Спрос на электромобили будет увеличиваться в среднем на 38% ежегодно, согласно прогнозу по развитию рынка электромобилей в России. Соответствующие данные предоставили аналитики из консалтинговой компании Strategy Partners.
26–27 марта 2024 года в конференц-зале ЦВК «Экспоцентр» (Москва) прошла ежегодная научно-практическая конференция «Российский рынок систем электрохимического накопления электрической энергии и батарейных систем электротранспорта. Проблемы и перспективы». Эксперт «РТСофт-СГ» выступил с докладом о комплексном подходе к проектированию развития инфраструктуры заряда электротранспорта.
19 июня 2020 года вышло Постановление Правительства РФ №890 «О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)». Постановление описывает новые функции, которые должны быть реализованы в ИСУЭ (Интеллектуальных системах учета электрической энергии), например, возможность дистанционного подключения и отключения пользователей услуг, что, безусловно, облегчит администрирование данных систем, но в то же время выведет на первый план вопрос защиты данных, передаваемых по общим каналам связи.
Разберемся, на какие положения нужно обратить внимание при организации мер защиты информации в ИСУЭ, а также рассмотрим средства криптографической защиты информации (СКЗИ), которые для этого понадобятся.
Минэнерго России опубликовало документ, описывающий «Базовую модель угроз и нарушителя ИСУЭ», который устанавливает необходимость применения СКЗИ в ИСУЭ для защиты информации, передаваемой по общедоступным каналам связи. Он содержит систематизированный перечень угроз безопасности информации, влияющих на обеспечение устойчивого функционирования ИСУЭ, и является методическим документом, на который необходимо опираться ИБ-специалистам при организации мер защиты информации, передаваемой по каналам связи. Для систем и их компонентов, которые требуют применения СКЗИ, должна разрабатываться также частная модель угроз безопасности, которая конкретизирует действия внутреннего или внешнего нарушителя.
В настоящий момент предусмотрено использование СКЗИ в ИСУЭ для защиты каналов связи между верхним уровнем (информационно-вычислительный комплекс –– ИВК) и промежуточным уровнем (информационно-вычислительный комплекс электроустановки –– ИВКЭ). Базовая модель угроз для ИСУЭ будет пересмотрена в конце 2023 года в сторону ужесточения. В результате требования по защите каналов связи распространятся на все уровни, включая линии доступа к приборам учета (ПУ).
Так как электроэнергетика входит в перечень отраслей промышленности, объекты которых относятся к критической инфраструктуре, еще один документ, на который необходимо опираться при построении защиты информации в ИСУЭ –– Приказ №239 ФСТЭК России от 25.12.2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации». Согласно Федеральному закону №187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" объектами защиты таких автоматизированных систем управления, как ИСУЭ, являются как информация, циркулирующая в системе, так и программного-аппаратные и программные средства, входящие в ее состав.
Ввиду того, что компоненты ИСУЭ устанавливаются вне контролируемой зоны и их невозможно собрать в один защищенный контур, эти требования предъявляются к каждому устройству и всей информации, что передается между ними.
Учитывая особенности размещения компонентов ИСУЭ и указанные выше требования, защищать каждый прибор учета или устройство сбора и передачи данных наложенными средствами защиты нецелесообразно –– это затратно, долго и сложно в обслуживании. Установить межсетевые экраны и криптошлюзы на всем периметре инфраструктуры для каждого устройства –– невозможно. В случае с ИСУЭ целесообразно использование встраиваемых криптографических средств защиты информации: решение масштабируется вне зависимости от количества устройств и территориального распределения, специализированные СКЗИ устанавливаются для каждого уровня ИСУЭ.
Также не стоит забывать, что встраивание криптографической функции в ИСУЭ может значительно повлиять на пропускную способность каналов за счет дополнительных вычислительных операций, поэтому СКЗИ должны воздействовать на этот параметр минимально. Большинство применяемых в ИСУЭ протоколов не является TCP/IP: СПОДЭС, СПОДУС, ПИРС, Nb-Fi, LoRA, XNB и работают на каналах с низкой пропускной способностью, поэтому средства защиты информации должны стабильно функционировать с учетом этого фактора и при этом работать с более чем сотней тысяч приборов.
Теоретически возможна как программная, так и аппаратная реализация функций СКЗИ в компонентах ИСУЭ, оба эти подхода имеют право на жизнь, однако разработчикам и производителям оборудования для систем учета электроэнергии необходимо отдавать себе отчет в том, что программная реализация средств защиты накладывает значительный объем дополнительных требований к разрабатываемым устройствам, превращая их по сути в СКЗИ, что влечет за собой, помимо затрат на собственно само программное СКЗИ, необходимость сертификации конечного продукта и обеспечения организационных мер защиты. Всех этих сложностей можно избежать, выбрав способ реализации криптозащиты на отдельном модуле, встраиваемом на уровне компонентов.
Еще одной особенностью применения встраиваемых решений в ИСУЭ является тот факт, что защищаемые устройства устанавливаются вне контролируемой зоны, а срок их эксплуатации значительно больше, чем срок действия заключения регулятора для СКЗИ. Поэтому разработчикам необходимо провести дополнительные работы по увеличению срока службы встраиваемых компонентов и расширению срока действия их ключевой информации, а также решить вопрос с защитой устройства, учитывая возможность доступа к нему посторонних лиц.
Многие решения производителей средств защиты информации пока находятся в стадии разработки, и являются недостаточно зрелыми, чтобы закрывать потребности такого огромного рынка.
Ввиду ужесточения требований к организации защиты информации в ИСУЭ и необходимости уже сейчас внедрять СКЗИ в инфраструктуру, производителям стоит выбирать вендора с готовым и зарекомендовавшим себя решением. Компания «ИнфоТеКС» еще 6 лет назад начала разрабатывать решение ViPNet SIES. Это встраиваемое СКЗИ для интеграции в автоматизированные системы управления и системы межмашинного взаимодействия, которое можно полноценно применять для защиты информации в ИСУЭ. Компоненты ViPNet SIES встраиваются в компоненты ИСУЭ и обеспечивают защиту информации при ее передаче по каналам связи. Для этого в компонентах ViPNet SIES используется криптографический протокол CRISP (Рекомендация по стандартизации РФ P 1323565.1.029-2019), имеющий минимальный объем дополнительных служебных данных из всех стандартизованных протоколов в РФ при отсутствии необходимости установления сессионного обмена. Применение CRISP оптимально для защиты данных в каналах с низкой пропускной способностью и подходит для защиты сразу всех используемых в ИСУЭ протоколов.
Решение ViPNet SIES для защиты информации в ИСУЭ. Компоненты решения.
Решение ViPNet SIES, обеспечивающее защиту между ИВК и ИВКЭ, будет включать следующие продукты:
Схема защиты ИСУЭ с помощью ViPNet SIES
Отметим, что ViPNet SIES MC имеет открытый API, что значительно расширяет возможности применения решения и позволяет интегрировать СКЗИ сторонних разработчиков в ViPNet SIES.
ViPNet SIES является полностью законченным решением, включающим все необходимые элементы: компоненты для внедрения в УСПД, компоненты для интеграции с ИВК и центр генерации ключей.
ViPNet SIES позволяет реализовать защиту информации в соответствии с текущими требованиями регулятора. Во-первых, криптографические операции вынесены в отдельный модуль и доступны по API, это значит, что разработчику ИСУЭ не нужно самостоятельно разбираться в криптографии. Во-вторых, производителю не нужно сертифицировать УСПД и ИВК как СКЗИ. В-третьих, криптографическими вычислениями в ViPNet SIES занимается отдельный модуль, поэтому для УСПД нет необходимости проводить ресурсоемкие операции, дающие дополнительные нагрузки на процессор. В-четвертых, защита ключевой информации происходит в самом СКЗИ.
В настоящий момент ИнфоТеКС разрабатывает следующее поколение продуктов СКЗИ для защиты ИСУЭ, который позволит включить в схему решения также и приборы учета, это позволит защищать информацию на всех уровнях.
В ближайшем будущем в состав ViPNet SIES войдут:
В ViPNet SIES Core Nano и ViPNet SIES Core NR предусмотрено хранение ключевой информации сроком до 16 лет (без смены). Информация будет защищена от несанкционированного доступа на уровне аппаратной платформы. Продукт разрабатывается с учетом требований ФСБ России к СКЗИ класса КС3 и требованиям к СКЗИ-НР. Плановый срок завершения сертификации –– конец 2023 года.
Подводя итог вышесказанному, следует отметить, что защищать каждый прибор учета электрической энергии или устройства сбора и передачи данных с помощью наложенных средств защиты информации нецелесообразно и экономически невыгодно. Вместе с тем, вопрос организации защиты информации, передаваемой по открытым каналам связи в ИСУЭ, стоит остро ввиду нарастающих административных требований и ужесточения нормативов и санкций за их несоблюдение. Оптимальный вариант защиты информации в данном случае –– встраиваемое решение. Выбирая ViPNet SIES, производитель компонентов ИСУЭ уже сейчас получает сертифицированную защиту информации, передаваемой по открытым каналам связи, в том числе с учетом новых требований к защите информации в приборах учета электроэнергии.
