Автор: В.Ю. Усачев (АО «ИПН»)
Опубликовано в журнале Химическая техника №2/2018
Многочисленные хакерские атаки последних лет на банки в различных странах мира показали, что не было, нет и, возможно, не будет гарантий неуязвимости банковских систем. Растущая напряженность в отношениях между странами блока НАТО и активно развивающимися их соперниками порождает всеновые виды оружия – информационое, гибридное, кибероружие. По мнению автора статьи, промышленный потенциал России имеет скрытые уязвимые места, по которым в час «Ч» потенциальным противником может быть нанесен сокрушительный «удар», после которого могут не понадобиться ни воздушно-космические войска, ни военно-морской флот.Обычнобезопасность АСУ ТП исторически рассматривается в контексте надежности/отказоустойчивости системи, как правило, сертифицируется по FSS (Functional Safety Standards), а такжепо SIL (Safety Integrity Level) для систем ПАЗ (Противоаварийная защита). Но сегодня неотъемной частью общей надежности систем АСУ ТП становится кибербезопасность. В англоязычных источниках используется термин «cybersecurity», прямой перевод которого (кибербезопасность) все чаще встречается применительно к защите АСУ ТП. Обеспечение безопасности систем АСУ ТП складывается из двух факторов: информационной безопасности (ИБ) и функциональной безопасности (ФБ). Безусловно, ИБ очень важна и обычно еесчитают приоритетной. Однако есть еще и другая сторона безопасности, связанная с рисками для здоровья и жизни людей, а также окружающей среды. Поскольку информационные технологии сами по себе опасности не представляют, обычно говорят о функциональной составляющей, т.е. о безопасности, связанной с правильным функционированием системыпромышленной автоматики. Под функциональной безопасностью (functional safety) подразумевается корректное функционирование как системы управления, так и управляемого ею оборудования. Таким образом, для обеспечения ФБ необходимо сначала определить функциибезопасности, необходимые для снижения риска отказа управляемого оборудования, а также для достижения и сохранения этим оборудованием безопасного состояния (например, функции ПАЗ).Далее система управления должна обладать свойством так называемой полноты безопасности (safety integrity), под которым МЭК 61508 подразумевает вероятность того, что система будет корректно выполнять функции безопасности при всех заданных условиях в течение заданного интервала времени.
При обеспечении полноты безопасности (safety integrity) учитываются два типа отказов: случайные (random failures) и систематические (systematic failures).
Случайные отказы вызваны выходом из строя аппаратных компонентов и парируются такими методами, как резервирование, самодиагностика, физическое и электрическое разделение компонентов, повышение устойчивости к внешнимвоздействиям ит.п.
Систематические отказы вызваны ошибками проектирования, в том числе и ошибками программного обеспечения. Устранение систематических отказов возможно путем совершенствования процессов проектирования и разработки, тестирования, управления конфигурацией, проектного менеджмента и т.п. Кроме того, поскольку классическое резервирование не позволяет избежать систематических отказов, применяется так называемое диверсное (diversity) резервирование, когда резервные каналы разработаны с применением различного программного и аппаратного обеспечения. Дорого, неудобно, но иногда помогает.
Для управляющих систем, к которым относятся такие архитектуры, как АСУ ТП, встроенные системы, основополагающим свойством является функциональная безопаcность (ФБ). Информационная безопасность (ИБ) в таких системах носит дополнительный характер и должна предотвращать доступ злоумышленников и вредоносных кодов к контролю над системой управления и управляемым оборудованием.
Организационные методы обеспечения информационной и функциональной безопасности:
- структурированный процесс разработки системы и программного обеспечения;
- реализация процесса верификации и валидации, заключающаяся в поэтапном выполнении обзоров, анализа и тестирования, анализ уязвимостей АСУ ТП;
- сопровождение продукта послевнедренияс учетом обратной связи по результатам эксплуатации;
- использование лучших практик и стандартов кодирования;
- использование сертифицированных компиляторов и библиотек;
- использование типовых языков программирования (стандартМЭК 61131-3и т.д.);
- контроль качества при производстве аппаратных средств;
- сегментирование сети;
- исключение беспроводных технологий в промышленных сетях (допускается применение только в нижнем уровнеАСУ ТП: беспроводной датчик – шлюз ввода/ вывода);
- зонирование размещения оборудования АСУ ТП;
- исключение КВМ-удлинения посредством корпоративной или общедоступной сети (KVM-over-IP);
- обучение персонала и развитие культуры безопасности;
проведение аудитов на предмет оценки рисков и выявления уязвимостей.
Функциональная безопасность АСУ ТП – это отдельная очень большая и специфичная тема. В данной статье рассмотрим подробнее вопросы именно информационной безопасности АСУ ТП и систем автоматизации в индустрии, энергетике, транспорте, добыче ресурсов и т.д. в целом.
Информационная безопасность АСУ ТП
Автоматизированные системы управления техноло-гическим процессом обладают массой отличий от «традиционных» корпоративных информационных систем, начиная от назначения, специфических протоколов передачи данных и используемого оборудования и заканчивая средой, в которой они функционируют. В корпоративных /офисныхсетях и системах, как правило, основной защищаемый ресурс – информация, которая обрабатывается, передается и хранится в автоматизированных системах, а основные цели – обеспечение ее защиты и конфиденциальности. В АСУ ТП защищаемым ресурсом в первую очередь является сам технологический процесс, и основная цель – обеспечить его непрерывность (доступность всех узлов) и целостность (в том числеи передаваемой между узлами АСУ ТП информации). Более того, поле потенциальных рисков и угроз для АСУ ТП по сравнению с таковыми в корпоративныхсистемахрасширяется рисками потенциального ущерба жизни и здоровью персонала и населения, ущербу окружающей среде и инфраструктуре, большихматериальныхпотерь из-за простоев, выпуска бракованной продукцииили сокращения выпуска, авариями и техногенных катастроф.
Простой пример экономического ущерба: вследствиенекорректной работы АСУ газотурбиной установки (ГТУ) сработали технологические защиты. Из-за остановки ГТУ встал весь энергоблок ГТЭС. Повторный запускмощного энергоблока – это сложный и длительныйпроцесс. Приэтомперед пуском энергоблока по регламенту необходимо «прощелкать» все защиты и не только на ГТУ, а на всем энергоблоке (котле-утилизаторе, паровой турбине, вспомогательном и высоковольтном оборудовании). Это может занять целые сутки, иногда и больше. За это время остынут паропроводы, и их необходимо постепенно разогревать, расходуя пар. В результате незапланированный запуск и вывод на номинальный режим одного мощного энергоблока ТЭЦ или ГРЭС обходится в миллионырублей. И кроме прямого экономического ущербаесть еще и косвенный – недополученная прибыль из-за недовыдачи электроэнергии в сеть.
Особенности обеспечения информационной безопасности (ИБ) АСУ ТП:
- программная самодиагностика;
- защита от вредоносных программ, обнаружение (предотвращение) вторжений;
- сегментирование сети;
- защита периметра сетевыми экранами;
- самодиогностика передачи данныхкак по коммуникационным каналам, так и при обработке, распределенной между компонентами программного и аппаратного обеспечение;
- шифрование пакетов передачи данных;
- резервирование данных;
- контроль и управление доступом (физический и программный).
Подсистемы обеспечения информационной безопасности АСУ ТП:
- подсистема сетевой безопасности. Иногда ее делят на две системы – межсетевого экранирования и обнаружения вторжений. В таких случаях подразумевается, что в АСУ ТП будет внедрено дополнительное оборудование – межсетевые экраны и система обнаружения вторжений;
- подсистема двухфакторной (многофакторной) аутентификации;
- подсистема обеспечения целостности;
- подсистема быстрого восстановления конфигураций и данных;
- подсистема предотвращения утечек конфиденциальной информации;
- подсистема управления неструктурированными данными;
- подсистема анализа защищенности;
- подсистема криптографической защитыканалов связи (не используется в быстродействующих системах).
Первые три ИБ-подсистемы являются ключевыми в АСУ ТП, поскольку позволяют наиболее эффективно сохранять доступность АСУ. Нужно отметить, что российский рынок решений для информационной защиты автоматизированных систем управления и индустриальных сетей находится в зачаточном состоянии. Каждый конкретный проект подразумевает сугубо индивидуальное решение.Кроме того, обеспечить безопасность АСУ ТП исключительно с помощью серийных технических средств крайне сложно. Дело в том, что специфика АСУ ТП не позволяет использовать стандартные ИБ-решения для других IT-систем. Если для стандартной IТ-системы приостановка какого-то процесса в случае подозрения на вредоносную активность является нормальной мерой, то в промышленных системах это может стать причиной техногенной катастрофы.
Нормативные документы в области ИБ и ФБ систем АСУ ТП:
- Приказ ФСТЭК России №31 от 14.03.2014 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
- Закон №256-ФЗ «О безопасности объектов ТЭК»;
- ГОСТ Р МЭК61508–2012 «Функциональная безопасность системэлектрических, электронных, программируемых электронных, связанных с безопасностью»;
- ISA/IEC 62443 сериястандартов Security for industrial automation and control systems.
Кнормативным документам, также регламентирующим информационную безопасность не только АСУ ТП, но и более широкого применения, можно отнести следующие:
- Информационное сообщение ФСТЭК России от 28 апреля 2016 г. N 240/24/1986 «Требования к межсетевым экранам»;
- ГОСТ Р 56939–2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования;
- ГОСТ Р ИСО/МЭК 27034 Информационная технология (ИТ). Методы и средства.
Проблемы организации информационной безопасности АСУТП
Важно отметить, что приказ №31 ФСТЭК, хоть и является важным документом в обеспечении ИБ АСУ ТП критически важных объектов, но, по сути, не носит обязательного характера кприменению для организаций, в чьем ведении такие объекты находятся. Данный документ применяется при принятии владельцем АСУ (заказчиком) решения о необходимости и «полноты» защиты информациив проектируемой системе.
Большинство представленных на российском рынке ИБ-продуктов адаптированы для защиты зарубежных АСУ ТП (базовых ПО), но не сертифицированы по требованиям нашего законодательства, поскольку зарубежные поставщикине всегда готовы предоставлять исходные программные коды своих продуктов, что необходимо для сертификации. Отечественных ИБ-решений требуемого уровня пока нет (исключение, пожалуй, только некий набор программных продуктов Kaspersky Industrial CyberSecurity от компании «Лаборатория Касперского»).
Типичныепроблемы ворганизации ИБ АСУ ТП на действующих промышленных объектах:
- отсутствие какой-либо организации врешении вопросов безопасности АСУ ТП. Зачастую само понятие информационной безопасности АСУ ТП наобъекте не используется, и ответственность за ее обеспечение ни накого не возложена;
- нет организационно-распорядительной документации пообеспечению ИБ в АСУ ТП, акорпоративные процессы ипроцедуры безопасности эту систему незатрагивают;
- отсутствие требований поИБ или ихнесоблюдение состороны персонала, эксплуатирующего промышленные системы;
- низкий уровень компетенции ввопросах ИБ специалистов по автоматизации, внедрению, эксплуатации, обслуживанию;
- слабая осведомленность ввопросах автоматизации специалистов по ИБ, как правило, это просто IT-специалисты;
- частичное или полное отсутствие документации наиспользуемую АСУ ТП. Система в эксплуатации непервый десяток лет, документы потерялись, было много доработок, люди, стоявшие уистоков, уволились, итеперь никто толком незнает, как она работает;
- непонимание целей проведения работ, расхождение между утвержденным заданием иожиданиями заказчика, атакже отсутствие понимания между функциональными подразделениями. При этом попытки наладить взаимодействие различных подразделений предприятия не предпринимаются;
- неконтролируемый доступ к технологическим системам иотсутствие контроля над действиями подрядчиков ииспользуемыми каналами удаленной связи с разработчиками АСУ ТП;
- часто морально устаревшее технологическое и ИТ/сетевое оборудование;
- отсутствие контроля над доступомк компонентам АСУ ТП и сетевому оборудованию. Упрощенная аутентификация или ее отсутствие, пароли по умолчанию или хранение паролей в доступном месте;
- отсутствие антивирусной защиты, каких-либо обновлений иконтроля съемных носителей втехнологической среде, использование устаревших ОС;
- бесконтрольный доступ к системе и сетевым компонентам АСУ ТП подрядчиков для проведения различных регламентных, сервисных и другихработ со своими ноутбуками.
На сегодняшний день существуют ИБ-средства, «заточенные» под особенности АСУ ТП, – специализированные межсетевые экраны, средства защиты межсетевого взаимодействия типа «диодов данных» (Data diode), обеспечивающие на физическом уровне однонаправленную передачу данных между технологическим сегментом и остальной корпоративнойсетью. Базами уязвимостей компонентов АСУ ТП, а также необходимой поддержкой промышленных протоколов сегодня обзавелись системы обнаружения и предотвращения вторжений и анализа защищенности.
Важно отметить, что компоненты обеспечения безопасности АСУ ТП (и на аппаратном, и на программном уровнях) недешевы и заметно удорожают общую стоимость проектируемой системы. Заказчикв целях минимизации бюджета строительства/реконструкции объекта стремится приобрести АСУ ТП за минимальные деньги (из всех участников тендера), но при этом требует обеспечение ИБ и ФБ приобретаемой системы. Можно, конечно, создатьну очень «навороченную» систему безопасности проектируемой АСУ ТП: это и межсетевые экраны (файерволы)на каждом шагу, и создание виртуальной DMZ-зоны на границе 2-го и 3-го уровня модели АСУ предприятия (MES-системы) с промежуточными (прокси)серверами «доверия». Как говорится: «Нет предела совершенству». Но насколько все это нужно заказчику и сколько он готов переплатить за безопасную АСУ ТП?
Наиболее надежный простой и дешевый способ обеспечить ИБ проектируемой АСУ ТП в части сетевых коммуникаций с другими сетями и системами предприятия – это внедрение средств однонаправленной передачи данных. Их ключевая особенность в том, что пакеты данных физически могут передаваться только в одну сторону (из проектируемой АСУ ТП), что является абсолютной защитой от внешнего сетевого воздействия. Другой вопрос: устроит ли данное техническое решение заказчика?
Обеспечение комплексной системы безопаснос- ти АСУ ТП лежит назаказчике в период эксплуатации уже внедренной АСУ ТП (управление доступом, обучение персонала, обновление ПО, резервное копирование данных и т.д)и на проектной компании – разработчике ТЗ на АСУ ТПсовокупно с системным интегратором (разработчиком и поставщиком ПТК) на стадии проектирования системы: аппаратное и программноерезервирование, сетевое резервирование, сегментация сети, SIL, соответствующе сертифицированное ПО и оборудование и т.д.
Итак, мы обсудили обеспечение комплексной информационной безопасности АСУ ТП от угроз приходящих, так сказать, «извне» – вторжения, кибератаки, халатное отношение проектировщиков, эксплуатирующего персонала и их подрядчиков. Этой теме в последнее время посвящено много публикаций, проводятся конференции, в том числе международные, правительством выпускаются постановления и другиенормативные документы, есть уже и определенные наработки, например, у Лаборатории Касперского и у НПФ «Круг», т.е. дело потихоньку двигается в сторону улучшения ситуации. Но хотелось бы заострить внимание еще на одном аспекте информационной безопасности, на которыйили не обращают внимание, или считают эту угрозу «мифической», или не предполагают такого коварства от наших международных «партнеров», икоторую нигде впубликациях и на конференциях не обсуждают, не отражена она (угроза) и в нормативной документации. По опыту автора: обсуждается эта тема иногда только между коллегами-«АСУшниками» на бытовом уровне, да пару раз встречалась на специализированых форумах в интернете. Этот неосвещенный аспект информационной безопасности – потенциальная угроза, связанная с поставкой импортного сложного технологического оборудования, комплектного с собственной системой управления (САУ, ЛСУ, МСУ и тому подобные) и собственным ПО, например, комплектная поставка мощного дожимного газового компрессора, или мощной холодильной машины, или установки гликолевой осушки газа, или детандера криогенной системы, или газопоршневой или газотурбинной установки. В зависимости от мощности и сложности установкииногда они поставляются с системой управления, расположенной в нескольких двухметровых шкафах, напичканных электроникой, с «залитой» в их контроллеры и серверы сложной прикладной программой.
«Баги» – спящие агенты
Прежде чем начать обсуждение этой темы, и чтобы понять всю серьезность потенциальной угрозы, хочу привести одну цитату из выступления официального государственного деятеля – первого заместителя министра обороны США Уильяма Линна (William J. Lynn): «Первый из этих принципов заключается в том, что мы должны признать киберпространство тем, чем оно уже стало – новой зоной военных действий. Точно так же, как сушу, море, воздушное и космическое пространство, мы должны рассматривать киберпространство как сферу наших действий, которую мы будем защищать и на которую распространим свою военную доктрину. Вот что побудило нас создать объединенное Киберкомандование в составе Стратегического командования. Второй принцип, о котором я уже упоминал, – оборона должна быть активной…».
Недавно стало известно, что в США создан, по сути,отдельный род войск. Президент США Дональд Трамп своим указом присвоил Киберкомандованию (Cyber Command) статус единого боевого командования. Американская армия ранее насчитывала девять единых боевых командований. Из них шесть были региональными: Европейское, Центральное, Африканское, Тихоокеанское, Североамериканское и Южное. Еще три командования было выделено по исполняемым функциям: Стратегическое командование (объединяет силы ядерного сдерживания, ПРО и управление военными космическими средствами), Командование сил специальных операций и Транспортное командование. Киберкомандование вооруженных сил США ранее входило в состав Стратегического командования и носило статус sub-unified combatant command. Теперь же статус «кибервойск» изменен на unified combatant command, что делает Киберкомандование равноправным с бывшей курирующей структурой.
Итак, у нашего потенциального противника имеются специализированные военные подразделения для ведения боевых действий в «электронно-программной сфере». Как известно, военные в мирное время преимущественно занимаются тем, что готовятся к будущей войне.Чем же занимаются военнослужащие этих подразделений? Вряд ли они отрабатывают на полигонах тактику ведения пехотного боя и проводят время на стрельбищах. В современных войнах и локальных конфликтах противоборствующие силы стремятся наряду с нанесением максимального урона военным силам противника, стараются также максимально ослабить его промышленный потенциал. И не только предприятия ВПК или двойного назначения, но и энергетику, транспортную инфраструктуру, нефте-и газопроводы, стратегические предприятия машино- и станкостроения, металлургию и т.д.
Автор много летпроработал в компании (после кризиса 2014–2015 гг. она прекратила свое существование), которая занималась инжинирингом и поставкой оборудования для газопереработки, энергетики, нефтехимии из США, Германии, Италии. Видел следующую картину: все поставляемое технологическое оборудование нашими российскими соответствующими органами досконально проверялось, сертифицировалось; назначались экспертизы, проверялись документация, сертификаты, клеймо ASME и т.д. Но вот системы управления с прикладным ПО, комплектно поставляемые с этим технологическим оборудованием, особо не проверялись и не анализировались. Процедура была только формальной: требовалось предоставить только международные сертификаты и мануалы на КИП и контроллерное оборудование, нуи по взрывозащите полевого КИП. Система управления была как бы «чернымящиком», в который лучше не соваться. Производитель гарантировал, что под ее управлением вся технология будет работать в соответствии с требованиями заказчика. К тому же на период пусконаладки от производителя/поставщика установки приезжал специалист или насколько специалистов, которые в том числе конфигурировали, настраивали и решали все вопросы, связанные с САУ поставленной их компанией технологической установки. А что там «зашито» в прикладном ПО? Какие микросхемы и микроконтроллеры стоят в электронных модулях и блоках? Никто не интересовался. Отладили, запустили, все работает – вот и хорошо. Можно спать спокойно.
Но так ли все спокойно и безопасно? Где гарантия, что в поставляемыхиз стран членов НАТО и других стран, не членов НАТО, но союзников США (Япония, Тайвань, Швеция и т.д.)оборудовании и ПО не дремлет и не ждет своего часа вредоносный «жучок»? Допустим, в прикладном ПО, в одном из многочисленных алгоблоков (может маскироваться под дата-блоки, фанкшен-блоки, отдельные скрипты) запрятан некий вредоносный код, который активируется по определенному сигналу. А в аппаратной части (HW – HardWare, т.е. контроллер, модули ввода/вывода, интерфейсные ит.д.) внутри какого-нибудь модуля или электронного блока среди множества электронных элементов находится неприметная микросхемка, которая способна принять радиосигнал (даже можно допустить, что это будет определенный код по сотовой сети 3G/4G) и которая, приняв этот сигнал из радиоэфира, выдает внутрисистемный сигнална активизацию вредоносного кода в прикладном ПО, которое также было разработано и поставлено нам (причем за не малые деньги) страной – потенциальным военным противникомРоссии. А почему нельзя исключать такой вариант? Технически это сделать абсолютно реально, современные технологии это позволяют. А обнаружить это крайне сложно (об этом далее), да этим и никто не занимается. Если проводить аналогию с терминологией спецслужб, то это получается аналог спящей террористической (диверсионной) ячейки. Но с таким «спящим агентом» – вредоносным жучком (будем называть его «баг»от англ. Bug – жучок) для нашего потенциального противника задача намного упрощается:
- не надо изготавливать и доставлять взрывчатку;
- не надо проникать на охраняемый объект (завод, объект энергетики, масторождение, нефте- или газоперека-чивающую станцию и т.д.) – заказчик сам «доставит и внедрит» баг себе в АСУ ТП;
- не надо платить деньги спящей ячейке или спящему агенту;
- не надо никаких сложных и дорогих конспиративных действий и мероприятий;
- в случае провала спящий агент не «расколется» и не сдаст агентурную сеть.
Начиная примерно с начала нулевых годов, наша страна активно закупала в западных странах высокотехнологическое оборудование для своей промышленности. На это были объективные причины: это и общее технологическое отставание, и упадок нашей собственной промышленностипосле 1990-хгодов, и активная маркетинговая политика западных компаний, да и коррупционная составляющая, надо признать, имела место. В результатемы имеемто, что практическина всех современных или модернизированных предприятиях в нефтегазовом и в энергетическом секторах (возможно и в других производственных секторах, просто автор работал и знает сложившуюся ситуацию именно в этих сферах) имеетсякак минимум один технологический блок или установка поставки западной компании со своей ЛСУ (локальная система управления, может еще применяться термин САУ – система автоматического управления), имеющие критическое значение для всей технологической цепочки предприятия в целом. Например, рассмотрим мощную ГТЭС (ТЭЦ, ГРЭС). На еетерритории среди огромных цехов (котельных, турбинных), высоких дымовых труб и огромных парящих градирен находится относительно небольшое здание ДКС (дожимная компрессорная станция). ДКС нужна, чтобы подать газ в энергети-ческую турбину, преодолев противодавление в еекамере сгорания. Остановятся газовые компрессоры в ДКС и «потухнет» вся станция ГТЭС. Сотни мегаВатт, а то и более тысячи мегаВатт перестанут поступать в энергосеть. Аведьв нашей стране сейчас на подавляющем большинстве ГТЭС газовые компрессоры производства США, западноевропейских стран, Японии, Ю.Кореи и, как правило, со своими собственными САУ/ЛСУ.Еще пример: газоперерабатывающий завод (ГПЗ). В начале технологической цепочки находится установка гликолиевой осушки газа (УОГ) производства США. Установка– сложная высокотехнологичная и соответственно со своей САУ. Остановится УОГ – остановится весь ГПЗ. Аналогичный пример можно привести для НПЗи т.д.Оппоненты могут возразить: критически важные агрегаты и установки на производстве всегда проектируются так, чтобы был резервный агрегат или установка параллельно основному, и между ними реализован АВР. Например, остановился основной насос перекачки нефти – автоматически запустился резервный. Все, можно спать спокойно. Но дело в том, что всегда, подчеркну – всегда, при проектировании и поставке резервный и основной агрегаты заказываются у одной и той же компании, по одному и тому же опросному листу, в одном ордере и поставляются в одной партии. И если уж производитель заложилбаг в основной агрегат, то соответственно аналогично он заложит баги в резервный. И в час «Ч» одновременно активируются оба бага – и в основном, и в резервном.
Но это еще не все. Вредоносный код может не только остановитьи заблокировать работу или даже вызвать аварию отдельной технологической установки/агрегата, но и пойти дальше. Часто локальные САУ интегрируются в АСУ ТП посредством интерфейсных связей для обмена данными по стандартным промышленным протоколам. Если связи осуществляются физическими сигналами, т.е. дискретными или аналоговыми, то тогда проблем нет, но по интерфейсным связям активированный цифровой вредоносный код попадает в вышесто-ящую АСУ, например, АСУ ТП цеха или АСУ ТП энергоблока. А если пораженная АСУ ТП принадлежит установке, находящейся в начале технологической цепочкивсего предприятия (например, установка первичной переработки нефти ЭЛОУ на НПЗ), то тогда может встать и весь нефтеперерабатывающий завод, по крайней мере, большая его часть.
Итак, мы имеем безрадостную картину: в начале войны (или в предвоенный период) с западными «партнерами» в нашей стране могут разом остановиться большинство электростанций, большинство НПЗ и ГПЗ, большинство газоперекачивающих и нефтеперекачивающих станций трубопроводной системы. Возможно, остановятся и другие стратегические объекты, автор просто не знаком с ситуацией в других отраслях. Проблема, как мы видим, стратегическая, и, значит, решать еенадо на государственном уровне.
Сертификация импортного SW и HW
Как упоминалось ранее, автор ни разу не сталкивался с тем, чтобы кто-то проверял и сертифицировал у нас иностранное прикладное программное обеспечение (SW – SoftWare) и аппаратную часть (HW – HardWare). Правда, для этого есть объективные причины.
Во-первых, что касается SW: производитель-раз- работчик прикладного ПО должен предоставить доступ ко всем алгоблокам и кодам своей программы. Но проблема в том, что часто программа, управляющая сложной установкой с уникальным технологическим процессом,является ноу-хау и интеллектуальной собственностью разработчика и производителя. Просто так по первому требованию никто раскрывать свою программу не будет. К тому же это может повлечь проблемы в юридическом планеи бюрократические проволочки. Часто в алгоблоках прикладного ПО к какой-то конкретной технологической установке или агрегата «зашит интеллектуальный труд» десятков и сотен человек, месяцы экспериментальных наработок и годы практической эксплуатации этой установки на различных режимах. Часто там алгоритм строится на эмпирических данных, которые невозможно рассчитать математически или иным научным путем, а только на данных, полученных компанией-производителем за годы выпуска и последующей эксплуатации этого технологического оборудования.
Во-вторых, что касается НW: разработчик-производитель контроллерного оборудования, использованного в шкафах САУ установки, должен предоставить принципиальные электрические схемы и монтажные схемы печатных плат с подробной спецификацией всех электронных компонентов. А это все тоже является ноу-хау и интеллектуальной собственностью разработчика и производителя электронного оборудования. Возникают проблемы, такие же, как в предыдущем пункте.Но мало иметь просто всю информацию по поставляемому НW, необходимо будет реально руками разобрать все поставляемые электронныеблоки и модули и проверить на предмет соответствия всех электронных элементов предос-тавленным схемам и спецификациям. Нет ли «лишней» микросхемки в дальнем углу печатной платы? А кто же из производителей потом даст гарантию на свою продукцию, когда кто-то, пусть даже высококлассный специалист-электронщик, разобрал и потом собрал их электронный девайс?
В-третьих, экономическая составляющая. Даже, если производители предоставят всю требуемую информацию, то кто будет заниматься анализом всей этой информации и кто будет это финансировать? Для этого потребуются высококлассные специалисты: программисты, электронщики, тестировщики программных продуктов.Это высокооплачиваемые специалисты, работающие на дорогом оборудовании с лицензионным ПО, требующем регулярной оплаты. И быстро такую сложную высокоинтеллектуальную работу не проведешь. В зависимости от сложности ПО работа может растянуться на месяцы. Все это выливается в приличную сумму. Будет за это переплачивать российский заказчик технологической установки/агрегата, чтобы потом спать спокойно? Автор сильно сомневается в этом, особенно глядя на стратегию наших «эффективных менеджеров», ничегоне смыслящих в технике, но умеющих хорошо считать деньги на калькуляторе и управляющие при этом крупными заводами и предприятиями. Будет ли за это платить иностранный поставщик? После того, как он будет вынужден раскрыть все свои инженерные и программные разработкии опытно- исследовательские наработки (ноу-хау), которые потом могут попасть к его конкурентам, еще потом и платить за это «удовольствие»? Тоже вряд ли.
Какойвыход в этом случае? Автор не берется делать какие-либо однозначные выводы, но ясно одно: проблема очень серьезная, касающаяся стратегической экономической безопасности нашей страны и решать ееуже пора. Решать пора на государственном уровне. С созданием единого государственного центра сертификациииностранных индустриальных автоматизированных систем управления и, возможно, с частичным государственным финансированием. Решать надо, пожалуй, на законодательном уровне, жестко обязывающем всех участников процесса обязательно проходить сертификацию, предоставлять всю необходимую информацию, государство в свою очередь должно гарантировать разработчику сохранность его ноу-хау и интеллектуальной собственности. Подобную структуруможно создать, например, на базе хорошо зарекомендовавшей себя Лаборатории Касперского.
Несмотря на некоторое общее отставание и в области технологий, и в области производства микроэлектроники, Россия обладает необходимым производственным потенциалом для обеспечения предприятий различных отраслей промышленности, энергетики,транспорта и т.д. как изделиями микроэлектроники (контроллеры технологических процессов),так и программным обеспечением. Необходимо на законодательном уровне в кратчайшие сроки поставить «защитный барьер» потенциальной киберугрозе жизнедеятельности нашей страны.