1. 1
Вопросам кибербезопасности –
особое внимание
Председатель совета директоров ОАО «ВНИИР», руководитель секции «Управление
режимами, автоматизация и применение автоматического управления в электрических
сетях» НТС ОАО «Россети», профессор ЧувГУ, Г.С. НУДЕЛЬМАН
Участник рабочих группы CIGRE и РНК СИГРЭ, к.т.н., М.В. НИКАНДРОВ
VIII ЧЕБОКСАРСКИЙ ЭКОНОМИЧЕСКИЙ ФОРУМ

2. 2
Тезис 1
• Электроэнергетика стала зависеть от цифровых систем
промышленной автоматизации
• Надежность электроэнергетики стала зависеть от надежности IT
инфраструктуры
• Сокращение операционных расходов не возможно без внедрения
новых решений

3. 3
Тезис 2
В центре диспетчерского управления в составе оперативных
информационных комплексов и на подстанциях в системах релейной
защиты и автоматики используются стандартные операционный
системы.
Это обстоятельство потенциально дает возможность
злоумышленникам получить доступ к системе контроля критической
инфраструктуры путем проникновения через офисную сеть с
использованием комбинированного метода атаки: социальный
инжиниринг плюс уязвимость программного обеспечения.

4. 4
Рост количества атак на АСУ ТП
Отчет «2015 Dell Security Annual Threat Report»
https://software.dell.com/docs/2015-dell-security-annual-threat-report-white-paper-15657.pdf
0
100,000
200,000
300,000
400,000
500,000
600,000
700,000
800,000
900,000
1,000,000
2012 2013 2014 2015
?
4-х кратный рост количества атак в 2014 г.

5. 5
Рост количества найденных уязвимостей в АСУ ТП
Отчет Positive Technologies «Безопасность промышленных систем в цифрах» 2015 г.

6. 6
Тезис 3
• Новым явлением стали также нецелевые атаки, когда частные
лица просто пытаются найти возможности и технологии взлома
SCADA-систем, с помощью известных уязвимостей, найденных с
использованием поисковых систем
• Большинство подобных атак не требует сложных инструментов и
значительных затрат
• В целом нападения имеют тенденцию становится все более
изощренными в плане привлечения ресурсов и усложнения
тактики.

7. 7
Инциденты угрожающие непрерывности управления
январь 2014 г. Monju Nuclear Plant. Через инфицированное ПО на сайте
производителя был атакован компьютер в Центре управления, 42000 e-
mail украдены и переправлены на сервер в Южной Корее
На компьютере в Центре управления некоторое время исполнялся не
предусмотренный программный код.
июль 2014 г. Троянец Havex из состава Energetic Bear использует среду
АСУ ТП для распространения. Заражает OPC-сервера и сетевые
устройства, а так же зафиксированы инфицированные инсталляторы,
расположенные на легитимных сайтах производителей: eWon, MB
Connect Line GmbH, MESA Imaging. 2800 инцидентов по всему миру
По заключению US ICS-CERT: зафиксированы случаю нарушения работы
OPC-серверов
декабрь 2014 г. Сталелитейный завод в Германии. Федеральное
агентство по информационной безопасности (BSI) публично признало
факт компьютерной атаки, в результате чего «предприятию был нанесен
серьезный ущерб»
Доменную печь не удалось остановить в штатном режиме
Из презентации А. Духвалова «Лаборатория Касперского»

8. 8
Тезис 4
Энергетический сектор стал одним из основных направлений для
целенаправленных атак
Кибербезопасность все чаще рассматривается как стратегическая
проблема государственной важности, затрагивающая все слои
общества.

9. 9
Пять мифов об IT-безопасности АСУ ТП
1.
Наша АСУ ТП не соединена с
интернетом. Это единственная
надежная защита от вирусов
Опыт обследования показывает, что на
любом объекте существуют, часто
недокументированные, информационные
каналы. Подрядчики, поставщики, сервисные
организации
2.
Сегмент АСУ ТП отделен firewall-ом
от корпоративной сети
Firewall – это тоже программа, которая может
иметь уязвимости и быть не правильно
сконфигурирована
3.
Хакеры не понимают как устроены
АСУ ТП, ПЛК, технологический
процесс. Поэтому они не смогут
нанести какой-либо вред
Для того что бы сломать сложную
конструкцию не всегда нужно знать ее
устройство. Достаточно знать ее слабые
стороны
4.
Системы противоаварийной защиты
предотвратят крупную аварию
Не смотря на ПАЗ, аварии случаются. ПАЗ
защищает от известных, найденных
опытным путем, способов негативного
воздействия. IT – новая область
5.
Наш объект не замечен, мала
вероятность, что буду атаковать
Информационные технологии позволяют
автоматически обрабатывать огромные
объемы информации и находить любые
объекты
Не обязательно быть целью, чтобы стать жертвой
Из презентации А. Духвалова «Лаборатория Касперского»

10. 10
Тезис 5
• Необходимы новые требования к безопасности для цифровых
систем управления в энергетике и смежной с ними
инфраструктуры
• Требования безопасности должны быть обоснованы оценкой
соответствующих рисков и общими архитектурными решениями
internet
Терминал
РЗА
Терминал
РЗА
Терминал
РЗА
Терминал
РЗА
объект управления
Маршрутизатор
(основной)
АРМ Оператора
Коммутаторы
Сервер
связи+данных
(Резервный)
ВЛ 220 кВ
W2E
K2E
QSG3.2
QW2E QS3QS2
QSG 2 QSG3.1
Маршрутизатор
(резервный)
АРМ инженера
Сервер
связи+данных
(Основной)
Сеть ETHERNET
В корпоративную
сеть
Диспетчерское
управление
IED
1 12
3 4

11. 11
Тезис 6
Растущее осознание рисков киберугроз делает актуальным для
энергетиков изучение стандартов информационной безопасности с
целью последующей адаптации и применения в отрасли.

12. 12
Тезис 7
Не существует одного простого действия, которое позволило бы
устранить все угрозы кибербезопасности
Обеспечение безопасности представляет собой непрерывный
процесс, который необходимо пересматривать на регулярной основе

13. 13
Отличия АСУ ТП от корпоративных IT сетей
АСУ ТП
Корпоративные информативные
сети
Надежность – высший приоритет.
Угроза жизни, экологии, бизнесу
Не угрожает жизни, угроза
конфиденциальности, потеря денег
Непрерывность критична, часто
процессы реального времени
Конфиденциальность главное,
перерывы в работе допустимы
Siemens, ABB, GE, Honeywell,
Microsoft…
IBM, SAP, Oracle, Microsoft…
РЗА, ПЛК, датчики оборудование
Серверы, рабочие станции,
мобильные устройства
Индустриальные протоколы:
IEC61850, ModBus, ProfiBus, vendor
and sector-specific
Широкораспространенные
протоколы: HTTP, TCP/IP, …
Из презентации А. Духвалова «Лаборатория Касперского»

14. 14
Описание текущей ситуации
• Проблема отсутствия адекватной защиты от современных
киберугроз существует и осознается.
• Принимающиеся меры по защите фрагментарны и пока не
адекватны уровню угроз (потенциальному ущербу, вероятности и
т.п.).
• Российская нормативная база продолжает расти и
совершенствоваться, но не хватает документов «прямого
действия» с учетом отраслевой специфики.
• Ситуация меняется быстрее, чем мы на нее реагируем.

15. 15
Вызовы и сложности
• Классические способы обеспечения надежности путем
резервирования не эффективны против кибератак.
• Необходимость импортозамещения.
• Мероприятия по обеспечению ИБ могут влиять на нормальное
функционирование системы.
• Нежелательность (невозможность) проведения тестов на
проникновение.
• Необходимость соблюдать режим ДСП и разумную
конфиденциальность, что затрудняет привлечение широкого круга
специалистов и сужает возможности по осуждению.

16. 16
Недостатки имеющейся нормативной базы
Не хватает:
• Научности – нужна помощь научного сообщества.
• Уверенности, основанной на результатах тестирования – требуется
организация полигонов испытаний.
• Оперативности внесения изменений – должна работать «обратная
связь», уточняющая модель угроз, нарушителей и т.п. по реальным
инцидентам.
• Информированности – работа на НТД должна вестись
последовательно и методично с опорой на уже достигнутый
уровень

17. 17
Решения секции НТС ОАО «Россети»
• Создать рабочую группу по развитию нормативного обеспечения
кибербезопасности электрических сетей.
• Обеспечить координацию работы группы с деятельностью
подкомитета D2 РНК СИГРЭ «Информационные технологии
телекоммуникации»
Проект постановления поддержан руководством ОАО «Россети», в
феврале 2015 г. группа приступила к работе под руководством
Алексея Зайцева – начальника отдела информационной безопасности
департамента безопасности ОАО «Россети»

18. Спасибо за внимание!
18
Никандров М.В.
nikandrov@igrids.ru
Нудельман Г.С.
nudelman@vniir.ru