Комплексная безопасность предприятий ТЭК: подходы к определению
Дмитрий Правиков, Айдар Тагиров, 17/03/23
Целесообразность комплексного подхода к безопасности ТЭК обусловлена тем, что для современных предприятий этой сферы существует множество причин возникновения инцидентов, которые, в свою очередь, могут вызвать большое количество негативных последствий.
Регуляторы, вендоры, интеграторы и разработчики систем моделирования – все они заинтересованы в выработке понимания экспертным сообществом того, что является комплексной безопасностью, и вносят различные предложения по конкретизации этого понятия. Важным элементом комплексной безопасности является информационная безопасность, поскольку практически все современные системы обеспечения безопасности (физической, промышленной, экологической и т.д.) построены на базе программно-аппаратных средств.
Целесообразность комплексного подхода к безопасности ТЭК
В 2018 г. в РГУ нефти и газа (НИУ) имени И.М. Губкина был создан факультет комплексной безопасности ТЭК, в самом наименовании которого делается акцент именно на понятии комплексности. Таким образом, во-первых, подчеркивается, что в рамках одного факультета собраны основные направления подготовки специалистов по обеспечению безопасности в ТЭК. Во-вторых, предложенная организационная структура является ответом на тенденции, наблюдаемые в компаниях нефтегазового комплекса и свидетельствующие о консолидации вопросов обеспечения безопасности. Значимой причиной появления факультета стали изменения угроз, все более приобретавших гибридный, многовекторный, комплексный характер. Одной из отличительных черт таких угроз является то, что они зарождаются в одной сфере, а реализуются в другой или сразу в нескольких сферах обеспечения безопасности.
В числе драйверов создания факультета – Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", законодательно закрепивший процедуру категорирования различного рода информационных систем, определяемых в законе как объекты критической информационной инфраструктуры. Указанная процедура предусматривает оценку возможных последствий, связанных с проведением компьютерной атаки. Уже на уровне соответствующих подзаконных актов задано, что эти последствия могут быть в технической, социальной, экологической, экономической и иных сферах. Тем самым акцентировалась взаимосвязь причин, лежащих в одной сфере (информационная безопасность), и последствий, происходящих в иных сферах.
Кроме того, как уже неоднократно отмечалось, на предприятиях ТЭК в случае выявления сбоя технологического процесса на первом этапе анализа ситуации не всегда можно понять его причины. В настоящее время практически равновероятными являются следующие источники сбоев: физический износ оборудования (его поломка), человеческий фактор или компьютерная атака. В случае сбоя в условиях непрерывного производства крайне важно не допустить увеличения масштабов аварии. При этом установление причин является важным, но не определяющим моментом в максимально быстром восстановлении технологического процесса.
Приведенные обстоятельства позволяют говорить о том, что для современного предприятия ТЭК существует множество (в части принадлежности к различным сферам – информационной, технологической, антитеррористической, социальной и т. п.) причин возникновения инцидентов (аварий), которые, в свою очередь, могут вызвать множество (опять-таки в части принадлежности к различным сферам) негативных последствий. Указанное соотношение "многие причины ко многим последствиям" порождает неделимое объединение угроз и последствий их реализации.
Такой подход принципиально отличается от имевшейся ранее точки зрения, что, например, угрозы информационной безопасности порождали негативные последствия только в сфере информационной безопасности. В настоящее время это единый "гордиев узел безопасности", которая в рамках подходов, развиваемых в университете, называется комплексной.
На интуитивном уровне такой подход понятен, однако существенным моментом является формирование соответствующей научной базы, изучающей, если брать науку в целом, в том числе причинно-следственные связи. Учитывая принципиально новый подход к пониманию безопасности, в настоящее время достаточно затруднительно описать указанные связи в общем случае. Вместе с тем понимание наличия такой корреляции, оценка возможности нанесения ущерба предприятию через связи, которые первоначально могут быть оценены как маловероятные, формирование мер по защите от угроз, реализуемых нестандартным способом, и является задачей специалиста по комплексной безопасности.
Актуальные вопросы комплексной и информационной безопасности
Вопросы обеспечения комплексной безопасности промышленности, в том числе предприятий ТЭК, вновь стали чрезвычайно актуальными в текущих геополитических условиях. Сегодня, учитывая санкционное давление, прекращение поддержки действующего оборудования, различного рода телекоммуникационные атаки и другие виды воздействия, трудно выделить какое-то одно направление обеспечение безопасности, которое бы было значимее других.
Вопросы безопасности ТЭК на государственном уровне
Если рассмотреть вопрос безопасности предприятий ТЭК на государственном уровне, то подход к обеспечению отдельных ее видов просматривается в соответствующих федеральных законах. Наиболее ярким примером является Федеральный закон "О безопасности объектов топливно-энергетического комплекса" от 21.07.2011 г. № 256-ФЗ, направленный на антитеррористическую защищенность объектов конкретной сферы. Нельзя сказать, что за время, прошедшее с момента принятия данного закона, террористическая угроза утратила свою актуальность, однако появились угрозы нового вида, включая те, которые ранее не рассматривались, по крайней мере на уровне собственников предприятий, например отказ от поддержки программного или программно-аппаратного обеспечения.
На национальном уровне можно утверждать, что информационная безопасность дождалась своего "черного лебедя", когда продукты производителей из стран, "демонстрирующих недружественное поведение", уже не могут использоваться на объектах критической информационной инфраструктуры – об этом говорится в указах президента Российской Федерации от 30.03.2022 г. № 166 и от 01.05.2022 г. № 250.
Вместе с тем санкции и контрсанкции являются только поводом для более внимательного рассмотрения сложившейся ситуации. Реально проблема заключается в том, что можно назвать "кризисом бесшовности обеспечения безопасности". На одном полюсе явно выраженная политическая воля необходимости обеспечения технологической независимости, на другом – выявленные конкретные уязвимости в конкретных контроллерах. А посередине находятся организаторы, собственники и руководители производства, для которых информационные технологии не более чем средство для повышения эффективности бизнес-процессов. Если представить, что существует зависимость уровня мотивированности по обеспечению ИБ от уровня в глобальной иерархии, то на интуитивном уровне ее график будет представлять седловину или параболу (рис. 1).
Рис. 1. Зависимость степени мотивированности по обеспечению ИБ от уровня в глобальной иерархии
Слева – уровень мотивированности конкретных специалистов, занимающихся настройкой конкретных контроллеров, до руководителей по безопасности. Крайняя нижняя точка (в центре), как представляется, отражает позицию руководства предприятий. В правой части, как уже было отмечено, уровень мотивированности политического руководства, регуляторов, представителей отраслевых министерств и т.д.
В данном случае авторами используется трактовка аналитического отчета "О вовлеченности первых лиц предприятий в управление информационной безопасностью", подготовленного экспертной подгруппой по кибербезопасности НТИ "Энерджинет"1. И здесь нет ничего удивительного. Основная задача руководителя – обеспечивать выпуск продукции и ее продажи. ИБ рассматривается лишь как аспект, который может этому либо способствовать, либо препятствовать. Но не более.
Как бизнес осознает вопросы безопасности
В указанном выше отчете отмечено, что несмотря на появление упомянутых указов президента Российской Федерации, как интересовалась проблемой ИБ примерно половина руководителей, такая же часть и осталась. Здесь скорее видна точка насыщения, так как отсутствие интереса говорит о том, что, во-первых, для оставшейся части проблемы ИБ несущественны из-за особенностей бизнеса и, во-вторых, присутствует образовательный фактор: восприятие проблем ИБ не очень острое. Примером может быть радиационная опасность. Ее ощутить нельзя, можно увидеть только последствия. Осознание смертельной угрозы среди широких кругов неспециалистов во многом пришло только после долгой разъяснительной работы.
А вот где пришло осознание, так это в сфере безопасности поставок. При этом сами цепочки поставок должны быть как устойчивыми, то есть гарантированными, так и не должны допускать появления на их выходе продукции с недекларированными возможностями.
Возможно, что для некоторых читателей приведенные рассуждения выглядят тривиальными. Тогда возьмем другой аспект проблемы – позицию регулятора, в частности ФСТЭК России. В 2021 г. был утвержден интересный документ – "Методика оценки угроз безопасности информации"2, который рассматривает нарушителей самого разного рода, начиная со спецслужб иностранных государств (а это фактически отражение позиции политического руководства) и заканчивая отдельными хакерами.
При этом данный регулятор уже благодаря своей ведомственной нормативной базе располагает банком данных угроз безопасности информации (bdu.fstec.ru, далее – БДУ), включающим в себя базу данных уязвимостей. Указанный банк данных весьма конкретен, особенно при описании уязвимостей, что делает его понятным в первую очередь специалистам, то есть людям из левой части нашего графика.
Проблема заключается в том, что упомянутая Методика оценки угроз... предполагает, что на конкретном предприятии будет расписано, как, условно говоря, сторонник террористической группировки (используется понятие из рассматриваемого документа) подбирает пароль BIOS (понятие из БДУ) к основному серверу. Но эти термины находятся в области ведения лиц, для которых они малопонятны, имеющих к тому же низкий уровень мотивированности!
Понятно, что на текущий момент поддержание уровня мотивированности обеспечивается в основном "методом кнута" – введением в Уголовный кодекс и Кодекс об административных правонарушениях Российской Федерации соответствующих статей3. Поэтому проблема решается аккуратно, скажем путем аутсорсинга разработки соответствующих документов, в частности модели угроз. И в результате мы имеем ситуацию, которую очень хорошо описал Виктор Черномырдин: хотели, чтобы бизнес провел ревизию своих проблем с обеспечением информационной безопасности, а он предпочитает просто купить "справку об отсутствии претензий".
Проблема, если действительно "смотреть в корень", заключается в том, что описания ИБ на уровне предприятия (не на уровне глобального противоборства, не на уровне конкретных контроллеров) практически не существует. Отдельные примеры есть, но они скорее подчеркивают общее правило. Невысокий уровень мотивированности обусловлен тем, что руководство предприятий одинаково далеко как от глобальной "технологической независимости", так и от уязвимости конкретного контроллера. На сегодняшний день есть возможность отобразить понимание и дать описание информационной безопасности. Но, как видно даже из этого краткого рассмотрения, понимание информационной безопасности на каждом уровне иерархии разное.
Взгляды на содержание комплексной безопасности
В этом смысле не стала исключением и проведенная в апреле прошлого года в Губкинском университете панельная дискуссия4, которая была посвящена выработке понимания комплексной безопасности объектов ТЭК. Участники сделали и обсудили различные доклады, при этом, как показалось, речь шла о том, насколько широко необходимо учитывать различные аспекты безопасности (физической, экономической, антитеррористической и т.п.) для выработки понимания комплексности.
По мнению одного из регуляторов (Е.В. Новикова, советника Департамента экономической безопасности Минэнерго России), комплексную безопасность определяют следующие направления:
- противодействие террористическим угрозам;
- противодействие киберугрозам;
- обеспечение правовой защиты предприятий;
- мобилизационная подготовка;
- антикоррупционная деятельность.
Все перечисленные направления обеспечения безопасности предприятий связаны между собой. Так, например, одним из негативных последствий компьютерных атак может быть снижение мобилизационной готовности. Регуляторы уже подходят к рассмотрению вопросов безопасности предприятий как комплексному понятию, охватывающему ее различные виды. Выделение отдельных направлений имеет скорее организационный характер, так как за различные виды безопасности на уровне государства отвечают различные ведомства.
Разработчиками систем моделирования также внимательно изучаются подходы к обеспечению комплексной безопасности. По мнению некоторых из них (С.М. Ревина, генерального директора АО "Итерация"), безопасность – это отсутствие опасности или, говоря по-другому, угрозы. При этом все угрозы делятся на две группы:
- Частые угрозы, для которых можно составить статистику.
- Редкие явления с катастрофическими последствиями.
Так, например, террористическая атака на объект ТЭК – это редкое явление, для которого невозможно составить статистику, а значит, провести обоснованный расчет рисков.
С точки зрения С.М. Ревина, под понятием "комплексность" подразумевают понятие о нескольких компонентах безопасности с учетом их влияния друг на друга. аксиома об угрозах: объективно существует бесконечное число угроз любому субъекту безопасности, в том числе те, которые невозможно предположить.
Следствия из аксиомы:
- Абсолютной безопасности не существует.
- В любой момент может возникнуть любое количество угроз, в том числе ранее неизвестных.
- Невозможно создать идеальную систему безопасности.
- Система безопасности должна предусматривать возможность динамического развития при изменении характера и интенсивности угроз.
- Для своевременного реагирования на внезапно возникающие угрозы необходим резерв сил и средств за счет определенной избыточности существующих и проектируемых систем безопасности.
Значение методов имитационного моделирования
Обоснование необходимой достаточности сил и средств реагирования на проектные и запроектные угрозы наилучшим образом осуществляется методами имитационного (ситуационного) моделирования функционирования всех комплексов и подсистем системы безопасности в обычных условиях, при осложнении обстановки и при возникновении чрезвычайных ситуаций. При этом необходимо учитывать комплексное взаимодействие и взаимовлияние различных подсистем и направлений обеспечения безопасности.
При разработке таких систем моделирования и их информационного обеспечения наибольшая эффективность достигается за счет использования цифровых двойников систем безопасности, представляющих собой составную часть цифровых двойников объектов (предприятий).
Моделирующий комплекс на основе генерации и математической обработки статистик должен обеспечивать интеллектуальную поддержку принятия оптимизированных управленческих решений в системах безопасности с использованием полных, актуальных и достоверных данных о структуре и процессах функционирования объекта и его систем безопасности, которые содержатся и администрируются в цифровом двойнике объекта.
Мнения разработчиков и интеграторов о понятии комплексной безопасности
По мнению разработчиков систем автоматизированного управления (С.Н. Королёва, руководителя направления систем информационной безопасности Частного учреждения по цифровизации атомной отрасли "Цифрум"), понятие комплексной безопасности начинается с комплексного подхода. Прежде чем создать систему защиты, нужно дать ответы на вопросы "Что защищать?", "От кого защищать?", "Сколько времени понадобится злоумышленнику на совершение несанкционированного действия?", "Как и какими силами обеспечить создание рубежей защиты?".
В некоторых особо важных отраслях промышленности уже применяется комплексный подход к обеспечению информационной безопасности предприятий.
В понимании интеграторов (А.И. Карпенко, руководителя направления защиты АСУ ТП и КИИ "Инфосистемы Джет"), комплексным считается подход, связанный с большим уровнем абстракции при процессе моделирования угроз. Составление исчерпывающего перечня мер безопасности в рамках такого подхода может включать в себя меры, не только связанные с информационной безопасностью, но и затрагивающие аспекты промышленной и антитеррористической безопасности.
При этом в рамках текущей ситуации обеспечение комплексной безопасности должно производиться быстро, что приводит к декомпозиции проектов на три базовых уровня:
- Стратегический, на котором осуществляется анализ состояния безопасности АСУ ТП на уровне исполнительных аппаратов, материнских компаний, общая систематизация подходов к защите, связанная с разработкой стратегии и дорожной карты, формирование целевой модели безопасности.
- Оперативный, на котором проводится анализ состояния безопасности АСУ ТП на уровне филиалов, тестов на проникновение для оценки реального уровня защищенности и инвентаризация типовых объектов, а также формируются контуры систем защиты.
- Тактический, на котором повышается осведомленность персонала на местах, проведение обучения, киберучений, в рамках этого уровня также может производиться аутсорсинг реализации основных функций безопасности для быстрого парирования потенциальных угроз. Важно отметить, что выполнение задач по этим уровням может и должно вестись параллельно.
Подходы к описанию комплексной безопасности
Как представляется авторам, безопасность должна описываться как минимум в системе трех координат.
Первая координата, как уже было отмечено, – уровень рассмотрения проблемы. Наиболее общий уровень – геополитический, далее уровень национального государства, уровень отрасли, уровень предприятия, уровень объекта критической информационной инфраструктуры, уровень отдельной системы, уровень хоста, уровень микросхемы.
Вторая координата – вид безопасности, что тоже уже было отмечено. Экономическая, физическая, экологическая, пожарная, промышленная, информационная – можно добавить еще, исходя из специфики того или иного предприятия или понимания безопасности. При этом, например, пожарную безопасность нельзя отделить от информационной, так как современные противопожарные системы включают в себя программно-аппаратные комплексы.
Третья координата, на взгляд авторов, – это цели обеспечения безопасности, включая информационную безопасность. При этом на уровне государства данные цели обеспечения информационной безопасности описаны достаточно внятно и подробно. То же самое сделано на уровне отдельных информационных систем (даже на уровне пресловутой триады "конфиденциальность – целостность – доступность"). А вот на уровне предприятия цели носят условно отрицательный характер: избежать наказания ответственных лиц в соответствии с изменениями в кодексах Российской Федерации. Здесь можно вновь сослаться на проведенные беседы о вовлеченности руководства предприятий в обеспечение ИБ. Как уже было отмечено в ходе обсуждения, значительная часть руководителей не интересуется проблемами обеспечения информационной безопасности. Скорее всего, потому, что им пытались "продать страх" и не пытались говорить на языке выгод.
Основным выводом из описанного рассмотрения является необходимость обеспечения "бесшовности" понимания безопасности по всем трем обозначенным координатам, в первую очередь на уровне руководства предприятий.
Изложенные суждения были апробированы на конференции "Комплексная безопасность и защищенность объектов промышленности, нефтегазового сектора и электроэнергетики"5, в работе которой приняли участие представители #CloudMTS, ООО "Компания СМД", ЗАО "ИНТЕГРА-С", ООО "Газпром Трансгаз Москва", ООО "Газпром Добыча Астрахань", ООО "Охранная техника". Участники конференции выразили заинтересованность в продолжении выработки понимания комплексной безопасности, положительно оценив продемонстрированный авторами статьи подход к поднятой теме.
Вместе с тем представителями экспертного сообщества было отмечено существование разрыва между имеющимися теоретическими представлениями и реализацией на практике.
Предложено оценивать эффективность мероприятий комплексной безопасности размерами предотвращенного ущерба для того, чтобы руководителям предприятий была бы понятнее доводимая информация и они могли бы легче принимать управленческие решения.
Подчеркнута особая роль регуляторов в осмыслении, использовании и регламентировании комплексной безопасности. Поднят вопрос о ресурсах для достижения комплексной безопасности.
Таким образом, на основании вышеизложенного можно сделать вывод о том, что в настоящее время существует определенный запрос на описание безопасности как комплексного явления, охватывающего все возможные аспекты как угроз, так и негативных последствий. Да, пока "всеобщей теории безопасности" не существует, но это не означает отсутствия целесообразности в формировании такой теории. Представляется, что формирование подобной теории будет основной целью, которую ставит перед собой кафедра комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М. Губкина. Сотрудники кафедры будут рады любому взаимодействию с представителями научного сообщества, разделяющими идеи комплексной безопасности, описанные в настоящей статье.
1 Отчет_осведомленность_23_01_23.pdf. URL: https://docs.yandex.ru/docs/view?url=ya-diskpublic%3A%2F%2FEN4vcIiIabKqbtP8cc6G%2BcBrHNgU%2BcZRSgqIsZrQy%2FHPM1YJerOJz7%2FbcmGeMCudq%2FJ6bpmRyOJonT3VoXnDag%3D%3D&name=Отчёт_осведомленность_23_0 1_23.pdf&nosw=1 (дата обращения: 06.02.2023).
2 Методика оценки угроз безопасности информации, утверждена ФСТЭК России 05.02.2021 г. Электронный ресурс ФСТЭК России. URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g (дата обращения: 02.02.2023).
3 Имеются в виду, в частности, статьи 13.12.1, 19.7.15 КоАП РФ и 274.1 УК РФ.
4 Панельная секция "Комплексная безопасность предприятий ТЭК: проблемы обеспечения защищенности и импортозамещения" проведена 26.04.2022 г. в рамках XV Всероссийской научно-технической конференции "Актуальные проблемы развития нефтегазового комплекса", организованной РГУ нефти и газа (НИУ) имени И.М. Губкина.
5 Онлайн-конференция "Комплексная безопасность и защищенность объектов промышленности, нефтегазового сектора и электроэнергетики" проведена 18.05.2022 г. компанией Groteck Business Media (владелец сайта "Форум Технология Безопасности", https://www.tbforum.ru).
Опубликовано в журнале "Системы безопасности" № 1/2023
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Фото обработано нейросетью