На состоявшемся в конце января национальном форуме информационной безопасности «Инфофорум-2020» представитель Министерства энергетики Российской Федерации в своем выступлении отметил, что в настоящее время в свете реализации 187-ФЗ для предприятий ТЭК в целом закончился этап категорирования объектов критической информационной инфраструктуры, и начался этап создания систем защиты значимых объектов в соответствии с требованиями регуляторов – ФСТЭК России и ФСБ России.
При создании указанных систем защиты определенной проблемой является то, что ранее на предприятиях уже существовали в том или ином виде системы обеспечения информационной безопасности промышленных и бизнес-процессов. Инвестиции в эти существующие системы, в значительной мере не соответствующие новым требованиям регуляторов, являются низкоэффективными. С целью принятия оптимальных решений по созданию систем защиты представляется целесообразным учесть ряд наметившихся трендов, что, на наш взгляд, поможет повысить эффективность капитальных вложений.
На текущий момент нефтепереработка остается одной из самых инновационных отраслей производства в разрезе внедрения новых технологий для управления бизнесом и технологическими процессами. При этом, с одной стороны, темпы цифровизации, которая позволяет повысить эффективность производства в нефтегазовой отрасли, существенно опережают темпы внедрения систем обеспечения информационной безопасности, с другой стороны, статистика выявленных инцидентов говорит о росте угроз.
В статье выделены некоторые тренды, влияющие на безопасность нефтеперерабатывающего предприятия.
Централизация управления технологическими процессами
Исторически сложилось так, что технологический сегмент нефтеперерабатывающих предприятий построен по модульному принципу из условно-обособленных установок, работающих в единой технологической цепи. В соответствии с этой концепцией на каждой установке был собственный обслуживающий персонал КИПиА, АСУ ТП, диспетчеризации и т.д. Сейчас же, ярко выражена тенденция к централизации управления технологическим процессом: создание обобщенных диспетчерских уровня предприятия, отказ от локальных служб эксплуатации. Все эти факторы влекут за собой размытие границ установок, а зачастую и предприятия (если, например, установка находится за границами контролируемой зоны). В связи с этим, появляются разрывы контролируемой зоны, которые необходимо закрывать как методами физической безопасности (СКУД, СОТ), так и усложнением уже существующих методов контроля: предоставление пропуска в помещение по заявке, доступ к шкафам автоматизации согласно уровню допуска и т.д.
С другой стороны, централизация управления технологическими процессами приводит к появлению все более сложных объектов управления и, соответственно, систем управления. В результате возникает эффект масштаба, который следует пояснить более подробно. Ранее на нефтегазовых предприятиях автоматизация производственных процессов затрагивала отдельные процессы, при этом сбой в данных системах приводил, в основном, к приостановке процесса. Внедрение системы защиты расценивалось как мероприятие, затраты на которое были существенно большими по сравнению с возможными потерями. С увеличением количества контролируемых из одной точки процессов увеличивается «стоимость» сбоя, при которой внедрение систем защиты становится экономически оправданным.
Это впрямую влияет на используемые подходы к обеспечению информационной безопасности. Так, в настоящее время наиболее перспективным считается переход от парирования угроз из заданного моделью угроз перечня к риск-ориентированному подходу, при котором допускается возможное негативное воздействие на объект защиты в рамках допустимых рисков, оцененных в денежном выражении. Вместе с тем, такой подход подразумевает, что для каждой угрозы существует дерево отказов, размерность которого, как представляется, находится в степенной зависимости от размерности объекта управления. Вследствие этого, как минимум, резко усложняется расчет рисков по отношению к заданному перечню угроз.
Повышение эффективности и глубины переработки нефтепродуктов
Ввиду повсеместного использования таких систем как СУУТП (система усовершенствованного управления технологическим процессом), усложнения техпроцесса с целью повышения глубины переработки, стали возможны к реализации трудно выявляемые угрозы, направленные на нанесение финансовых потерь, связанных с понижением выхода готового продукта, ухудшением его качественных характеристик, срывом поставок и т.д. Таким образом, зачастую, риски, связанные с внедрением небольших по объему систем, надо рассматривать вкупе с рисками всего технологического процесса.
Растущая глубина интеграции систем управления производством и систем управления технологическим процессом
В рамках интеграции систем управления технологическим процессом и бизнес-систем, в условно внешних ИТ-системах появляется значительный объем информации с технологических установок, который может раскрывать деятельность предприятия и быть доступным третьим лицам. Вместе с тем, несмотря на уже принятое законодательство (закон от 2 декабря 2019 г. № 425-ФЗ о запрете продажи устройств без российского программного обеспечения с 1 июля 2020 года, а также закон от 2 декабря 2019 г. № 405-ФЗ, который вводит в Административный кодекс норму о штрафах для тех нарушителей, которые повторно отказались хранить данные россиян на серверах, расположенных на территории России), на текущий момент не существует развитых комплексных решений, которые могли бы обеспечить информационную безопасность по данному направлению.
На данный момент широкую популярность набирает концепция «цифровых двойников» реальных технологических объектов, которые используются для моделирования физических свойств процессов и агрегатов с целью оптимизации технологических процессов, повышения уровня промышленной безопасности. Однако сами «цифровые двойники», ввиду своей сложности, подвержены новому типу угроз безопасности в виде несоответствия модели ее прототипу в реальности. Данный тип атак может вести к некорректному стратегическому управлению технологическими объектами и колоссальным финансовым потерям. В ближайшие несколько лет должны появиться первые попытки формирования унифицированных подходов к обеспечению информационной безопасности «цифровых двойников» нефтеперерабатывающих предприятий, однако даже сейчас стоит задумываться о рисках внедрения подобных систем.
Использование мобильных устройств для управления производством
Нефтеперерабатывающие предприятия являются пространственно-распределенными объектами. Как следствие, персоналом на них активно используются мобильные устройства. Последние тенденции таковы, что мобильные устройства могут применяться для:
- подачи заявлений, взаимодействия с кадровыми службами;
- изучения документов, взаимодействия с подразделениями охраны труда;
- немедленного получения справочной информации об эксплуатируемом оборудовании;
- взаимодействия с бюро изобретательства и рационализаторства;
- контроля за перемещением сотрудников в целях соблюдения режима доступа, техники безопасности и т.п.
Такое повсеместное использование мобильных технологий несет в себе высокий потенциал угроз безопасности предприятия и обязательно должно регулироваться либо техническими средствами защиты, либо строгими организационными мерами.
Внедрение облачных АСУ ТП, а также появление «SCADA as a Service»
Системы автоматизированного управления техпроцессом не стоят на месте, и, хоть они и не эволюционируют также быстро, как традиционные ИТ-системы, большинство производителей готовы предоставлять АСУ ТП инфраструктуру в виде облачной услуги либо исполненной в среде виртуализации. Это огромный эволюционный шаг для технологий управления, и, хоть сроки его обкатки и ввода в реализацию не меньше пяти лет, к этому шагу надо готовиться, чтобы избежать крупных рисков безопасности при миграции на новые платформы.
Но, несмотря на очевидный прогресс в области технологий, остается еще множество текущих нерешенных проблем:
- Различные аспекты безопасности воспринимают раздельно друг от друга: информационная, физическая, функциональная и другие виды безопасности должны рассматриваться вкупе в виде комплексной безопасности. Сейчас для упорядочивания областей безопасности составляются онтологические модели, ведутся академические изыскания, которые впоследствии смогут быть использованы в рамках стандартизации нормативной базы.
- Недостаточное покрытие данной тематики стандартами и противоречия с международной нормативной базой. Например, специалистами по кибербезопасности при построении систем защиты на промышленных предприятиях активно используется серия стандартов 62443. Необходимо отметить, что данный стандарт использует управление рисками на уровне предприятия. Вместе с тем, существующая нормативная база в Российской Федерации, основанная на приказах ФСТЭК, на уровне предприятий допускает только выполнение установленных требований, что подчеркивалось представителями ФСТЭК России на различных публичных выступлениях. В результате стандарт 62443 можно использовать в той мере, в какой он не противоречит приказам регулятора.
- Помимо систем управления оборудованием, на предприятиях существуют системы мониторинга и диагностики состояния агрегатов (например – системы вибродиагностики), которые не осуществляют управляющего воздействия, но играют огромную роль в поддержке технологического процесса). При этом требования по информационной безопасности к данным системам не предъявляются.
- Недостаточная готовность предприятий к обнаружению и парированию атак потенциальных злоумышленников. Кибербезопасность представляет собой не только комплекс технических средств защиты, но и возможность обрабатывать, хранить, реагировать и расследовать процессы за счет внутренних трудовых ресурсов либо подрядчиков. На данный момент наблюдается сильный кадровый голод аналитиков, что не позволяет должным образом реагировать на инциденты безопасности.
- Большая сложность реагирования на новые, ранее не встречавшиеся угрозы. Ввиду этого, обретают смысл технологии машинного обучения, способные различить аномалии в течении технологического процесса.
Карпенко Александр Игоревич
Руководитель направления АСУ ТП
Angara Technologies Group
Правиков Дмитрий Игоревич
Кандидат технических наук,
руководитель Научно-образовательного центра
новых информационно-аналитических технологий
РГУ нефти и газа (НИУ) имени И.М. Губкина
Статья опубликована на портале neftegaz.ru.