- Руководителям ИБ
- Управление функцией ИБ
- Обеспечение ИБ
- Соответствие требованиям ИБ
- Руководителям бизнеса
- Трансформация ИБ в бизнес-функцию
- Пресс-центр
- Новости
- Мероприятия
- Пресс-кит
- Контакты
Дмитрий: Если говорить о построении информационной безопасности в ТЭКе и в нефтегазовой отрасли, то, как я уже говорил, сначала в ИТ-инфраструктуре нужно выделить два сегмента корпоративный и технологический. При этом с точки зрения специфики наиболее интересен технологический сегмент. Если в процессах добычи, перевалки, транспортировки и переработки происходят сбои, это может привести к приостановке бизнеса.
Какие можно выделить особенности? Во-первых, объекты в нефтегазовой отрасли протяженные и территориально-распределенные. Трубопроводные системы наших нефтегазовых компаний пронизывают территорию страны вдоль и поперек — с востока на запад, с севера на юг. Если мы говорим об объектах, связанных с добычей нефти, например, разработках месторождений, то и они занимают довольно большие площади, и к тому же чаще всего расположены в труднодоступных районах Сибири и Дальнего Востока. Понятно, что есть определенные сложности с привлечением квалифицированного персонала для выполнения на таких объектах работ даже не по обеспечению информационной безопасности, а по обслуживанию систем автоматизации технологических процессов. И это является одной из особенностей компаний, работающих в нефтегазовом секторе.
Вот почему системы автоматизации, АСУ ТП, в нефтегазовой отрасли создавались с большим запасом надежности и имеют более длинный жизненный цикл. Он, в среднем, может составлять 25-30 лет. На ряде объектов еще год назад можно было увидеть работающие системы, введенные в эксплуатацию в начале 2000-х. С одной стороны, это рудименты, с другой — надо признать, что от угроз информационной безопасности они больше защищены, чем современные системы, поскольку реализованы на электромеханических компонентах.
Так что на сегодняшний день на нефтегазовых объектах можно встретить схожие по функциональности системы автоматизации, которые были внедрены в прошлом году и двадцать с лишним лет назад. А поскольку объектов у нефтегазовых компаний много, на них собрался довольно большой зоопарк автоматизированных систем, построенных на базе технологий и решений разных поколений от множества вендоров программного и аппаратного обеспечения. И эту особенность тоже нужно учитывать при реализации функции ИБ в технологическом сегменте нефтегазовых компаний.
Это, наверное, ключевые факторы, которые отличают нефтегаз. Уверен, что есть и другие отрасли, где они наблюдаются. Но именно такова специфика, определяющая построение системы обеспечения информационной безопасности в нефтегазе и в ТЭКе.
Как по-вашему, отраслевая принадлежность компании или предприятия определяет то, как должна строиться ее система обеспечения ИБ?
Анастасия: Я убеждена, что да. Исходя из здравого смысла, понимаешь: не может быть, чтобы во всех индустриях информационная безопасность обеспечивалась одинаково. Но слушая тебя, понимаю, что в промышленности, в энергетике, в нефтегазе подходы к обеспечению информационной безопасности, возможно, не различаются. Во всех этих отраслях есть корпоративные системы, есть промышленные, включая АСУ ТП.
Но есть финансовая отрасль, здравоохранение, наука, образование, где присутствуют и субъекты, и объекты критической информационной инфраструктуры. И мне кажется, что в этих отраслях информационная безопасность обеспечивается совершенно по-разному.
Тимофей: Я тоже не понимаю, как можно обойтись без учета специфики. Есть определенные нормативные требования к кредитно-финансовым организациям, есть регуляторика в здравоохранении. Виды уязвимостей, точек, в которые может прилетать от злоумышленника, у банков и больниц разные. Другой вопрос, а какова доля такой специфики в спектре потенциальных угроз и рисков?
Дмитрий: Так вот мой вопрос и был связан с тем, насколько специфика отрасли требует изменения стандартных подходов при построении системы обеспечения. В ТЭКе, в нефтегазовой отрасли, электроэнергетике или металлургии в производственных компаниях технологические процессы отличаются. К примеру, у энергетиков очень высока скорость изменения в физической среде. Металлурги очень чувствительны к задержкам. Разгерметизация трубопровода у нефтяников грозит существенным ущербом для окружающей среды.
Но если исходить из того, что ключевое звено безопасности — это человек и что информационную безопасность обеспечивают люди, то вопросы отраслевой специфики отходят на второй план.
Анастасия: Не только специфика технологических процессов в отрасли накладывает отпечаток на подходы к обеспечению информационной безопасности, но и уровень цифровой зрелости. Как обстоят дела с цифровой зрелостью в нефтегазе? Сейчас можно найти много красивых историй о применении технологий искусственного интеллекта, машинного обучения, роботизации бизнес-процессов, о создании цифровых двойников, к примеру, месторождений, 3d-моделировании. Насколько широко эта практика получила распространение в нефтегазовой отрасли?
Д.Ли: Для меня цифровизация стирает функциональные границы между подразделениями, которые вовлечены в бизнес, и обеспечением информационной безопасности. Как результат, служба ИБ становится бизнес-подразделением, которое наравне с остальными участвует в выстраивании сквозных процессов.
В моем понимании цифровизация — это индустрия 4.0. А она предполагает, во-первых, переход от локальных систем автоматизации на одном объекте к единой распределенной системе, которая управляет группой объектов и делает это в автоматическом режиме. Второй ключевой признак цифровизации — это отсутствие человека в этом процессе. А все остальное, будь то роботы, искусственный интеллект и т. д. и т. п. просто инструменты для достижения этого целевого состояния.
Анастасия: Целевое состояние заключается в том, чтобы максимально исключить человека из процесса?
Дмитрий: Да. Человек в данном случае выступает в роли творца, создателя — того, кто определяет алгоритмы, по которым вся эта экосистема в автономном режиме функционирует.
Анастасия: А на самом деле сегодня как?
Дмитрий: На мой взгляд, в настоящее время индустрии 4.0 в нашем ТЭКе, в том числе и в нефтегазе, нет. Есть отдельные элементы. Алгоритмы машинного обучения для реализации задач предиктивной аналитики используются не повсеместно и в большинстве случаев либо лабораториях, либо в пилотных проектах. IoT-устройства тоже мало, где в нефтегазе применяются. У меня, кстати, нет информации, что кто-то в промышленном сегменте их широко использовал. А вот создавать цифровые двойники объектов нефтяные компании пытаются.
Анастасия: Ты имеешь в виду цифровые двойники месторождений?
Дмитрий: Не обязательно. Мне известно о работах, связанных с созданием цифровых двойников электрических подстанций. Но пока все эти решения не находится на боевом дежурстве. И это, на мой взгляд, связано с тем, что отрасли ТЭК консервативны, поскольку цена ошибки из-за внедрения непроверенных решений в технологический процесс очень высока.
Анастасия: Тимофей, а ты что думаешь о внедрении технологий машинного обучения и искусственного интеллекта в промышленном сегменте? Насколько я понимаю, для обучения таких систем постоянно нужны огромные массивы данных. Можно ли организовать их безопасное хранение в каком-то закрытом контуре промышленного сегмента для этих целей? И в целом, стоит ли форсировать внедрение и использование этих технологий?
Тимофей: Ты знаешь, мне кажется, что это момент, когда надо пойти от цели. Какая у ТЭКа цель? Обеспечить население, производства, социальные учреждения теплом и электроэнергией. И если в результате внедрения каких-то инновационных технологий эта цель не достигается, то их ценность будет поставлена под сомнение. Словом, ТЭК — это настолько критическая для людей сфера, что нужно быть предельно аккуратным в части ее технологического переоснащения. Давайте сделаем песочницу и в ней годик-другой все погоняем, а потом постепенно будем внедрять.
Анастасия: А между тем, сейчас много говорят о том, что запасы полезных ископаемых, прежде всего, нефти и газа, с каждым годом становятся все более труднодоступными и в России, и в мире. Есть прогнозы, согласно которым большая часть запасов, которые будут извлекаться в ближайшие годы, будут именно труднодоступными и трудноизвлекаемыми. И у меня сложилось ощущение, что без новых технологий, в том числе 3D-моделирования с применением искусственного интеллекта для умного анализа пластов, сделать это будет просто невозможно, или очень долго и непомерно дорого.
Тимофей: А внедрение этих технологий и не идет в разрез с целью.
Дмитрий: Я думаю, что если внедрение чего-то идет в разрез с целями, то этим вообще не надо заниматься. Вопрос в том, насколько быстро мы сможем внедрить в производство и поставить на боевое дежурство новые технологии, которые будут способствовать оптимизации и повышению эффективности. Я за здравый консерватизм. Считаю, что прежде чем ставить нововведения в режим боевого дежурства на критичных направлениях, их нужно обкатать.
Анастасия: Все-таки наша задача была понять, отличается ли ТЭК с точки зрения построения системы информационной безопасности от каких-то других отраслей. И по большому счету, мы пришли к выводу, что от индустрий, где есть промышленный сегмент и АСУ ТП, а значит, и задачи по обеспечению их информационной безопасности, не отличается.
Но важно понимать, что на особенности в построении систем информационной безопасности влияет еще и уровень цифровой зрелости. И в этом смысле нефтегаз довольно консервативная отрасль, и потому новые технологии не получают быстрого и широкого распространения.
Тем не менее, я видела результаты анализа мирового рынка консалтинговой компанией Deloitte, согласно которым нефтегазовая отрасль имеет свой цифровой облик и занимает в мире 14-е место из 18 отраслей. Так что у нефтегаза в области цифровизации высокий потенциал, а у тех, кто занимается его информационной безопасностью, много работы.
ваша подписка
оформлена. Назад
к нам. В ближайшее время
мы с вами свяжемся. Назад
Мы будем оповещать вас
о встречах дискуссионного клуба. Назад
на дегустационную
консультацию