Журнал "Системы безопасности" #5, 2019

О П С , П О Ж А Р Н А Я Б Е З О П А С Н О С Т Ь 88 К ак уже отмечалось в предыдущей части статьи, огромный объем нормативной документации содержит очень небольшое количество полезной практической информа- ции. Поэтому вопрос обеспечения информа- ционной безопасности автоматизированных систем на энергообъектах в российских реалиях часто сводится к банальной изоляции рассмат- риваемой АС. Соответствующие службы пред- приятия работают по принципу "нет связи с внешним миром – нет проблем". Как показыва- ет практика, с течением времени данное техни- ческое решение все больше утрачивает свою эффективность. Во-первых, затруднительно обосновывать кор- поративные требования, направленные на изо- ляцию технической системы, в условиях пропа- ганды Интернета вещей и национального про- екта "Цифровая экономика". Во-вторых, изолировать автоматизированную систему на энергообъекте достаточно сложно по той простой причине, что она изначально, как правило, создается в целях передачи или получения данных от внешних систем. Система телеуправления получает команды от географи- чески удаленного диспетчерского центра, систе- ма телеизмерений и телесигнализации, наобо- рот, передает туда данные. Конечно, есть внут- риобъектовые локальные автоматизированные системы управления технологическим процес- сом (АСУ ТП), которые чаще можно встретить на генерирующих объектах, но и они в боль- шинстве случаев интегрированы в более мас- штабные MES-системы (системы управления предприятием и технологическим процессом). В-третьих, для ряда АС на уровне законодатель- ства и целевого предназначения предусмотрен полный доступ со стороны третьих лиц. Напри- мер, для автоматизированной информацион- но-измерительной системы коммерческого учета электроэнергии (АИИС КУЭ) предприя- тий, покупающих и продающих электрическую энергию и мощность на оптовом рынке электро- энергии и мощности России (ОРЭМ). Регламен- тами ОРЭМ предусмотрено требование предо- ставления дистанционного доступа ко всем компонентам АС. Причем этот доступ на время соответствующих испытаний должен быть пре- доставлен сотруднику другой организации (коммерческого оператора ОРЭМ) на его рабо- чем месте по адресу: г. Москва, Краснопреснен- ская набережная, д. 12, подъезд 7. То есть уда- ленный доступ ко всем компонентам АС должен быть реализован через сеть Интернет и автома- тизированное рабочее место (АРМ) третьих лиц. Аналогичные требования есть, например, для СОТИ АССО – системы обмена технологи- ческой информацией с автоматизированной системой системного оператора Единой энерге- тической системы (СО ЕЭС). Есть требования по передаче технологических данных в СО ЕЭС по прямому некоммутируемому каналу связи с определенных энергообъектов. А если учесть, что сложности с получением доступа на электроэнергетический объект все чаще приводят к тому, что большинство вопро- сов эксплуатации и технического обслуживания решаются подрядным организациями удален- но, то становится понятно, что идея полной изо- ляции АС в принципе нежизнеспособна. Для адекватного построения связи автоматизи- рованной системы с внешними сетями переда- чи данных необходимо создать смарт-изоля- цию, которая, с одной стороны, на физическом и программном уровне ограничит несанкцио- нированный доступ к компонентам сети, а с другой стороны – будет работать, не мешая экс- плуатирующим и обслуживающим организа- циям делать свою работу. Экранирование передающего кабеля Одним из древнейших технических решений по защите от несанкционированного доступа является простейшее экранирование кабеля. Локальная вычислительная сеть, работающая по технологии Ethernet, использует физиче- ский стандарт 10BASE-T, в котором кабель типа витая пара в обычных условиях факти- чески представляет собой передающую антенну. На географически распределенных энергообъектах этот кабель может проходить недалеко от незащищенной периметром охраны территории. Потенциальным зло- умышленникам необходимо только устано- вить принимающую антенну с соответствую- щим оборудованием для обработки сигна- лов, чтобы незаметно получить доступ ко всему трафику, проходящему по конкретному участку провода. Еще в 1997 г. данная про- блема была подробна описана Дейвом Мар- тином 1 , предложившим простое и ориги- нальное решение – экранирование передаю- щего кабеля. При этом автор рассматривал и основное альтернативное решение того вре- мени – шифрование трафика внутри сети, но посчитал его чересчур дорогостоящим (за счет поглощения дополнительных вычисляю- щих мощностей) и организационно непра- вильным (многие пользователи могут из-за срочности отправки данных пренебрегать октябрь – ноябрь 2019 www.secuteck.ru Ярослав Мироненко Заместитель генерального директора АО "РЭС Групп" Обеспечение безопасности автоматизированных систем в энергетике Часть 2. Информационная безопасность Во второй части статьи, посвященной безопасности автоматизированных систем (АС) в энергетике, речь пойдет о наиболее дискуссионном вопросе – обеспечении инфор- мационной защиты. Начало в журнале "Системы безопасности" №3/2019 (стр. 22) 1 В России в журнале "Сети/Network world" № 9, 1997 г., статья "Обеспечение безопасности данных на физическом уровне". www.rostec.ru