Архитектура безопасности как фундамент для нефтехимического производства

Недавно Игорь Краев, архитектор сложных информационных систем, подробно разобрал горизонты рисков для промышленных предприятий на 5, 10 и 20 лет. Статья вызвала большой интерес, и мы попросили эксперта ответить на главный вопрос читателей: а как должен выглядеть позитивный сценарий? Где взять пример предприятия, которое с первого дня защищено от этих угроз?

– Игорь, вы сказали, что готовы показать такой пример «вживую». О каком проекте идет речь?

– Действильно, абстрактные советы — это хорошо, но всегда лучше опираться на реальный кейс. Сейчас я как архитектор участвую в создании системы безопасности для масштабного инвестиционного проекта — строительства нефтегазохимического комплекса в Сибири. Это предприятие полного цикла: от первичной переработки нефти до выпуска сложной нефтехимии, такой как полиэтилентерефталат и базовые масла. Срок жизни проекта — минимум полвека.

И вот здесь у нас есть уникальная возможность, которая выпадает редко: заложить безопасность в фундамент, а не встраивать ее в уже работающий и «дымящий» завод. Расскажу поэтапно, как мы это делаем и почему это единственный способ выжить в ближайшие 20 лет.

«Зоопарк» умирает на стадии проектирования

– В прошлой статье вы много говорили о проблеме ближайших 5 лет — «зоопарке» технологий, где советские станки соседствуют с китайскими контроллерами и кустарным софтом. Как избежать этого в новом проекте?

– Мы создаем комплекс с нуля, и у нас нет «наследства» 90-х и нулевых. Первое, что мы сделали на этапе проектирования, — приняли волевое решение о создании единой цифровой среды для всей экосистемы проекта.

Что это значит на практике? Мы просто не допустим ситуации, когда установка замедленного коксования закупается с одной системой управления, производство полипропилена — с другой, а потом их пытаются объединить через программные «костыли». Все технологические объекты — от установок гидроочистки до производства серы — будут работать в едином протокольном пространстве. Требования к кибербезопасности и совместимости мы вписываем в техническое задание на проектирование как обязательный раздел. Наравне с требованиями к производительности и экологичности.

– Но это же требует особой компетенции от строителей и подрядчиков...

– Безусловно. На стадии выбора генерального подрядчика мы смотрим не только на то, как он умеет заливать бетон и варить трубы, но и на его компетенции в создании защищенных АСУ ТП (автоматизированных систем управления технологическим процессом). Потому что переделывать это после запуска — значит останавливать производство и терять миллиарды. Это условие выживания.

IoT-сеть начинается с котлована

– Следующий пункт вашей статьи — Интернет вещей (IoT). Обычно датчики ставят на готовое оборудование. У вас не так?

– Это как раз то самое глубочайшее заблуждение — воспринимать IoT как «умные датчики», которые вешаются на готовый завод. В нашем проекте внедрение IoT начинается с первого колышка и первого экскаватора.

Посмотрите на этапы любого масштабного строительства: инженерная подготовка участков, прокладка внутренних и внешних сетей, монтаж технологического оборудования, возведение социальной инфраструктуры (рабочий поселок, детский сад, медпункт). Так вот, наша аксиома: датчики и сенсоры должны монтироваться одновременно с трубами и фундаментами. А не врезаться потом в готовые сети, нарушая их целостность.

– Можете описать дорожную карту? Как это выглядит шаг за шагом?

– Давайте пройдем по этапам.

• Этап 0 (Проектирование). Мы проектируем не просто завод, а его цифрового двойника. Мы уже сейчас определяем контрольные точки, где будут стоять сенсоры давления, температуры, вибрации, химического состава сред.
• Этап подготовки площадок. Когда мы укладываем инженерные сети (водопровод, электричество, тепло), мы сразу прокладываем сенсорные сети. Датчики протечки воды или утечки газа должны быть под землей с самого начала.
• Этап монтажа оборудования. Каждая технологическая установка поступает на площадку уже с предустановленными или подготовленными к интеграции датчиками. Мы не сверлим готовые колонны и не варим дополнительные штуцеры — это снижает надежность металла. Мы монтируем оборудование вместе с его «нервной системой».
• Этап пусконаладки. Когда комплекс начинает работу, у нас уже есть не просто «железо», а работающая математическая модель. Мы видим не только показатели «здесь и сейчас», но и тренды. Это и есть база для предиктивной аналитики, о которой я писал в контексте горизонта 10 лет.

– Почему такой подход критичен именно для безопасности, а не только для удобства сбора данных?

– Потому что, как я уже отмечал, через 10 лет основной угрозой станет скрытая манипуляция процессами. Злоумышленнику не нужно воровать чертежи — достаточно потихоньку менять параметры, чтобы оборудование «само сломалось», а брак «сам появился». Если у вас нет базовой линии поведения каждого узла, собранной с первого дня, вы никогда не докажете аномалию. Вы не сможете отличить случайный сбой от целенаправленной диверсии. А если датчики были врезаны «на скорую руку» после запуска, их показаниям вообще нельзя доверять — они сами могут быть точкой уязвимости.

Безопасность как бизнес, а не как штатная единица

– В своей колонке вы жестко прошлись по модели «посадить безопасника в офисе на оклад». Какая альтернатива в этом проекте?

– Этот проект — идеальная иллюстрация того, как должна выглядеть «безопасность как бизнес». Главный принцип: ключевые компетенции по безопасности не будут сидеть в штате как обуза, они будут выделены в отдельные сервисные компании.

Посмотрите на масштаб: что нам нужно защищать?

• АСУ ТП нефтеперерабатывающего завода.
• Системы управления нефтехимическими производствами.
• Инженерные сети и энергогенерацию (когенерация на синтез-газе).
• Товарно-сырьевые парки и логистику (включая железнодорожные эстакады).
• Социальную инфраструктуру.

Нанять 20 суперспециалистов мирового уровня под каждое из этих направлений в штат — это неподъемно финансово и бессмысленно организационно. Они не будут сидеть в жесткой иерархии за фиксированный оклад. Они быстро выгорят или уйдут к конкурентам.

Поэтому мы создаем вокруг проекта экосистему малых и средних интеграторов, специализирующихся на узких направлениях промышленной безопасности. Руководство проекта готово входить в капитал таких компаний, давать им долгосрочные контракты на 5-10 лет, но с одним жестким условием: их доход напрямую зависит от бесперебойной работы завода.

– То есть это меняет мотивацию?

– Кардинально. Интегратору становится невыгодно экономить на безопасности или впаривать устаревшее оборудование. Если завод встанет из-за ошибок или халатности в его сегменте, он потеряет не просто контракт, а весь свой бизнес. Это партнерство, а не классическая схема «заказчик-подрядчик».

Иммунная система предприятия до первого экскаватора

– Игорь, вы много пишете про риски на 20 лет вперед — квантовые компьютеры, полную интеграцию и зависимость от «цифры». Многие предприниматели думают: «До 2045 года еще дожить надо, потом и решим». Что вы им скажете на примере этого проекта?

– Я скажу, что этот проект — пример принципиально другого подхода. Здесь решения принимают люди, которые понимают простую вещь: завод строится на полвека минимум. Это не стартап на три года. И если уже сейчас, на этапе выбора участка в тысячу гектаров и подписания договоров с проектировщиками, не заложить принципы «доверенной среды выполнения» и архитектурной сегментации сетей (IT и OT), то через 10 лет мы получим колосса на глиняных ногах.

Новый нефтегазохимический комплекс — это не просто трубы, реакторы и ректификационные колонны. Это сложнейший киберфизический организм. И моя задача как архитектора — сделать так, чтобы его «иммунная система» была готова к любым угрозам: от вчерашнего вируса-вымогателя до завтрашней атаки с использованием искусственного интеллекта.

Поэтому мой ответ на вопрос «когда начинать заниматься безопасностью?» всегда один: до того, как первый экскаватор въехал на площадку. В этом проекте мы именно так и поступили. И я уверен, что альтернативы этому пути просто нет.