Иностранный Open Source в энергетике небезопасен. «Россети» вложат 110 млн рублей, чтобы контролировать его уязвимости

В январе-феврале 2026 года «Россети» проводят конкурс на выполнение НИОКР по созданию программного комплекса унифицированной среды исследований безопасности программного обеспечения. Как указывается в документах, размещенных на портале госзакупок, начальная цена контракта составляет 109,97 млн рублей. Победитель конкурса на момент публикации материала не определен.

Зачем потребовалась среда исследования безопасности ПО

Группа «Россети» – один из крупнейших в мире электросетевых холдингов, обеспечивающий электроснабжение потребителей в 82 регионах России. В управлении находятся 2,6 млн км линий электропередачи и электрические подстанции общей мощностью 892 тыс. МВА. По сетям группы передается более 80% всей вырабатываемой в стране электроэнергии. В ее состав входят 39 дочерних и зависимых обществ, в том числе 17 сетевых компаний. 

Крупные энергосистемы непрерывно подвергаются новым угрозам кибербезопасности, объясняет компания в документации в конкурсу: «Угрозы могут быть направлены на отдельные компоненты энергосистемы и деструктивно повлиять на безопасность всей энергосистемы. При этом, реализованные меры безопасности направлены на противодействие уже известным ранее угрозам. Что подчеркивает важность своевременного обнаружения новых угроз и противодействию им по средствам своевременного выявления уязвимостей в компонентах энергосистемы и реализации мер по контролю их устранения или выработке компенсационных мер безопасности».

В системах автоматизации подстанций, отмечают «Россети», используется большее количество разных по функционалу и по составу программных средств, разработанных под конкретную микропроцессорную архитектуру. Каждое программное средство может быть источником уязвимости, информация о существовании которой, и характере угрозы скрыта от субъекта электроэнергетики. Как правило, программные компоненты, распространяемые на условиях открытой лицензии, разрабатываются иностранными компаниями и могут нести потенциально опасные угрозы для энергообъекта.

При этом законодательство РФ в области защиты информации требует, чтобы программные средства, используемые в системах автоматизации, отнесенных к значимым объектам критической информационной инфраструктуры (ЗОКИИ), детально анализировались на наличие уязвимостей. В том числе, законодательством РФ в области защиты информации предъявляются требования к организации-разработчику программного средства по соблюдению национальных стандартов по разработке безопасного программного обеспечения, добавляют в «Россетях».

Вместе с тем, отмечается в обосновании к конкурсу, владельцы объектов КИИ не обладают технической возможностью по контролю состояния безопасности программных средств в системах автоматизации на всех этапах их жизненного цикла. Поэтому, важным решением для них является создание технической возможности по контролю процессов безопасной разработки программных средств.

Механизмы контроля предполагается реализовать через унификацию инструментальных средств, предназначенных для исследований на уязвимости, унификации методологии исследований, унификации функций безопасности и унификации цифрового взаимодействия по вопросам состояния безопасности программных средств, отмечают «Россети».

Как планируется контролировать безопасность ПО

НИОКР предполагает внедрение требований к процессам безопасной разработки с учетом особенности электросетевого комплекса. У «Россетей» должна появиться возможность исследования безопасности программных средств в системах автоматизации подстанций, в том числе в системах защиты, автоматизации и управления (СЗАУ), системах учёта электрической энергии, других технологических автоматизированных систем управления.

Разрабатываемый комплекс будет представлять собой платформу, которая автоматизирует проверку безопасности софта. При этом исполнитель не будет разрабатывать непосредственно инструменты анализа с нуля, а обязан интегрировать готовые решения: в качестве возможных вариантов приводятся статический анализатор Svace, инструмент фаззинг-тестирования Crusher, инструмент определения поверхности атаки Natch, инструмент динамического анализа помеченных данных «Блесна», а также средство композиционного анализа — либо их аналоги.

Создание продукта должно вестись либо из софта, включенного в Реестр отечественного ПО, либо из ПО с открытым исходным кодом (Open Source). Во втором случае готовый комплекс необходимо подать на включение в Реестр.

Отметим, что инструменты Svace, Crusher, Natch и «Блесна» являются разработками Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН). Этот же институт является органом по сертификации ФСТЭК на соответствие процессов безопасной разработки программного обеспечения. Об этом направлении деятельности ФСТЭК SecPost писал в отдельном материале.

Цели и задачи НИОКР прописаны таким образом:

Цели

• Определить единую методологию по безопасной разработке программных средств.
• Определить систему единых требований к средствам и методам исследований безопасности программного обеспечения.
• Оптимизировать процесс исследования программного обеспечения, передачу отчетных данных и верификацию полученных результатов.
• Оптимизировать затраты на сопровождение процесса исследований безопасности и верификации программных средств систем автоматизации.

Задачи

• Разработать программный комплекс «Унифицированная среда исследований безопасности программного обеспечения» (далее – ПК «Унифицированная среда»).
• Определить требования к разработчикам программного обеспечения, обеспечив безотказность полученных данных.
• Разработать материалы для методологической и технической поддержки при внедрении ПК «Унифицированная среда».
• Разработать требования к разработке безопасного программного обеспечения, применяемого в группе компаний Россети».

В документах конкурса «Россетей» отмечается, что исполнитель обязан проводить испытания на реальном программном обеспечении электросетевого оборудования (не менее двух единиц). При этом тестовый полигон разворачивается силами подрядчика. Работы должны быть завершены до 30 ноября 2027 года.

Техническим заказчиком проекта со стороны «Россетей» выступает руководитель дирекции информационной безопасности Дмитрий Хижкин.