Кибербезопасность в энергетике – задача государственного уровня

– Энергетика – одна из самых потенциально опасных сфер с точки зрения техногенных катастроф. Насколько серьезное внимание уделяют предприятия отрасли вопросам обеспечения безопасности?
– Не согласен с такой формулировкой. Энергетика, в том числе электроэнергетика, – сфера, в которой непосредственно работает АО "СО ЕЭС", – одна из самых, а скорее всего самая функционально нагруженная отрасль. Плюс к тому и самая технологически сложная. Вообще энергосистема – это один из самых технологически сложных объектов. Системному оператору, управляющему этим объектом, лучше других понятно, что аварийно опасным он может быть только без соблюдения правил функционирования, при нарушении внутренних взаимосвязей или при отказе критически важных элементов. Следить за соблюдением первого пункта – задача государственного уровня, а на снижение вероятности двух последних направлена вся наша работа. За последние 15 лет в энергосистеме не произошло ни одной системной аварии, причиной которой были бы действия Системного оператора.

Учитывая направленность журнала, под "обеспечением безопасности" вы, конечно, имели в виду информационную безопасность. Тогда еще один факт: мы не оценивали специально, но думаю, что не меньше 90% всего функционала системного оператора завязано на ИТ. Поэтому для нас вопросы информационной безопасности настолько тесно интегрированы в текущую работу, что просто не имеет смысла оценивать нашу "вооруженность" в этом важном, но узком сегменте всей масштабной структуры ИТ. Если процесс правильно организован, то не имеет значения, в чем конкретно проявляется угроза. Мы работаем в условии этих угроз не последние 10–15 лет, когда они прочувствованы обществом настолько, что даже стали модной темой в СМИ, а на протяжении десятков лет.

Успешно ли работаем? Об этом говорят уже упомянутые результаты.

– Как бы вы охарактеризовали ситуацию с инцидентами информационной безопасности в российской электроэнергетике?
– Вы слышали о каких-то серьезных инцидентах ИБ в российской электроэнергетике? Уверен, что нет. Могу объяснить, почему. Электроэнергетика как любая высоко нагруженная инфраструктура проектировалась и строилась, исходя из принципа противостояния всем видам угроз, среди которых ИБ-угрозы – в числе серьезных, но не основных. Можно каким-либо целенаправленным воздействием вывести из строя один элемент, два, несколько. Но оставшиеся в работе элементы возьмут на себя нагрузку, и функциональность практически не пострадает. Система технологического управления – диспетчерские центры – тоже может быть нарушена, разобщена, но в каждой сохранившейся части сохранится функционал, который продолжит выполнять свою работу. Эффективность неизбежно снизится, но система будет работать.

Не секрет: у нас в функционировании любой энергосистемы заложен принцип надежности "N-1", то есть выход из строя одного любого, даже самого крупного, элемента вообще не рассматривается как проблема – система готова к этому постоянно.

И даже если инциденты случаются, а они неизбежны, их воздействие на систему настолько незначительно, что поводом для публичной кампании не становятся. Понимая основные актуальные для нас угрозы, мы уделяем значительное внимание вопросам управления инцидентами ИБ, выработке методик, позволяющих среагировать вовремя и не допустить развития атак на ИТ-инфраструктуру.

– Можно ли говорить о росте числа киберугроз в энергетическом секторе за последние несколько лет?
– Рост числа киберугроз в отношении инфраструктурных отраслей, безусловно, есть. Электроэнергетика – не исключение. Но это неизбежное следствие все более глубокой информатизации всех аспектов нашей жизни. Чем дальше мы будем погружаться в мир умных домов и Интернета вещей, тем на большем количестве направлений нас будут ждать эти угрозы. Это косвенные показатели, но они указывают на изменение ландшафта угроз. Является ли эта тенденция новой? Я думаю, нет, просто стали больше обращать внимание.

– Насколько велика роль человеческого фактора в обеспечении ИБ?
– В правильно построенной системе последствия неправильных действий конкретного персонажа минимальны. В ней неважно даже, насколько высокое кресло занимает этот персонаж. Но построить такую систему могут только профессионалы. Поэтому, с одной стороны, роль человеческого фактора ненамного отличается от роли статиста в постановке, но с другой стороны – для этого в системе должна быть достигнута высокая концентрация компетенций.

Если же вопрос в соотношении человеческого труда, количества и качества средств автоматизации, то тут определенно есть движения в сторону перехода от ручной работы к аналитической.

– Как, на ваш взгляд, дозрела ли отрасль электроэнергетики до понимания, зависимости деловых процессов от ИБ?
– Про всю электроэнергетику сказать не могу. А Системному оператору и дозревать не надо – у нас настолько высокая степень информатизации основных деловых процессов, что это понимание присутствовало всегда. Ну или, по крайней мере, последние десятки лет. Основные функции компании обеспечиваются создаваемой годами ИТ-инфраструктурой, эффективное развитие которой без учета рисков ИБ было бы как минимум не таким успешным.

– Как минимизировать риски ИБ для бизнеса?
– Давайте начнем с формулировок: для нас актуально оперировать понятием "деловые процессы", такой термин более применим к структуре Системного оператора. Риск-менеджмент построен на непрерывных инвентаризации и аудите, на выходе которых мы получаем достоверную информацию, позволяющую начать непрерывный процесс, состоящий из оценки и принятия решения по каждому выявленному риску. При повышении уровня защищенности и минимизации рисков мы руководствуемся именно такой идеологией.

– Почему большие бюджеты на информационную безопасность оказались бесполезными при недавних атаках вирусов-шифровальщиков?
– Дело не в размере бюджета, а в том, какие механизмы в рамках системы обеспечения ИБ реализованы. В основном все бюджеты ориентированы на внедрение технических решений, тогда как ряд мероприятий, полезных для недопущения таких атак, чисто организационный. К примеру, WannaCry использовал уязвимость, опубликованную Shadow Brokers 14 апреля, а исправление от Microsoft вышло 17 апреля. Между публикацией патча и эпидемией (12 мая) прошел месяц. Будь у пораженных компаний выстроен процесс патч-менеджмента, угроза осталась бы неактуальной. Если подходить со стороны технических решений, то подошла бы парадигма активной защиты, но она, увы, в большинстве отраслей неприменима или не используется, в основном из-за несовершенства технологий средств защиты. У нас информация о готовящихся или производимых атаках тщательно прорабатывается и транслируется во все задействованные подразделения в виде алгоритмов реагирования.

– Как происходит анализ инцидента ИБ в АО СО "ЕЭС", если таковые случаются?
– Есть базовые требования по оперативному реагированию, анализ и обработка инцидента должны производиться в небольшой период времени. Что касается алгоритма – как минимум мы выявляем первопричину инцидента: это может быть недостаток настройки, незакрытая уязвимость или ошибка действий персонала, описываем, в каких условиях и в какой хронологии произошел инцидент. На основе таких данных определяем трудоемкость и стоимость устранения уязвимости или принятия корректирующих мер. В итоге принимается решение о разовых или системных изменениях. Глубина исследования при поиске первопричины зависит от самого инцидента и его критичности.

– Что является основой информационной безопасности АО "СО ЕЭС"?
– То, что является основой успешной работы Системного оператора и проявляется во всех деловых процессах:

• правильно выстроенная система управления;
• навык системной оценки любых угроз, системное видение;
• умение считать вперед на 5–10 лет;
• подчеркнутое внимание к квалификации персонала.

– Кто в АО "СО ЕЭС" является инициатором внедрения новых продуктов информационной безопасности в СО ЕЭС?
– У нас вообще нет "инициаторов внедрения новых продуктов". В Системном операторе все подчинено целесообразности, плюс эффективно работающая система принятия решений. Вся работа Системного оператора – это непрерывное принятие решений, зачастую в реальном времени. Масштаб таких решений настолько высок, что на его фоне внедрение любого конкретного продукта – просто часть рутинного процесса. А с учетом размера и сложности ИТ-инфраструктуры этот процесс становится непрерывным и постоянно совершенствуется.

– Прогнозируете ли вы увеличение расходов СО ЕЭС на ИБ в 2018– 2019 годах?
– Расходы на ИБ не являются чем-то особо выдающимся среди всей массы затрат на ИТ, но поддержание высокого уровня надежности ИТ-инфраструктуры – непрерывная задача, а в нее входит и ИБ.

– Какие проекты по ИБ вы планируете реализовать в краткосрочной перспективе?
– В ИТ-инфраструктуре Системного оператора нет очевидных недостатков, которые нужно закрывать какими-либо проектами в краткосрочной перспективе. Для нас это не проект, для нас это повседневная деятельность. И мы про нее уже поговорили: минимизация рисков на нашем уровне зрелости – постоянный процесс.

– Каков ваш прогноз относительно изменений на рынке решений в области ИБ?
– Достаточно много говорили на эту тему на InfoSecurity Russia в рамках моей секции про инвестиции в технологии. Тема больших данных и работы с ними будоражит умы. Я бы сформулировал три "будет":

• будет движение в сторону интеграции ряда решений между собой (к примеру, Sandbox + SIEM + UBA) для повышения качества данных в контексте информационной безопасности и автоматизации первого уровня аналитики;
• будут более уверенные попытки перехода к активному реагированию по результатам автоматизированной аналитики;
• тема SOC, как коммерческих внешних, так и внутренних будет еще более актуальна. В этом направлении появятся комбинированные решения в разных ценовых диапазонах.

– Что наиболее сильно повлияет на российский рынок ИБ в ближайшие 2–3 года?
– Очевидно, закон о БКИИ повлияет на популяризацию темы управления инцидентами и реагирования на угрозы ИБ. Поведенческий анализ, или UBA, найдет свою нишу или сформирует ее в каком-то привычном сегменте. Думаю, это основные направления – регуляторное и техническо-трендовое. Ах да, еще цифровая экономика, полезный формат, когда все говорят со всеми – на стыке мнений рождаются интересные идеи.