Безопасность в «одном окне»

Любая остановка турбин электростанций — это потерянные деньги.

Наши технологические партнеры, разрабатывающие системы диагностики турбин, часто сталкиваются с ситуациями, когда руководство электростанций долгое время не обращает внимание на сигналы системы диагностики о проблемах, не проводит плановые ремонты, увеличивает межремонтные интервалы. А на практике, через полгода-год таких сигналов турбины в буквальном смысле разваливаются. И суммы ущерба в некоторых случаях переваливают за миллиард рублей.

В 2018 году Ростехнадзор предложил внедрить дистанционные методы мониторинга в сфере обеспечения промышленной безопасности на опасных производственных объектах (ОПО).

Если законопроект примут, то до 1 января 2020 года всем организациям, управляющим опасными производствами, необходимо будет построить новые центры контроля. Такие центры должны будут регистрировать аварии и инциденты, отслеживать состояние систем противоаварийной защиты и т.д.  При этом понадобится предоставлять доступ к этой информации регулирующим органам в режиме онлайн.

Для примера возьмем нефтеперекачивающую станцию. Оператору необходимо наблюдать, что происходит с производственным процессом на уровне сети, получая эти данные от систем мониторинга ИТ-инфраструктуры и ИБ-систем. Не менее важная информация поступает от средств диагностики основного оборудования, которые выявляют степень износа и контролируют его жизненный цикл. Еще один класс систем контролирует прошивки и изменения в программах управления на уровне логики в компонентах систем управления.

Даже просто следить за таким ИТ-«зоопарком» проблематично, а вскоре, учитывая текущие законодательные инициативы, их показания необходимо будет передавать регулятору. Чтобы владелец объекта мог оперативно и корректно оценивать риски и угрозы разной природы, повысить оперативность выгрузки и передачи данных, необходимы комплексные решения по контролю и управлению функциональной надежностью и безопасностью.

Семь продуктов на одном экране

На практике создание центров комплексного мониторинга промышленной безопасности, аккумулирующих и передающих данные узкоспециализированных продуктов различных классов, будет актуальным и для энергетики, и для других отраслей.

Эффективность такого подхода обеспечивается за счет глубокой интеграции всех элементов, которая требует тесного технологического сотрудничества самых различных производителей.

Подход Positive Technologies предусматривает глубокое технологическое партнерство с производителями специфических отраслевых систем и предусматривает разработку решения для центров комплексного мониторинга промышленной безопасности. В его основе лежит использование в системе управления и в самом центре мониторинга как решений партнеров, так собственных продуктов компании. В частности, PT Industrial Security Incident Manager (PT ISIM) — для мониторинга защищенности и управления инцидентами кибербезопасности АСУ ТП, PT MultiScanner — для выявления вредоносного контента, MaxPatrol SIEM — для управления событиями и инцидентами, а также взаимодействия с регуляторами и государственными информационными системами, например ГосСОПКА или СМИС (структурированная система мониторинга и управления инженерными системами зданий и сооружений). В таком центре должен быть реализован и контроль уязвимостей и соответствия стандартов — у Positive Technologies за это отвечает система MaxPatrol.

Для решения задач по управлению данными и контролю версионности системного и прикладного программного обеспечения наш подход предусматривает использование решений класса Industrial Data Management, которые верифицирует конфигурации контроллеров, промышленных роботов и станков с ЧПУ, томографов и другого специализированного оборудования. По сути, продукты такого класса видят изменения в программном обеспечении оборудования на уровне логики и могут визуализировать все изменения, которые происходили на протяжении всего периода эксплуатации. Данные решения уже используются на отечественных промышленных предприятиях в различных отраслях.

В электрогенерации важны также задачи диагностического мониторинга и прогнозирования отказов основного оборудования, котлоагрегатов, турбин, систем водоподготовки и т.д.. Здесь должен использоваться опыт компаний в области комплексной диагностики и управления жизненным циклом оборудования. Своевременно обнаружить, что вал турбины «повело», греется подшипник — основная задача продуктов такого класса. Positive Technologies плотно сотрудничает с разработчиками таких систем.

Готовимся подключиться к ГосСОПКА

Если просто: системы класса SIEM не видят технологическую сеть, а PT ISIM – не видит офисную сеть.

Зато PT ISIM – это, по сути, единственный источник данных об инцидентах в АСУ ТП для SIEM. С помощью только лишь SIEM эти данные нереально извлечь (так как сеть изолирована) и понять (протоколы и процессы специфические).

Кроме того, вскоре многие промышленные предприятия подпадут под действие закона No 187-ФЗ и должны будут подключаться к системе ГосСОПКА. АСУ ТП — это основные системы, которые будут категорироваться как объекты КИИ, и в ГосСОПКА необходимо будет отправлять инциденты в первую очередь из технологической сети. PT ISIM тут незаменим.

Отличия экспертной и «коробочной» версий PT ISIM

Сегодня мы сформировали линейку продуктов PT ISIM — экспертную версию PT ISIM proView Sensor и сетевую PT ISIM netView Sensor. Появился также PT ISIM Overview Center — консолидатор, предназначенный для сбора информации со всех подключенных сенсоров PT ISIM, их обновления и управления ими.

Сетевую версию системы не надо настраивать, она применима для выявления инцидентов кибербезопасности практически во всех сферах: электроэнергетике, газодобывающей отрасли, металлургии, на транспорте и т.д.

Она дает заказчику высокую скорость развертывания системы, разве что в некоторых случаях в ней могут отсутствовать редко используемые проприетарные протоколы сетевого взаимодействия. В таких случаях мы самостоятельно добавляем совместимость с необходимым протоколом в срок от двух до четырех месяцев.

Экспертная версия PT ISIM работает не только на сетевом уровне — она позволяет глубоко анализировать уровни логики в АСУ ТП. Можно настроить привязку сетевого уровня системы к логике управления технологическим процессом.

Например, злоумышленник шлет некие команды на оборудование, и оно начинает выходить из штатных режимов. При этом на сетевом уровне инциденты безопасности отсутствуют. Экспертный PT ISIM позволяет сделать связку между событиями на уровне техпроцесса и на уровне сети, давая возможность выявить попытку диверсии или мошенничества.

Борьба с фродом

Ни для кого не секрет, что технический фрод (проще говоря, воровство на производстве) – актуальная проблема для самых различных промышленных отраслей.

Одно из применений экспертной версии PT ISIM — обнаружение технологического мошенничества. Клиенты Positive Technologies в самых разных отраслях довольно часто сталкиваются с этим явлением. В энергетике проблема мошенничества не менее актуальна.

На электростанциях используют в основном два вида энергоносителей — газ и мазут. Газ — основной энергоноситель, мазут — резервный, на случай проблем с поставками газа.

Хранилище топочного мазута привлекает различного рода умельцев, так как это «ходовой товар». При перебоях с поставками газа или проверке часто выясняется, что запасы мазута в хранилище меньше ожидаемых. А если мазут стоял два-три года, то виновных найти сложно.

Представим типичное хранилище мазута, у которого есть датчик уровня, температуры, и датчики на потоке, позволяющие проверять сколько ушло и пришло мазута. Эти датчики подведены к системе учета через контроллер, стыкующий и верифицирующий между собой эти параметры. Злоумышленник может на время отключить контроллер и слить мазут, после чего стереть логи на сервере и контроллере, задать ложные параметры в системе учета и вновь подключить контроллер. Если контроллер был физически выключен, а затем включился, то возникает вопрос, почему его не было в сети. PT ISIM может обнаружить подобное аномальное поведение оборудования или сетевого взаимодействия.

Важность целостной картины

В ходе консалтинговых проектов мы не раз отмечали, что тема промышленной безопасности намного шире безопасности информационной.

Турбина на электростанции весит десятки тонн, а ее ротор вращается на огромной скорости. В случае снятия блокировок и нештатных манипуляций с режимами её работы турбина может разлететься за секунды. Контролировать режимы и прогнозировать события с помощью какого-либо одного класса систем, пусть даже самых умных, сегодня не представляется возможным.

Чтобы предотвращать инциденты и аварии на энергетических предприятиях, прогнозировать возможность поломок и кибератак, специалистам предприятия необходима вся информация, связанная с безопасностью и надежностью.

И комплексный подход, который может быть реализован на базе центров комплексного мониторинга промышленных объектов, поможет решить эту задачу.

Цифровая подстанция

(close)

 

Цифровая подстанция

(close)

Имя пользователя должно состоять по меньшей мере из 4 символов

Внимательно проверьте адрес электронной почты

Пароль должен состоять по меньшей мере из 6 символов

 

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: