Вопросы безопасности комплексов РЗА и АСУ ТП
Сейчас я хотел бы донести позицию эксплуатирующих организаций.
Есть две основные стороны — эксплуатирующие организации, занимающиеся эксплуатацией и отвечающие за функционирование электроэнергетического комплекса, и продавцы систем информационной безопасности.
В своих выступлениях на различных публичных мероприятиях я много раз говорил о том, что в первую очередь необходимо разработать и внедрить организационные и технические мероприятия защиты периметра. ПАО «ФСК ЕЭС» разрабатывает мероприятия по автоматической доставке всей необходимой информации потребителям, в том числе и персоналу служб РЗА, также минимизируются объёмы проверок микропроцессорных устройств РЗА. Дистанционное подключение к локальной сети ПС для считывания информации специалистами РЗА не потребуется, как следствие, возможно выстраивание защиты периметра с большей надёжностью. Постепенное внедрение конкретных мероприятий с постоянным анализом угроз должно сбалансировать потери от вероятных кибератак и стоимость мероприятий. Но компании, занимающиеся информационной безопасностью, упорно настаивают на «защите» локальной сети внутри энергообъекта с установкой специализированного оборудования и ПО. На выставке РЗА 2016 в ходе проведения круглого стола по вопросам информационной безопасности была озвучена необходимость реализации технических мер по информационной безопасности внутри энергообъекта, исходя из той предпосылки, что кибератаки будут. Вопрос проработки последствий для управляемости энергообъекта и функционирования основных функций не рассматривался. Мне нравится в 31 приказе фраза: «Системы безопасности не должны снижать функциональных возможностей АСУ ТП». Это золотые слова, исходя из которых мы должны проводить стратегию. Эксплуатация поставлена в условия, когда с неё требуют денежных затрат на ликвидацию гипотетической угрозы, притом что влияние на функционирование комплексов РЗА и АСУ ТП не проверено и ответственность за это со стороны продавцов не отсутствует. Теперь я предлагаю разобраться с контрдоводами по информационной безопасности.
-
Кому это надо.
Объясните мне систему монетизации взлома ПС. Вот банк взломать, это понятно зачем. Последний инцидент с погашением ВЛ 750кВ и блока атомной станции связан с забрасыванием пассатижей с проволокой на линию 750кВ. Всё просто, и никаких ноутбука и взлома сети. Но на упомянутом круглом столе сказали замечательную фразу о том, что вероятность взлома мала, но её следуют округлять в большую сторону до «единицы». В процессе выбора решений по РЗА и объёма оснащения ПАО ФСК ЕЭС спорит с СО ЕЭС по количеству и объёму РЗА. Приводя разные аргументы и вероятности, всегда конечные и понятные, мы находим компромисс. Для выбора РЗА принимается режим N-1. При N–X я готов обосновать строительство второй энергосистемы для надёжности. Так для обоснования внедрения систем безопасности допускают вероятность информационной атаки, стремящейся к 0, принять равной 1. Почему в Германии контроллеры управления ветрогенераторами выходят в интернет и могут управляться (см. статью Сергея Гордейчика в 3 номере журнала «Цифровая подстанция» за 2015г.), при этом системные аварии из-за снижения скорости ветра у них происходили уже несколько раз. Может, здесь рачительные немцы считают деньги и вероятность, по-нормальному соотнося периодические потери от аварии и постоянные затраты на безопасность. -
Ответственность за работу РЗА.
Кто будет отвечать за отказ в функционировании системы РЗА, когда комплекс информационной безопасности заблокирует какое-нибудь «вредоносное» GOOSe-сообщение, например, УРОВ выключателя. В этом случае произойдёт отключение с противоположных сторон энергообъекта дальним резервированием. А это погашение части энергосистемы, а не элемента сети. И мы, релейщики, спрашиваем, где та граница, которая определит в дальнейшем ответственность за инцидент. Задача электросетевой организации сохранять единую сеть и возможность транспорта электроэнергии. Если мы начнём отключать потребителей из-за вдруг «найденной» угрозы внутри локальной сети, то вина будет на энергоснабжающей организации, у которой есть договор с потребителем. Какую ответственность согласны разделить продавцы систем безопасности? Если система будет работать на сигнал и сообщать об информационной угрозе, то нам нужно держать специалистов по устранению угроз круглосуточно и оперативно доставлять их для ликвидации угрозы на объект. -
Вопрос затрат на информационную безопасность.
В настоящее время, создавая цифровые ПС, ПАО «ФСК ЕЭС» стремится решить две задачи — повысить надёжность и снизить стоимость. Повышение надёжности выполняется за счёт непрерывного контроля целостности и исправности компонентов. А вот стоимость объекта определяется из совокупности первоначальных расходов на проектирование, строительство и последующих расходов на эксплуатацию. ЦПС на сегодняшний день дороже при капитальном строительстве, чем традиционная ПС. Но при наличии необязательных текущих эксплуатационных затрат и переход на обслуживание по состоянию даёт экономию, и на всём жизненном цикле цифровая ПС будет дешевле. Теперь нам говорят, что для ЦПС нужно ввести комплекс информационной безопасности, комплекс контроля состояния сети и т.д. Это не подстанция, а DATA-центр получается. При этом вместо электромонтёра по обслуживанию шкафов вторичной коммутации будем нанимать на работу дорогостоящего специалиста по информационной безопасности и системного администратора, которые будут постоянно проверять и налаживать эти системы. В процессе эксплуатации они будут выходить из строя, т.к. у сервера срок эксплуатации 10 лет, а жизненный цикл ПС 40 лет. И это опять всё ляжет на тариф. Есть вероятность постройки современной и инновационной энергетики с огромными тарифами за электроэнергию и с минимальным количеством потребителей.
ПАО «ФСК ЕЭС» ведёт работу по созданию элементов ЦПС и видит в этом перспективы
Но если нам не удастся сбалансировать стоимость мероприятий по информационной безопасности, их эффективность с увеличением надёжности работы энергообъектов, то у энергетиков дорога на чебоксарский электромеханический завод для возобновления производства типовых советских панелей РЗА, многие из которых исправно служат больше 40 лет.
Отличная статья, хорошо сформулированная позиция. Одно замечание - старейший завод по производству электромеханических защит - Чебоксарский электроаппартный завод (ЧЭАЗ).
Тут пошла жаркая дисскусия статьи:
https://www.facebook.com/groups/RusCyberSec/permalink/523820327809448/
1. Кому это надо?
Согласен, сегодня не очевидно кому это надо и надо ли это вообще. Такой же вопрос стоял пол века назад, кому надо писать вирусы для ПК? Зачем? Какая от этого выгода? Сегодня нам известен результат: отрасль написания вирусов получила бурное развитие и превратилась в целую индустрию, как по созданию вирусов и другого вредоносного ПО так и антивирусные компании превратились в много миллиардные корпорации (и тут нет намеков на то о чем вы подумали 😉
Так же можно вспомнить последний ПХД, где школьник за «морковку» ( iPAD ) потратил три ночи на поиски в интернете и провел успешную демонстрацию. Если это можно сделать – найдется тот кто сделает, а мотивацию будет искать следователь и, думаю, найдет.
2. Ответственность за работу РЗА
Тут вариантов нет – ответственность за работу РЗА несет и будет нести эксплуатация, в том числе если «релейка» будет работать не корректно или вообще перестанет работать из-за инцидентов ИБ. Очень радует тот факт, что ответственные лица все-таки не игнорируют эту проблему и участвуют в дискуссиях. Большое Вам спасибо за это Андрей Сергеевич.
3. Вопрос затрат на информационную безопасность.
Это самый больной вопрос. Денег как всегда нет, а проблема есть. Поэтому внедрение средств защиты (в том числе орг.меры) необходимо осуществлять обоснованно и продуманно.
Так же следует отметить что качество персонала объектов энергетики в перспективе будет снижаться, как в профессиональном плане, так и в морально-этическом. Поэтому чисто орг. мерами проблему не решить, ну не поставить вы офицера безопасности, который будет следить за выполнением орг.мер на каждый объект.
Я считаю, что на малых и малоавтоматизированных объектах энергетики должны внедрятся орг.меры, которые должны подкрепляться не дорогими автоматическими средствами контроля. Если приборы и системы не позволяют оставить пароль по умолчанию «0000» - то таких паролей не будет, ни один приказ не обеспечит такого же результата.
На ключевых и важных объектах (где уже давно работают не монтеры, а АСУ-шники и IT-шники) установка средств защиты по стоимости 10-12% от стоимость вторичного оборудования я считаю оправданным и нужным.
Интересная, но очень неоднозначная статья. Вроде "ФСК ведет работу по созданию элементов ЦПС ...", а с другой стороны - ИБ только мешает. Без, как минимум, мониторинга ИБ (разумного и надёжного) этой работы на современном уровне не сделать. Только конструктивный договоренности найденные решения АСУТП, ИТ и ИБ ФСК дадут действительно надежные и безопасные решения при построении и эксплуатации ЦПС.
Включение в состав любой системы дополнительного элемента, любого, но СрЗИ особенно, снижает ее надежность. Можно сказать, что СрЗИ защищает АСУ от атак на АСУ, увеличивая показатель ее безопасности, но... Извечный вопрос - кто будет сторожить сторожей. Почему все считают, что наличие инородного для АСУ вкрапления в виде СрЗИ не станет тем самым каналом, через который злоумышленник влезет в систему? Или все забыли о куче эксплойтов на СрЗИ? Или нам еще одну СрЗИ для защиты СрЗИ? Если есть возможность обойтись без увеличения точек отказа (взлом) в системе, то этой возможностью надо воспользоваться! Особенно в АСУ.
Самая большая уязвимость - это человек. Никакая техника не защитит от трудяги с багами в голове. Ванную новю дисциплину - киберпсихолог.
s/ванную/вангую/
1. По поводу монетизации взлома ПС. Кто-то продает, например, акции алюминиевого завода, далее ломает и гасит питающие его ЦПС, акции завода падают и злоумышленник покупает их по минимальной цене. Как говорится, ничего личного, просто бизнес. Про АНБ и Пентагон помолчу.
2. На мой взгляд, специалистов, осуществляющих мониторинг сетей, придется держать круглосуточно с немедленным реагированием на все инциденты (даже на такие, как пропадание на пару секунд, а потом восстановление какого-либо маршрута в сети без видимых причин).
3. По поводу затрат на информационную безопасность. Это обратная сторона уменьшения других затрат (бесплатный сыр только в мышеловке). Тут необходим поиск некоторого компромисса. Поиск этот непростой, т.к. некоторые компании предлагают "коробочные" решения, не учитывающие специфики РЗА российских энергопредприятий.
Самое главное, что данные вопросы должны подниматься, а не замалчиваться.
Просто гашение ПС без порчи оборудования это полбеды. Вот чего ТОЧНО не хочется, это возможностей в духе "Жгу ПС удалённо, недорого. Звонить в АНБ."
Несколько пацанов с камнями и проволокой, организованные умным человеком за смешные деньги, намного быстрее и эффективнее погасят не только ваш завод, но и всю энергосистему региона. Без применения компьютеров вообще. Про АНБ и Пентагон помолчу.
Согласен, что организованные пацаны могут все эффективно погасить. При этом без разницы, какую ПС гасить, традиционную или цифровую. Но при этом возможность гашения цифровых ПС удаленным взломом без выезда людей на место остается (да и традиционных ПС тоже, если там управлять оборудованием удаленно).