Ситуація в критичній інфраструктурі та критичних індустріях в Україні залишається вкрай напруженою й в умовах подальшої ескалації буде вести до повної зупинки економічної діяльності окремих міст та регіонів, а також до поглиблення кризи в гуманітарній сфері. Асоціація АППАУ мобілізує своїх членів й спільно з партнерами з ЄС шукає опції запобігання та вироблення плану антикризових дій. Водночас, експерти АППАУ свідомі, що найбільш дієві заходи лежать у військово-політичний площині. Таким чином, й за виключенням поставок критичного обладнання, європейська допомога буде більш релевантною для розгляду ініціатив в післявоєнний період, коли відбудеться де-ескалація.

Розробку належних безпекових стратегій підприємств, відповідних проєктних ініціатив слід починати вже зараз, й з урахуванням можливих сценаріїв замороження військових дій, чи їх переводу в латентну фазу. Отже, як виглядають сьогодні безпекові стратегії виробничих підприємств критичної інфраструктури, якими є ключові виклики, та які проєктні ініціативи за допомоги партнерів ЄС могли б покращити цей стан?

Дисклеймер: оцінки та пропозиції в даній публікації стосуються виключно позицій експертної спільноти АППАУ. Вони не є результатом яких небудь досліджень, а також не мають відношення до безпекових аспектів, що є похідними від політичних рішень чи стратегій. Натомість, запропоновані ініціативи мають відношення до секторальних політик та стратегій критичної інфраструктури, а також до крос-секторальних безпекових політик державного рівня, які мають пряме відношення до технічних політик підприємств критичної інфраструктури.

Цілі та принципи безпекових стратегій

Безпекова стратегія підприємств критичної інфраструктури та критичних галузей в своїй основі мала б відповідати наступним цілям та завданням:

• забезпечення безперервної роботи підприємств з метою забезпечення споживачів відповідними товарами та послугами;
• створення умов безпеки для персоналу та мінімізація ризиків, пов’язаних з виходом з ладу обладнанням;
• убезпечення від вторгнення у виробничі активи зловмисників (фізичного або кібератак);
• стійкість енергозабепечення та комунікацій;
• швидкого реагування на аварії, спричинені як поломками обладнання, так і зовнішніми чинниками.

Подібні вимоги є базовими в низці міжнародних технічних стандартів, про які далі, й також вони були заявлені главами держав та урядів країн на Варшавському саміті НАТО у липні 2016 р. де було визначено сім базових вимог до країн – членів НАТО щодо забезпечення національної стійкості.

Реалізація подібної стратегії має базуватись на принципах та підходах:

• ризик-орієнтовані підходи мають бути в основі всіх технічних рішень;
• підприємства мають сучасні системи керування виробничими активами;
• децентралізація та резервування, визначення та керування пріоритетами критичного обладнання є частиною загальної технічної політики;
• ефективне управління запасами та запасними частинами, інтегроване в регламенти технічного обслуговування й виконується на належному рівні;
• визначення і реалізація можливостей та засобів захисту фізичних і кібер активів (захист в глибину); 
• підприємства планують та здійснюють перехід на методи превентивного та предиктивного обслуговування;
• технічна політика містить визначення чіткої схеми “регулюючі вимоги – методи перевірки – організаційна схема (яка визначає розподіл відповідальності, акторів і процеси)”.  

Подібні принципи лежать в основі міжнародного стандарту керування виробничими активами, рис. 1

рис. 1. Фреймворк стандарту ISO 55000

Поточний стан підприємств

Згідно даних експертів Асоціації АППАУ, поточний стан підприємств більшості підприємств, за виключенням атомної енергетики і, частково, деяких підприємств транспорту, і зараз, і в довоєнний період, характеризується наступними особливостями:

1. Низький рівень впровадження сучасних стандартів

Стандарт ISO 55000 (керування виробничими активами) є діючим (доведений до ДСТУ та перекладений), але згідно оцінкам експертів АППАУ практично ніде на підприємствах не діє.

Стандарт ISO 31000 (керування ризиками) прийнято методом підтвердження. Інформації про його широке впровадження на об’єктах критичної інфраструктури немає.

Стандарт IEC 61508 (функційна безпека)  прийнято методом підтвердження, перекладений спеціалістами АППАУ (ТК 185), має впровадження на лічених підприємствах країни, наближених до атомної енергетики.

Стандарт  IEC 61511 (функційна безпека в АСУТП) не діє в Україні, перекладу та виводу на рівень ДСТУ немає, інформація про впровадження відсутня.

Стандарт ISO 27001 (кібербезпека ІТ)  виведений на рівень ДСТУ, перекладений і є частиною операційних політик окремих підприємств.

Стандарт IEC 62443 (кібербезпека ОТ) виведений на рівень ДСТУ методом підтвердження спеціалістами АППАУ (ТК 185), також перекладений українською, але  інформація про його широке впровадження відсутня.

Згідно оцінок експертів АППАУ, загальною характеристикою підприємств є ігнорування стандартів безпеки в силу не обов’язковості в їх застосуванні. Відповідно більшість керівників відділів АСУ недостатньо обізнані з даними стандартами й, відповідно, вони не є керівними в технічних політиках підприємств. Це стосується в тому числі державних підприємств критичної інфраструктури. Впровадження і нагляд за виконанням вимог означених стандартів майже не здійснюється.

Найбільший прогрес в Україні за останні 5 років відбувся у сфері кібербезпеки. Крім прийняття стандарту ISO 27001 варто відмітити створення державного Центру запобігання та реагування на кібер-інциденти (CERT), а також низки інших ініціатив, керованих центральним урядом.

Натомість, ситуація по всім іншим стандартам має ознаки стагнації.

 2. Ризик-орієнтовані підходи в основі всіх технічних рішень

Сучасні ризик-орієнтовані підходи є ключовими при оцінюванні та управлінні безпекою індустріальних систем та критичної інфраструктури. Вони базуються на принципі прийнятного ризику (ALARM). Стандарт IEC 61508 встановлює рівні SIL (Safety Integrity Level) як регулюючі (обов’язкові) для відповідних систем і обладнання. В деяких галузях вони деталізуються з урахуванням специфіки (зокрема, стандарті для автомобільної галузі IEC 26262). Ключовою складовою в таких ризик-орієнтованих підходах є визначення ймовірностей переходу систем в аварійний (небезпечний) стан. Оцінювання ймовірностей здійснюється добре відпрацьованими техніками, які використовують систематизовані дані про безвідмовність компонентів та інші параметри. Тут є суттєва різниця між підприємствами атомної енергетики, де культура безпеки впроваджувалася з самого початку формування галузі та розвитку вітчизняних виробників інформаційно-керуючих систем, та іншими галузями. Ця різниця майже не змінювалася останніми роками.

Стосовно об’єктів критичної інфраструктури слід зазначити, що Держспецзв’язок підготував кілька документів, зокрема, проведення категоріювання таких об’єктів в державі та їх ліцензування, включаючи і об’єкти комунальної інфраструктури, вкрай важливі для країни. Ризик-орієнтований підхід в них також є ключовим, і що, важливо, він базується на доволі чітких і добре верифікувальних критеріях. Тож формуються механізми регулювання і реального впровадження ризик-орієнтованих підходів, які мають стати складовою об’єктивної, зрозумілої і обов’язкової оцінки і забезпечення безпеки.   

3. Стан системи керування виробничими активами

Прогрес в цій сфері за останні роки можна вважати найбільшим. Десятки  підприємств впроваджували системи класу ERP, MES, EAM / APM, АСОДУ, з відповідними функціями та модулями, дотичними до керування виробничими активами. Кращі кейси, демонстровані на конференції АППАУ по керуванню активами в 2021 році включають рішення на великих підприємствах, таких як ДТЕК, Інтерпайп, Метінвест. Натомість, згідно оцінок експертів АППАУ, рівень впровадження подібних систем на середніх підприємства залишається низьким, зокрема, рівень впровадження сучасних систем ЕАМ / АРМ, і які базуються на методах превентивного обслуговування (рівень АРМ 3.0), не перевищує в Україні 10-15%, а кількість підприємств, які впроваджують методи предиктивного обслуговування, становить одиниці (рівень АРМ 4.0), тобто це менше 1%, рис 2.

рис. 2 Еволюція систем керування ефективністю виробничих активів (Asset Performance Management, APM) згідно LNS Research, США.

Детальніше про стан у сфері АРМ читайте в огляді АППАУ від 2021 року тут.

У сфері функційної безпеки також ніяких суттєвих зрушень не відбулося. З 2014 року експерти АППАУ постійно звертають увагу, що стандарти SIL2-SIL3 давно прийняті на рівні національних стандартів навіть в рф, не кажучи вже про європейські країни. Але наші підприємства паливно енергетичного комплексу та нафтогазових об’єктів відмовляються їх використовувати, тим самим значно збільшуючи ймовірність техногенних ризиків.

Втім, якщо великі оператори енергетики та нафтогазу мають хоча б певні внутрішні регламенти, які відповідають ризик-орієнтованим підходам, в комунальній сфері справи виглядають набагато гірше. Наприклад, водоканали українських міст, як правило, не мають методик та ясно визначених регламентів по реагуванню на аварійні ситуації. Відповідно, їхні дії в аварійних ситуаціях радше залежить від рівня персоналу і є далеко не оптимальними з урахуванням складності ситуацій та багатьох чинників впливу.

Враховуючи рівень зношеності виробничих активів в критичній інфраструктурі до 70-90%, галузеві асоціації, провідні експерти Академії наук України та інших інституцій впродовж останніх 10 років неодноразово ставили питання перед державними структурами, а також керівниками підприємств про невідповідність стану підприємств викликам безпеки. Однак дієвої реакції не було.

Варто також відмітити, що в країні немає сучасних Центрів реагування на надзвичайні ситуації (CERT) по окремим важливим секторам критичної інфраструктури, які б містили функціонал як функційної безпеки, так і кібербезпеки.

Головні виклики

Війна дивним чином може прискорити вирішення безпекових підходів в критичній інфраструктурі та в критичних індустріях. В першу чергу, варто відмітити, що в більшості східних та центральних регіонах  велика кількість обладнання в енергомережах буде замінена на нове. Таким чином, оновлення виробничих активів є суттєвим чинником до покращення їх надійності. Але без суттєвих змін в самих підходах, без впровадження сучасних стандартів та зміни бізнес-процесів та регламентів, це не дасть належного ефекту й не сприятиме загальному підвищенню безпекового рівня.

АППАУ оцінює ключові виклики поточного стану як:

1) Повна відсутність, або недостатній рівень належних державних політик та необхідних заходів підвищення безпеки в сфері керування активами виробничими підприємствам критичної інфраструктури. В умовах війни стало зрозуміло, наскільки важливою є стійкість регіональних, комунальних об’єктів критичної інфраструктури, оскільки вона є запорукою інфраструктурної стійкості на державному рівні. Баланс інфраструктурних складових безпеки на рівні підприємств, регіонів і держави має бути визначений і керований.

2) Низький рівень культури та обізнаності більшості підприємств, особливо комунальної сфери про сучасні стандарти, методи та рішення сфері керування виробничими активами.

3) Відсутність сучасних сервісних центрів, центрів навчання та експертизи, спроможних надавати послуги широкому колу підприємств, особливо в комунальній сфері. Практично ніде немає переходу на сервісні моделі.

4) Загальна фрагментація та розриви в стані та темпах діджиталізації й впровадженні сучасних методів між великими підприємствам та МСП, між різними галузями (Атомна vs ЖКГ), між тими, які мають західних власників та вітчизняними, в самих експертних спільнотах, й де домінує конкуренція, що посилюється вендорами.

Пропозиції проєктних ініціатив та заходів 

Для прийняття вказаних викликів «Асоціація підприємств промислової автоматизації України» пропонує наступні ініціативи:

1) Покращення державних політик у сфері безпеки критичної інфраструктури:

1. Необхідне переведення серії стандартів функційної та кібер-безпеки – на рівень обов’язкових;
2. Має відбутись консолідація провідних бізнес-об’єднань та державних структур для прийняття єдиного плану дій з покращення заходів безпеки на 2023 рік;
3. Необхідно визначити та забезпечити впровадження чіткої схеми регулювання безпеки (вимоги – методи перевірки – організаційна схема).

2) Ініціативи з підвищення культури підприємств та вироблення коротко-середньо термінових заходів протидії кризовим явищам;

1. Серія онлайн-вебінарів та воркшопів з обміном кращим досвідом між європейськими та українськими замовниками за темами:
   •  Ризик-орієнтовані методи керування виробництвом;
   •  Кіібер-безпека: кращі практики, стандарти та рішення;
   •  Функційна-безпека: кращі практики, стандарти та рішення;
2. Впровадження сучасних стандартів (ISO 5500, ISO 31000, IEC 61508/511) в нормативну базу;
3. Підготовка мережі аудиторів-консультантів по стандартам безпеки;
4. Широкої просвіти підприємств комунальної сфери про наявні технічні рішення та методи за допомогою цифрових технологій.

3) Ініціативи зі створення елементів безпекової екосистеми:

1. Створення центрів навчання персоналу по сучасним стандартам та методикам обслуговування;
2. Створення галузевих сервісних центрів (першочергово для комунальних підприємств, як найбільш відсталих та таких, що потребують допомоги);
3. Введення необхідних змін в навчальні програми фахівців рівня технічних коледжів та ЗВО з метою кращої підготовки та адаптації спеціалістів під рівень АРМ / ASM 4.0.

 4) Міжнародна співпраця – інтеграція в ЄС:

1. Підготовка та проведення міжнародної конференції у 2023 році з безпекових питань критичної інфраструктури України;
2. Широке включення українських учасників з їх пілотними проєктами та пропозиціями до проєктів програм Horizon Europe / Digital Europe та подібних, з метою посилення інноваційного фокусу та пропозицій для критичної інфраструктури країни;
3. Допомога ключовим операторам, а також комунальним господарствам у переході на сучасні методи та стандарти в обслуговуванні виробничих активів шляхом надання міжнародної технічної допомоги. 

Дані інціативи виносяться на обговорення професійних спільнот. Завдання – сформувати дорожню карту ініціатив, перша презентація яких відбудеться 13 грудня на вебінарі з партнерами ЄС та США.  Коментарі, доповнення та пропозиції надсилайте на info@appau.org.ua

Стаття підготовлена колективом – Юрчак Олександр (ген. директор АППАУ), Харченко В’ячеслав (д.т.н., керівник Центру 4.0 “ХАІ”), Гуменний Андрій (СЕО “Система Автоматизація Сервіс”) й за підтримки Робочої групи “Asset Management” (керівник Щербатенко Олексій, партнер IT-Enterprise).