Алия Омарова 
В нефтегазовой отрасли ключевой вопрос во время киберинцидента заключается не столько в факте взлома, сколько в том, повлияло ли событие на физические процессы. Как отмечает Амир Самойлов, генеральный директор компании SIGA, именно потеря уверенности в целостности технологического процесса становится главной угрозой для непрерывности операций.
Оперативные решения — продолжать ли транспортировку, снизить поток, изолировать участки или инициировать полную остановку — напрямую зависят от уверенности в корректности показаний давления, расхода и работы систем безопасности. Если эта уверенность утрачена, операторы вынуждены замедлять или останавливать работу до тех пор, пока реальное состояние оборудования не будет проверено физически. В условиях, когда системы управления, такие как SCADA или ПЛК, могут быть скомпрометированы, их данные перестают быть надежным источником, и единственным выходом остается отправка персонала «в поле» для ручной проверки.
Ярким примером этой уязвимости стал инцидент с Colonial Pipeline в мае 2021 года. Атака программы-вымогателя затронула биллинговые системы компании, не оказав подтвержденного влияния на технологию управления трубопроводом. Однако руководство не смогло быстро и с полной уверенностью подтвердить, что физический процесс остался незатронутым. В результате была остановлена работа крупнейшей в США сети трубопроводов для транспортировки нефтепродуктов. Перед возобновлением операций потребовалось физическое подтверждение от персонала на местах, что потоки, давление и параметры безопасности находятся в норме. Эта зависимость от ручной проверки привела к многодневному простою.
Проблема усугубляется структурными изменениями в отрасли. Объекты, ранее работавшие с постоянным присутствием персонала, теперь управляются из централизованных диспетчерских. Полевые сотрудники обслуживают более обширные территории, а компрессорные и насосные станции функционируют в автоматическом режиме. Это означает, что при возникновении киберугрозы проверка реального состояния системы может занять часы вместо минут, увеличивая риски и операционные издержки.
Таким образом, формируется опасный разрыв: между обнаружением кибератаки и подтверждением состояния физического процесса нарастает операционное, коммерческое и репутационное давление. Простой вызван не реальным повреждением, а временем, необходимым для проверки того, что на самом деле происходит с оборудованием. Ручная верификация, оставаясь последним рубежом подтверждения, становится все менее надежным и более медленным инструментом ровно в тот момент, когда требуется максимальная оперативность.
Решением этой проблемы становится мониторинг так называемого «нулевого уровня» (Level 0 по модели Purdue). В отличие от данных SCADA, которые являются обработанным и зависимым от сети представлением процесса, данные нулевого уровня — это необработанные электрические и физические сигналы непосредственно от оборудования: давление, ток, расход, положение клапанов. Эти значения существуют до того, как их интерпретирует программное обеспечение, и не могут быть изменены злоумышленником на уровне логики.
Внедрение такого мониторинга позволяет операторам получить независимый источник правды, основанный на физике, а не на программном коде. Это дает возможность мгновенно проверить, было ли выполнено действие (например, запустился ли насос после команды), выявить расхождения между показаниями на экране и реальным поведением оборудования и быстрее определить, затронула ли атака только сети или уже имеет физические последствия. Главное преимущество — снижение зависимости от отправки людей на объекты для ручной проверки.
Эта потребность находит отражение и в новых регуляторных требованиях. После инцидента с Colonial Pipeline Управление транспортной безопасности США (TSA) обязало операторов внедрять сегментацию сетей и непрерывный мониторинг. В Европе директива NIS2 расширяет обязательства для энергетических компаний, требуя подтверждения готовности к обеспечению непрерывности бизнеса. Общая суть этих требований: операторы должны быть в состоянии доказать, что физический процесс остается в безопасном и известном состоянии во время и после кибератаки. Обеспечить такую гарантию можно только с помощью проверенных, основанных на физике данных.
В конечном счете, в современных реалиях важно не то, была ли взломана сеть, а то, ведет ли себя физический процесс так, как должен. Поскольку структурные изменения в отрасли делают ручную проверку медленной и дорогой, мониторинг на уровне процесса становится не просто технологическим преимуществом, а фундаментальным требованием для обеспечения безопасности, операционной стабильности и соответствия нормативным актам.
