Документ щодо правил безпеки має бути чинним з урахуванням нових технологій і нових вимог щодо безпеки. Його треба переглядати і вносити зміни не менше ніж один раз на рік, або кожного разу, коли трапляються нові події в сфері безпеки або в ІТ-устаткованні.
Оцінювання ризику безпеки
Ще одне питання, як правило, найскладніше полягає у вирішенні того, що має бути захищене і якою мірою воно має бути захищене. Хтось може стверджувати, що всі об’єкти мають бути захищені стовідсотково, але зазвичай це недоцільно. Крім того, такий підхід робить використовування/ адаптування безпеки надзвичайно дорогим і може завадити органам, які відповідають за безпеку, спробувати впровадити навіть мінімальну безпеку.
Єдиний варіант не підходить усім: усі активи не мають бути повністю та надмірно захищені, хоча всі вони можуть бути захищені. Проте всі активи мають оцінюватися з урахуванням потреби й ступеня безпеки.
Оцінювання ризиків для безпеки визначає ступінь пошкодження, до якого може призвести порушення правил безпеки, і забезпечує аналіз збитку (фінансового, соціального, а також збереження) щодо витрат на впроваджування і підтримування протидії з боку системи безпеки. Таким чином, оцінювання ризиків для безпеки є ключовою функцією безпеки, яку має бути подано до початку будь-якого впроваджування системи безпеки.
Розуміння вимог щодо безпеки та впливу заходів безпеки на керування енергосистемою
Проблеми безпеки під час керування енергосистемою
Керування енергосистемою ставить багато викликів безпеці, що відрізняються від більшості інших галузей промисловості. Наприклад, більшість заходів безпеки було розроблено для боротьби проти хакерів в Інтернеті. Середовище Інтернет сильно відрізняється від середовища керування енергосистемою. Тому в індустрії безпеки зазвичай є недостатнє розуміння вимог щодо безпеки і потенційного впливу заходів безпеки на потрібний обсяг інформаційного обміну під час керування енергосистемою.
Зокрема, послуги безпеки й технології було розроблено, насамперед, для галузей, які не потребують суворого виконання та надійності, потрібних для керування енергосистемою. Наприклад:
ненадання доступу авторизованому диспетчеру до керування підстанцією може мати серйозніші наслідки, ніж ненадання доступу клієнтові до свого власного банківського рахунка. Таким чином, загроза відмови в обслуговуванні є набагато важливішою, ніж більшість типових операцій в Інтернеті;
більшість каналів зв’язку, використовуваних в енергетиці, — вузькосмугові, кінцеві пристрої часто обмежені в пам’яті та обчислювальних потужностях, тим самим не допускаються певні додаткові інформаційні витрати, потрібні для певних заходів безпеки, таких як шифрування даних і обмін ключами;
більшість систем і устатковання перебувають в ізольованих некерованих віддалених місцях, які не мають доступу до Інтернету. Це робить керування ключами, відкликання сертифікатів, а також певні заходи безпеки складними для реалізування;
багато систем пов’язано багатоточковими каналами зв'язку, таким чином, типові для промисловості заходи безпеки мережі не можуть бути застосовані;
хоча бездротові комунікації починають широко використовувати для багатьох застосувань, енергокомпанії мають дуже обережно поставитися до того, де і які функції виконують ці бездротові технології, частково через завади у середовищі електричних підстанцій (потенційний вплив на доступність), а частково через потребу деяких застосувань щодо швидкої та надзвичайно надійної відповіді (пропускна здатність). Хоча заходи безпеки доступні для багатьох бездротових систем, це може збільшити додаткові інформаційні витрати (подібно до дротових засобів передавання інформації).
Керування ключами та анулювання сертифікатів
Враховуючи значні території, вузькосмугові канали зв’язку, обмежені можливості деяких кінцевих пристроїв, а також віддаленість великої кількості устатковання для легкого доступу персоналу, керування шифруванням секретних ключів є завданням, з яким більшість інших галузей, зокрема обробна промисловість, не стикаються. Секретні ключі, такі як загальноіндивідуальна система ключів або симетрична система таємного ключа чи використання шифрувальних пристроїв як «буфер середовища», мають бути розміщені в кінцевих пристроях в безпечному режимі.
Однією з можливостей для техніків є виїзд до устатковання та завантаження кожного секретного ключа на кожну одиницю устатковання. Цей варіант підходить для початкових установок, але може стати значною проблемою, якщо ключ потрібно регулярно оновлювати. Ще однією альтернативою є «сервер ключів», який розміщують разом із кінцевими пристроями та взаємозалежним устаткованням через локальну мережу. Сервер ключів може потім використовувати окремий широкосмуговий безпечний зв’язок для завантаження нових секретних ключів, які він може видавати різним одиницям устатковання.
Анулювання сертифіката має аналогічні проблеми для керування ключами, за винятком того, що обмеження не полягає у вузькій смузі пропускання каналу зв’язку, а в тому, що експлуатаційне устатковання фактично не може бути під'єднано до Інтернету. Зазвичай анулювання сертифіката обробляє довірений менеджер сертифікатів, який запитує анулювання через Інтернет у момент встановляння наявності проблеми з сертифікатом. В керуванні енергосистемами має бути передбачено певний спосіб надійного отримання оголошення про анулювання через Інтернет і далі надійного передавання в строк цього анулювання відповідному кінцевому пристрою.
Керування системою та мережею
Інформаційну інфраструктуру в системі керування електроенергетики зазвичай не розглядають як єдину інфраструктуру, а розглядають як сукупність окремих каналів зв'язку, баз даних, кількох систем, а також різних протоколів. SCADA-системи часто виконують певне мінімальне контролювання зв'язку, наприклад, чи є доступними канали зв’язку для RTU, а потім, якщо зв'язок втрачено, вони помічають дані як «недоступні». Однак це завдання обслуговувального персоналу — знайти, в чому проблема, яке устатковання постраждало, де воно розташоване, і що потрібно зробити, щоб усунути проблему. Це тривалий і специфічний процес. У середньому енергосистема не контролюється нормально, а певні керувальні дії не можуть бути виконані. Як показав аналіз аварії 14 серпня 2003 р. — від’єднання північно-східного узбережжя Сполучених Штатів, основна причина від’єднання — не було доступу до критичної інформації у споживача в потрібний час.
Кожна енергокомпанія відрізняється тим, яка інформація доступна для її обслуговувального персоналу. Телекомунікаційні техніки, як правило, відповідають за відстежування будь-яких проблем короткохвильових чи оптико-волоконних кабелів; провайдери телекомунікаційних послуг повинні відстежувати свої мережі, адміністратори баз даних повинні визначати, чи правильно завантажуються дані з систем автоматизації підстанцій або з баз даних СП; інженери протоколів повинні виправляти помилки в протоколах; інженери-програмісти повинні визначати несправність роботи програми, незбіжність результатів, або зациклювання; оператори повинні фільтрувати великі обсяги даних, щоб визначити, по можливості, коли «проблема енергосистеми» є насправді «проблемою інформаційної системи».
У майбутньому проблема керування інформацією ставатиме все складнішою. Системи SCADA більше не будуть мати виняткове контролювання зв'язку в сферах, які можуть підтримуватися провайдерами телекомунікаційних послуг, або корпоративними мережами, чи іншими енерго- компаніями. Програмне забезпечення, критичне для надійності енергосистем, буде працювати на інтелектуальних електронних пристроях (IDE), які самі будуть відстежувати й унеможливлювати «падіння» програмного забезпечення і збої системи. Віддалені пристрої будуть взаємодіяти з іншими віддаленими пристроями, використовуючи канали, які не будуть перебувати під наглядом будь-якої системи SCADA. Інформаційні мережі на підстанціях будуть спиратися на локальні «самовідновлювані» процедури, за якими також не будуть явно наглядати або контролювати сьогоднішні системи SCADA.
П’ятиступінчаста послідовність забезпечення безпеки
Захист і убезпечення мережі, інтелектуального устатковання, а також даних та інформації, які є життєво важливими для керування майбутньою енергосистемою, — це одне з ключових питань після розроблення архітектури виробничого рівня. Інформаційна безпека стикається зі значними проблемами як організаційними, так і технічними в таких основних напрямках:
потреба підвищування рівня інтегрування з різними суб'єктами господарювання;
ширше використовування інфраструктур на основі відкритих систем, які буде охоплювати майбутня енергосистема;
потреба відповідного інтегрування наявних або «застарілих» систем із майбутніми системами;
зростає розвиненість та складність інтегрованих розподілених обчислювальних систем;
зростає розвиненість і загрози з боку вороже налаштованих груп.
Рисунок 8 — Загальний процес забезпечення безпеки — безперервний цикл
Безпеку має бути сплановано й розроблено в системах до початку роботи. Функції безпеки є невід’ємною частиною розробляння систем. Планування безпеки ще до її реалізовування забезпечить повніше та економічно ефективніше рішення. Крім того, перспективне планування гарантує, що послуги безпеки можуть підтримуватися (може дорого коштувати модернізація) незапланованим оточувальним обладнанням. Це означає, що безпека має поширюватися на всі рівні архітектури.
Як наведено на рисунку 8, безпека не є статичним процесом, вона постійно розвивається. Вона потребує тривалої роботи й підготовляння, щоб підтримувати процеси безпеки згідно з вимогами до систем. Безпека продовжує бути змаганням на випередження між корпоративними правилами безпеки/інфраструктурою безпеки та вороже налаштованими групами. Процеси безпеки і системи розвиватимуться в майбутньому. Зазвичай немає 100-відсоткового захищеного зв’язку між пов’язаними системами. Завжди будуть дрібні ризики, які має бути враховано і скеровано. Таким чином, з ціллю підтримування безпеки потрібна постійна пильність та контролювання так само, як і адаптування до змін в усьому навколишньому устаткованні.
Весь процес відображено п’ятьма процесами високого рівня, які є складниками стратегії надійної безпеки. Незважаючи на циклічний характер, є певний порядок процесу.
Оцінювання безпеки — процес оцінювання активів у частині їх вимог щодо безпеки, ґрунтується на можливих ризиках нападу, відповідальності, пов’язаній з успішними атаками, і витратами на зменшення ризиків та зобов’язань. Рекомендації, що випливають з аналізування вимог щодо безпеки, стосуються розробляння правил безпеки, закупівлі, пов’язаних із безпекою продуктів і послуг, а також розроблення процедур безпеки.
Сенс циклічного процесу в тому, що оцінювання безпеки потребує періодичності. Для періодичного перегляду згідно з правилами має бути визначено строки переоцінювання.
Однак політика потребує постійного розвитку технологічних змін та зміни правил, що може потребувати негайного переоцінювання.
Правила безпеки — формування правил безпеки є процесом розроблення правил керування, реалізування та інсталяції безпеки в домені безпеки. Переглядають рекомендації, створені оцінкою безпеки, і розробляють та підтримують протягом тривалого часу правила, що забезпечують впровадження рекомендацій безпеки. Правила безпеки мають бути старанно опрацьовані в частині забезпечення безпеки, що визначає ґрунтовне реалізування заходів безпеки, графік реалізування цих заходів, а також процес переглядання для визначання результатів і поновлення плану.
Впровадження системи безпеки — сукупність закупівлі, встановляння та тестування продукції та послуг безпеки, а також реалізування розроблених правил і процедур безпеки. В рамках використання окремих правил безпеки має бути зреалізовано кілька процедур керування, які дають змогу виявляти вторгнення та дають можливість контрольних перевірянь.
Навчання заходів безпеки — необхідне безперервне навчання загрозам безпеці, технологіям убезпечення, а також корпоративним і правовим стратегіям, що впливають на безпеку. Загрози безпеці та технології постійно розвиваються і потребують поточного аналізування й підготовляння персоналу для впровадження і підтримування потрібної інфраструктури безпеки.
Аудит безпеки (моніторинг) — перевіряння систем та засобів безпеки є процесом, відповідальним за виявляння атак, прогалин у системі безпеки, а також оцінювання ефективності встановленої інфраструктури безпеки. Однак перевірення зазвичай застосовують після звершення події/вторгнення. Модель безпеки домену, як і активна інфраструктура безпеки, потребує постійного контролювання. Таким чином, процес аудиту має бути вдосконалено.
У разі спроби розвинути процес безпеки на базі підприємства неможливо врахувати всі суб’єкти підприємницької діяльності, політики й технологічних рішень, які можуть бути вибрані різними відділами, що функціюють на підприємстві. Тому обговорення питання безпеки на рівні підприємства часто є складним завданням, яке може ніколи не завершитися. Для того щоб спростити обговорення, дають змогу різним відділам керувати власними ресурсами і зосереджувати обговорення на важливих аспектах, систему безпеки потрібно розглядати в частині дії безпеки.
Застосування безпеки керування енергосистемою
