У квітні цього року масове відключення електроенергії паралізувало Іспанію, Португалію та частину південного заходу Франції, залишивши десятки мільйонів людей без світла. Міста занурились у темряву, метро зупинилося, рейси скасували, а мобільний зв’язок й інтернет впали. Електропостачання вдалося повністю відновити лише через 23 години. Це стало найсерйознішим блекаутом у Європі за два десятиліття.
Хоча інцидент не був кіберзламом, він знову актуалізував питання щодо вразливості енергетичних систем. Подібно до атаки 2015 року на українську енергомережу, спричиненої російськими хакерами, події в Іспанії показали, наскільки тісно пов’язані між собою європейські енергосистеми: збій в одній країні може миттєво вплинути на сусідні.
Фрагментована безпека і старі системи
«Сьогодні реагування на інциденти у європейському енергосекторі занадто фрагментоване. Кожен оператор має власні протоколи, тому координація під час кризи ускладнена», — пояснив Нік Хаан, головний технологічний директор із партнерств у компанії Claroty, яка спеціалізується на безпеці промислових систем OT.
Експерти зазначають: ІТ-інфраструктура електростанцій — це хаотичне поєднання застарілого обладнання, різних ОС і протоколів, часто без базових засобів захисту.
«У віддалених районах досі використовують dial-up, а системи керування покладаються на протоколи без шифрування чи автентифікації, як DNP3. Такі системи приймають будь-яку команду, їх надзвичайно легко зламати», — зауважив Роман Арутюнов, співзасновник Xage Security (США).
Ситуацію ускладнює vendor lock-in: постачальники жорстко контролюють свої системи, не даючи можливості впроваджувати зовнішні інструменти безпеки. Це робить кіберзахист енергетики дорогим, повільним і фрагментарним.
Україна стане першим полігоном для SOARCA
Європейська комісія фінансує низку проєктів із підвищення стійкості енергомереж. Один із них — eFort, який розробляють фахівці із TNO (Нідерланди) й Технологічного університету Делфта (TU Delft).
Його основний елемент — SOARCA, перша у світі open-source платформа оркестрації безпеки (SOAR), створена для автоматизації реагування на кібер- та фізичні атаки на енергетичні об’єкти. Про це йдеться в матеріалі The Register.
Першою країною, яка протестує SOARCA, стане Україна. Державний оператор Укренерго планує змоделювати роботу інструмента на цифровому двійнику національної енергомережі.
«Ми бачимо значний потенціал цієї системи для підвищення стійкості нашої мережі, але впровадження вимагатиме інвестицій, навчання персоналу та нової інфраструктури», — зазначили в компанії.
SOARCA розгортають на кількох рівнях — від підстанції до хмарного середовища та SOC. Вона дає можливість ізолювати підозрілі процеси, зупиняти lateral movement і запобігати ескалації привілеїв.
Система базується на відкритому стандарті CACAO Playbooks, розробленому організацією OASIS Open, який забезпечує уніфіковані автоматизовані сценарії реагування на загрози.
Європі потрібен спільний стандарт
Експерти наголошують: без уніфікованої мови реагування Європа залишатиметься вразливою.
«Потрібен загальноєвропейський підхід до кризового менеджменту. Маємо запровадити спільні процеси, стандарти комунікації та ескалації, інакше під час атаки знову доведеться імпровізувати», — підкреслив Нік Хаан.
За словами Райндера Волтхайса із TNO, розробники прагнуть створити механізм взаємодії SOC із диспетчерською службою в реальному часі: SOC виявляє атаку — диспетчерська виконує моделювання наслідків і передає результати назад у SOC.
У ЄС готують новий Network Code on Cybersecurity (NCCS), який зобов’яже енергокомпанії проводити регулярні оцінювання кіберризиків. Аналітики очікують, що саме регуляторний тиск змусить галузь пришвидшити цифрову трансформацію.
Брет Джордан, автор специфікацій у сфері кібербезпеки, переконаний, що стандарти CACAO можуть суттєво посилити обмін загрозами між урядами та критичною інфраструктурою:
«Якщо ми зможемо створити справжню колективну оборону, то зможемо діяти синхронно, не даючи супротивнику часу змінювати тактику».
Читайте також на ProIT про нову еру енергетики: як інновації зроблять Україну енергетично невразливою.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
