Замена ПАК стала головной болью энергетиков

На круглом столе "Цифровая трансформация ТЭК: перспективы развития", который прошел в рамках Российской энергетической недели - 2022, заместитель министра энергетики России Эдуард Шереметцев назвал сложной ситуацию с приведением систем, используемых в отрасли, в соответствие требованиям закона 187-ФЗ. По его словам, российское законодательство по защите критической информационной инфраструктуры (КИИ) в целом плохо учитывает отраслевую специфику, но в энергетике эта проблема проявляется особенно сильно. Так, требование полного перехода на отечественные системы, включая ПАК и ПТК, до 1 января 2025 г. как минимум трудновыполнимо, поскольку вступает в прямое противоречие с действующими регламентами замены оборудования. Плюс ко всему, большинство ПАК и ПТК не выработали ресурс, и их внеочередная замена будет большим обременением для энергетических компаний, тарифы которых жестко регулируются.

Заместитель генерального директора ПАО "РусГидро" Александр Чариков заявил, что в компании работает около 300 комплексов АСУ ТП, которые построены на основе зарубежных ПАК и ПТК. Их вывод из эксплуатации невозможен без остановки генерирующих мощностей, что требует длительной подготовительной работы и согласования с АО "Системный оператор Единой энергетической системы". Плюс ко всему, отключение генерирующих мощностей снижает энергетическую безопасность всей страны. Александр Чариков предложил заменять оборудование отечественным в плановом порядке, по мере амортизации имеющегося. С заменой программного обеспечения (ПО) при этом больших сложностей нет.

Заместитель генерального директора по цифровой трансформации и энергетическим проектам АО "Зарубежнефть" Вячеслав Синюгин поддержал идею использовать имеющееся оборудование до исчерпания ресурса. Он подчеркнул, что внеплановая замена означает для компании потерю миллиардов рублей.

Как напоминает менеджер по развитию бизнеса направления "Solar Интеграция" ООО "РТК-Солар" Виталий Сиянов, у субъектов КИИ остается чуть больше двух лет на выполнение требования по переходу на отечественные ПАК и ПТК, причем в ряде отраслей отечественной замены для применяемого там оборудования просто нет. "Решение этого вопроса в такие сжатые сроки выглядит трудновыполнимым, так как сложно заменить специализированное промышленное оборудование, и есть предпосылки, что сроки могут быть сдвинуты, - заявил Виталий Сиянов. - На практике подобные проекты могут занимать около двух лет: столько времени обычно проходит от проектирования до внедрения системы в инфраструктуру при условии, что на рынке есть аналогичные решения. Даже там, где проекты миграции уже запущены, предприятия сталкиваются с нехваткой комплектующих и отсутствием гарантий по срокам поставки. К тому же в ряде случаев попросту нет отечественных технологий на замену иностранному промышленному оборудованию и средствам защиты. Яркий пример - оборудование Yokogawa Electric или Honeywell. Можно прогнозировать, что предприятия выполнят требование там, где это возможно. Однако в ряде отраслей, например в нефтехимической или нефтеперерабатывающей промышленности, субъекты КИИ, скорее всего, будут вынуждены продолжить использовать иностранные решения".

Эксперт по кибербезопасности систем промышленной автоматизации и умных устройств в Kaspersky ICS CERT Владимир Дащенко, выступая на 12-м Российском форуме по управлению интернетом, привел несколько примеров, как продукты, которые вроде бы соответствуют всем критериям российского ПО, "под капотом" имеют зарубежные компоненты. При этом российские вендоры не устранили уязвимости, в том числе критичные. Когда исследователи указали вендору на незакрытые уязвимости, то коммуникацию выстроить не удалось. Так что в этом случае импортозамещение не повышает, а снижает защищенность объектов.

https://www.comnews.ru/content/222396/2022-09-30/2022-w39/kto-zaschitit-50-tysyach-obektov-kii

Эдуард Шереметцев поддержал предложение об использовании зарубежных ПАК и ПТК. Задачу обеспечения их безопасности можно решить с помощью наложенных средств и изоляции от публичных сетей.

Руководитель группы защиты АСУ ТП центра информационной безопасности АО "Инфосистемы Джет" Антон Елизаров предупреждает: "Сделать все такие системы изолированными сложно, так как данные АСУ ТП могут использоваться в корпоративных системах. В данном случае поможет грамотное сегментирование сети, выделение демилитаризованных зон, защита конечных устройств и мониторинг аномалий в сети. В качестве компенсирующих мер можно ограничить физический доступ к оборудованию, разместив его в закрытом контуре, снабженном системами физической безопасности, вести контроль всех действий по обслуживанию или модернизации оборудования".

По оценке Виталия Сиянова, предложения применять имеющееся на объектах КИИ иностранное промышленное оборудование с использованием компенсирующих мер и в изолированном режиме выглядят адекватными: "Приказ ФСТЭК России №239 для значимых объектов КИИ предписывает организациям сначала продумывать, как можно применять компоненты АСУ ТП в безопасном режиме с помощью компенсирующих мер, и только потом ставить наложенные средства защиты. Для обеспечения безопасности ПАК или ПТК, которые входят в состав значимых объектов КИИ, следует опираться на требования законодательства. Действующая нормативная база уже содержит все необходимые алгоритмы действий по защите таких комплексов. В остальных случаях мы рекомендуем начать с разработки модели угроз и нарушителя и уже на ее основе продумывать меры защиты. В условиях прекращения поддержки и получения обновлений безопасности от производителей крайне важно также обеспечить проактивный мониторинг ИБ-событий. Это поможет обнаружить вредоносную активность на ранних этапах, еще до проникновения злоумышленников в технологический сегмент сети. Кроме того, следует проводить регулярные аудиты информационной безопасности для поддержания системы защиты в актуальном состоянии".