В них поступают данные от датчиков, которыми оснащаются внешние объекты - потребители электроэнергии, превращающиеся, по сути, уже в часть интернета вещей. С одной стороны, это помогает эффективно управлять обеспечением электроэнергией предприятия, города, страны. С другой - делает энергосистему уязвимой для кибератак.
В этом году о кибербезопасности в электроэнергетике говорили много, в том числе на Российской энергетической неделе и форуме "Экосистема НТИ". На форуме, например, стало известно, что в рамках НТИ "Энерджинет" будет сформирован центр компетенций по направлению "кибербезопасность в электроэнергетике". Рабочая группа "Энерджинет" вместе с "Лабораторией Касперского" сосредоточится на повышении инфобезопасности отрасли.
С киберугрозами системам промышленной автоматизации сегодня сталкивается весь мир, и до ощутимого прорыва в борьбе с ними пока далеко. По данным Kaspersky Lab ICS CERT, в десятку стран с наименьшим процентом компьютеров автоматизированных систем управления (АСУ), атакованных вредоносным ПО, входят Дания, Швейцария, Швеция, США - то есть экономически развитые страны. К тому же 6 из 10 самых благополучных по проценту атакованных компьютеров АСУ ТП стран в 2017 году вошли в топ-20 глобального индекса кибербезопасности, разработанного Международным союзом электросвязи (ITU). Россия в нем занимает 10-е место.
В первом полугодии 2018 года защитными решениями "Лаборатории Касперского" на системах промышленной автоматизации было обнаружено более 19,4 тысячи модификаций вредоносного ПО из 2,8 тысячи различных семейств. По-прежнему в подавляющем большинстве попытки заражения компьютеров АСУ носят случайный характер, а не происходят в ходе целевой атаки.
Есть несколько объективных факторов, влияющих на недостаточную кибербезопасность предприятий энергетической отрасли. "Сложность систем мониторинга и управления постоянно растет, а новые технологии заимствуются из IT и зачастую содержат уязвимости, которые могут быть эксплуатированы - намеренно или случайно - такими же средствами, что используются в компьютерных атаках на системы IT", - рассказал руководитель Kaspersky Lab ICS CERT Евгений Гончаров.
Действительно, все из известных компьютерных атак, которые нанесли ущерб или угрожали промышленным предприятиям вообще и объектам энергетики в частности, были реализованы с иcпользованием уязвимостей в технологиях из мира IT.
К ним относятся и случаи, получившие наибольший резонанс, такие как атака на иранскую атомную программу с помощью Stuxnet, атаки на нефтехимические объекты Саудовской Аравии при помощи Shamoon, Shamoon 2.0/Stone Dill, атака на объекты "Укрэнерго" в 2015 году с использованием BlackEnergy, атака 2016 года на подстанцию "Северная", оставившая без электричества потребителей в части Киева и пригороде, предположительно при помощи Industroyer/ Crashoverride, атака на противоаварийную систему нефтехимического предприятия на Ближнем Востоке при помощи вредоносного ПО TRITON, эпидемии шифровальщиков WannaCry и ExPetr, принесшие ущерб в миллиарды долларов промышленным организациям во всем мире.
Возможно, энергетики не всегда до конца осознают реальность угрозы, потому что нет повседневной необходимости отражать атаки, угрожающие нарушить работу объектов энергетики или вывести их из строя. Атаки, подобные упомянутым выше, пока, к счастью, редки и успели напрямую коснуться немногих в отрасли.
Очень часто из возможных последствий кибератак учитывают только те, что потенциально ведут к уже смоделированным авариям с предварительно оцененным риском. "Как правило, речь идет о рисках возникновения критических ситуаций при случайном стечении негативных обстоятельств, приводящих к неправильной работе или выходу из строя оборудования или непреднамеренной ошибке персонала - исходя из теоретических обоснований и опыта практической эксплуатации систем", - отметил Евгений Гончаров. Между тем, по его словам, объективно оценить вероятность кибератаки и риски ее последствий пока невозможно - в том числе из-за того, что на практике не получается предсказать все возможные действия злоумышленников и смоделировать все их последствия.
Мешает и то, что в отрасли не принято раскрывать информацию об уязвимостях, атаках и инцидентах.
Несомненно, растет и интерес киберпреступных группировок к промышленным предприятиям и их информационным системам. Например, несмотря на глобальное уменьшение количества пользователей в интернете, атакованных программами-вымогателями, процент компьютеров АСУ, на котором были заблокированы эти угрозы, наоборот, даже несколько вырос - с 1,2 процента во втором полугодии 2017-го до 1,6 процента в первом полугодии 2018 года. Хотя этот показатель и кажется не очень значительным, опасность такого рода вредоносных программ для промышленных предприятий трудно недооценивать после WannaCry и ExPetr.
Поэтому в 2019 году российским энергетикам важно войти с выстроенными процессами кибербезопасности, учитывающими специфику объектов энергетики, обучать персонал правилам кибергигиены, отслеживать появление информации о новых угрозах, своевременно устранять уязвимости в программно-аппаратных комплексах и внедрять современные автоматизированные средства защиты.