Написать
заметку в блог подтолкнуло несколько параллельно произошедших событий: карантин
:), прочитанная статья авторского коллектива из Института систем энергетики им.
Л. А. Мелентьева СО РАН, выложенный для общественного обсуждения проект
Методики моделирования угроз ФСТЭК России, диалог в чате RuSCADASec об
актуальных и волнующих сообщество темах, например, пользы от ИБ для
"асушников", отсутствие диалога и т.д. А между тем эти темы мы
обсуждали и пять лет назад. Неужели мы не продвинулись в этом вопросе?
А есть ли на данный момент инструмент решающий проблему информированности и являющийся связующим звеном между ИБ и "технологами", какие свойствами он может или должен обладать, какую методическую базу использовать?
На текущий
момент в электроэнергетике практикуются меры, управляемой деградации
функционала распределенных управляющих систем в условиях компьютерных атак. Что
сложно признать эффективной мерой в условиях, когда собственник этих систем не
может быть уверен, что они (системы) не скомпрометированы. Распределенная APT
атака на сетевую компанию, а тем более на группу компаний
электроэнергетического комплекса в текущих условиях может привести к ошибочным
действиям и принятию организационно-технических решений, которые полностью нивелируют
преимущества от заявленной цифровизации отрасли, привести к цепочке ошибочных
решений в следствие "человеческого фактора". При этом не решая до
конца поставленную задачи обеспечения устойчивого функционирования
технологического объекта (совокупности систем) в условиях совершения в
отношении них компьютерных атак.
Т.к.
достаточно несложно представить себе ситуацию, что мы можем иметь сетевую
компанию, в которой функционирует SOC, страдает теория и практика реагирования
на компьютерные инциденты. Нет плейбуков и т.д. В итоге какое решение должен
принять диспетчер получив информацию о признаках компьютерной атаки? Ввести в
действие план, инструкцию по снижению наблюдаемости и управляемости объектов за
обеспечение функционирования которых он отвечает?
При этом на
данный момент в условиях методической неопределенности, особенно в конкретных
отраслях, отсутствуют методики, которые бы позволяли прогнозировать возможные
последствия в следствие компьютерных атак, выходя за рамки описания нарушения
традиционных свойств информации. Не говоря о том, что нарушение одних и тех же
свойств, но у разных типов информации на объектах электроэнергетики могут иметь
совершенно разные эффекты.
Ответом на
приведенные выше вызовы может стать формирование и развитие гибридных методов и
способов моделирования угроз кибербезопасности всех типов автоматизированных и
автоматических систем, применяемых на данный момент на электроэнергетических
объектах в текущий момент времени.
Под гибридными
методами я понимаю, методы, которые получили определенное описание как в Российской,
так и международной периодической печати. Но даже сам по себе факт разработки
методики не решает практической задачи:
1. Избежать влияния
"человеческого фактора"
2. Оказать помощь в принятии
правильного решения в условиях лимита времени.
3. Сделать экспертные знания
"общедоступными".
Одним из
вариантов решения может быть использование систем основанных на знаниях
(разновидности систем искусственного интеллекта) в совокупности с другими
системами, которые позволяют улучшить ситуационную осведомленность
диспетчерского и оперативно технического персонала.
В контексте
этой заметки к системам основанным на знаниях я отнес только экспертные системы
и системы поддержки принятия решений.
Поскольку
разработка практически применимых частных моделей угроз на основе гибридных
методов, т.е. методики на основе которых можно делать предположение о
возможности нарушения устойчивости функционирования совокупности систем киберфизической
системы современной цифровой или высокоавтоматизированной подстанции - это
экспертная работа. Она по определению трудно поддается масштабированию.
А теперь
давайте представим диспетчера, в зоне ответственности которого находится N ЦПС
и он получает информацию о признаках совершения в отношении систем этих ПС
компьютерных атак. Его действия? Управляемая деградация всех систем? А как
управлять?
Ведь если не
сейчас, то "завтра" оперативного персонала на ЦПС будет меньше или не
будет совсем...
Хорошо спроектированная ЭС и СППР, с хорошо
сформированной базой знаний о первичной схеме, архитектуре вторичных систем,
уязвимостях и угрозах, использующая онтологический подход, возможно
"математику" на основе Марковских сетей может позволить сформировать
запрос и получить прогноз о возможных нарушения функционирования систем,
подсистем, части подсистем или технологического процесса на части
присоединений, что позволит принимать более взвешенные решения в условиях
совершения компьютерных атак в отношении
вторичных систем. Системы основанные на знаниях хорошо себя зарекомендовали в
целом ряде отраслей: металлургии, медицине, да, и в энергетике тоже. Как вы
считаете нужен такой инструмент? Позволит ли он сделать управление объектами
электроэнергетики более безопасным?
Владимир, вопрос хороший. ФСК уже делали попытку создания систем на базе CIM - моделирования. И даже была идея вести модели вместе с Системным оператором. Не взлетело даже несмотря на то что это создавалось именно в целях оперативно-технологического управления. Поэтому реализация аналогичных масштабных решений, но для целей обеспечения безопасности дело очень не быстрое. Прям очень-очень не быстрое. И производственники традиционно помогать (как минимум) не станут. СППР, Situational Awareness и им пододобные станут актуальными только тогда когда будет обеспечивать, при чем доказуемо а не теоретически, снижение производственных или операционных рисков. К сожалению, ибэшники привыкли оперировать только Кибер-рисками, снижение которых само по себе часто не очевидно, при этом влияние на операционные риски часто остаётся бездоказательным. Возможно (предполагаю, не утверждаю) в этом одна из причин почему ибэшники не могут договориться с асушниками.
ОтветитьУдалить