15 августа 2003 года, Восточное побережье США, 16:00 по местному времени. В Нью-Йорке, Оттаве, Торонто и Монреале пропадает электропитание. Сбоя такого масштаба в стране не было почти сорок лет. На непродолжительное время останавливаются лифты, метро, работа бирж, аэропортов, телевидения и т.д. Среди версий отключения — молния, сбой на АЭС и появление в сетях энергетиков компьютерного вируса. Ответственность за происшествие даже пытается взять на себя Аль‑Каида.
Стратегическое значение энергетики понятно. Как защищены компьютерные сети наших генерирующих компаний? О создающейся системе управления информационной безопасностью (СУИБ) второй генерирующей компании оптового рынка электроэнергии (ОГК-2) в интервью нашему журналу рассказал начальник департамента информационно-технологического обеспечения Алексей Куканов.
Intelligent Enterprise: Почему вы решили создать СУИБ?
Алексей Куканов: В энергетике автоматизированные системы управления технологическими процессами — АСУТП — до недавнего времени были изолированы от других информационных систем предприятия и от внешнего мира. При их создании никто не задумывался об информбезопасности в ее современном понимании. Соображения ИБ просто не брались в расчет в силу практически нулевой вероятности возникновения соответствующих инцидентов, а потому не выделялись деньги на подобные проекты и не было такой компетенции у персонала. Всё логично: раз принципиально не может быть вирусных или хакерских атак, то организация занимается своим основным делом, а не ИБ. Промышленным информационным системам априори никакая опасность не грозила. Сейчас всё меняется. В АСУТП, которые сначала играли чисто информационную роль, все больше появляется именно управляющих функций. В общей сети предприятия развиваются программы, не связанные напрямую с генерацией электроэнергии, — системы учета, принятия решений, почтовые, бухгалтерские и т.п. В момент их появления и вирусов было мало, и хакерское сообщество было малочисленно и неактивно. Возможные последствия сбоев в работе таких систем были незначительны. Плюс перечисленные решения все еще были автономны и выходов в общие информационные сети практически не имели. Однако требования времени определяют новое качество информационного пространства энергопредприятий, подразумевающее существенный обмен информацией между системами разного уровня и разного назначения. Раньше «места стыковки» между ними у энергетических предприятий не всегда были безупречны с точки зрения безопасности. В силу понятной инерционности отрасль не сразу обратила внимание на потенциальную проблему. Хотя каких‑либо серьезных инцидентов, связанных с ИБ, до сих пор и не происходило…
Интеграция систем продолжается. На многих энергетических объектах, в том числе и наших, автоматизируются бизнес-процессы, которые раньше автоматизация не затрагивала по причине технологических особенностей. Становятся актуальными задачи не только получения данных из АСУТП, но и двунаправленного информационного обмена. Общие тенденции развития электроэнергетической отрасли уже сейчас требуют решать вопросы информационного взаимодействия с внешними по отношению к объектам генерации компаниями, управляющими энергосистемой и рынком энергопотребления, такими как Системный оператор и некоммерческое партнерство «Администратор торговой системы оптового рынка электроэнергии». Уже сейчас ставятся вопросы о возможности непосредственного управления режимами работы электростанций со стороны Системного оператора.
Понятно, что объекты генерации должны не только предоставить эту возможность, но и обеспечить безопасность внешних управляющих воздействий. Такие потенциальные угрозы, как перехват управления третьими лицами или технические сбои, приводящие к выдаче искаженной команды, могут стоить очень дорого. Здесь возникает масса вопросов, касающихся безопасности коммуникаций как между сотрудниками, так и между информационными системами, и решать их нужно с большой осторожностью и ответственностью, с использованием лучшего мирового опыта. Кроме защиты сети предприятия, учетных и бухгалтерских систем мы обязаны думать и об основном производстве. Слишком высока цена инцидента. Даже остановка бухгалтерии на один-два дня (от чего скорее всего вздрогнет каждый руководитель) не сравнима с простоем генерирующих мощностей в результате злонамеренного вмешательства. Потери здесь будут совершенно иными. Несколько лет назад, ещё во времена РАО ЕЭС, была начата работа, направленная на то, чтобы привлечь внимание к проблемам информационной безопасности. Но она не успела принять законченные формы хотя бы в области регламентации и стандартизации. Поэтому субъекты энергетики сами определяли, как, когда и в каком объеме решать возникающие проблемы.
Их решения строились в зависимости от того, насколько руководство понимает важность этой деятельности, а также от финансовых возможностей предприятий и уровня квалификации собственных специалистов. В результате появлялись разнородные, «лоскутные» системы, которые как фиговые листки прикрывали только малую часть проблемного поля. Комплексными решениями по обеспечению информационной защиты, выросшими в то время, похвастать если кто‑то и может, то лишь единицы. Эта картинка нашла подтверждение и в нашей компании: различный уровень зрелости ИТ в разных филиалах на момент объединения под флагом ОГК-2 и как следствие — разный уровень понимания и качества решений в области обеспечения информбезопасности. Наш проект и был инициирован с целью выравнивания ситуации по всем подразделениям компании и организации управления ИБ именно как непрерывного процесса.
Как вы выбирали СУИБ?
Я бы сказал, что мы выбирали не СУИБ, а исполнителя, готового создать комплексную систему информационной защиты в соответствии с выставленными нами основными требованиями. Согласно действующим нормативным документам выбор проводился на конкурсной основе. В тендере принимали участие шесть игроков. Могу сказать, что все они — очень серьезные компании, имеющие достаточный опыт построения СУИБ. В чем‑то их предложения пересекались, в чем‑то расходились по предлагаемым решениям и технологиям. При выборе победителя конкурса мы руководствовались определенным набором важных для нас критериев, в число которых входили, например, возможность интеграции в имеющуюся информационную среду без значительных изменений, использование в предлагаемом решении оборудования, аналогичного тому, что работает у нас. Нам было важно встроить СУИБ в существующую ИТ-инфраструктуру с минимальными переделками при условии выполнения всех поставленных перед системой задач на уровне лучших мировых практик. Кроме того, конечно, принималась во внимание стоимость предлагаемого решения и готовность наших специалистов поддерживать его. По нашему набору критериев предложение АМТ-ГРУП оказалось оптимальным.
Расскажите о ходе проекта.
В ходе обследования специалисты исполнителя выезжали в пять наших филиалов, где проводили аудит состояния систем и документации. Использовали инструментальные технические средства, моделировали шаблонные ситуации для проверки ИБ‑систем станций. В итоге появились объемные отчеты с описанием реальной картины и анализом рисков. Сейчас мы уже видим ситуацию с рисками как она есть, но еще не управляем ею. Как у любой компании, только начинающей заниматься СУИБ, был велик объем необходимых доработок. Точно так же работали с исполнительным аппаратом, но здесь легче и по количеству сотрудников, и по размеру сети, и по удобству расположения для исполнителей. В головном офисе внешние специалисты работали полный рабочий день. Методология подобного аудита подробно описана в стандартах. Ее АМТ-ГРУП принесла с собой, согласовала с нами и работала в соответствии с нею. В отчетах приводились схемы, описания аппаратных средств, возможные уязвимости. Всё это ложилось на анализ рисков. Структура отчетов стандартна, обоснованность рекомендаций подтверждена выдержками из результатов работы тестирующих систем. Кроме обследования сейчас практически закончены разработка подсистемы организационно-правовых мероприятий и проектирование основных технических подсистем СУИБ. Мы закончили подготовительный этап и приступаем к активной фазе технического внедрения. Сейчас находимся на этапе проектирования подсистем, моделирования и их тестирования на площадках исполнителя работ. Мы строим комплексную защиту, которая распространяется на все пять станций ОГК-2 и центральный офис, и систему управления этой защитой в соответствии с требованиями международного стандарта ISO 27001.
Какие технические системы уже введены в эксплуатацию?
Две системы информбезопасности действуют на всех наших объектах в полном объеме. Это подсистемы антивирусной и антиспамовой защиты. Они уже отработали почти год. По нашему заказу исполнитель внедрял их в первую очередь, поскольку эти вопросы на момент начала работ стояли наиболее остро. Подсистемы имеют распределенную архитектуру с центром управления в исполнительном аппарате. Мониторинг сети и проходящего по ней трафика ведётся на основе специально выделенных под эту задачу аппаратных средств. Для борьбы со спамом также используется отдельное специализированное оборудование, которое на аппаратном уровне участвует в анализе трафика. По отчету антиспам‑системы о SMTP‑соединениях за сентябрь этого года в центральном аппарате только немногим более трети писем оказались действительно нормальными почтовыми сообщениями. Почти 65% электронной корреспонденции было остановлено и отправлено в стоп-листы (greylist, realtime blackhole list и zombie detection system). Из общего объема месячного почтового трафика (8 Гбайт) порядка 11% пришлось на чистые письма, 87% объема — на спам и сотые доли процента на вирусы. Это говорит о хорошей и надежной работе подсистемы антивирусной защиты и в частности потоковых антивирусных сканеров. За время эксплуатации подсистемой антивирусной защиты было выявлено и заблокировано более четверти миллиона попыток инфицирования компьютеров компании теми или иными вредоносными программами.
Еще несколько слов скажу о подсистеме антиспам-защиты. Долю распознавания спама в общем объеме почтового трафика мы оцениваем величиной порядка 95% (так как в общий отчет попадает и анализ внутреннего почтового трафика компании, который является «чистым») и считаем работу подсистемы эффективной. При желании здесь можно подсчитать и экономический эффект. Для самого примитивного расчета достаточно помножить потенциальное время разбора нежелательной почты или спама сотрудниками компании на стоимость их рабочего времени. А если сюда добавить упущенную выгоду от решения в это время реальных производственных задач, то сомнений в необходимости такой системы и инвестиций в нее ни у кого не возникнет. Заблокированная по подозрению на спам почта сохраняется в карантине, куда есть доступ у службы Service Desk. Если кто‑то из сотрудников считает, что ему не доставлено важное письмо, то он может получить у них информацию о заблокированной корреспонденции. Кроме того, есть пользователи, которым ежедневно приходят оповещения со списком заблокированных почтовых сообщений. Они видят их темы, а некоторые группы даже обладают правом самостоятельного восстановления почты из карантина. Стоит сказать, что количество обращений в Service Desk за время продуктивной работы подсистемы c запросом на разблокирование сообщений можно пересчитать по пальцам.
Что касается централизации, то практически все аппаратное обеспечение для работы этих двух подсистем находится в головном офисе. Львиная доля трафика проходит через нас и фильтруется в Москве. С точки зрения антиспам-защиты исключение составляют единичные информационные системы, скорее даже рабочие места, участвующие в производственном процессе и диспетчировании, имеющие жесткие требования к гарантированной оперативной доставке почты. Для них пересылка почтового трафика из филиалов в Москву и обратно не происходит. Такой трафик обрабатывается локальными средствами защиты. В области же антивирусной защиты используется полностью распределенная архитектура с центром управления в головном офисе и подчиненными серверами управления и обновления в филиалах. Такая схема централизации нас устраивает, и мы не собираемся ее менять.
Связаны ли как‑то между собой СУИБ и система менеджмента качества (СМК)?
Как одну из целей проекта создания СУИБ мы определили её соответствие стандартам серии ISO 27000. Эти международные стандарты в основном касаются описания процессов. Они не являются техническими, и в них не прописаны аспекты, относящиеся к технологии обеспечения информационной безопасности или выбору средств защиты. ISO предполагает стандартизацию процесса, определенный набор документированных процедур и описаний, нормативной документации и регламентов. В рамках проекта мы разрабатываем пакет из двадцати с лишним организационно-правовых документов, представляющих собой многоуровневую иерархию, — политики, руководства, инструкции и т.д. Такая система нормативной документации органично встраивается в нашу СМК, поскольку стандарты серии 27000 имеют общие корни с ISO 9000.
Как вы будете двигаться дальше?
К сожалению, проект движется не теми темпами, как мы ожидали и планировали. Это вызвано рядом внутренних и внешних факторов: сменой руководства компании и связанными с этим внутренними процессами, глобальным финансовым кризисом, который сказывается на возможностях своевременного заказа и поставки требуемого оборудования, курсовыми колебаниями валют, ведь в проекте используется немалая доля оборудования иностранного производства, и его стоимость напрямую привязана к курсу доллара. На сегодняшний день мы имеем отставание от первоначального графика примерно в три месяца, что составляет около 17% от общей плановой длительности проекта. Свою роль тут сыграли вышеназванные риски, учесть которые в самом начале не представлялось возможным. Отставание не фатальное, проект будет продолжен. Более того, уже по результатам обследования стало понятно, что он имеет потенциал к расширению. Расширять зону проекта в сторону развития периферийных систем мы планируем по окончании этапа первичного внедрения, когда будет создано ядро.
Например, изначально в проект не была включена подсистема контроля использования внешних носителей информации. Решение о расширении границ проекта уже принято, и сейчас мы работаем над составлением договора на создание такой подсистемы. Являясь подразделением обеспечивающим, в выборе подсистем СУИБ мы ориентируемся на потребности бизнеса. К марту планируем запустить решение в полном объеме. Конечно, если всё будет нормально с поставками и оплатой в текущих финансовых условиях. Безопасность требует постоянных инвестиций для поддержания ее в актуальном состоянии. Мы планируем заключение договоров на поддержку СУИБ. Некий круг задач мы можем поддерживать своими силами, но и внешний аудит, и поддержка со стороны внешних сопровождающих компаний обязательно будут.