Оцифровка энергетических сетей, использование интеллектуальных технологий, датчиков и сенсоров интернета вещей в работе, а также автоматизация бэк-офисных процессов повысили риски в области кибербезопасности энергетических предприятий. При этом, по оценке Bloomberg, компании тратят на защиту от киберугроз менее 0,2% своих доходов. Это примерно в 3 раза меньше, чем, например, в финансовом секторе – при этом финансовые и репутационные риски от потери данных в энергетике крайне высоки.
При этом Symantec Corp. подсчитал, что на сегодняшний день только на рынке США около 140 групп хакеров нацелены на компании ТЭК – это почти в 2 раза больше, чем 3 года назад. Опрос Ponemon Institute и Siemens показал, что данные 68% нефтегазовых предприятий были взломаны за прошлый год.
Есть, конечно, и более позитивные прогнозы: так, по результатам исследования глобального страхового агентства Marsh, всего около 25% крупных энергетических предприятий пострадали от разрушительных кибератак за последний год. Впрочем, даже при таком раскладе убытки от хакеров для энергетического сектора выглядят колоссальными – ведь годовые затраты на то, чтобы свести к минимуму последствия киберпреступлений, составляют более 27 миллионов долларов для средней энергетической компании, по данным Ponemon Institute за 2015 год.
Уязвимости энергетических компаний
Самая большая сложность в области кибербезопасности для энергетических компаний – комплексное управление рисками для всех цифровых устройств энергосетей: например, один из крупнейших энергетических операторов в России управляет 2,34 млн километров линий электропередачи и 502 тысячами подстанций. При этом концепция цифровой энергетики подразумевает, что на каждой подстанции есть свое цифровое оборудование и ПО, которое собирает данные о ее работе и передает их для анализа в централизованные хранилища.
При этом для таких крупных предприятий очень сложно организовать эффективное взаимодействие разных департаментов и филиалов для обеспечения единого контура ИБ. Вопросы ИТ-безопасности там подпадают под компетенцию ИТ-директора. Однако до него, как правило, доходит далеко не вся информация о локальных нарушениях безопасности, так как отчетность должна пройти все круги бюрократической машины, прежде чем он ее увидит.
А теперь представьте себе масштаб бедствия, если хакеры получат доступ к такой национальной энергетической сети. Кибератака в таком случае может привести к потере данных и сбоях в работе ИТ-инфраструктуры, может угрожать целостности систем безопасности и вызвать перебои в подаче энергии населению – и в итоге нанести серьезнейший ущерб репутации компании.
В таких условиях можно ли организовать безопасность всех ИТ-систем предприятия?
Технологическая битва с киберугрозой
В 2012 году Saudi Aramco (национальная нефтяная компания Саудовской Аравии) – была заблокирована из-за атаки вредоносной программы Shamoon. В 2016 году Saudi Aramco пострадала от того же вируса вновь. Двумя годами позже как минимум 7 нефтепроводных компаний, от Energy Transfer Partners LP до TransCanada Corp., объявили о неисправности трети своих электронно-коммуникационных сетей. Грандиозные атаки на энергетические предприятия продолжаются по всему миру, и их руководители должны быть к этому готовы. Для обеспечения комплексной безопасности энергосетей они должны реализовать целый комплекс мер.
На уровне ИТ-систем должны быть обеспечены компоненты информационной безопасности. Благо, на рынке сейчас представлен широкий спектр решений для предотвращения внешних угроз: антивирусные программы, а также инструменты шифрования данных – от классических криптографических инструментов шифрования до инновационных продуктов. Например, линий связи с квантовой защитой, как совместно с «Российским квантовым центром» (РКЦ) запустил «Сбербанк» в прошлом году.
Одновременно на уровне всего предприятия стоит обеспечить «культуру» информационной безопасности. Прежде всего, необходимо распределить роли и обязанности внутри команд, которые управляют киберзащитой и реагируют на инциденты. Четкое распределение задач поможет оперативно реагировать на вероятные взломы и вторжения. Причем недостаточно просто назначить команду – ее надо развивать и тренировать, вслед за совершенствованием вирусного ПО.
Кроме того, придется учесть, что в России принята модель корпоративной мобильной инфраструктуры под названием BYOD (Bring Your Own Device). По сути, российские сотрудники могут использовать для рабочих целей личные мобильные устройства: например, открывать через них конфиденциальные документы. Естественно, это осложняет организацию единого контура информационной безопасности. Чтобы избежать непредумышленного или преднамеренного «слива» энергетических данных, стоит организовать централизованное управление личными мобильными устройствами персонала при помощи MDM-систем (Mobile Device Management): устанавливать бизнес-приложения, работать с документами или промышленными данными сотрудники в таком случае будут в единой безопасной среде.
Защищать не только снаружи, но и изнутри
Нельзя забывать также, что для энергетических предприятий внутренние угрозы не менее страшны, чем внешние. Особенно эта задача становится актуальна при автоматизации бэк-офисных процессов в энергетических компаниях, например, при цифровизации документооборота. В России доля внешних атак лишь немногим превышает 20%, подсчитали разработчики систем корпоративной безопасности, - остальные атаки, очевидно, имеют внутренний характер. Чтобы предотвращать такие внутренние взломы, совершенствуются технологии защиты данных и интеллектуальной собственности, причем как на уровне аппаратной части (компьютеров, серверов и сетевых устройств), так и на уровне отдельных файлов. Инструменты DLP (Data Loss Prevention), например, устанавливают для контроля входящего и исходящего сетевого трафика. А чтобы защитить бумажные копии документов, устанавливают ИТ-решения, позволяющие достоверно установить источник утечки конфиденциальных данных. Для обнаружения нарушителя достаточно запустить файл-«приманку» в систему и дождаться, пока он окажется у конкурентов или СМИ – станет понятна дата и источник утечки.
Также стоит разграничивать права доступа сотрудников к данным. Обычно в этом случае за безопасность данных отвечают отдельные модули, встроенные в ИТ-решения. К примеру, в рамках одного из наших проектов была проведена интеграция ECM с ERP-системой на платформе SAP – такое взаимодействие систем позволило обеспечить доступ к договорам и дополнительным соглашениям в соответствии с принадлежностью сотрудника к той или иной балансовой единице компании.
Налаживать диалог с властью
Последнее, но не по значимости, - на государственном уровне следует наладить диалог между бизнесом и властью. Поскольку энергетические предприятия стратегически важны для государства, нужно обеспечить безопасную информационную среду для их эффективной работы. Сейчас в более чем 30 странах мира, включая, например, США и Китай, есть киберпланы и стратегии, в которых киберугрозы рассматриваются как постоянный риск для региональных экономик.
Один из примеров – сотрудничество между электросетевыми предприятиями и правительством США для обнаружения и предотвращения киберрисков. В Соединенных Штатах Министерство энергетики вкладывает миллионы долларов в экранирование сетки и даже пытается использовать для этих задач блокчейн. А коммерческие организации разрабатывают дорожные карты в области кибербезопасности, делятся данными и заявляют о взаимной помощи в сотрудничестве с федеральными правительственными учреждениями, как правило, через Координационный совет подсектора электроэнергии. А, например, штат Айова создает исследовательское партнерство для разработки алгоритмов, которые постоянно и автономно оценивают и предотвращают кибератаки на подстанции, центры управления и сети SCADA.
Как только такой диалог будет налажен на постоянной основе, энергетический сектор получит дополнительную поддержку для реагирования на киберриски.