Безопасность в «одном окне»

Любая остановка турбин электростанций — это потерянные деньги.

Наши технологические партнеры, разрабатывающие системы диагностики турбин, часто сталкиваются с ситуациями, когда руководство электростанций долгое время не обращает внимание на сигналы системы диагностики о проблемах, не проводит плановые ремонты, увеличивает межремонтные интервалы. А на практике, через полгода-год таких сигналов турбины в буквальном смысле разваливаются. И суммы ущерба в некоторых случаях переваливают за миллиард рублей.

В 2018 году Ростехнадзор предложил внедрить дистанционные методы мониторинга в сфере обеспечения промышленной безопасности на опасных производственных объектах (ОПО).

Если законопроект примут, то до 1 января 2020 года всем организациям, управляющим опасными производствами, необходимо будет построить новые центры контроля. Такие центры должны будут регистрировать аварии и инциденты, отслеживать состояние систем противоаварийной защиты и т.д.  При этом понадобится предоставлять доступ к этой информации регулирующим органам в режиме онлайн.

Для примера возьмем нефтеперекачивающую станцию. Оператору необходимо наблюдать, что происходит с производственным процессом на уровне сети, получая эти данные от систем мониторинга ИТ-инфраструктуры и ИБ-систем. Не менее важная информация поступает от средств диагностики основного оборудования, которые выявляют степень износа и контролируют его жизненный цикл. Еще один класс систем контролирует прошивки и изменения в программах управления на уровне логики в компонентах систем управления.

Даже просто следить за таким ИТ-«зоопарком» проблематично, а вскоре, учитывая текущие законодательные инициативы, их показания необходимо будет передавать регулятору. Чтобы владелец объекта мог оперативно и корректно оценивать риски и угрозы разной природы, повысить оперативность выгрузки и передачи данных, необходимы комплексные решения по контролю и управлению функциональной надежностью и безопасностью.

Семь продуктов на одном экране

На практике создание центров комплексного мониторинга промышленной безопасности, аккумулирующих и передающих данные узкоспециализированных продуктов различных классов, будет актуальным и для энергетики, и для других отраслей.

Эффективность такого подхода обеспечивается за счет глубокой интеграции всех элементов, которая требует тесного технологического сотрудничества самых различных производителей.

Подход Positive Technologies предусматривает глубокое технологическое партнерство с производителями специфических отраслевых систем и предусматривает разработку решения для центров комплексного мониторинга промышленной безопасности. В его основе лежит использование в системе управления и в самом центре мониторинга как решений партнеров, так собственных продуктов компании. В частности, PT Industrial Security Incident Manager (PT ISIM) — для мониторинга защищенности и управления инцидентами кибербезопасности АСУ ТП, PT MultiScanner — для выявления вредоносного контента, MaxPatrol SIEM — для управления событиями и инцидентами, а также взаимодействия с регуляторами и государственными информационными системами, например ГосСОПКА или СМИС (структурированная система мониторинга и управления инженерными системами зданий и сооружений). В таком центре должен быть реализован и контроль уязвимостей и соответствия стандартов — у Positive Technologies за это отвечает система MaxPatrol.

Для решения задач по управлению данными и контролю версионности системного и прикладного программного обеспечения наш подход предусматривает использование решений класса Industrial Data Management, которые верифицирует конфигурации контроллеров, промышленных роботов и станков с ЧПУ, томографов и другого специализированного оборудования. По сути, продукты такого класса видят изменения в программном обеспечении оборудования на уровне логики и могут визуализировать все изменения, которые происходили на протяжении всего периода эксплуатации. Данные решения уже используются на отечественных промышленных предприятиях в различных отраслях.

В электрогенерации важны также задачи диагностического мониторинга и прогнозирования отказов основного оборудования, котлоагрегатов, турбин, систем водоподготовки и т.д.. Здесь должен использоваться опыт компаний в области комплексной диагностики и управления жизненным циклом оборудования. Своевременно обнаружить, что вал турбины «повело», греется подшипник — основная задача продуктов такого класса. Positive Technologies плотно сотрудничает с разработчиками таких систем.

Готовимся подключиться к ГосСОПКА

Если просто: системы класса SIEM не видят технологическую сеть, а PT ISIM – не видит офисную сеть.

Зато PT ISIM – это, по сути, единственный источник данных об инцидентах в АСУ ТП для SIEM. С помощью только лишь SIEM эти данные нереально извлечь (так как сеть изолирована) и понять (протоколы и процессы специфические).

Кроме того, вскоре многие промышленные предприятия подпадут под действие закона No 187-ФЗ и должны будут подключаться к системе ГосСОПКА. АСУ ТП — это основные системы, которые будут категорироваться как объекты КИИ, и в ГосСОПКА необходимо будет отправлять инциденты в первую очередь из технологической сети. PT ISIM тут незаменим.

Отличия экспертной и «коробочной» версий PT ISIM

Сегодня мы сформировали линейку продуктов PT ISIM — экспертную версию PT ISIM proView Sensor и сетевую PT ISIM netView Sensor. Появился также PT ISIM Overview Center — консолидатор, предназначенный для сбора информации со всех подключенных сенсоров PT ISIM, их обновления и управления ими.

Сетевую версию системы не надо настраивать, она применима для выявления инцидентов кибербезопасности практически во всех сферах: электроэнергетике, газодобывающей отрасли, металлургии, на транспорте и т.д.

Она дает заказчику высокую скорость развертывания системы, разве что в некоторых случаях в ней могут отсутствовать редко используемые проприетарные протоколы сетевого взаимодействия. В таких случаях мы самостоятельно добавляем совместимость с необходимым протоколом в срок от двух до четырех месяцев.

Экспертная версия PT ISIM работает не только на сетевом уровне — она позволяет глубоко анализировать уровни логики в АСУ ТП. Можно настроить привязку сетевого уровня системы к логике управления технологическим процессом.

Например, злоумышленник шлет некие команды на оборудование, и оно начинает выходить из штатных режимов. При этом на сетевом уровне инциденты безопасности отсутствуют. Экспертный PT ISIM позволяет сделать связку между событиями на уровне техпроцесса и на уровне сети, давая возможность выявить попытку диверсии или мошенничества.

Борьба с фродом

Ни для кого не секрет, что технический фрод (проще говоря, воровство на производстве) – актуальная проблема для самых различных промышленных отраслей.

Одно из применений экспертной версии PT ISIM — обнаружение технологического мошенничества. Клиенты Positive Technologies в самых разных отраслях довольно часто сталкиваются с этим явлением. В энергетике проблема мошенничества не менее актуальна.

На электростанциях используют в основном два вида энергоносителей — газ и мазут. Газ — основной энергоноситель, мазут — резервный, на случай проблем с поставками газа.

Хранилище топочного мазута привлекает различного рода умельцев, так как это «ходовой товар». При перебоях с поставками газа или проверке часто выясняется, что запасы мазута в хранилище меньше ожидаемых. А если мазут стоял два-три года, то виновных найти сложно.

Представим типичное хранилище мазута, у которого есть датчик уровня, температуры, и датчики на потоке, позволяющие проверять сколько ушло и пришло мазута. Эти датчики подведены к системе учета через контроллер, стыкующий и верифицирующий между собой эти параметры. Злоумышленник может на время отключить контроллер и слить мазут, после чего стереть логи на сервере и контроллере, задать ложные параметры в системе учета и вновь подключить контроллер. Если контроллер был физически выключен, а затем включился, то возникает вопрос, почему его не было в сети. PT ISIM может обнаружить подобное аномальное поведение оборудования или сетевого взаимодействия.

Важность целостной картины

В ходе консалтинговых проектов мы не раз отмечали, что тема промышленной безопасности намного шире безопасности информационной.

Турбина на электростанции весит десятки тонн, а ее ротор вращается на огромной скорости. В случае снятия блокировок и нештатных манипуляций с режимами её работы турбина может разлететься за секунды. Контролировать режимы и прогнозировать события с помощью какого-либо одного класса систем, пусть даже самых умных, сегодня не представляется возможным.

Чтобы предотвращать инциденты и аварии на энергетических предприятиях, прогнозировать возможность поломок и кибератак, специалистам предприятия необходима вся информация, связанная с безопасностью и надежностью.

И комплексный подход, который может быть реализован на базе центров комплексного мониторинга промышленных объектов, поможет решить эту задачу.