Процедуры инвентаризация и категорирования в рамках Закона 187-ФЗ к началу 2019 года прошли около 700 объектов, и это не более 10%-15% от потенциального их числа, подпадающих под действие закона «О безопасности критической информационной инфраструктуры Российской Федерации». Энергетика - среди отраслей, наиболее активно осуществляющих процедуры категорирования в соответствии с требованиями Закона 187-ФЗ.
Секционное заседание «Безопасность критической информационной инфраструктуры России и информационная безопасность в энергетике» была проведена на ИНФОФОРУМЕ 2019 в рамках тематического блока «Безопасность критической информационной инфраструктуры». Выделение «информационной безопасности в энергетике» из общего русла «безопасности критической информационной инфраструктуры России» могло показаться надуманным, но это лишь на первый взгляд. После анализа выступления замдиректора ФСТЭК Виталия Лютикова на пленарном заседании Форума логика наименования секции оказалась вполне объяснимой.
На центральном мероприятии Форума зам. директора ФСТЭК отметил, в частности, что процедуру инвентаризация и категорирования в рамках Закона 187-ФЗ прошли лишь 700 объектов, а ещё более чем на 20 тыс. объектов «работы продолжаются». При этом часть владельцев ИТ-инфраструктур вместо организации инвентаризации и категорирования изыскивают возможности и аргументацию для признания своих объектов не имеющими критического значения для безопасности информационной инфраструктуры страны. Виталий Сергеевич также сообщил на пленарном заседании, что среди отраслей, наиболее активно осуществляющих процедуры инвентаризации и категорирования – энергетика.
В этих обстоятельствах вполне логичным было бы выбрать энергетику в качестве той «эталонной» отрасли, примером которой можно было бы вдохновить всех участников процедур инвентаризации и категорирования в рамках Закона 187-ФЗ.
Места в зале, где проводилось заседание секции, начали занимать заранее, и пришедшие точно по расписанию стояли в проходах. Модераторами секции выступили Торбенко Е.Б. заместитель начальника управления ФСТЭК России; Мурашов Н.Н., зам. директора Национального координационного центра по компьютерным инцидентам (НКЦКИ), Иванов А.М., директор Департамента проектного управления и обеспечения деятельности Минэнерго России; Девянин П.Н., компания ASTRALINUX.
Уместно заметить, что Елена Борисовна Торбенко стала в 2019 году лауреатом профессиональной премии в области информационной безопасности «Серебряный кинжал», которую ей вручили буквально за час до заседания Секции. Можно предположить, что одним из оснований стала активная работа Елены Борисовны по методической поддержке внедрения в практику закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» в течение всего 2018 года. Однако существуют объективные проблемы с реализацией требований Закона № 187-ФЗ, особенно в производственных отраслях, зависимых от импортного технологического оборудования.
И это стало понятно после первого же доклада, сделанного Евгением Грабчаком, директором Департамента оперативного контроля и управления в электроэнергетике Минэнерго России. Его выступление могло бы встать в ряд иных бодрых докладов о стратегиях цифровой трансформации ведомств, но этому помешало знание модераторами секции глубинных проблем ИБ в энергетике. Общие слова о том, что «… энергосистема и её элементы становятся объектами киберпространства, обретая все возможности и уязвимости подобных объектов», о том, что
« … требуется комплексный подход к безопасности энергообъектов» выслушаны были, но председательствующий сразу взял быка за рога и задал вопросы о конкретике решения проблем защиты технологических данных. И ссылки на «бумажную безопасность», что мол «… подготовлены требования к информационной безопасности систем удаленного мониторинга и диагностики в форме ведомственного приказа» что называется «не прокатили».
Другое дело, какова здесь доля «вины» энергетиков. Ведь в условиях, когда современную АСУТП ломает 12-летний школьник (об этом позже поведал Дмитрий Даренский из Positive Technologies в своём докладе «Специфика управления инцидентами кибербезопасности АСУТП энергообъектов»), а дистанционный мониторинг параметров турбины и вспомогательных механизмов в режиме реального времени – это обычная функция импортного оборудования, а своего как не было, так и нет, начинаешь особенно ясно понимать, что надёжная информационная безопасность – это не «кольчуга, одеваемая на объект» в ходе его эксплуатации, а встроенная в оборудование система, предусматриваемая ещё на этапе разработки этого оборудования.
Однако ударить в грязь лицом энергетике не позволил Иванов А.М., директор Департамента проектного управления и обеспечения деятельности Минэнерго России. Благословив Евгения Грабчака на убытие в командировку прямо из зала секционного заседания, Алексей Моисеевич выступил затем с динамичной живой презентацией о том, как чётко работает система управления ИБ в офисном компоненте Минэнерго России. Без преувеличения можно сказать, что она явила собой эталонный образец решения в этой области. Алексей Моисеевич и отметил, кстати, что представленное им решение могло бы стать тиражируемым в ряде отраслей и крупных компаний.
С самого начала работа секции оказалась очень плотно спрессованной временными рамками, поэтому после первых двух докладов времени для дискуссий практически не было. Все последующие докладчики представляли уже не отрасль энергетики, а компании, оказывающие услуги в сфере ИБ, и имеющие реализованные проекты в это отрасли. Что и являлось сердцевиной их выступлений.
Общий вывод, который можно сделать из представленных докладов – объекты энергосистемы страны в той или иной степени включаются в киберпространство, следуя в русле технологических тенденций, на которые наша страна пока оказывает слабое влияние. Это, а также дефицит кадров приводит к тому, что расширяется круг лиц и организаций, имеющих доступ (непосредственный или дистанционный) к АСУ ТП критически важных объектов энергетики. Решение задачи защиты от киберугроз промышленной инфраструктуры в этих условиях – импортозамещение, если говорить о стратегической перспективе, а тактический паллиатив – использование компетенций зашедших на промышленный рынок таких мэтров ИБ как «Лаборатория Касперского». Причём использование этих компетенций в том числе и для выращивания собственных профессионалов.
(1).png)