egengrinovich (egengrinovich) wrote,
egengrinovich
egengrinovich

Виртуализация проверок АИИС КУЭ на Оптовом Рынке Электроэнергии. Новые вызовы

В начале 2012 года, когда собирали предложения по темам для проведения НП "НТС ЕЭС", я предложил посвятить одно заседание информационной безопасности. В тот момент конечно речь шла о системах Smart Metering. По всей стране были запущены пилоты, тендерная документация большинства МРСК содержала требования по наличию возможности управляющих воздействий, формальных единообразных правил не существовало (как впрочем не существует и сейчас), поэтому вопросы защиты от несанкционированных действий в Smart Metering очень актуальны.
В процессе подготовки, к выступлению, я провел анализ документов по информационной безопасности европейских регуляторов, корпоративных объединений (IDIS), производителей коммуникационных решений для Smart Grid и Smart Metering (PPC), непосредственно вендоров (Landis+Gyr, Iskraemeco). Не вдаваясь в подробности, общий вывод неутешительный. Пока единой концепции информационной безопасности для Smart Metering в Европе не существует. Единственная страна Евросоюза принявшая официальный документ, хоть как-то определяющий требования к информационной безопасности в системах Smart Metering – это Германия, но этот документ определяет лишь часть необходимых требований и вызывает нарекания, как со стороны специалистов, так и со стороны производителей. Более внятно концепция информационной безопасности изложена в документах IDIS (уровень счетчиков и концентраторов), но при этом каждый производитель оборудования и решений готовит свою концепцию, исходя из опыта текущих проектов.
В рамках консалтинговой деятельности, я сотрудничаю с целым рядом производителей решений в области информационной безопасности и производителями оборудования и решений Smart Metering. Нам удалось организовать несколько плодотворных семинаров во время прохождения последней выставки Smart Metering/Billing в Амстердаме, в процессе которых у наших партнеров появилась уникальная возможность получить информацию из «первых» рук.
Если суммировать выше сказанное, становится понятно, почему получив предложение выступить по тематике мониторинга и дистанционных проверок АИИС КУЭ Субъектов ОРЭМ, мне не пришлось долго собирать материалы. Большинство решений зависит не от конкретной задачи, а от потенциальной угрозы, которые весьма схожи.
Итак начнем с определения самого понятия риска:
Риск – это комбинация вероятности события и его последствий (ISO/IEC Guide 73).
Следствие:
Любые действия приводят к событиям и последствиям, которые могут представлять собой как потенциальные «положительные» возможности, так и «опасности»
Меняя порядок проведения проверок АИИС КУЭ Субъектов ОРЭМ, мы совершаем действие, которое в соответствии с нашим «следствием» помимо «положительных» возможностей принесет нам и потенциальные «опасности». Попробуем сформулировать основные опасности:
1. Ошибки персонала
2. Преднамеренные действия по сокрытию (изменению информации)
3. Утечка информации
4. Ошибки программного обеспечения
5. Некорректная работа программно-аппаратных комплексов
6. Нарушения методологии работы
7. Искажения отчетности
Это конечно далеко не полный перечень рисков, какие-то из них могут быть более опасными, какие-то менее, причем для каждой задачи, каждого Заказчика опасность одних и тех же рисков разная. Поэтому проектирование системы информационной безопасности всегда начинается с построения конкретной модели угроз.
Целый ряд происшествий по всему миру, включая Россию, наглядно демонстрирует реальную опасность беспечного отношения к информационной безопасности при реализации тех или иных проектов. Современные технологии очень удобны, но часто настолько же уязвимы для внешних воздействий.
Итак, начнем с детального разбора «очевидных» требований, параллельно будем уточнять формулировки и предлагать инструменты, которые позволят нам эти требования безопасно реализовать.
Для Субъекта ОРЭМ, переход на дистанционные проверки и мониторинг АИИС КУЭ со стороны КО, требует, прежде всего разработки нового раздела ТРП на АИИС КУЭ или отдельного ТРП на информационное взаимодействие. Любая крупная компания имеет набор требований по организации доступа в ведомственную сеть внешних пользователей, поэтому придется учесть внутрикорпоративные требования и найти решение, которое им бы удовлетворяло, затем необходимо будет учесть типовые решения и сценарии, которые в будущем утвердит КО. Таким образом, новый Раздел ТРП (отдельный ТРП) необходимо будет согласовать как внутри компании, так и с КО.
Теперь рассмотрим инструменты, которые могут быть использованы при установлении соединения между сетью КО и сетью Субъекта ОРЭМ. Физический разрыв и передача данных в оффлайн почтой, подробно рассматривать не будем. Эта система действует сейчас, она безопасна, но не очень удобна. Классическое решение использование Фаерволов. Это активное сетевое оборудование, содержащее набор правил, определяющих порядок доступа в сеть. Проверенная технология, автоматизированное и гибкое решение, которое широко используется сегодня, как в корпоративных сетях, так и в сетях общего доступа. Минус только один, если правила противоречат друг другу или не описывают весь перечень опасностей (человеческий фактор) или у кого-то есть возможность внести несанкционированные изменения в них (утечка информации), то любой даже самый сложный фаервол может быть обойден, что уже происходило неоднократно. ДиодДанных – физическое устройство, гарантирующее на физическом уровне, однонаправленный поток данных из одного сегмента IP-сети в другой. ДиодДанных не может заменить фаервол, но для определенных задач, где требуется гарантированная защита инфраструктуры (правительственные структуры, военные, ядерная энергетика, энергетика, промышленность) является оптимальным решением. В каждом сегменте IP-сети устанавливается специализированный прокси-сервер, который эмулирует двунаправленную работу IP-сети, а с другой стороны передает/принимает пакеты для ДиодаДанных. Для нашего случая оптимальной будет конфигурация, используемая для аудиторских и сервисных компаний. Основной канал (мониторинга) идет через ДиодДанных, а второй канал разомкнут. При проведении дистанционных проверок, второй канал замыкается, в рамках специальной процедуры проверки, а затем после окончания работ, опять разрывается. Данное решение имеет опыт эксплуатации уже более десяти лет и серьезный референс во всех вышеперечисленных отраслях. Его активно используют европейские регуляторы энергорынков, атомные станции и МАГАТЭ, в 2011 году ОАО «Русгидро» включило ДиодДанных в свое типовое решение для верхнего уровня информационных сетей Гидростанций.
Следующий шаг, внешний удаленный рабочий стол КО при проведении дистанционных проверок. Субъект ОРЭМ начал процедуру проверки, следовательно, замкнул второй канал, обеспечив физическую возможность доступа в свою сеть. Соответственно с этого момента и на весь период проведения проверки существует потенциальная опасность хакерской атаки сети Субъекта ОРЭМ, причем пострадать могут и Субъект ОРЭМ и КО одновременно. Следовательно, по этому каналу необходимо идентифицировать не только логические параметры соединения, но и физические, например местоположение, устройство, операционную системы, установленные приложения, пользователь. Если хотя бы один из этих параметров не будет соответствовать предопределенным заранее, то в сеансе связи пользователю будет отказано, и он никаким образом не сможет попасть в защищаемую сеть. Универсальным инструментом, не зависящим от типа используемого Субъектом ОРЭМ, активного сетевого оборудования, для такого контроля является продукт Portnox. Любое подключение к вашему серверу, не важно, через какие средства виртуализации оно будет проведено, можно однозначно идентифицировать и принять решение о его допустимости. Задержки работы прикладного программного обеспечения исключены. Portnox имеет богатый референс по всему миру, гибкие средства конфигурации и настройки, не требует установки агентов.
Пройдена физическая идентификация, необходимо начать работать с Приложениями и Базами Данных. К сожалению, просто предоставить КО пароль на чтение, тоже недостаточно. Во-первых, часто пароли не меняются с момента внедрения системы, их знают, в том числе, ныне не работающие сотрудники, нет никаких гарантий, что используя логический канал для КО, кто-то не попробует воспользоваться другими паролями. А также есть целый ряд вопросов, ответы на которые могут потребоваться Субъекту ОРЭМ в любой момент:
• Какие операции выполнял внешний специалист в рамках предоставленного доступа ?
• Кто санкционировал предоставление доступа к конкретным системам ?
• Как быстро можно предоставить безопасный доступ к важной системе при её отказе?
• Когда менялись административные пароли к важным системам последний раз?
• Сколько людей могут воспользоваться жестко закодированными паролями в ваших приложениях?
Инструментом, который поможет Субъекту ОРЭМ всегда контролировать ситуацию является продукт PSM. Общая архитектура решения предполагает, что все пользователи, приложения и базы данных в сети взаимодействуют через PSM. Пользователь однократно входит в систему через PSM, с этого момента, он может подключаться к авторизованным для него устройствам без ввода каких-либо паролей. PSM используется как прокси-сервер, для установления соединений вместо предоставления пользователям реквизитов для входа, обеспечивается запись и воспроизведение сессий и их надежное, долговременное хранение в Цифровом хранилище. Решение имеет солидную историю на рынке, включая целый ряд внедрений в России.
Встав на точку зрения Субъекта ОРЭМ, мы сформулировали ряд потенциальных угроз и методов их нивелирования. Теперь рассмотрим эту же ситуацию с точки зрения КО. Сначала детализируем требования в исходном слайде. «Обеспечить выделенный канал Internet без корпоративных ограничений и без возможности входа в корпоративную сеть». Фактически это требование предполагает, что только сам пользователь будет определять политики безопасности на рабочих местах, подключенных к этому сегменту сети, что само по себе некорректно, при этом надо учитывать, что если будет использоваться активное оборудование корпоративной сети, то только логически будет запрещен вход в корпоративный сегмент сети, таким образом, в любом случае будет существовать потенциальная угроза для корпоративной сети. «Ежедневный мониторинг АИИС КУЭ Cубъектов ОРЭМ с выделением «нарушителей», что означает постоянное соединение сети Субъекта ОРЭМ и КО.

Теперь попробуем уточнить формулировки требований к сети КО:
• Создается отдельный сегмент корпоративной сети
• Определяются политики безопасности для данного сегмента
• Правила взаимодействия данного сегмента с корпоративной сетью (например однонаправленная трансляция данных)
• Определяются условия подключения к данному сегменту Субъектов ОРЭМ (перечень технических и организационных мероприятий, которые должны быть проведены на стороне Субъекта)
Организационные меры, которые необходимо проработать КО:
• Разрабатывается, согласуется и утверждается проект организации выделенного сегмента информационной сети КО, в целях мониторинга, анализа и контроля АИИС КУЭ Субъектов ОРЭМ
• Выполняются работы по созданию и сдаче в эксплуатацию выделенного сегмента
• Разрабатываются и утверждаются:
– перечень событий, форм, данных и отчетов АИИС КУЭ Субъектов ОРЭМ, которые будут подвергаться онлайн-мониторингу со стороны КО
– перечень функций АИИС КУЭ Субъектов ОРЭМ, которые должны быть доступны КО при проведении дистанционных проверок
– регламент проведения дистанционных проверок
– типовые решения для систем безопасного информационного взаимодействия (БИВ) Субъектов ОРЭМ с КО

Требования КО к Субъектам ОРЭМ, в этом случае, будут звучать так:
• В документации на АИИС КУЭ предусмотреть сценарии удаленного доступа со стороны КО (внести изменения в ПМИ, ТЗ, ТРП, протоколы предварительных испытаний), в соответствии с требованиями КО по мониторингу и проведению дистанционных проверок
• Доработать и сдать в постоянную эксплуатацию программное обеспечение АИИС КУЭ
• Разработать, согласовать и утвердить проект системы БИВ с КО
• Внедрить систему БИВ и предоставить КО результаты испытаний системы при вводе в постоянную эксплуатацию
Окончательно схема информационного взаимодействия КО с Субъектами ОРЭМ будет выглядеть следующим образом. По однонаправленному каналу (ДиодДанных) КО в онлайн режиме получает данные мониторинга от Субъектов ОРЭМ. Наступает момент проведения проверки, подается заявка, замыкается второй канал передачи данных, проходит физическая идентификация в сети Субъекта, получаются права доступа, проводятся работы, фиксируется окончание работ, канал размыкается. На каждом этапе работ, ответственный со стороны Субъекта ОРЭМ направляет отчеты с ЭЦП для КО.
Наиболее сложный вопрос состоит в том, что делать, если Субъект ОРЭМ выполнил все требования КО, но не согласен с результатом проверки. Внутри своей сети Субъект может делать с данными что угодно уже после окончания дистанционной проверки. Арбитром в такой ситуации может выступить НП «Совет Рынка». Хотя для этой роли ему тоже нужен инструмент внутреннего контроля. Таким инструментом является система Intellinx –уникальное решение для обнаружения и предотвращения злоупотреблений.
Система обеспечит:
• Полное воспроизведение сеансов работы пользователей
• Гибкая и быстрая поисковая система - “как Google”
• Предопределенные правила для распознавания нарушений в порядке работы пользователей в реальном времени
• Динамические профили и рейтинговые модели
• Новые правила могут быть определены и использованы пост-фактум – для расследования событий в прошлом
• Аналитический инструментарий для расследования событий
• Динамические отчеты и графики
• Инструментарий для анализа и минимизации ошибочных результатов
В основе работы системы лежит патентно-защищенная технология прослушивания и анализа сетевых пакетов. Не требует установки каких-либо компонент на клиенте или на сервере, не влияет на производительность серверов или сети. Данные записываются в закодированном и защищенном от изменений формате. Большое количество внедрений, как гарантия надежной и качественной работы.
Имея отчетность, которую подготовит система, специалисты НП «Совет Рынка» смогут однозначно определить проводили ли Проверяющие (представители КО) с данными Субъекта ОРЭ несанкционированные действия или нет, если да, то результаты проверки должны быть аннулированы и назначена новая проверка, если нет, то за Субъектом ОРЭМ всегда остается право идти в суд и там пытаться оспорить результаты проверки.
Новая форма взаимоотношений Субъекта ОРЭМ и КО также потребует нового документа, который бы формально регулировал эти взаимоотношения. Назовем его условно Соглашение о присоединении к системе мониторинга. Соглашение должно содержать:
• Перечень лиц, уполномоченных Субъектом ОРЭМ на взаимодействие с КО по вопросам мониторинга и дистанционных проверок
• Бланки информационного взаимодействия
• Регламент рассмотрения заявок Субъектом ОРЭМ и КО
• Перечень технических и программных средств, используемых Субъектом ОРЭМ и КО
• Информационные шаблоны подтверждений Сторон в процессе взаимодействия
• Условия прекращения работ по Соглашению по инициативе одной из Сторон
В процессе эксплуатации системы мониторинга, будет возникать целый ряд ситуаций, требующих формализации на регламентном уровне. Некоторые из них можно предвидеть уже сейчас, некоторые выявятся только в процессе работы.
В заключении, хочу отметить, что дистанционные проверки и онлайн мониторинг АИИС КУЭ - естественный шаг в развитии коммерческого учета на ОРЭ, но как любой новый шаг, он порождает новую систему взаимодействия КО и Субъектов ОРЭМ. Новая система требует определить технологические, организационные, методические и юридические аспекты.
Данное выступление, не претендуя на полноту, освещает все эти аспекты, а также показывает, что сегодня, у нас достаточно инструментов для организации дистанционных проверок и онлайн мониторинга АИИС КУЭ на ОРЭ. Ориентировочно, около года уйдет на выстраивание системы мониторинга и дистанционных проверок на ОРЭ, затем еще около года будет накапливаться опыт эксплуатации. Ну а в дальнейшем можно предположить развитие системы на новый уровень, например переход на сбор коммерческой информации непосредственно КО, с предоставлением этой информации Субъектам ОРЭМ.
Tags: smart metering, АИИС КУЭ ОРЭ, Информационная безопасность, оптовый рынок
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 0 comments