В России нефтегаз всегда был пионером цифровизации и управленческих изменений. Это касается в том числе угроз, которые могут повлиять на производственные процессы, а также общую экономическую и экологическую стабильность всей страны. Об этом шла речь на одной из панельных дискуссий PHDays Fest, где мы побывали.
- Введение
- Импортозамещение и искусственный интеллект: тенденции и события
- Риск как обратная сторона цифровизации
- Ключевая проблема обеспечения безопасности — кадры
- Выводы
Введение
Не нужно напоминать о том, насколько значима нефтяная отрасль для России. Она является одним из основных источников поступлений в бюджет, как за счет продаж на внутреннем рынке, так и от экспорта.
В последнее время эта значимость несколько снижается. Да и в прежние времена на поступления нефтегазовых доходов влияли многие факторы, в том числе никак не связанные, по крайней мере, на первый взгляд, со спросом на топливо или сырье для химической промышленности.
В России нефтегазовая отрасль также стала отражением процессов цифровизации. Именно там многие решения внедрялись в первую очередь, часто задолго до того, как это становилось массовым. Именно там раньше других пришли к внедрению цифровых платформ, которые объединяли в единое целое офисы и производственные площадки.
Также нефтегазовая отрасль раньше остальных начала внедрять технологии продвинутой аналитики. Например, предиктивные технологии для планирования ремонтов оборудования там используются уже около 10 лет.
А сейчас отрасль, как отметил модератор панельной дискуссии «Критическая инфраструктура под защитой: как обеспечить безопасность и технологическую устойчивость в нефтегазовой отрасли?» на форуме Positive Hack Days (рис. 1), управляющий партнер «УльтимаКонсалтинг» Денис Бурак, уже применяет цифровые помощники для управления технологическими процессами на нефтеперерабатывающих заводах.
Ряд компаний внедрили автоматизированных обходчиков на базе летающих или колесных дронов. Также нефтегазовые компании ближе всех подошли к запуску полностью беспилотного автотранспорта. В итоге концепция безлюдного производства в нефтегазовой отрасли готова к практическому внедрению как нигде.
Рисунок 1. Участники панельной дискуссии на PHDays Fest
Однако обратной стороной высокого уровня цифровизации стал рост рисков, связанных с нарушениями кибербезопасности. Причем реализация этих рисков может повлечь не только значительный экономический ущерб вследствие прерывания техпроцессов и выхода из строя оборудования, но и экологический ущерб. Не случайно значительная часть предприятий отрасли отнесены к объектам критической информационной инфраструктуры (КИИ), поэтому для снижения таких рисков нужны системный подход и надежные решения.
Плюс ко всему, отрасль столкнулась с санкционным давлением, причем еще в 2014 году под зарубежные рестрикции попали многие проекты. Поэтому уже давно насущной задачей стало импортозамещение.
Импортозамещение и искусственный интеллект: тенденции и события
Как отметил в своем выступлении заместитель министра энергетики России Эдуард Шереметцев (рис. 2), отрасль действительно относится к сфере КИИ и на нее распространяются требования 166-го указа президента, где установлены сроки перехода на российское ПО. Он уточнил, что эти меры касаются только объектов, отнесенным к значимым, на долю которых приходится лишь небольшая часть всей инфраструктуры.
Однако, как напомнил заместитель министра, переход на российское оборудование и ПО обусловлен далеко не только требованиями регуляторов. Многие компании оказались под санкциями еще в 2014 году, и уже тогда было ясно, что ситуация будет осложняться, и необходимо переходить на отечественные решения, чтобы сохранять работоспособность несмотря ни на что. И в целом импортозамещение с того времени составляет заметное направление в программах цифровой трансформации в компаниях с госучастием.
Российские нефтегазовые компании в 2024 году потратили на закупки ПО около 90 млрд рублей. Доля отечественного в закупках составляет более 90%, причем уже давно. Оставшиеся 10%, по оценке заместителя министра, составляют затраты на продление лицензий тех зарубежных систем, замены для которых пока найти не удалось.
Заметим к слову: на пленарной сессии «Цифровая трансформация промышленности. Взгляд изнутри» конференции ЦИПР-2025 начальник департамента по цифровой трансформации «Газпром нефти» Олег Третьяк рассказал, что в компании рассчитывают полностью заменить зарубежное ПО к 2027 году. Причем «Газпром нефть» позже остальных попала под санкции и начала работу по замене зарубежных систем. Для сравнения, «Россети» планируют завершить замену зарубежного ПО через 7 лет, а РЖД и «Северсталь» — через 5.
По состоянию на конец 2024 года, по оценкам, которые были озвучены на мероприятии компании “Код безопасности”, в среднем доля российского ПО на объектах КИИ составляла между 30 и 40%. По оценке “К2 Кибербезопасности”, 59% российских компаний, относящихся к КИИ, не успевают выполнить требования 166 указа.
Также, как отметил Эдуард Шереметцев, 35 млрд рублей российские нефтяники потратили на закупки оборудования с российской компонентной базой, которое находится в реестре Минпромторга и соответствует всем необходимым критериям для того, чтобы считаться российским. В целом отрасль отдает предпочтение именно реестровому оборудованию, что обусловлено регуляторными требованиями.
В то же время стремиться к полному импортозамещению — бессмысленно и нецелесообразно. Речь идёт о создании не просто импортозамещающих, а импортоопережающих решений, как подчеркнул Эдуард Шереметцев, нужно решать в кооперации со всеми заинтересованными странами и сторонами. Пытаться создавать многие системы в отдельно взятой стране невозможно из-за недостатка материальных и людских ресурсов.
Рисунок 2. Заместитель министра энергетики России Эдуард Шереметцев на PHDays Fest
Эдуард Шереметцев привел статистику Национального центра развития искусственного интеллекта при правительстве Российской Федерации, согласно которому энергетическая отрасль, куда входит и нефтегазовый сектор, занимает третье место по проникновению ИИ. Причем, по его оценке, обойти банковский сектор, который лидирует, практически невозможно.
Однако Денис Бурак (рис. 3) выразил мнение, что догнать телеком, который занимает по уровню внедрения ИИ второе место, нефтегазовая отрасль вполне может. Хотя бы потому, что является активным потребителем соответствующих технологий. К тому же почти все крупные нефтяные компании имеют в своем составе внутренних («каптивных») операторов, которые как минимум не отстают в плане внедрения новых технологий от самых передовых операторов.
Рисунок 3. Управляющий партнер «УльтимаКонсалтинг» Денис Бурак
Всего на нефтегазовый сектор приходится почти двух третей из всех проектов, работа над которыми продолжается. Всего таких проектов в российской энергетике около 300. В основном данные проекты связаны с автоматизацией финансово-хозяйственной деятельности, взаимодействия с покупателями и заказчиками и документооборота.
Что касается нефтегазового сектора, то большой объем проектов приходится на обработку данных сейсморазведки. Это очень трудоемкие процедуры, и их автоматизация дает значительный эффект.
В общей сложности, 58% энергетических компаний по итогам 2024 года использовали ИИ, что в два раза больше по сравнению с 2022 годом. По прогнозам, к концу 2027 года эта доля дорастет до 70%. Эффект при этом оценивают очень высоко.
Риск как обратная сторона цифровизации
Риски для кибербезопасности являются обратной стороной цифровизации. По данным Red Security, количество атак на промышленные компании в России по итогам 2024 года выросло в 2,5 раза в годовом выражении. Из них 64% были совершены на объекты КИИ, а каждый пятый инцидент относился к категории высококритичных.
Тем более, что возможности для стороны нападения, как особо отметил Эдуард Шереметцев, связаны не только с эксплуатацией ошибок, но и знанием различных недокументированных возможностей. И в целом, особенно после известных событий 2022 года, угрозы будут только нарастать.
Однако он напомнил, что многие из норм для защиты технологических систем и сетей, принятые еще очень давно, продолжают действовать. И многих проблем можно было бы избежать, если полностью их выполнять.
Как продолжил исполнительный директор «ТетраСофт» Денис Свечников (рис. 4), и на мировой уровне данная весьма консервативная сфера крайне сильно зарегулирована на уровне всяческого рода стандартов, и любые изменения в этой сфере зачастую оказываются бессмысленными.
Однако применительно к нефтегазовой отрасли, это касается только таких сфер как транспортировка и переработка нефти и газа. Применительно к сегменту добычи ни в мире, ни в России, как подчеркнул Денис Свечников, нет безопасных протоколов передачи, хранения и обработки данных. Есть платформенные решения от мировой «большой четверки», которые разрабатываются уже около 15 лет, но там отсутствуют механизмы безопасности. Так что при желании недоброжелатели могут доставить большие неприятности.
Компания «ТетраСофт» уже ведёт работу по обеспечению безопасности передачи данных при участии регуляторов. Как особо обратил внимание Денис Свечников, тут недостаточно повторять международных опыт, что к тому же сложно в условиях санкций, однако такие решения могут иметь высокий экспортный потенциал. Имеющиеся разработки уже заинтересовали многие нефтедобывающие страны, прежде всего, Ближнего Востока и Африки.
Рисунок 4. Исполнительный директор «ТетраСофт» Денис Свечников
Как отметил руководитель центра информационной безопасности «Татнефти» Вадим Шакиров (рис. 5), компанию с февраля 2022 года действительно стали атаковать намного чаще. По его словам, это делали все кому ни лень. Значительная их часть пришлась на хактивистов, чьи мотивы были политико-идеологическими. Раньше основным мотивом для атак был финансовый.
Вадим Шакиров обратил внимание на то, что цифровизация захватила многие производственные процессы. Результат — любой сбой или инцидент может привести к самым серьёзным последствиям, вплоть до гибели людей. Такой сценарий, как напомнил представитель «Татнефти», заложен в методические рекомендации для категорирования объектов, относящихся к КИИ.
Рисунок 5. Руководитель центра информационной безопасности «Татнефти» Вадим Шакиров
По оценке генерального директора «УльтимаТек» Павла Растопшина (рис. 6), многие проблемы обусловлены тем, что и бизнес, и ИТ-компании, причем как вендоры, так и интеграторы, во главу угла ставят эффект, а не безопасность. Более того, в этой среде есть мнение, что безопасное решение заведомо не позволяет достичь эффективности.
Однако новая реальность, которая наступила в феврале 2022 года, на эту ситуацию очень сильно повлияла, и произошел качественный скачок в сращивании безопасности и цифровизации, в том числе в промышленности. Во многих проектах по внедрению систем автоматизации промышленности ИБ является неотъемлемой частью, тогда как еще 5 лет назад ИБ, промбезопасность и цифровизация были непересекающимися параллельными мирами. И нефтегазовая отрасль существенно опережает другие отрасли по проникновению данной тенденции.
По некоторым параметрам, например уровню проникновения защитных решений для производственных сред или использованию отечественных продуктов, она опережает другие отрасли (металлургию, коксохимию) в 3 раза.
Вызовом, по мнению Павла Растопшина, является то, что во многих проектах капитального строительства, которые сейчас активно идут, подрядчики, часто иностранные, обычно китайские, навязывают заказчикам привычные системы автоматизации, причем, как правило, речь идет обо все тех же системах от западных вендоров. Никакого понимания о КИИ и требованиях для таких объектах у этих подрядчиков также нет.
Такая ситуация грозит в будущем серьезные сложности, тем более что срок амортизации таких объектов может достигать 40 лет, и раньше этого срока вмешаться, скорее всего, не удастся. И только в момент строительства можно и нужно требовать от подрядчиков установки российских систем, как производственных, так и защитных.
Рисунок 6. Генеральный директор «УльтимаТек» Павел Растопшин
Но при этом много вопросов вызывает эффективность мероприятий по внедрению средств защиты, на внедрение, эксплуатацию и поддержку которых компании тратят значительные средства. Эдуард Шереметцев связал эффективность работы средств защиты с тем, насколько подготовлены кадры.
Ключевая проблема обеспечения безопасности — кадры
По оценке, которую дал Эдуард Шереметцев, в российской нефтегазовой отрасли ИБ-специалисты являются или выходцами из ИТ, или из служб общей или экономической безопасности, куда, в свою очередь, они попали из правоохранительных органов. И тем, и других не хватает знаний и навыков работы в ИБ, и никакие курсы эти пробелы восполнить не могут.
Как продолжил Вадим Шакиров, для того чтобы обеспечить безопасность объекта, в том числе производственного, недостаточно просто установить средства защиты. Их надо правильно настроить, а затем обслуживать и вести мониторинг данных. Без всего этого нельзя рассчитывать на то, что система не будет работать на полную мощность.
Также Вадим Шакиров обратил внимание на то, что в любой системе главным слабым звеном являются люди, точнее, обычные пользователи. И любой из них может в один клик разрушить то, что выстраивали команды ИТ и ИБ. Так что далеко не случайно, что сценарии пентестов включают и такой фактор, как возможный подкуп сотрудников, в том числе среди привилегированных пользователей, например администраторов.
Поэтому, как подчеркнул Вадим Шакиров, нужно не только повышать квалификацию сотрудников ИБ-службы, но и регулярно проводить мероприятия по повышению осведомленности пользователей. Причем эти мероприятия должны быть дифференцированными. Если кому-то достаточно базового курса по кибергигиене, то другим требуется полноценное обучение по основам ИБ. Причем это направление очень часто недооценивают, но оно часто является решающим при обеспечении безопасности в компании.
Руководитель департамента энергетической безопасности и инфраструктуры ТЭК в «Российском энергетическом агентстве» Минэнерго России Виолетта Киушкина (рис. 7) назвала по-прежнему актуальной проблему дефицита кадров в защите АСУ ТП. Более того, она сохранится на обозримую перспективу. И в целом отрасли нужны специалисты со знанием специфики производственной среды, которые умеют работать не только с системами предиктивной аналитики, но и с цифровыми двойниками объектов и процессов.
Кроме того, спрос на аналитиков по расследованию инцидентов значительно превышает предложение. Другой потенциально дефицитной позиции эксперт назвала архитекторов по созданию киберустойчивой инфраструктуры, куда безопасность встроена уже изначально. Также в таких системах обновление или замена одного из компонентов не должны приводить к остановке других систем и сервисов.
Она назвала подготовку кадров важной частью долгосрочных инвестиционных программ развития энергетической безопасности. Целью такой программы, по мнению Виолетты Киушкиной, является подготовка специалистов, которые способны быстро адаптироваться к стремительно меняющимся условиям. К преподавательским кадрам требования точно такие же.
По ее словам, для повышения уровня практической кибербезопасности полезно проведение киберучений. И в них должны обязательно участвовать не только ИТ и ИБ-специалисты, но и производственный персонал, а также руководство. Целью должно стать добиться правильного реагирования на инциденты. Как напомнила Виолетта Киушкина, большая часть отказов оборудования связана именно с ошибками персонала. Также киберучения позволяют найти слабые места и уязвимости.
Рисунок 7. Руководитель департамента энергетической безопасности ФГБУ РЭА Виолетта Киушкина
Выводы
Нефтегазовая отрасль серьезно опережает остальные как в области внедрения технологий цифровизации, так и по их защите. При этом многие препятствия, связанные с недооценкой значимости мер защиты, в последние три года начали сглаживаться.
Вместе с тем остаются определенные лакуны, где полноценные защитные решения отсутствуют, в частности, это касается защиты и хранения данных с месторождений. Однако эта ситуация является глобальной и касается не только России.
Наиболее серьезной и при этом недооцененной проблемой являются кадры. Причем это касается как сотрудников ИТ, ИБ и производственных подразделений, так и рядовых пользователей. Серьезным вызовом является дефицит специалистов, обладающих компетенциями в области функционирования и защиты как ИТ, так и производственных систем. А рядовые пользователи часто становятся главным «слабым звеном», и причиной многих инцидентов являются их ошибки.
