Информационная безопасность
услуги полного цикла
по всей территории России

показать меню сайта

Московская область,
г. Фрязино, ул. Комсомольская, 17Б

Звоните, ежедневно 09:00-18:00

8 800 333 44 77
Главная
Полезные статьи
Критическая Информационная Инфраструктура (КИИ)

Котельная, которую владелец считал просто трубой

Пока батареи теплые, котельная кажется обычной трубой с насосами. Но если доступы, пароли и автоматика живут у подрядчика, владелец может узнать о КИИ только после сбоя, жалоб и вопросов регуляторов.

Котельная, которую владелец считал просто трубой

Один микрорайон в Подмосковье. Дома, дворы, парковка, управляющая компания, чат жильцов, жалобы на снег, мусор и батареи. На краю территории стоит котельная. С виду ничего особенного: кирпичное здание, труба, насосы, шкаф автоматики, диспетчерский экран, пара датчиков и подрядчик, который давно все обслуживает.

Для владельца это была обычная хозяйственная история. Котельная греет воду, батареи теплые, жители не шумят, счета оплачиваются, аварийных звонков ночью нет. Значит, все нормально. В голове объект лежал в папке “трубы, железо, эксплуатация”, а не в папке “критичная инфраструктура, риски, ответственность”.

Проблема начинается не тогда, когда все уже сломалось. Она начинается раньше. В тот момент, когда важная система годами работает на привычке, доверии и фразе “у нас всегда так было”.

Когда обычное хозяйство перестает быть обычным

Собственник видит здание, трубу, насосы и расходы на обслуживание. Все понятно, все приземленно, никакой большой кибербезопасности. Но стоит посмотреть внимательнее, и обычная котельная начинает выглядеть иначе.

Там есть автоматика. Есть диспетчеризация. Есть удаленный доступ. Есть настройки контроллеров. Есть учетные записи. Есть пароли. Есть резервные копии. Есть связь с внешним подрядчиком. Есть процесс, от которого зависит тепло в домах.

И вот тут спокойная картинка ломается. Потому что это уже не просто помещение с железом. Это система, остановка которой может быстро превратить обычный зимний день в очередь жалоб, аварийных звонков, претензий и очень неприятных вопросов.

Почему владелец не замечает КИИ

Проблема в том, что Критическая Информационная Инфраструктура (КИИ) редко выглядит как КИИ. Она не всегда стоит за забором с суровой охраной, табличками и красной кнопкой под стеклом. Иногда она выглядит как скучная котельная, старый шкаф автоматики и подрядчик, который “сейчас удаленно зайдет и посмотрит”.

Владелец может годами воспринимать объект как коммунальную обязанность. Есть смета, есть обслуживание, есть аварийный телефон, есть человек, который разбирается. С точки зрения бизнеса все выглядит управляемо.

Но управляемо - это не когда “есть кому позвонить”. Управляемо - это когда компания понимает, какие системы важны, кто имеет доступ, где лежат настройки, кто отвечает за резерв, что будет при отказе и кто сможет восстановить работу без гадания по переписке.

Где начинается зависимость от подрядчика

Самая частая ловушка выглядит почти безобидно. Пароли у подрядчика. Схемы у подрядчика. Настройки у подрядчика. Резервные копии где-то у подрядчика. Удаленный доступ включается, когда нужно срочно посмотреть. Кто заходил, когда заходил, с какого устройства и что менял - вопрос интересный, но обычно он появляется уже после проблемы.

На словах это удобно. На практике один внешний человек может стать живым сейфом, живой инструкцией, живым архивом и живым планом аварийного восстановления. Пока отношения хорошие, все улыбаются. Но конфликт, болезнь, увольнение, потерянный ноутбук или утекший пароль быстро показывают, где был сервис, а где уже началась зависимость.

В такой схеме владелец вроде бы платит за обслуживание. Но фактически часть контроля уже уехала наружу. И чем дольше это не замечать, тем больнее потом возвращать управление обратно.

Почему хакеру все равно, как вы это называете

Самое неприятное, что злоумышленнику не нужно знать слово КИИ. Ему не нужна комиссия, приказ и папка с документами. Он смотрит проще: есть ли удаленный доступ, есть ли слабый контроль, есть ли внешний специалист, есть ли последствия, если объект остановить.

Пока владелец думает про трубу и платежи, другой человек может видеть точку давления. Если через одну систему можно создать боль всему микрорайону, эта система становится интересной не только инженеру.

И здесь уже неважно, насколько красиво объект выглядит в документах. Важно другое: можно ли к нему подключиться, можно ли поменять настройки, можно ли удалить следы, можно ли заблокировать доступ и можно ли создать ситуацию, после которой все начнут бегать и искать “того самого человека, который все знал”.

Фраза “оно же работало” не спасает

Фраза “оно же работало” в такой ситуации не спасает. Работало - не значит управлялось. Работало - не значит контролировалось. Работало - не значит было защищено. Иногда “работало” означает только то, что проблема еще не выбрала удобный день, чтобы выйти на сцену.

После сбоя язык резко меняется. Уже никто не говорит про удобство и хорошего подрядчика. Начинаются другие вопросы: почему не проверяли доступы, почему не было понятного перечня систем, почему резерв оказался не резервом, почему журналы никто не смотрел, почему владелец узнал о зависимости последним.

И самое обидное - многие ответы были видны заранее. Просто пока батареи теплые, бизнес редко хочет смотреть туда, где скучно, технически и “вроде бы все нормально”.

Что должен сделать нормальный собственник

Нормальная позиция собственника начинается не с паники. Не надо превращать котельную в секретный бункер и запрещать все провода. Нужно спокойно понять, какие системы реально участвуют в подаче тепла, кто к ним подключается, где лежат пароли, кто хранит схемы, где резерв, кто отвечает за автоматику и что будет, если подрядчик завтра исчезнет из чата.

После этого начинается скучная, но взрослая работа. Личные учетные записи вместо общих. Доступ только под задачу. Права не “на всякий случай”, а минимально необходимые. Пароли, схемы и резервные копии внутри компании. Действия в важных системах фиксируются. Удаленный доступ ограничен и контролируется. Ответственные назначены не “все знают”, а нормально и документально.

Это не про паранойю. Это про то, чтобы владелец снова стал владельцем не только здания и трубы, но и управления объектом.

Где появляется ФСТЭК и почему это уже не шутка

Отдельно нужно разобраться с КИИ. Владелец может считать, что у него “не завод и не банк”, но если система влияет на теплоснабжение микрорайона, вопрос уже не в самоуспокоении. Такой объект нужно выявить, разобрать по процессам, оценить последствия остановки и определить, есть ли основания для категорирования.

ФСТЭК в такой истории появляется не как страшилка, а как регуляторная реальность. Если объект должен был быть выявлен, если по нему должны были пройти процедуры, если требования по безопасности должны были выполняться, а собственник годами жил в режиме “у подрядчика все есть”, разговор может быстро выйти за рамки бытовой аварии.

Финал обычно неприятный. Сначала сбой или инцидент. Потом вопросы к доступам, документам, категорированию, ответственным, журналам, резервам и подрядчикам. Потом предписания, административные дела, штрафы для должностных лиц и организации, репутационный пожар и попытка объяснить, почему важный объект годами управлялся как подсобка с роутером.

Главный вывод для владельца

Если владелец не знает, есть ли у него КИИ, это не значит, что ее нет. Это значит, что он пока не смотрел на свои объекты под правильным углом.

Самая опасная котельная - не та, у которой большая труба. А та, которую до первого серьезного сбоя считали просто трубой, насосами и хорошим подрядчиком с ноутбуком.

Подрядчик пропал, а пароль вместе с ним

История из Центрального федерального округа

Котельная работала спокойно несколько лет. Подрядчик был “свой”, давно обслуживал автоматику, знал шкафы, помнил старые настройки и умел оживлять систему, когда остальные только смотрели на экран и нервно пили чай.

Все держалось на простой логике: если что-то случится, звоним ему.

И однажды случилось.

Нужно было быстро восстановить старые настройки автоматики. Не авария века, не ледниковый период, просто сбой, который надо было быстро откатить. Но старая конфигурация оказалась у подрядчика. Пароли - у него. Схемы - у него. Резервная копия - “он точно делал”.

Подрядчик не отвечал.

Сначала все раздражались. Потом начали искать. Потом стало тихо, потому что выяснилось: котельная вроде принадлежит владельцу, а ключевые знания по ней живут в голове и ноутбуке внешнего специалиста.

Через несколько часов проблема вышла за пределы технической суеты. Температура в домах начала проседать, жильцы оживились в чате, управляющая компания получила шквал звонков. Один активный житель не стал ждать и написал в электронную приемную губернатора.

Дальше история перестала быть внутренней.

Обращение ушло по цепочке. Прокуратура поставила вопрос на контроль. В адрес владельца и эксплуатирующей организации прилетели запросы: что случилось, кто отвечает, какие меры приняты, почему объект зависит от одного подрядчика, где документы, где резерв, кто имеет доступ.

И тут всплыла вторая история, уже не про температуру.

Ответственные назначены формально. Доступы не пересматривались. Пароли внутри компании не хранятся. Резервные копии не проверялись. Журналы событий есть, но никто не может быстро показать, кто и что менял. А вопрос Критической Информационной Инфраструктуры до этого лежал где-то в зоне “потом разберемся”.

Потом было предписание устранить нарушения, внеплановая проверка и очень неприятный разговор с руководством. Владелец впервые понял, что проблема не в том, что подрядчик не взял трубку. Проблема в том, что без этого звонка объект становился почти неуправляемым.

Мораль: хороший подрядчик - это помощь, а не единственное место хранения мозгов объекта. Если один внешний человек пропал из чата и вместе с ним пропали пароли, схемы и резерв, значит управление уже давно уехало наружу.

Раскрыть полностью

Водозабор “просто качал воду”, пока не перестал

История из небольшого промышленного города

Водозабор долго считался скучным объектом. Скважины, насосы, резервуары, автоматика, диспетчерский экран. Все работает, вода идет, жители не жалуются. Значит, тема закрыта.

У владельца была простая картина мира: пока из крана течет вода, водозабор не требует философии. Там не ракеты запускают, а насосы крутят.

Потом в один день давление начало проседать.

Сначала подумали на насос. Потом на датчик. Потом на связь. Подрядчик подключился удаленно, посмотрел параметры и сказал, что “ничего критичного”. Через пару часов часть домов уже обсуждала в чатах, почему вода идет тонкой струйкой, а в некоторых подъездах ее нет вообще.

Один активный житель быстро собрал набор народного давления: фото крана, скриншоты переписки, короткое видео с пустой ванной и обращение в электронную приемную губернатора. Через сутки вопрос уже перестал быть бытовым.

Администрация запросила пояснения. Прокуратура поставила ситуацию на контроль. Собственнику прилетели вопросы не только про воду, но и про управление объектом: кто имеет доступ к автоматике, где резервные настройки, кто отвечает за насосы, кто контролирует подрядчика, где журналы событий и почему система зависит от нескольких людей “которые в курсе”.

Вот тут водозабор перестал быть “просто насосами”.

Оказалось, что пароли частично у подрядчика. Схемы у инженера, который в отпуске. Резервные копии вроде есть, но последний раз их проверяли в прошлой жизни. Доступы выдавались “чтобы быстро чинить”, а потом оставались навсегда. Журналы событий есть, но никто не может быстро объяснить, кто менял параметры перед просадкой давления.

На совещании впервые прозвучала Критическая Информационная Инфраструктура. Не как страшное слово из презентации, а как простой вопрос: если остановка или сбой системы оставляет район без воды, почему к ней относятся как к обычному шкафу с кнопками?

Дальше пошла взрослая часть: предписание, внеплановая проверка, инвентаризация систем, пересмотр доступов, назначение ответственных, проверка резервов и неприятное понимание, что порядок надо было наводить не после жалоб, а до них.

Мораль: водозабор кажется простым ровно до момента, пока из крана идет вода. Но если насосами, автоматикой и доступами управляют “по привычке”, один сбой быстро превращает техническую проблему в прокурорский контроль и вопрос по КИИ.

Раскрыть полностью

Канализация, которая напомнила о себе запахом и письмом из прокуратуры

История с юга России

Канализационную насосную станцию никто не любил обсуждать. Объект неприятный, запах специфический, тема не для красивых совещаний. Главное, чтобы качала, не переливалась и не попадала в новости.

Так она и работала. Насосы включались, автоматика щелкала, диспетчеризация что-то показывала, подрядчик иногда подключался удаленно и “подправлял режимы”. Владелец считал это обычной эксплуатацией: грязная, но понятная инженерка.

Потом один насос начал вести себя странно. То включался с задержкой, то уходил в аварию, то снова оживал. На объекте решили, что датчик капризничает. Подрядчик сказал, что надо понаблюдать. Наблюдали недолго.

Сначала появился запах.

Потом жалобы.

Потом фото из двора, где жители очень быстро поняли, что это не просто “неприятность”, а готовый материал для всех городских чатов. Через пару часов история уже жила своей жизнью: управляющая компания молчит, виновных нет, канализация вышла в народ.

Один житель отправил обращение в администрацию и прокуратуру. Второй добавил фото. Третий написал, что рядом детская площадка. После этого у ситуации появилось ускорение, которое никакая служебная записка уже не остановит.

Когда начали разбираться, всплыло не только техническое состояние насосов. Всплыли доступы, журналы, подрядчик, резервирование, порядок аварийного реагирования и старая добрая фраза “у нас так всегда было”.

Пароли от удаленного доступа знали несколько человек, но список никто не вел. Настройки менялись по звонку. Журнал событий существовал, но его открывали только когда уже начинало пахнуть. Резервный порядок был на бумаге, но в реальности все снова звонили одному специалисту.

И тут канализация внезапно стала не просто неприятным объектом, а системой, сбой которой влияет на санитарную обстановку, жителей, репутацию и вопросы контролирующих органов.

На разборе прозвучала Критическая Информационная Инфраструктура. Сначала кто-то попытался отмахнуться: мол, это же не банк и не завод. Но после фото из двора, прокурорского контроля и запросов по документам спорить стало сложнее. Если объект может создать серьезные последствия для людей и территории, то “неприятно пахнет” уже не описание проблемы, а начало управленческого кризиса.

Финал получился классический: предписание, внеплановая проверка, срочное закрытие лишних доступов, проверка автоматики, актуализация документов, назначение ответственных и попытка объяснить, почему критичный инженерный объект годами жил по принципу “главное, чтобы не перелилось”.

Мораль: канализация напоминает о себе жестко. Если насосная станция управляется через привычку, общие доступы и одного подрядчика, то первый серьезный сбой быстро выходит из подвала в прокуратуру, городские чаты и документы по КИИ.

Раскрыть полностью
Паспорт в мессенджере и другие приключения агентства недвижимости
В недвижимости опасны не только плохие объекты и нервные клиенты. Иногда главный риск лежит в телефонах сотрудников, общих таблицах, рассылках и старой базе, которую никто не чистил с прошлого кризиса.
Смотреть подробнее
Персональные данные работника без лишнего согласия
Оформить договор, начислить зарплату и передать сведения в госорганы можно по закону. А вот фото, публикации и лишние передачи требуют отдельной проверки и согласий.
Смотреть подробнее
Производство медикаментов, которое владелец считал просто линией
Владелец видит сырье, линию, упаковку и отгрузку. А в реальности за этим стоят автоматизация, лабораторные данные, контроль качества, доступы и процессы, остановка которых может ударить по выпуску, репутации и проверкам.
Смотреть подробнее
Листайте влево/вправо
Оставьте заявку
на расчет стоимости

Cогласен с условиями политики конфиденциальности данных

Скачайте каталог решений с ценами под вашу нишу и вдохновитесь идеями

Выберите куда вам удобнее отправить каталог?

Cогласен с условиями политики конфиденциальности данных

Обновлен:
13.07.2022

Перезвоните мне
В какое время вам позвонить?

Cогласен с условиями политики конфиденциальности данных

Участвовать в акции

Cогласен с условиями политики конфиденциальности данных

Оставить заявку на услугу

Cогласен с условиями политики конфиденциальности данных

Заказать в 1 клик

Cогласен с условиями политики конфиденциальности данных

Вызвать замерщика бесплатно
Оставьте телефон и
мы перезвоним
В какое время вам позвонить?

Cогласен с условиями политики конфиденциальности данных

Отправить резюме
Оставьте контактные данные,
и мы перезвоним

Cогласен с условиями политики конфиденциальности данных

Оставить отзыв

Cогласен с условиями политики конфиденциальности данных

Написать
Позвонить