Возможные уязвимости
- Архитектура и сети: слабая сегментация между IT и OT, единая плоскость доступа для SCADA/EMS, открытые сервисы/порталы, удалённый доступ без защиты.
- Протоколы управления: неаутентифицированные/нешифрованные протоколы (Modbus, DNP3, IEC 60870‑5‑104 и пр.).
- Устаревшее ПО и железо: устаревшие RTU/PLC/IED, отсутствие патчей, неподдерживаемые ОС/прошивки.
- Конфигурация и управление: слабые учётные записи, общие учетные записи, неправильные права, отсутствие журнала изменений.
- Сетевая телекоммуникационная зависимость: единственные каналы связи (оптика/радио), уязвимость провайдеров.
- Поставщики и цепочка поставок: заражённое ПО/прошивка, компрометация подрядчиков.
- Мониторинг и реагирование: недостаточная телеметрия/логирование, отсутствие IDS/SIEM для OT.
- Физическая безопасность: доступ к КРУ, ЦОД, подстанциям.
- Зависимости/каскады: взаимозависимость электроэнергетики с топливом, телекомом, банками и т.д.
Методы оценки уязвимостей и угроз
- Инвентаризация активов и зависимостей (физических и логических).
- Сетевое картирование и оценка маршрутов/точек входа.
- Уязвимостное сканирование и управление уязвимостями (IT и OT‑адаптированные инструменты).
- Конфигурационные аудиты и соответствие стандартам (NERC CIP, IEC 62443 и др.).
- Пентесты и Red Team/адверсариалные упражнения с эмуляцией APT, включая физический доступ.
- Таб-топ и полномасштабные учения (включая blackout‑симуляции) для оценки оперативной готовности.
- Моделирование рисков и сценариев (анализ критических путей, cascade/failure propagation).
- Threat intelligence и анализ инцидентов, ретроспективный анализ логов.
- Количественная оценка риска, например: $\text{Risk}=P(\text{Attack})\times \text{Impact}$ или ожидаемый годовой ущерб $\text{EAL}={\sum }_i{P}_i\times L_i$.
- Метрики доступности и восстановления, напр.: $\text{Availability}=\frac{\text{MTTF}}{\text{MTTF}+\text{MTTR}}$.
Меры снижения рисков на уровне оператора
- Сегментация сети и зонация (публичная сеть — DMZ — OT), применение шлюзов и data‑diode для однонаправленной телеметрии.
- Принцип наименьших привилегий, MFA для всех удалённых доступов, использование защищённых jump‑серверов и VPN с контролем.
- Жёсткая защита протоколов: применение шлюзов‑прокси, фильтрации команд, шифрование и аутентификация на уровне приложения при возможности.
- Управление уязвимостями и патч‑менеджмент с тестированием в песочнице (virtual patching для критичных устройств).
- OT‑ориентированный мониторинг и EDR/IDS/IPS с аномалия‑детекцией для телеметрии и команд управления.
- Резервирование и отказоустойчивость: дублирование каналов связи, резервные центры управления, автономные режимы, черный старт, локальные ручные процедуры.
- Оффлайн‑резервные копии конфигураций и критичных данных, защищённые от записи копии прошивок/бэкапов.
- Политики поставщиков: контроль доступа подрядчиков, ограничение привилегий, проверка поставок и прошивок.
- Обучение персонала, процедуры реагирования, регулярные практические учения.
- Жёсткая физическая безопасность и мониторинг периметра.
- Логирование и аудит изменений, SLAs на RTO/RTT и регулярные проверки исполнения.
Меры на уровне государства / регулятора
- Законодательные требования и стандарты для критической инфраструктуры (обязательное соответствие, аудит).
- Национальный CERT/CSIRT и обмен угрозовой информацией между операторами и государством в реальном времени.
- Обязательное уведомление об инцидентах и координированное реагирование (форс‑мажорные механизмы).
- Инвестирование в модернизацию сетей, финансирование резервных мощностей, распределённой генерации и накопителей для повышения устойчивости.
- Создание и поддержка региональных резервных центров управления и взаимопомощи между операторами.
- Регламенты по контролю цепочек поставок, сертификация оборудования и санкции/контроль по рисковым поставщикам.
- Поддержка учений национального уровня (симуляции крупномасштабного отключения), тестирование межсекторных сценариев.
- Стимулы и субсидии для внедрения кибергигиены у операторов и малых поставщиков.
- Правовые меры и меры сдерживания (кибертарифы, уголовная ответственность, международная кооперация).
- Развитие кадров и образовательные программы по OT‑безопасности.
Приоритизация и практическое руководство
- Оценивать риск по критичности актива и потенциальному каскаду (фокус на узлах с высокой степенью зависимости).
- Комбинировать превентивные меры (сегментация, патчи) с детекцией и возможностью быстрого восстановления.
- Регулярно проводить Red Team и учения; улучшать процессы на основе уроков.
- KPI: время обнаружения, время реагирования, MTTR, доля обновлённого ПО — отслеживать и ставить целевые значения.
Коротко: сочетание технических мер (сегментация, защита протоколов, мониторинг, резервирование), организационных мер (процедуры, обучение, управление поставщиками) и государственных мер (регулирование, обмен информацией, финансирование устойчивости) существенно снижает шанс и ущерб масштабных отключений.