Тема кибербезопасности для энергетических компаний, в силу совершенно объективных причин, становится всё более актуальной (в тексте статьи будет сделан уклон на специфику энергетических компаний, но все методики и рекомендации практически полностью применимы к любым промышленным системам автоматизации и управления вне зависимости от отрасли). Сегодня процессы производства, передачи и распределения электроэнергии существенно зависят от информационных систем, включая и сети передачи данных. Энергокомпании централизованно осуществляют контроль и управление, что порождает качественно новые угрозы и риски, поскольку совсем недавно эти функции выполнялись локально и децентрализованно. Развитие технологий smart и microgrids и умного учёта ведут к появлению многочисленных новых услуг и сервисов, в том числе и путём вовлечения потребителей, что кардинально меняет архитектуру систем в сторону распределённой автоматизации и меняет принципы управления, доступа и использования информационных систем. Другими словами, хакеры могут ставить под угрозу нормальное функционирование энергокомпаний уже не только путём удалённой атаки на объекты ИТ-инфраструктуры энергокомпаний, но и посредством атаки на (через) потребителей.
В ситуации, когда сокращение операционных расходов и увеличение выручки за счёт предоставления новых сервисов возможно главным образом только благодаря использованию передовых технологий, в том числе и «Интернета вещей», тенденцию к интеграции и увеличению числа связей между решениями и системами уже не остановить! Рост уязвимости подобных систем к кибератакам компенсируется использованием новых технологий и средств защиты. Как и в историческом процессе «соревнования» брони и оружия победителя не будет, на каждом витке технологической спирали будут совершенствоваться способы нападения и изыскиваться адекватные им средства защиты.
С практической точки зрения при планировании технических и организационных мероприятий по обеспечению информационной безопасности возникает оптимизационная задача минимизации затрат при максимальном снижении рисков и недопущении критических. Оговорка про критические риски является важным граничным условием. В бизнесе невозможно компенсировать все риски, такая линия поведения сделает вашу продукцию и услуги неконкурентоспособными, поэтому какие-то из них необходимо осознанно принять. Зачастую допустимо принятие даже части критических рисков. Главное – не допустить катастрофических рисков, при которых возникает угроза потери бизнеса или прямая опасность для жизни людей.