Вопрос обеспечения информационной безопасности российских энергообъектов в этом году стал особенно актуальным как на фоне геополитики, так и в условиях возрастающего риска кибератак на промышленные предприятия. Минэнерго начало разрабатывать меры по повышению устойчивости энергосистемы России к внешним и внутренним угрозам, в частности, в сфере управления критически важной инфраструктурой — турбинами для теплогенерации. Масло в огонь подлила и ситуация вокруг Siemens. Какие новые требования будут предъявляться производителям турбин для работы в РФ, согласны ли компании передать коды управления к своему оборудованию, о причинах последних аварий на ГЭС, подготовке к отопительному сезону и о судьбе ТЭС в Крыму, рассказал в интервью РИА Новости замглавы Минэнерго РФ Андрей Черезов. Беседовала Виктория Боина.
— В начале июля вы заявили, что министерство предлагает ввести требования для работы в стране газовых турбин иностранного производства и запретить передавать необработанные первичные данные с российских электростанций за рубеж. Эта идея мотивировалась "недоказанными догадками" о возможном управлении энергообъектами из-за рубежа. Подтвердились ли эти опасения?
У кого-то может возникнуть идея как можно больше навредить в части экономической составляющей, социально составляющей и так далее. В документе мы прямые запреты на передачу данных не устанавливаем, мы будем предъявлять и предъявляем то, что прописано в проекте — конкретные требования к информационной безопасности системы удаленного доступа, а именно мониторинг, диагностика технического состояния основного оборудования электростанции, которые, на наш взгляд, и позволяют обеспечить безопасность объектов электроэнергетики.
— Какие технические и юридические требования будут предъявляться производителям? Разработаны ли конкретные документы по данной теме?
— Минэнерго России в настоящее время подготовлен документ — это проект нормативного правового акта "Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории России систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования".
Этот документ представляет собой конкретный набор правил по предотвращению внешних и внутренних угроз информационной безопасности. В рамках этого акта мы также подготовили методические указания по определению модели угроз для практического применения владельцами компаний энергетики энергетического оборудования, которые позволяют своевременно определять и предотвращать существующие и возникающие угрозы информационной безопасности на объектах электроэнергетики.
Если говорить о производителях энергетического оборудования, то им совместно с разработчиками программного обеспечения необходимо будет привести в соответствие с требованиями нормативного правового акта используемое программное обеспечение, а также связанные с его использованием основные требования.
— В чем будут заключаться эти требования?
— Если говорить техническим языком, мы должны четко понимать коды верхнего, нижнего и среднего уровней. И в рамках этой работы, если все коды открыты и мы понимаем, как это работает и на турбине, и на контроле, — вопросов нет.
То есть если они пришли, сертифицировались, раскрыли коды управления, то к компаниям вопросов нет, она может работать, получать информацию. Эти же требования будут отнесены параллельно и к российским компаниям. Это затронет всех. То есть это не требование только к иностранному оборудованию, сертифицироваться должны будут все. Поэтому если иностранная компания сейчас будет говорить, что кто-то ее опять ограничит в каких-то правах, этого точно нет, все производители будут тоже находиться в равных условиях. Это совместная работа.
Там нет никаких больших затрат, это тот же программный комплекс, те же наработки, только нужно раскрыть определенные вещи, которые каждая компания имеет в части закрытых кодов на управление.
— Ранее вы говорили о намерении обязать производителей создавать data-центры в России. Это должно быть реализовано полностью за счет зарубежных производителей турбин? Будет ли предоставляться какая-либо поддержка со стороны правительства?
— Data-центры создавать не обязательно. Главное, чтобы мы четко понимали, как работает удаленный доступ.
— Обсуждали ли вы новые требования с иностранными производителями турбин? Не будет ли эта идея воспринята как фактор ухудшения инвестклимата в России?
— Да, этот вопрос обсуждался. Прошло общественное обсуждение нормативного правового акта. Иностранные компании очень активно участвовали в этом процессе. Мы учли порядка 70% всех их требований. Возникали вопросы, например, на что это повлияет, на инвестиционный климат и тому подобное. Но как оно может повлиять, если мы просим просто раскрыть коды? Я повторю еще раз, 70% предложений были учтены. Общественное обсуждение прошло очень полезно, было множество материалов, которые нам представили компании, и мы очень много почерпнули из этого. Самыми активными участниками (в рамках обсуждения — ред.) были Siemens, были также предложения от Ассоциации европейского бизнеса и американской компании General Electric. Они очень активно нам давали информацию в рамках подготовки документа.
— В какие сроки предполагается принятие документа, вводящего новые требования? В какие сроки должны будут производители турбин выполнить новые требования?
— Мы планируем закончить проект до конца 2017 года. У производителей турбин нет ограничений по срокам выполнения данных требований. А на сроки проектов это вообще никак влиять не будет. Очень много, конечно, приходится общаться и с Советом рынка, и Советом производителей. Многие говорят, что есть риски, что в документе будет прописано что-то такое, что принесет, скажем так, дополнительные затраты для компаний.
Мы сами в этом не заинтересованы, мы, наоборот, ищем те методы и методики, по которым можно с меньшими финансовыми затратами решить эти вопросы. Поэтому в этом документе мы постарались минимизировать последующие затраты компаний.
— Насколько масштабной будет работа по передаче данных?
— Для наших разработчиков это масштабная работа в части разработки программного обеспечения в рамках применения данного документа. И поэтому здесь пусть работают все в равных условиях. Смотрите, у нас системы безопасности существуют, например, в атомной отрасли, правильно? Там же без определенной сертификации и штампа "допущено" для работ на АЭС ничего не поставишь. А почему мы считаем, что тепловая энергетика чем-то отличается? У нас вся экономика работает на обычных станциях, так давайте как-то переходить на единые требования. Тем более информационная безопасность в настоящее время на пике.
— Можете сказать, сколько у нас турбин иностранного производства?
— Точное количество не скажу. Здесь нужно понимать, что у нас турбины по мощности делятся, но от общего количества в сегменте, например, большой мощности таких производителей, как Siemens, Alstom, GE, это всего 5%, то есть единицы. Турбин не много, где-то две, где-то, может, каждая одного производителя, где-то, может, чуть больше, но это небольшое количество.
— Если возникло решение ввести такие новые требования для работы в стране газовых турбин, были уже какие-то прецеденты?
— Прецеденты существуют всегда. Например, сейчас мы разбираемся с аварией в Сибири. Сейчас там работает комиссия Ростехнадзора, мы, как члены комиссии, активно участвуем в работе по выяснению причин. Будут выданы предписания субъекту энергетики. Комиссия была создана сразу после аварии. Там надо разбираться серьезно, потому что два элемента сработали неправильно — это противоаварийная автоматика на Братской ГЭС и противоаварийный комплекс, который установлен на подстанции "Озерная" Иркутской сетевой компании. По остальным устройствам, как мне докладывают промежуточно, вопросов не было, все работало в штатном режиме. Работа комиссии продлена еще на сорок дней в целях более точного определения причины возникновения аварии. Правила допускают продление сроков работы комиссии.
— В ситуации с аварией поднимался вопрос по работе персонала. Какие меры принимаются ведомством в данном случае? Речь о подготовке кадров?
— Да, именно подготовка. Увольнение — это не решение вопроса. Можно уволить любого менеджера, а вот специалиста — другая проблема. Все специалисты учатся на определенных ошибках. Здесь нужно прорабатывать аварийные ситуации и проводить противоаварийные тренировки с персоналом, обучать его действовать в аналогичных ситуациях. Я всегда заострял внимание субъектов энергетики именно на этом. А уволить? Уволишь, и придет вообще неподготовленный, и что дальше? Еще больше сил и средств на него надо потратить, чтобы подготовить.
По "Русгидро" тоже ситуация сейчас, я считаю, поднялась очень здорово. Они тоже создали центры, они работают. Там ведут подготовку персонала.
А по компаниям тепловой генерации пробел. Поэтому у меня пока рисковая зона в части персонала это, конечно, тепловые станции. Ведомство как раз готовит обновление по правилам работы с персоналом. Это серьезный документ. Там как раз вопросы подготовки кадров. Это будет один из вопросов, который мы пропишем очень детально. Потому что за подготовку кадров отвечает руководитель компании.
— В 2017 году Минэнерго внедрит новую систему оценки готовности энергокомпаний к отопительному сезону. Что министерство ждет от ее реализации? В чем главные отличия новой системы от прежней? Индексы готовности к зиме по новой системе будут оцениваться исходя из данных, предоставляемых самими компаниями?
— Действительно, мы уже разработали методику по оценке готовности к ОЗП. Работа шла очень долго, потому что там очень много параметров. Этот процесс очень сложный, и его требуется очень долго настраивать. Подготовка к ОЗП — вопрос даже еще более сложный, чем тот, который решался раньше, потому что там решался чисто финансовый вопрос: вносить это в реконструкцию — не вносить, ремонтировать — не ремонтировать, в каком объеме ремонтировать. Здесь вопрос более глубокий, потому что здесь оценивается в полном объеме готовность объекта к прохождению осеннего и зимнего периода, есть ли риски для энергосистемы, для оборудования и так далее.
Поэтому в этом году принято решение, что параллельно пойдут два способа проверки. На основе этого мы сможем понять, где у нас имеются расхождения с реальной проверкой, то есть так называемый человеческий фактор, и то, что мы провели проверку индексами.
— Нет ли риска, что компании будут замалчивать информацию?
— Даже если комиссия Минэнерго приедет на проверку в составе десяти человек, то и в этом случае компании могут что-то умолчать. Не может человек физически проверить все в рамках комиссии, например топливоподачу, а информацию проверить можно. Но это уже уголовная или административная ответственность тех руководителей, которые будут предоставлять недостоверную информацию. Мы же не ради контроля это все делаем, мы понимаем, что в энергетике и в субъектах энергетики есть руководители, которые отвечают по закону. Зачем нам тратить огромное количество средств, ездить к большому количеству людей, проверять это все. Опять же человеческий фактор, вы же понимаете.
У компаний-штрафников растет аварийность. Мы анализируем эту аварийность. После этого вызываем генерального директора, главного инженера, начинают докладывать, что сделано, какие мероприятия, что они включают в инвестпрограмму. У нас проходит двойной контроль аварийности. Мы собираем данные, плюс анализируется информация программного комплекса, который ведет компания "Системный оператор". Мы всегда на разногласиях этих двух информационных полей можем оценить, где у нас нестыковка.
Первые два года такой работы с компаниями проходили достаточно тяжело, потому что мы очень активно их начали контролировать. Но зато сейчас мы тепловую генерацию подтянули, и за эти три-четыре года мы снизили аварийность довольно существенно. И каждый год у нас идет пока со снижением. Сейчас мы доходим уже до того минимального объема аварийности, который устранить можно, но уже с большими финансовыми затратами.
Насколько это целесообразно, должны решать руководители этих компаний. Но недостатки есть, мы стараемся решать это каждый год. Я просто хочу сказать, что в операционной работе это процесс постоянный. Если брать чисто операционную работу, все меняется, люди другие приходят, менталитет другой, образование другое, источники финансирования меняются по разным причинам — экономическим, социальным.
— Компания Siemens ранее заявила о принятии мер, чтобы не допустить установку своих турбин в Крыму. Есть ли опасения, что запуск электростанций в Крыму перенесется? На какой срок?
— Срок установлен. Это первый квартал 2018 года. Ничего не меняется. Оборудование, которое установлено (в Крыму — ред.), произведено в Российской Федерации. Наша основная задача, чтобы в первом квартале 2018 года станции начали вырабатывать генерацию. Другого плана нет. Крым — российская территория, и нам нужно ее обезопасить.
