническую помощь в разработке и внедрении передового опыта.
Приоритеты CESER включают создание повседневных операционных возможностей энергетического сектора для обмена информацией о кибер-инцидентах, улучшение состояния кибербезопасности на уровне организации и процессов, а также реагирование на кибер-инциденты и восстановление.
Офис также инвестирует в исследования, разработки и демонстрацию сквозных инструментов и технологий, которые помогут сделать энергетическую инфраструктуру США более киберустойчивой и безопасной.
Для достижения своей миссии по обеспечению энергетической безопасности CESER тесно сотрудничает с представителями энергетического сектора, компаниями, производящими энергетические технологии, Национальными лабораториями, университетами, другими государственными учреждениями и другими заинтересованными сторонами.
Отраслевые партнеры включают Координационный совет подсектора электроэнергетики (ESCC), Центр обмена и анализа информации об электроэнергетике (E-ISAC), Координационный совет подсектора нефти и природного газа и отраслевые исследовательские партнерства. Федеральные партнеры включают DHS через Группу реагирования на кибераварийные ситуации промышленных систем управления (ICS-CERT), отдел науки и технологий и Национальный центр интеграции кибербезопасности и связи (NCCIC); Панель NIST Smart Grid Interoperability Panel (SGIP); ДАРПА; ДОД и другие.
В частности, CESER является участником программы исследований и разработок в области сетевых и информационных технологий (NITRD), которая обеспечивает форум для межведомственной координации исследовательской деятельности в области сетевых и информационных технологий.
В качестве отраслевого агентства (SSA) по электрической инфраструктуре Министерство энергетики обеспечивает единство усилий и служит повседневным федеральным интерфейсом для определения приоритетов и координации действий по укреплению безопасности и отказоустойчивости критически важной инфраструктуры в электроэнергетике. подсектор. Наше постоянное сотрудничество с поставщиками, владельцами коммунальных служб и операторами электроэнергетического и нефтегазового секторов укрепляет кибербезопасность критически важной энергетической инфраструктуры от текущих и будущих угроз.
CESER Электромагнитный импульс (ЭМИ) Деятельность
CESER активизировал усилия по устранению рисков, связанных с высотными электромагнитными импульсами (HEMP) и геомагнитными возмущениями (GMD) для энергетической системы страны.
Кибербезопасность для исследований и разработок систем доставки энергии
CESER инвестирует в идеи партнеров из энергетического сектора, сообщества кибербезопасности, научных кругов, государственных и местных органов власти, а также Национального тестирования кибербезопасности
для устойчивых промышленных систем управления.
CESER тесно сотрудничает с владельцами и операторами энергетического сектора, чтобы лучше выявлять риски и снижать их.
Кибербезопасность для операционной технологической среды (CyOTE)
С помощью CyOTE™ компания CESER стремится реализовать свое видение безопасных и надежных систем энергоснабжения по всей стране.
Программа CyberForce Министерства энергетики
Соревнование CyberForce™, проводимое Министерством энергетики США, бросает вызов следующему поколению профессионалов в области кибербезопасности, чтобы активно обеспечивать критический контроль.
Программа ускорения кибербезопасности чистой энергии
Стремясь к будущему с нулевым уровнем выбросов, мы также боремся с растущими киберугрозами для энергетического сектора США.
Приоритеты кибербезопасности CESER
В этом обзоре представлены пять приоритетов кибербезопасности CESER.
Братство защитников ОТ
Товарищество защитников операционных технологий (OT) — это очень избирательная образовательная программа, созданная, финансируемая и возглавляемая CESER.
CESER Геомагнитные возмущения (GMD) Деятельность
CESER продолжает работу по устранению рисков геомагнитных помех (GMD) для энергетической системы страны, в частности, электросети, в тесном сотрудничестве с федеральными и отраслевыми партнерами, включая Национальные лаборатории Министерства энергетики, DHS и Министерство обороны.