Информационная безопасность объектов энергетики

В энергетике цифровые системы управляют физическими процессами. Нарушение их работы способно привести к технологическим авариям и остановке производственных циклов.
К критичным объектам относятся:

• автоматизированные системы управления технологическими процессами (АСУ ТП);
• SCADA и диспетчерские системы;
• серверы телеметрии и системы сбора данных;
• технологические сегменты сети и каналы удаленного управления;
• программируемые логические контроллеры (ПЛК);
• корпоративные ИТ-системы, интегрированные с производственным контуром.

Все это обычно является значимыми объектами критической информационной инфраструктуры (ЗОКИИ) и эти компоненты формируют основную поверхность атаки и требуют приоритетной защиты.

Практика расследования инцидентов в промышленном секторе показывает, что атаки на объекты энергетики носят целенаправленный и многоэтапный характер.
Наиболее распространенные сценарии:

• проникновение во внутренний периметр через подрядчиков и удаленный доступ;
• компрометация учетных записей администраторов и операторов;
• распространение вредоносного ПО из ИТ-сегмента в технологический контур;
• целевые атаки на АСУ ТП, ПЛК и SCADA-системы;
• подмена или искажение телеметрических данных;
• атаки на доступность диспетчерских и коммуникационных систем;
• эксплуатация уязвимостей устаревшего промышленного оборудования.

Возможные последствия инцидентов
В энергетике последствия выходят за пределы цифровой среды:

• остановка генерации или передачи электроэнергии;
• аварийные отключения и нарушение устойчивости энергосистемы;
• повреждение оборудования вследствие некорректного управления;

А также “регуляторные” или compliance риски и “понятные” финансовые и репутационные потери:

• предписания и штрафы регуляторов;
• усиленные проверки со стороны ФСТЭК и ФСБ;
• приостановка эксплуатации значимых объектов КИИ;
• финансовые потери из-за некорректных расчетов потребления;
• значительный репутационный и управленческий ущерб (вплоть до реальных сроков за отсутствие внимания к вопросам безопасности).

Даже единичный инцидент способен привести к длительным простоям и миллиардным потерям.

Энергетические компании относятся к субъектам критической информационной инфраструктуры и обязаны соблюдать требования законодательства РФ в сфере безопасности КИИ.

• Базовый закон

Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Обязывает субъекты КИИ:

• проводить категорирование объектов;
• определять значимые объекты КИИ;
• внедрять организационные и технические меры защиты;
• обеспечивать реагирование на компьютерные инциденты;
• уведомлять регуляторов в установленные сроки.

На практике это означает построение документированной и технически реализованной системы защиты, особенно если это ЗОКИИ (значимый объект КИИ). Поэтому первый этап - это категорирование, чтобы определить необходимый минимум мер защиты по Закону, и накладывать на него бизнес-требования устойчивости.

• Подзаконные акты и требования регуляторов

Приказ ФСТЭК России № 239
Устанавливает требования к созданию системы безопасности значимых объектов КИИ, включая:

• сегментацию сетей;
• управление доступом;
• контроль уязвимостей;
• регистрацию и анализ событий безопасности.

Приказы ФСБ России №546, 547, 548, 553 и 554
Регламентирует порядок реагирования на компьютерные инциденты и взаимодействие с ГосСОПКА.
Документы требуют выстроенных процессов мониторинга, выявления и передачи информации о компьютерных инцидентах в государственные системы, а также регламентируют выбор и внедрение этих систем мониторинга.

• Международные стандарты

IEC 62443 (уровни SL 3–4)
Стандарт определяет требования к защите промышленных систем управления.
Уровни SL 3–4 предполагают:

• архитектурное разделение зон и кондуитов;
• строгий контроль доступа к компонентам АСУ ТП;
• защиту коммуникаций;
• контроль целостности ПО;
• устойчивость к целевым атакам.

Это международный стандарт для создания защиты объектов энергетики, который также важно учитывать в работе (принимая из него лучшие практики в дополнение к обязательным отечественным требованиям).

• Импортозамещение и защита ЗОКИИ

Для значимых объектов КИИ действуют требования по применению сертифицированных и доверенных средств защиты в соответствии с Федеральным законом № 187‑ФЗ и подзаконными актами регуляторов (ФСТЭК России, ФСБ России).
В частности, политика импортозамещения в сфере ИБ КИИ (включая Указ Президента РФ №250 и связанные акты) предусматривает полный запрет использования зарубежных средств защиты информации и иного иностранного ПО в КИИ, обязывая энергетические компании и других субъектов КИИ перейти на отечественные, сертифицированные ФСТЭК и ФСБ решения и ПО из реестра Минцифры к установленным срокам (для ЗОКИИ до 1 января 2026 года).
Использование только сертифицированных российских СЗИ на объектах КИИ требует при защите объектов энергетики и ЗОКИИ применять исключительно средства защиты информации, прошедшие сертификацию ФСТЭК/ФСБ и включённые в реестры российского ПО, иначе возможны штрафы (до 1 млн руб. с конфискацией оборудования), приостановка деятельности (на срок до 90 дней), а также ответственность для руководителей вплоть до уголовной.
Более того, энергетические компании и субъекты ТЭК, включённые в реестр субъектов КИИ, должны в числе первых завершить миграцию на отечественные программно‑аппаратные комплексы и средства защиты, с целевым горизонтом полного перехода на доверенные решения к 2030 году.

Поэтому при проектировании архитектуры учитываются:

• использование сертифицированных средств защиты информации, соответствующих требованиям ФСТЭК России и (при применении криптографии) ФСБ России;
• соблюдение обязательных требований по безопасности информации, установленных приказами ФСТЭК России (в том числе документов, регулирующих защиту КИИ и создание систем безопасности);
• ограничения и запреты на использование иностранного программного обеспечения и иных недоверенных компонентов на значимых объектах КИИ, установленные актами Президента РФ и Правительства РФ;
• реализация стратегии технологической независимости и политики импортозамещения, предполагающей приоритетное (а в ряде случаев обязательное) использование отечественного программного и аппаратного обеспечения на объектах КИИ (как минимум для сохранения управляемости и минимизации рисков блокировки технологий).

Архитектура ИБ в энергетике строится по принципу строгого разделения IT- и OT-контуров.
Ключевые принципы, исходя из требований стандартов и подзаконных актов:

• сегментация технологических и корпоративных сетей, выделение буферных DMZ сегментов;
• защита данных при передаче, матрица доступа контроль взаимодействия, фильтрация;
• минимизация точек удаленного доступа;
• контроль привилегированных учетных записей;
• централизованный мониторинг событий безопасности;
• готовность к реагированию 24/7;
• резервирование критически важных компонентов.

При этом учитываются высокие требования по доступности для технологических сегментов, контроллеров, РЗА/ПА, в связи с чем применяются либо инструменты на базе белых списков, вместо агентных технологий защиты, а также пассивный мониторинг и разбор трафика технологических сегментов без вмешательства в каналы управления.
Основная цель — обеспечить устойчивость технологического процесса даже в условиях киберинцидента.

В проектах для энергетических компаний применяются решения, защищающие как технологический (OT), так и корпоративный (IT) контуры.

• Межсетевые экраны промышленного уровня

Обеспечивают сегментацию зон и ограничение межсетевого взаимодействия.
Позволяют реализовать модель «зон и кондуитов» в соответствии с IEC 62443 и локализовать инциденты.
Также выделяют “диоды” для однонаправленной передачи телеметрической информации из технологических сегментов, без возможности обратного вмешательства в ее работу.

• IDS/IPS (NTA) для АСУ ТП

Анализируют промышленный трафик (Modbus, OPC, IEC 60870 и др.) и выявляют аномалии без вмешательства в технологический процесс.
Позволяют обнаруживать несанкционированные команды управления и попытки вмешательства.

• SIEM и централизованный мониторинг

Обеспечивают сбор и корреляцию событий из IT- и OT-сегментов.
Необходимы для выполнения требований 187-ФЗ и приказа ФСБ № 546-548, а также 553 и 554 по регистрации и расследованию инцидентов.

• Решения для защиты удаленного доступа

Контролируют подключения подрядчиков и сервисных инженеров.
Реализуют многофакторную аутентификацию и протоколирование действий, снижая риск проникновения через внешние каналы.

• Контроль привилегированных пользователей (PAM)

Позволяет управлять доступом администраторов к критичным системам и фиксировать их действия.
Снижает риски инсайдерских угроз и несанкционированных изменений.

• Криптографическая защита каналов связи

Защищает телеметрию и межсистемное взаимодействие.
Обеспечивает выполнение требований ФСТЭК и ФСБ к защите информации в каналах передачи данных.

• EDR/XDR для корпоративного сегмента

Выявляют вредоносную активность на серверах и рабочих станциях, предотвращая распространение атаки в технологический контур.

• Резервное копирование и отказоустойчивость

Критично для восстановления после инцидента.
Позволяет минимизировать время простоя и сохранить непрерывность производственных процессов.

В результате внедрения системы информационной безопасности заказчик получает:

• уверенность в корректности категорирования и учет соответствующих требований 187-ФЗ и связанных подзаконных актов и приказов регуляторов;
• корректно реализованную систему защиты ЗОКИИ (если объект будет отнесен к ЗОКИИ);
• снижение риска технологических сбоев;
• готовность к проверкам ФСТЭК и ФСБ;
• устойчивость производственных процессов;
• прозрачную и управляемую модель ИБ с понятной стратегией развития.

Наш подход включает:

• обследование технологической и ИТ-инфраструктуры;
• участие в категорировании объектов КИИ;
• моделирование угроз и анализ уязвимостей;
• проектирование архитектуры защиты IT и OT-контуров;
• внедрение и интеграцию сертифицированных средств защиты;
• подготовку организационно-распорядительной документации;
• сопровождение и поддержку при взаимодействии с регуляторами.

Оставьте заявку — мы проведем экспресс-оценку текущего состояния ИБ, определим критичные зоны и предложим стратегию построения системы защиты, обеспечивающую устойчивость технологических процессов и соответствие требованиям законодательства.