Читаю
и комментирую статью
«Использование
технологии распределенного реестра для обеспечения информационной
безопасности жизненного цикла конфигурации
РЗА»
Начиная читать статью я «натыкаюсь» на
терминологические препятствия. Аннотация статьи начата такой фразой –
«Правильность настроек релейной защиты основа целостности и устойчивой работы
энергосистемы».
Сразу же у меня возник вопрос – что
такое «правильность настроек релейной защиты» и как она влияет на «целостность1
энергосистемы»? Даже после прочтения всей статьи ответа на данный вопрос не нашел.
Из аннотации любой читатель может узнать,
что «жизненный
цикл
управления настройками» является одним из «ключевых бизнес-процессов» и, кроме
того, он уязвим
К различным видам
киберугроз.
Предлагая использовать технологии
распределенного реестра (DLT),
авторы считают необходимым заявить о преимуществах, представляемых блокчейном.
Здесь уместно заметить, что далеко не каждая DLT (distributed ledger2
technology) является блокчейном, поэтому вывод о возможности использования
этого метода для создания распределенной структуры нуждается в дополнительных
доказательствах.
Более того, в аннотации ни слова не
сказано о том, почему использование технологии распределенного реестра DLT снизит
уязвимость к различным видам киберугроз.
Другими словами, аннотация не дала мне,
как читателю краткого, обобщенного, представления о содержании статьи.
Ознакомившись с аннотацией, перехожу к
вводной части статьи. Здесь авторы пишут совсем о другом – сначала о трёх
трендах (3D) трансформации
и развития мировой энергетики, а затем добавляют к ним и четвертый тренд –
демократизацию. После нескольких слов о пятом тренде авторы сочли, что общих
рассуждений достаточно и пора перейти к конкретным примерам в «нашей конкретной
области».
Тем не менее, вопреки заявленному
переходу к конкретным примерам, авторы продолжают рассуждения
о
появлении нового типа активных потребителей, взрывного роста числа
электромобилей (отмечу, что во всей России на 01 января 2019 года зарегистрировано
всего 3,6
тысячи электромобилей), возобновляемых источников электроэнергии и т.п.
предметах.
После всех этих рассуждений авторы опять
вспоминают о «конкретной области» и говорят о необходимости синхронного
внесения изменений в настройки. Но никаких пояснений к этому тезису читатель
статьи не найдет. Авторы продолжают рассуждения о кибератаках за мнимые
«вмешательства», не забывая упрекнуть и устройства РЗА зарубежного производства
в создании рисков несанкционированного вмешательства. Почему-то все считают,
что РЗА отечественного производства не создают таких рисков.
Неправильное употребление термина
«повреждение»3 позволяет авторам не только «усилить» созданную ими
негативную картину «злонамеренного внесения изменений», но и сделать
неожиданный вывод о том, что «традиционные методы защиты совсем скоро станут
нецелесообразными и потеряют свою эффективность».
После таких рассуждений авторы переходят
к разделу «Управление жизненным циклом конфигурации РЗА».
О чём же этот раздел, правильнее
спросить зачем он? Больше половины раздела авторы заняли отсылками
к
публикациям на английском языке, в которых изложены «…исторический контекст,
современные и возможные решения…», «…тематическое исследование…», «…описание
схемы управления потоком работ…» и «…актуальное состояние вопроса…».
Что же такое «жизненный цикл конфигурации»
авторы читателям не сообщают.
В
этом разделе до сведения читателя доводят ценную информацию: «…расчет уставок
передают на аутсорсинг или выполняют самостоятельно…». Более того, читатель сможет
узнает и то, что по мнению авторов является результатами расчета.
После этого мне предлагают обратить
внимание на рисунок 1, на котором, по мнению авторов, показано распределение
обязанностей между Системным администратором и сетевыми компаниями.
Внимательно изучив рисунок, я увидел,
что участников «конфигурирования трансформатора» на самом деле больше. В этом
участвуют ещё две организации – проектная и обслуживающая. Однако о том, почему
в процессе Scope
Work указаны
два участника, в процессах Setting Data Entry или Calculate Setting – три участника, ничего не сказано.
Если на рисунке 1 состав участников указан
на русском языке, то названия процессов и инструментов даны на английском.
Простой пример синонимичности термина ledger показывает, что при переводе
английских терминов читатель может неправильно истолковать идеи авторов.
Например, слова «Setting Data
Entry» дословно можно перевести как «Настройка ввода данных». Термин «настройка» в этом словосочетании
мне кажется ненужным, но рисунок с английскими терминами не позволяет мне
адекватно понять и оценить точку зрения авторов.
Вопреки оптимистическому утверждению
авторов, мне не удалось ничего «хорошо увидеть».
|
Рисунок 1 Процессы и роли на примере
конфигурирования автотрансформатора |
Следующий раздел авторы назвали «Вопросы
информационной безопасности», прочтя который мне удалось узнать следующее:
- риски информационной безопасности
могут быть снижены;
- мишенями для атаки становятся пользователи
(sic!) с ролью администратора;
- особенностью IED устройств является необходимость связи;
- технология обмена информацией
опирается (sic!) на…
и требует наличия;
- инфраструктура СА может быть скомпрометирована4.
Что касается последнего, то тема статьи
заранее предполагает возможность компрометации. Другими словами, ничего
полезного из этого раздела статьи мне «вынести» не удалось.
Следующий
раздел статьи назван «Блокчейн»
и главное в нём то, что его (блокчейна) очевидным преимуществом является
отсутствие «майнинга».
Наконец-то
я «добрался» до раздела, названного авторами «Предлагаемое решение». В начале этого
раздела авторы рекомендуют читателям ряд предложений по применению блокчейна поискать
в статье англоязычных авторов5 и приводят такую иллюстрацию (рисунок
2).
|
Рисунок 2 Жизненный цикл конфигурации РЗА |
Авторы
дополнительно сообщают, что предварительные варианты реализации они изложили в
другой статье, опубликованной в англоязычном издании.
Конечно
же, теперь самое время перейти к разделу «Заключение», в котором сказано, что в
«…статье описывается концепция модификации системы управления конфигурациями…»,
которая обеспечивает «…необходимый уровень контроля над участниками…».
И
не важно, что один рисунок посвящен «…конфигурированию
автотрансформатора…», а второй «…жизненному циклу конфигурации
РЗА…».
Как не важно, что мне не удалось узнать,
что же такое «жизненный цикл конфигурации РЗА», когда он начинается и когда
заканчивается.
Кстати, в одном из нормативных
документов [ГОСТ Р 56136-2014, статья 3.16] можно найти такое определение - «Жизненный
цикл изделия, жизненный цикл (life cycle): Совокупность явлений и процессов,
повторяющаяся с периодичностью, определяемой временем существования типовой
конструкции изделия от ее замысла до утилизации или конкретного экземпляра
изделия от момента завершения его производства до утилизации».
В
другом документе дано несколько отличающееся определение этого же понятия – «Жизненный
цикл изделия (product lifecycle): Совокупность явлений и процессов,
повторяющаяся с периодичностью, определяемой временем существования типовой
конструкции изделия от ее замысла до утилизации или конкретного экземпляра
изделия от момента завершения его производства до утилизации».
___
1 Целостность
– обобщённая характеристика объектов, обладающих сложной внутренней структурой (например,
общество, личность, биологическая популяция, клетка).
2 ledger
– имя существительное – варианты перевода - главная книга, гроссбух, надгробная
плита.
3 Событие,
заключающееся в нарушении исправного состояния объекта при сохранении
работоспособного состояния (См. ГОСТ 27.002-2015, п. 3.4.3)
4 Компрометация (в криптографии)
– факт доступа к защищаемой информации, а также подозрение на него.
5 Gunther
Dütsch, Neon Steinecke, «Use Cases for Blockchain Technology in Energy &
Commodity Trading», Pricewaterhouse Coopers,,July 2017.
Города и страны. Здесь читают мои сайты