Проведен анализ современных рисков и угроз в области информационной безопасности предприятий топливно-энергетического комплекса; рассмотрены современные возможности использования различных систем для обеспечения информационной безопасности предприятий ТЭК.
Ключевые слова: топливно-энергетический комплекс, информационная безопасность, импортозамещение, системы защиты информации, нулевое доверие, управление рисками, экосистемные решения, мониторинг, уязвимости, координация.
An analysis of modern threats and threats in the field of information security of fuel and energy enterprises was carried out; The modern possibilities of using various systems for ensuring information security of fuel and energy facilities are considered.
Keywords: fuel and energy complex, information security, import substitution, information system protection, zero trust, management, ecosystem solutions, monitoring, vulnerabilities, risk coordination.
В настоящее время топливно-энергетический комплекс выступает достаточно значимой отраслью промышленности в России. Следует отметить, что ТЭК является фундаментальной отраслью в связи с тем, что занимает достаточно большую территорию, имеет особые климатические условия и занимает особое место в структуре экономике России. Исходя из этого, данная отрасль требует особый подход к организации безопасности топливно-энергетических предприятий, особые условия для логистики и мониторинга, а также принятия решений. [1]
Информационная безопасность представляет собой широкий комплекс мероприятий, направленных на защиту информации, а также обеспечивает сохранение конфиденциальности информации, обеспечивая доступность авторизованному лицу. В рамках информационной безопасности объектов ТЭК важно обеспечение безопасности всей системы защиты, поскольку на предприятиях ТЭК достаточно активно осуществляется рост информационных технологий, которые в свою очередь, могут провоцировать рост атак на энергетическую инфраструктуру страны.
В современном мире информационные технологии являются важным плацдармом для того, чтобы повышать эффективность деятельности предприятий ТЭК. Информационные технологии выступают важным элементом, который помогает вовремя осуществлять диагностику возникающих проблем в технологических сетях, оборудовании. Также информационные технологии способны осуществлять контроль и выполнять задачи по мониторингу всей инфраструктуры предприятий и холдингов. При этом важно заметить, что не только информационные технологии выступают драйвером развития предприятия ТЭК, но и содержащиеся в основе деятельности предприятий данные представляют особую важность в контексте принятия решений, осуществления прогнозов, а также снижения себестоимости продукции. Злоумышленники хорошо понимают эти аспекты и активно используют их для атак на инфраструктуру, стремясь вызвать серьёзные повреждения или завладеть данными и исказить их. Мотивация таких действий варьируется: от стремления вывести объект из строя, что может привести к катастрофическим последствиям, до временных остановок с целью получения выкупа, а также кражи информации о сетевой инфраструктуре и её комплексе в целом.
Важно также заметить, что предприятия ТЭК выступают частью большой организационной структуры (холдинг, группа компаний). Как следствие, предприятие ТЭК не может существовать отдельно от всего. В качестве примера рассмотрим следующее: добыча и генерация могут осуществляться в определенном месте, далее осуществляется транспортировка до конкретного места переработки, обогащения, накопления. При этом функциональное управление предприятием ТЭК осуществляется из различных финансовых центров, крупных городов. Иначе говоря, компания ТЭК в основе своей имеет достаточно разрозненную структуру информационного потока. Данная особенность функционирования предприятия ТЭК снижает уровень информационной защиты. [2]
На сегодняшний день существует несколько основных направлений критики в области функционирования информационной безопасности предприятий ТЭК, рассмотрим данные направления более подробно.
Первым объектом критики выступает недостаточное разделение сетей. Иначе говоря, современные системы выдвигают направления для переходов на микросегментации, а также концепции нулевого доверия. Вместе с тем многие современные предприятия ТЭК до сих пор сохраняют систему минимально разделенной сети, то есть не выделяют технологический или корпоративный сегмент. Такая ситуация делает поверхность атаки фактически максимально возможной и, на наш взгляд, требует немедленного реагирования со стороны специалистов ИБ.
Обращает на себя внимание использование мер и средств защиты, которые помогают выделять отдельные домены безопасности, сети или сегменты. Присутствие «де-факто» уязвимостей межсетевых экранов, как основного защитного элемента (например, уязвимости нулевого дня в программном обеспечении), в сочетании с «моновендорностью» выбранных средств защиты информации (когда один вендор выбирается по экономическим соображениям) создает угрозу не только для отдельных предприятий или объектов, но и для всей информационной инфраструктуры.
Также стоит отметить проблему «размывания» функций управления конкретными объектами. В стремлении к централизованному мониторингу центры имеют иные, не свойственные им функции удаленного управления, что приводит к избыточным каналам связи с защищаемыми объектами. Это, в свою очередь, увеличивает затраты на организацию системы связи и управление информационной безопасностью. [3] Примером такого подхода являются двунаправленные каналы, используемые для сбора данных, аналитики и передачи информации внешним подрядчикам, возникающие из-за отсутствия альтернативных решений на этапе проектирования.
Недостаточная вовлеченность сотрудников различных подразделений в процесс создания системы защиты информации также представляет собой проблему. Из-за организационных особенностей и юридической принадлежности может случиться, что периметр критического объекта ТЭК контролируется одновременно несколькими подразделениями: ИТ, отвечающим за общую связь, АСУ ТП, контролирующим технологические процессы, и ИБ, следящим за точками соединения информационной инфраструктуры. Непонятности во взаимодействии этих подразделений могут повышать вероятность и успешность атак.
В последнее время существуют также следующие элементы, которые важно учесть при осуществлении защиты предприятия ТЭК. Многие иностранные поставщики покинули российский рынок, в связи с чем часть СЗИ лишились технической поддержки, при этом оставшиеся на рынке поставщики не всегда могут удовлетворить требования регулятора (ФСТЭК) с позиции имеющихся сертификатов для осуществления защиты КИИ.
Отечественные решения не всегда могут предоставить весь набор функциональности, который присутствовал у конкурирующих иностранных вендоров СЗИ.
Задачи по импортозамещению технологической базы и программных решений на объектах ТЭК требуют пересмотра точек сопряжения и применяемых технологий, что делает вопросы информационной безопасности особенно актуальными в этот переходный период.
Сроки выполнения поставленных задач по импортозамещению и созданию систем защиты крайне сжаты, что требует эффективных и быстроразворачиваемых решений. [4] Используемые аналоги средств защиты должны быть экосистемного характера и интегрироваться во весь комплекс мер в области не только информационной безопасности, но и информационных технологий, включая стандартные системы мониторинга, syslog-коллекторы, системы резервного копирования, операционные системы и контроллеры домена. [5]
Предприятия и отдельные объекты ТЭК генерируют данные, нетипичные для многих средств защиты. Это касается передачи за пределы сетевого периметра промышленных протоколов, которые имеют свои специфические требования по составу информации, таймингам и другим параметрам.
Исходя из представленной информации, в настоящее время, имея определенные ограничения, специалист информационной безопасности оказывается перед серьезным выбором поиска универсального инновационного подхода к осуществлению защиты и информационной безопасности предприятия ТЭК. При этом важными направлениями являются следующее:
– осуществление сдвига к модели оценки, которая основывается на рисковой модели. То есть, для осуществления защиты, а также своевременного определения существующего риска, а также разрушительного потенциала, важно вовремя диагностировать и идентифицировать существующий для предприятия ТЭК риск;
– создание центров, которые могут находится как внутри предприятия, так и осуществляться на аутсорсинге, с целью распределения функции контроля за информационной безопасностью;
– слияние центров SOC и NOC (Network Operation Center), для того, чтобы создать единую систему для осуществления информационной безопасности, как внутри предприятия, так и в отдельных его функциональных структурах;
– осуществление особого внимания на на SIEM как одну и центральных точек SOC.
Интеграция данных для SIEM, в том числе, из технологического, а не только корпоративного сегмента — в целях получения единой информационной системы (рабочего места офицера ИБ) с последующим выстраиванием корреляционных связей;
– осуществление интеграции систем класса IDS, а в ряде случаев IPS, как элемента, который способен обнаружить определенные дефекты, которые имеются и нарастают в промышленных сетях, для того, чтобы своевременно принимать решение.
Подводя итог, следует отметить, что в настоящее время предприятия ТЭК, являются достаточно уязвимыми с позиции информационной безопасности, и, как следствие, нуждаются в определенных мерах защиты, направленных на обеспечение безопасности всей системы функционирования предприятия ТЭК. Важно также заметить, актуальность «диодов данных», которые способствуют приверженность энергетического сектора лучшим мировым практикам по построению многоэшелонированной защиты и приближают их к реализации концепции ZeroTrust, которая является определенным базовым стандартом на российском и зарубежном рынке.
Литература:
- Указ Президента РФ от 5 декабря 2016 г. № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» [Электронный ресурс] URL: http://base.garant.ru/71556224/#block_2
- Краснов А. Е., Мосолов А. С., Феоктистова Н. А. Оценивание устойчивости критических информационных инфраструктур к угрозам информационной безопасности. DOI: https://doi.org/10.26583/bit.2021.1.09 [Электронный ресурс]. [Российский индекс 153 научного цитирования]. URL: https://elibrary.ru/item.asp?id=44831666
- Методика оценки угроз безопасности информации: Методический документ [Электронный ресурс]. URL: https://fstec.ru/tekhnicheskaya-zashchitainformatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokumentutverzhden-fstek-rossii-5-fevralya-2021
- Губина Т. А., Мосолов А. С., Акинин Н. И. Алгоритм метода определения приоритетного сценария развития аварийной ситуации на объекте защиты [Электронный ресурс]. URL: https://www.elibrary.ru/item.asp?id=38220548
- Селеменев А. В., Астахова И. Ф., Трофименко Е. В. Применение искусственных иммунных систем для обнаружения сетевых вторжений / Воронежский государственный университет [Электронный ресурс]. URL: https://www.elibrary.ru/item.asp?id=38595854
