Журнал "Information Security/ Информационная безопасность" #1, 2026

– Энергетика часто ссылается на отраслевую специфику, когда речь заходит о невозможности быстро внедрять современные меры защиты. Где заканчивается объективная сложность, но начи- наются инерция и консерватизм? – Энергетика традиционно считается консервативной отраслью. Не берусь говорить за всю отрасль в целом, но с позиции конкретной компании – "Башкирэнерго" 5–7 лет назад подобная проблема у нас действительно суще- ствовала: специфика технологических процессов, требования к надежности и непрерывности энергоснабжения объ- ективно замедляли внедрение новых решений в области ИБ, но ситуация изменилась. Нам удалось преодолеть инерцию и перейти к системному построе- нию информационной безопасности. – Насколько устаревшие АСУ ТП и их длительный жизненный цикл ограничивают киберустой- чивость? – Длительный жизненный цикл АСУ ТП – болезненная тема, характерная для энергетики в целом. Срок эксплуа- тации таких систем достигает 25–30 лет. На ряде объектов до сих пор исполь- зуются решения, внедренные в начале 2000-х годов, со всеми вытекающими ограничениями, в том числе в части встроенных механизмов ИБ. Но это не означает, что киберустойчивость обес- печить невозможно. В подобных усло- виях ключевую роль играют компенси- рующие меры. При правильной архи- тектуре, сегментации, ограничении доступа, внедрении дополнительных средств контроля и мониторинга даже устаревшие АСУ ТП могут оставаться устойчивыми к актуальным угрозам. Модернизация необходима, но нали- чие долгоживущих систем не является непреодолимым барьером для построе- ния эффективной защиты. – Насколько реальна проблема скрытых уязвимостей в цепочке поставок – от подрядчиков до интеграторов АСУ ТП? – В последние годы ситуация ослож- нилась общим ростом атак через цепоч- ку поставок. Это один из чувствительных вопросов для любой энергетической компании. Подрядчики, сервисные орга- низации, интеграторы АСУ ТП получают доступ к критической инфраструктуре, и при недостаточном контроле именно через них могут возникать угрозы. В нашем случае существенную роль сыграли регуляторные требования. Реа- лизация предписаний регуляторов, жест- кая регламентация доступа, контроль точек подключения, сегментация и про- цедуры допуска подрядчиков позволили выстроить управляемую модель взаи- модействия. Существование проблемы нельзя отрицать. Но внутри "Башкирэнерго" нам удалось ее локализовать и переве- сти в управляемую плоскость за счет системных мер безопасности. – Приводит ли импортозамеще- ние к появлению новых уязвимо- стей из-за незрелости решений и нехватки практики эксплуата- ции? – Переход на российские решения во многих случаях происходил в сжатые сроки, что само по себе повышает нагрузку на процессы эксплуатации и безопасности. Мы провели внутренний анализ и увидели рост количества выявляемых уязвимостей именно на импортозамещенных системах. На пер- вый взгляд это можно было бы объяснить незрелостью решений, но при более детальном разборе выяснилось, что при- чина не столько в продуктах, сколько в наших процессах. Команды, отвечающие за управление уязвимостями, просто не успели оперативно адаптировать про- цедуры под новую технологическую базу – перестроить регламенты, выстроить взаимодействие с вендорами, наладить патч-менеджмент. После того как мы на это указали и усилили работу с про- изводителями оборудования и ПО, ситуа- цию удалось стабилизировать. Пока уровень уязвимостей на ряде импортозамещенных систем остается выше, чем на ранее используемых реше- ниях, но мы понимаем причины и систем- но их отрабатываем. В данном случае вопрос не столько в зрелости рынка, сколько в скорости адаптации внутрен- них процессов к новым условиям. – Энергетика сегодня строит системную архитектуру защиты или по-прежнему действует реак- тивно, устраняя инциденты и исполняя предписания? – У нас есть стратегическое понима- ние, как должна развиваться кибербе- зопасность компании. Это уже не набор точечных мер в ответ на инциденты или проверки, а целевая архитектура, к кото- рой мы последовательно движемся. При этом полностью отказаться от реактив- ной составляющей невозможно. Инци- денты, внешняя обстановка, результаты проверок и аудитов дают нам дополни- тельную информацию о слабых местах. Но мы не устраняем их изолированно, а все выявленные недостатки стараемся органично встраивать в общую модель защиты, усиливая уже запланированные направления развития ИБ. За последние три года в энергетике заметно выросло количество проверок. Регулятор существенно усилил контроль, объем предписаний – значительный. Однако мы не рассматриваем их отдельно от собственной стратегии. Предписания 12 • В ФОКУСЕ Энергетика уходит от формального подхода к встроенной безопасности нергетика – одна из самых чувствительных отраслей с точки зрения киберрисков. Как выстраивается реаль- ная киберустойчивость в условиях роста количества компьютерных атак, импортозамещения, цифровизации и динамично развивающейся законодательной базы, – рассказал Тимур Павленко, начальник департамента информационной безопасности ООО “Башкирэнерго”. Э Фото: Эрик Асаев