Вопросы безопасности комплексов РЗА и АСУ ТП

Сейчас я хотел бы донести позицию эксплуатирующих организаций.

Есть две основные стороны — эксплуатирующие организации, занимающиеся эксплуатацией и отвечающие за функционирование электроэнергетического комплекса, и продавцы систем информационной безопасности.

В своих выступлениях на различных публичных мероприятиях я много раз говорил о том, что в первую очередь необходимо разработать и внедрить организационные и технические мероприятия защиты периметра. ПАО «ФСК ЕЭС» разрабатывает мероприятия по автоматической доставке всей необходимой информации потребителям, в том числе и персоналу служб РЗА, также минимизируются объёмы проверок микропроцессорных устройств РЗА. Дистанционное подключение к локальной сети ПС для считывания информации специалистами РЗА не потребуется, как следствие, возможно выстраивание защиты периметра с большей надёжностью. Постепенное внедрение конкретных мероприятий с постоянным анализом угроз должно сбалансировать потери от вероятных кибератак и стоимость мероприятий. Но компании, занимающиеся информационной безопасностью, упорно настаивают на «защите» локальной сети внутри энергообъекта с установкой специализированного оборудования и ПО. На выставке РЗА 2016 в ходе проведения круглого стола по вопросам информационной безопасности была озвучена необходимость реализации технических мер по информационной безопасности внутри энергообъекта, исходя из той предпосылки, что кибератаки будут. Вопрос проработки последствий для управляемости энергообъекта и функционирования основных функций не рассматривался. Мне нравится в 31 приказе фраза: «Системы безопасности не должны снижать функциональных возможностей АСУ ТП». Это золотые слова, исходя из которых мы должны проводить стратегию. Эксплуатация поставлена в условия, когда с неё требуют денежных затрат на ликвидацию гипотетической угрозы, притом что влияние на функционирование комплексов РЗА и АСУ ТП не проверено и ответственность за это со стороны продавцов не отсутствует. Теперь я предлагаю разобраться с контрдоводами по информационной безопасности.

1. Кому это надо.
   Объясните мне систему монетизации взлома ПС. Вот банк взломать, это понятно зачем. Последний инцидент с погашением ВЛ 750кВ и блока атомной станции связан с забрасыванием пассатижей с проволокой на линию 750кВ. Всё просто, и никаких ноутбука и взлома сети. Но на упомянутом круглом столе сказали замечательную фразу о том, что вероятность взлома мала, но её следуют округлять в большую сторону до «единицы». В процессе выбора решений по РЗА и объёма оснащения ПАО ФСК ЕЭС спорит с СО ЕЭС по количеству и объёму РЗА. Приводя разные аргументы и вероятности, всегда конечные и понятные, мы находим компромисс. Для выбора РЗА принимается режим N-1. При N–X я готов обосновать строительство второй энергосистемы для надёжности. Так для обоснования внедрения систем безопасности допускают вероятность информационной атаки, стремящейся к 0, принять равной 1. Почему в Германии контроллеры управления ветрогенераторами выходят в интернет и могут управляться (см. статью Сергея Гордейчика в 3 номере журнала «Цифровая подстанция» за 2015г.), при этом системные аварии из-за снижения скорости ветра у них происходили уже несколько раз. Может, здесь рачительные немцы считают деньги и вероятность, по-нормальному соотнося периодические потери от аварии и постоянные затраты на безопасность.

2. Ответственность за работу РЗА.
   Кто будет отвечать за отказ в функционировании системы РЗА, когда комплекс информационной безопасности заблокирует какое-нибудь «вредоносное» GOOSe-сообщение, например, УРОВ выключателя. В этом случае произойдёт отключение с противоположных сторон энергообъекта дальним резервированием. А это погашение части энергосистемы, а не элемента сети. И мы, релейщики, спрашиваем, где та граница, которая определит в дальнейшем ответственность за инцидент. Задача электросетевой организации сохранять единую сеть и возможность транспорта электроэнергии. Если мы начнём отключать потребителей из-за вдруг «найденной» угрозы внутри локальной сети, то вина будет на энергоснабжающей организации, у которой есть договор с потребителем. Какую ответственность согласны разделить продавцы систем безопасности? Если система будет работать на сигнал и сообщать об информационной угрозе, то нам нужно держать специалистов по устранению угроз круглосуточно и оперативно доставлять их для ликвидации угрозы на объект.

3. Вопрос затрат на информационную безопасность.
   В настоящее время, создавая цифровые ПС, ПАО «ФСК ЕЭС» стремится решить две задачи — повысить надёжность и снизить стоимость. Повышение надёжности выполняется за счёт непрерывного контроля целостности и исправности компонентов. А вот стоимость объекта определяется из совокупности первоначальных расходов на проектирование, строительство и последующих расходов на эксплуатацию. ЦПС на сегодняшний день дороже при капитальном строительстве, чем традиционная ПС. Но при наличии необязательных текущих эксплуатационных затрат и переход на обслуживание по состоянию даёт экономию, и на всём жизненном цикле цифровая ПС будет дешевле. Теперь нам говорят, что для ЦПС нужно ввести комплекс информационной безопасности, комплекс контроля состояния сети и т.д. Это не подстанция, а DATA-центр получается. При этом вместо электромонтёра по обслуживанию шкафов вторичной коммутации будем нанимать на работу дорогостоящего специалиста по информационной безопасности и системного администратора, которые будут постоянно проверять и налаживать эти системы. В процессе эксплуатации они будут выходить из строя, т.к. у сервера срок эксплуатации 10 лет, а жизненный цикл ПС 40 лет. И это опять всё ляжет на тариф. Есть вероятность постройки современной и инновационной энергетики с огромными тарифами за электроэнергию и с минимальным количеством потребителей.
   

ПАО «ФСК ЕЭС» ведёт работу по созданию элементов ЦПС и видит в этом перспективы

Но если нам не удастся сбалансировать стоимость мероприятий по информационной безопасности, их эффективность с увеличением надёжности работы энергообъектов, то у энергетиков дорога на чебоксарский электромеханический завод для возобновления производства типовых советских панелей РЗА, многие из которых исправно служат больше 40 лет.