Цели, основные моменты и итоги этого важнейшего мероприятия «Цифровая подстанция» попросила прокомментировать участника совещания, Менеджера по развитию решений по безопасности критической инфраструктуры Лаборатории Касперского Антона Шипулина.

– Антон, поясните, в чём же состоит значимость этого Круглого стола и что отличает его от других подобных мероприятий?

– Без преувеличения и ложной скромности, прошедший недавно Круглый стол можно назвать знаковым событием в энергетической отрасли, поскольку никогда прежде вопросы кибербезопасности объектов ТЭК не обсуждались на таком высоком уровне. В президиум собрания были приглашены должностные лица из Министерства энергетики РФ, а в состав участников и спикеров, помимо крупнейших субъектов отрасли (ФСК ЕЭС, «Россети», Системный оператор ЕЭС), вошли представители ФСБ, Ростехнадзора и МЧС. Рынок информационной безопасности представляли лидеры в данном сегменте – компании «КРОК», «АМТ-ГРУП», ЗАО «РНТ» и, собственно, «Лаборатория Касперского».

Так совпало, что ранее в Государственную Думу был внесен законопроект «О безопасности критической информационной инфраструктуры Российской Федерации» – трудно найти более удачный повод, чтобы собрать в одном месте и в одно время людей, ответственных за будущее ТЭК. Поэтому, кроме частных вопросов кибербезопасности систем управления технологическими процессами, особое внимание уделялось подготовке государственных нормативно-правовых актов в этой области.

– О чём конкретно высказывались спикеры? Какова текущая проблематика в сфере информационной безопасности ТЭК?

– Коллеги из энергетических компаний выступали с рассказами о своей деятельности в рамках поддержания кибербезопасности критически важных инфраструктур, охватывая весь спектр проблем «на местах» и пробелов в соответствующем законодательстве. В числе основных проблем была названа необходимость модернизации производственных технологий. В нынешних реалиях они, как правило, зарубежные, в результате чего появляется уязвимость перед внешним влиянием из-за границы. Производители могут отказаться поставлять их и предоставлять обновленные версии, в связи с политическими причинами и применяемыми к России санкциями. На иностранное ПО, установленное на российских энергетических объектах, можно также влиять удалённо, так как зачастую оно находится под мониторингом самих производителей. Таким образом, импортозамещение и разработка собственных аналогов просто необходимы, если мы хотим повысить кибербезопасность и обрести независимость от зарубежных компаний.

Другой проблемой, высказанной представителями ТЭК, является нехватка кадров на предприятиях, которые имели бы должную квалификацию в области информационной безопасности, а также общий низкий уровень IT-образованности персонала.

Ростехнадзор и МЧС представили свои рекомендации по усовершенствованию законодательной базы. Было высказано мнение о том, что в настоящее время для комплексного и организованного решения вопроса кибербезопасности не хватает законодательных основ, описывающих права, обязанности, полномочия участников рынка и регуляторов.

– В ходе заседания Круглого стола возникали спорные моменты?

– Нет, серьёзных споров между участниками встречи я не наблюдал. К счастью, и представители ТЭК, и законодательные органы осознают острую необходимость перемен, обращения пристального внимания на информационные угрозы субъектам ТЭК. Даже такое неизбежное зло, как крупные затраты на внедрение современных систем безопасности и сопутствующий рост тарифов на энергоресурсы, было воспринято с пониманием. Председатель Комитета Госдумы по энергетике Павел Завальный признал, что повышение тарифов закономерно, однако надлежащая информационная безопасность критической инфраструктуры, по его мнению, стоит заявленных инвестиций.

– Как бы вы охарактеризовали итоги встречи?

– Мероприятие прошло плодотворно, был выработан ряд конкретных шагов к обеспечению кибербезопасности. Прежде всего, при утверждении закона о безопасности критически важных инфраструктур должны быть определены отрасли экономики, на которые будет распространяться данный законопроект, а также полномочия контролирующих федеральных органов. Требуется регламентировать взаимодействие систем информационной безопасности конкретных субъектов ТЭК с государственной системой обнаружения и предотвращения компьютерных атак, а также определить порядок оценки состояния защищенности и осуществления государственного контроля.

Кроме того, в ходе заседания Круглого стола было рекомендовано использовать при создании законодательных норм опыт таких рабочих отраслевых групп, как Российский национальный комитет Международного совета по большим электрическим системам высокого напряжения (РНК СИГРЭ), в котором обсуждаются вопросы обеспечения кибербезопасности систем РЗиА, систем управления объектов электроэнергетики.

Встреча 15 декабря имеет ключевое значение, так как впервые вопрос кибербезопасности вышел за рамки деятельности отдельных предприятий и рабочих групп при министерствах.