Безопасность ICS/SCADA: вызовы и технологии защиты
Автор: Петухов Олег Анатольевич, юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС» (legascom.ru, petukhov@legascom.ru )
Введение
Системы управления промышленными процессами (ICS - Industrial Control Systems) и системы диспетчерского управления и сбора данных (SCADA - Supervisory Control and Data Acquisition) - основа функционирования критической инфраструктуры: энергетики, водоснабжения, транспорта и т. д. Рост числа кибератак на эти системы делает вопросы их безопасности приоритетными. В статье рассмотрим вызовы, технологии защиты, правовые аспекты и судебную практику с позиции юриста, специалиста по ИБ и руководителя.
Вызовы безопасности ICS/SCADA
Со стороны специалиста по ИБ:
Основные угрозы:
• устаревшее ПО и отсутствие обновлений;
• использование паролей по умолчанию;
• отсутствие сегментации сети;
• уязвимости протоколов (Modbus, DNP3);
• человеческий фактор (фишинг, социальная инженерия).
Со стороны руководителя:
Ключевые проблемы:
• недостаток бюджета на ИБ;
• нехватка квалифицированных кадров;
• приоритет бесперебойности над безопасностью;
• сложность интеграции новых решений в действующие системы.
Со стороны юриста:
Правовые вызовы:
• несоответствие требованиям ФЗ 187 «О безопасности КИИ»;
• пробелы в регулировании ответственности;
• сложности квалификации инцидентов в рамках УК РФ.
Риски и последствия нарушений
Технические риски:
• остановка производства;
• повреждение оборудования;
• утечка конфиденциальных данных.
Правовые риски:
• административная ответственность по ст. 13.12 КоАП РФ (нарушение требований защиты информации);
• уголовная ответственность по ст. 274.1 УК РФ (неправомерное воздействие на КИИ);
• гражданско правовая ответственность за причинение ущерба контрагентам.
Технологии защиты
Решения со стороны ИБ специалиста:
1. Сегментация сети: изоляция ICS/SCADA от корпоративной сети.
2. Мониторинг аномалий: использование SIEM систем для выявления подозрительной активности.
3. Управление патчами: поэтапное обновление ПО с тестированием на стендах.
4. Многофакторная аутентификация: замена паролей на более надёжные методы.
5. Резервное копирование: регулярное создание и проверка бэкапов конфигураций.
Рекомендации для руководителя:
• выделение бюджета на аудит ИБ раз в год;
• обучение персонала основам кибергигиены;
• заключение договоров с SOC (Security Operations Center) для круглосуточного мониторинга.
Юридические аспекты внедрения:
• соответствие требованиям ФЗ 187 и приказов ФСТЭК;
• оформление документов о категорировании объектов КИИ;
• включение пунктов об ИБ в договоры с подрядчиками.
Законодательство и изменения
Ключевые нормы:
• ФЗ 187 «О безопасности критической информационной инфраструктуры РФ»;
• приказы ФСТЭК № 235, № 239 (требования к защите КИИ);
• ГОСТ Р ИСО/МЭК 27001 (менеджмент ИБ).
Последние изменения (2023–2024):
• расширение перечня объектов КИИ;
• ужесточение требований к отчётности об инцидентах;
• введение штрафов за несвоевременное информирование НКЦКИ.
Ответственность за нарушения
Уголовная:
• ст. 274.1 УК РФ - до 10 лет лишения свободы за атаки на КИИ;
• ст. 272 УК РФ - неправомерный доступ к компьютерной информации.
Административная:
• ч. 6 ст. 13.12 КоАП РФ - штрафы до 1 млн руб. за нарушение требований защиты КИИ.
Гражданско правовая:
• возмещение убытков контрагентам (ст. 15 ГК РФ);
• компенсация морального вреда пострадавшим.
Анализ судебной практики
Дело № 1 (2022, г. Москва):
• Суть: сотрудник предприятия отключил антивирус для ускорения работы SCADA системы, что привело к заражению вирусом шифровальщиком.
• Решение: суд признал вину по ст. 274.1 УК РФ, назначено наказание - 3 года условно.
• Комментарий О. А. Петухова: «Случай демонстрирует важность обучения персонала. Руководитель должен закрепить запрет на отключение средств защиты внутренними актами».
Дело № 2 (2023, г. Санкт Петербург):
• Суть: компания не провела категорирование объекта КИИ, что привело к утечке данных о системе водоснабжения.
• Решение: штраф по ч. 6 ст. 13.12 КоАП РФ - 800 тыс. руб.
• Комментарий О. А. Петухова: «Промедление с выполнением требований ФЗ 187 обходится дороже, чем своевременный аудит».
Примеры из практики О. А. Петухова
Положительные:
• Проект для энергокомпании (2021): внедрение сегментации сети и SIEM системы позволило снизить число инцидентов на 70 %.
• Судебное дело (2022): защита клиента, обвиняемого в нарушении ИБ. Доказано, что инцидент произошёл из за действий подрядчика. Иск отклонён.
Отрицательные:
• Инцидент на заводе (2020): атака через уязвимость Modbus привела к остановке конвейера. Убытки - 5 млн руб. Причина - отсутствие патчей.
• Ошибка подрядчика (2023): при обновлении SCADA нарушены требования ФСТЭК. Компания оштрафована на 500 тыс. руб.
Перспективы развития
Технологические:
• применение ИИ для прогнозирования атак;
• внедрение блокчейн решений для контроля целостности данных;
• развитие отечественных SCADA систем с учётом требований ИБ.
Правовые:
• уточнение норм об ответственности за атаки через IoT устройства;
• создание единого реестра инцидентов КИИ;
• стимулирование компаний к добровольной сертификации ИБ.
Заключение
Безопасность ICS/SCADA требует комплексного подхода: технических решений, соблюдения законодательства и обучения персонала. Руководителям стоит инвестировать в аудит и мониторинг, юристам - отслеживать изменения в регулировании, а специалистам по ИБ - внедрять современные технологии защиты.
О. А. Петухов, руководитель юридической компании «ЛЕГАС»: «Защита критической инфраструктуры - не опция, а обязанность. Промедление с внедрением мер ИБ может обернуться не только убытками, но и уголовной ответственностью. Обращайтесь за консультацией на petukhov@legascom.ru или посетите наш сайт legascom.ru».
