Что называется, тихой сапой правящий режим готовит очередной прожект в энергетическом секторе. Причем прожект этот никакого позитивного конкретного эффекта не даст. Зато много съест денег, а в перспективе еще больше. Это такая бездонная бочка за счет обычных потребителей и экономических агентов. Как говориться, высосать все соки без остатка. На радость пассовским чиновникам. Почему мы так считаем, и как это может быть связано с предстоящими парламентскими выборами, в авторском комментарии Ольги Дзятковской.
И, снова, здравствуйте. Хакеры могут оставить Молдову в темноте! 90% энергетической системы полностью уязвимы! Такую практически истерику устроила госсекретарь Министерства энергетики Кристина Перетятку на недавно прошедшем форуме Energy Moldova. По ее словам, в энергетическом секторе кибербезопасность находится в критическом состоянии. И предупредила — «кибербезопасность больше не опция, а обязанность». Только вот самое интересное в том, что эту обязанность повесят на население и экономических агентов. Но об этом Перетятку почему-то не сказала. Ну, что вы мелочитесь, народ, когда речь идет о такой угрозе.
КРИСТИНА ПЕРЕТЯТКУ, госсекретарь Министерства энергетики
Более 70 процентов энергетической инфраструктуры страны работает на устаревших системах, и большинство из них, включая системы SCADA, были внедрены без учета современных киберрисков. Хуже того, только 10% критически важных объектов инфраструктуры в настоящее время контролируются в режиме реального времени. Мы летим вслепую. И злоумышленники это знают.
Для понимания. Система SCADA, простым языком — это программный пакет, предназначенный для разработки или обеспечения работы в реальном времени систем сбора данных, обработки, отображения, мониторинга и архивирования информации. Используется для управления и мониторинга на объектах критической инфраструктуры. Например, на транспорте, в системе водоканала, в системе газо – и электроснабжения. Есть разные аналоги, но именно внешние партнеры по развитию рекомендуют нашей стране вот уже на протяжении нескольких лет использование именно такой системы. Теперь вот в Минэнерго забили тревогу, дескать, система уязвима. Кстати, на ее внедрение на многих объектах уже были потрачены огромные ресурсы. Но это все мелочи, по сравнению с тем, что запланировало пассовское правление.
По словам госсекретаря Минэнерго «только в прошлом году у нас было три крупных киберинцидента в энергетическом секторе, которые можно было предотвратить. Но то, чего мы не знаем, еще хуже, потому что реальное число мелких инцидентов остается неизвестным из-за отсутствия эффективного мониторинга». Ну, а теперь самое главное, то, ради чего была вся эта прелюдия. В ответ на эти ужасные и страшные кибер-вызовы Министерство энергетики запускает масштабную Программу цифровой трансформации для энергетического сектора, ключевым компонентом которой является кибербезопасность. Стартовый бюджет — 200 млн леев, и это только 21% от общего объема запланированных инвестиций.
Под это дело планируется создать так называемый Центр кибербезопасности для энергетического сектора к концу 2026 года, который видимо и будет отвечать за оцифровку предприятий энергетического сектора. Всех основных операторов обяжут пройти новую сертификацию, — внимание – чтобы соответствовать требованиям европейской директивы NIS2. Пять тысяч специалистов пройдут обучение, а всех, нас потребителей, за наши же деньги, проинформируют. О чем будут информировать — пока не ясно. Наверное, о большой пользе наличия в нашей жизни еще одной бюрократической структуры, коих в Молдове при режиме Санду-PAS расплодилось, как блох на бродячей собаке.
Итак, проще говоря. Операторов энергосектора обяжут внедрить какие-то новые, как говорят в правительстве PAS, передовые системы мониторинга, обнаружения, предотвращения и оперативного реагирования на инциденты. Ну, то есть те системы, которые внедрялись раньше и также назывались передовыми, уже не передовые и не новые.
И в этой связи возникает сразу несколько вопросов. Первый — кто за все это будет платить? Сколько будут вынуждены за это заплатить экономические агенты? И, в этом случае, не включат ли они все эти расходы на инновации с подачи правящего режима в стоимость своей продукции и услуг для населения? Еще вопрос — как это отразится на тарифах для потребителей?
Эксперт в области энергетики Сергей Унгуряну, в комментарии для нашего канала заявил, что то, что задумали власти, это совершенно не нужная система для Молдовы. Потому что у нас очень маленькие сети, они не такие развитые, — и это, кстати их преимущество, так как у них нет такой электронной зависимости, даже нет электронной дифференциации по сети, поэтому они меньше подвержены риску кибератаки. Не надо ставить телегу впереди лошади, говорит эксперт.
СЕРГЕЙ УНГУРЯНУ, эксперт в области энергетики
На данный момент, это актуально для тех систем, в которые уже был внедрен электронно-дистанционный контроль. У нас этот электронный и дистанционный контроль на уровне примерно 18%. Даже еще не полностью внедрен единый идентификационный код тех же электросетей. При этом, в Молдове действует система релейной многоуровневой защиты. Да, устаревшая, но она работает. То есть, в случае проблемы по сети, идет поэтапное отключение проблемных участков, поэтому исключен риск того, чтобы вся система в случае ЧП просела. Если даже сейчас у нас будет какая-то кибератака на наши сети, то они выдержат как раз по той причине, что не являются пока что электронными. Эти затраты будут совершенно излишние.
Более того, эксперт считает, что с учетом того, что этот Центр кибербезопасности создается, как государственная структура, то она полностью будет поддерживаться за счет тарифов, которые платит население и экономические агенты. То есть, траты на ее содержание, которое на данный момент не имеет никакой экономической и финансовой целесообразности, будут включены в тарифы для потребителей. Даже многие страны ЕС ведут переговоры, чтобы все эти программы им оплачивали из фондов Евросоюза. А что делают власти Молдовы?
СЕРГЕЙ УНГУРЯНУ, эксперт в области энергетики
Да, конечно, мы должны развиваться, но не наскоком. Почему сейчас даже страны ЕС не хотят, медлят с внедрением этой директивы? Молдова не обязана это все перенимать, а должна отстаивать свои интересы. В конце концов, есть разные стратегии в решении этих вопросов. Но, к сожалению, у власти в Молдове главная стратегия состоит не в том, чтобы защищать интересы страны, а только в том, чтобы внедрять полностью все приказы, которые идут извне, даже те, которые сами многие европейские страны не хотят и не внедряют.
С одной стороны, нет ничего плохого в том, чтобы переходить на современные стандарты качества. Система, которую предлагает ЕК, позволяет оператору дистанционно регулировать потоки той же энергии, это означает не просто контроль и регулирование. Она позволяет даже отключить определенные участки, определенные линии. Но, здесь есть огромное но — если к этой системе получат не санкционированный доступ злоумышленникам извне, то они смогут полностью отключить энергосистему Молдовы. Потому что она будет связана не просто с неинформационной частью, но и с принятием решений. Кем, когда и с чьей санкции эти решения могут принять — это самое уязвимое место во всей этой истории. Ведь не обязательно это может быть реально атака тех же хакеров, это может быть решение людей, действующих в самой системе. Можно будет где-то просто отключить рубильники дистанционно.
Кроме того, если в перспективе эта система будет внедрена и в других секторах экономики, то это приведет к повышению стоимости услуг и товаров, считает Сергей Унгуряну. Эксперт не исключил, что это нас ждет в перспективе и таким образом нас хотят вывести из экономической конкуренции. Только представьте, что будет, если сейчас заставить наши предприятия — в промышленности, в сельском хозяйстве, в здравоохранении, те же больницы, аптеки, транспорт, — менять все эти системы электронного учета и мониторинга. Пострадают все, потому что за все это очень дорого будут платить люди и бизнес. Которые явно не потянут это финансовое бремя. Это прямой путь к банкротству.
Для простых людей аббревиатура какой-то там европейской директивы — это просто набор символов и цифр. А вот мы все-таки поинтересовались, что за всем этим стоит. Директива NIS 2 по кибербезопасности, спущенная всем странам ЕС к обязательному исполнению, распространяется не только на энергетический сектор, а на все 18 областей критически-важной инфраструктуры стран Евросоюза. И об этом Минэнерго пассовского правления почему-то тоже не считает нужным говорить общественности. И не случайно.
Как указано на сайте Еврокомиссии директива NIS2 устанавливает обязательные меры для организаций, работающих в критически важных секторах, включая энергетику, транспорт, здравоохранение, финансы, управление водными ресурсами, требования обязательны и для поставщиков публичных электронных коммуникаций и цифровых услуг (таких как социальные платформы), здесь же и управление отходами и сточными водами, производства критически важной продукции, почтовых и курьерских услуг, государственного управления как на центральном, так и на региональном уровнях.
Еврокомиссия даже не скрывает, что основные финансовые затраты по внедрению этих обязательств ложатся на сами предприятия, соответственно, и на население, которому потом эти предприятия повышают стоимость своих услуг из-за больших затрат на внедрение директивы. Роль государства, то есть правительств — в контроле и надзоре за применением. За не соблюдение требований — огромные штрафы, — внимание – до 10 млн евро для крупных предприятий, или 2% от мирового годового оборота. Для предприятий поменьше — 7 млн евро или 1,4% от оборота. Мало того, государства-члены могут накладывать санкции на организации, не выполняющие требования директивы NIS 2, вплоть до приостановки или отзыва лицензий, разрешений и допусков. Ну, просто не паханное поле легализованного рейдерства крупного бизнеса. Иначе это не назовешь. И все под видом борьбы с кибератаками.
Может поэтому большинство стран ЕС не спешат внедрять эту директиву Еврокомисии? А обязаны были это сделать до конца октября 2024 года. Еще 7 мая 2025 года ЕК призвала 19 государств-членов полностью транспонировать директиву NIS2. А что случилось? Хороший вопрос, не правда ли? Среди этих стран, в том числе, крупнейшие экономики Евросоюза: Франция, Германия. Не подчинились требованиям директивы Болгария, Чехия, Дания, Эстония, Ирландия, Испания, Латвия, даже Люксембург, Швеция, Нидерланды и Австрия. Этим странам, Еврокомиссия даже пригрозила судом, если они немедленно не примут меры.
Пока только шесть стран интегрировали NIS2 в национальное законодательство: Бельгия, Хорватия, Греция, Венгрия, Латвия и Литва. Кстати, та же госсекретарь Минэнерго очень нахваливала опыт прибалтийских стран в этом вопросе. А теперь посмотрим на структуру санкций в соответствии с Законом Литвы о кибербезопасности в рамках внедрения директивы ЕК NIS 2.
Как отмечают местные отраслевые компании несоблюдение директивы Литвы NIS2 — это не просто пощечина. Санкции реальные и могут стать настоящим ударом по предприятиям.
Из приведенной классификации видно, что всю ответственность возложили на руководителей компаний, которые рискуют за нарушения директивы быть даже дисквалифицированы на срок до 3 лет. А максимальный штраф для организаций составляет 10 млн евро или 2% годового оборота предприятия. И никаких тебе послаблений. Срок на внедрение составлял 24 месяца. Это Контроль за внедрением директивы в Литве осуществляет Национальный центр кибербезопасности (NCSC) при Министерстве обороны.
В Латвии также делают первые шаги по имплементации цифровой директивы Еврокомиссии. Но латвийские специалисты признают, что при таких-то заморочках и дороговизне, в конечном итоге вся эта система не гарантирует безопасность от кибератак. Как говорится, приехали.
БАЙБА АПИНЕ, директор отдела ИТ-консалтинга в одной из компаний Латвии
Цель директивы NIS2 – силой закона принудить около 100 000 предприятий в ЕС укрепить киберустойчивость, усилить роль руководителя по кибербезопасности на предприятии и сократить угрозы. В Латвии закон о кибербезопасности может затронуть около 1500 предприятий. Но внедрение директивы не является шагом к сокращению бюрократии, так как внедрение требований увеличит административное бремя предприятий, поскольку им потребуется разработать политику в сфере киберрисков, процедуры выявления инцидентов и сообщения о них, а также план обеспечения непрерывной деятельности. При этом реализация требований NIS2 не гарантирует полную защиту от инцидентов.
Почему эта система не обеспечивает полноценной защиты от кибератак? Вот несколько причин — система не является универсальным решением, и это признают специалисты. Система имеет множество ограничений. И, главное, вы не поверите — слабость этой системы в том, что она фокусируется на технических аспектах кибербезопасности, но не уделяет достаточного внимания человеческому фактору, который и является одной из основных причин киберинцидентов. Это как раз то, о чем нам в комментарии говорил эксперт Сергей Унгуряну. Человеческий фактор может появиться не извне, а внутри самой системы. Причем на самом разном уровне, например, на уровне человека, по указке сверху или принятому вполне официально решению, имеющего доступ к кнопке.
Помните, как в июле 2024 года, в Европе случился один большой огромный сбой системы — в сетях «Майкрософт». В одну секунду отключились многие критически важные системы — в здравоохранении, банковском секторе, авиаперевозках, СМИ по всему миру, но в том числе и в странах Евросоюза. Позже выяснилось, что это не была кибератака, хотя изначально говорили о ней. Сбой затронул 8,5 млн компьютеров Майкрософт.
Самое интересное, как передавал «Евроньюс», компания «Майкрософт» во всем этом коллапсе обвинила именно Еврокомиссию. Там заявили, что сбой был вызван политикой ЕК, которая потребовала у IT-гиганта заключить соглашение, по которому он должен был предоставить доступ к своему программному обеспеченью другим разработчикам. Разработчики, дескать, знают свое дело и вообще они специалисты по кибербезопасности. Доступ открыли, а кибер-специалисты запустили обновление. Понятно, никого, не поставив в известность. И все накрылось цифровым тазиком. А в Майкрософте тогда предупредили, что если Еврокомиссия продолжит такую политику, то такие сбои будут повторяться. И что в итоге? Да, как бы ничего особенного, Еврокомиссия, вот, гордиться тем, что хотя бы закон есть в области борьбы с кибератаками. А как он там работает на практике, это уже забота экономических агентов.
НАТАЛИ ДЕВИЛЬЕ, эксперт европейского центра кибернетической безопасности
В сфере регулирования Европейский Союз в 2022 году принял так называемую директиву NIS 2, которую будут применять в странах ЕС, и которая должна укрепить кибербезопасность в более чем 18 секторах. Это означает, что компании, равно как и малые и средние предприятия, должны будут повысить уровень кибербезопасности и проявлять большую бдительность.
Напоследок я оставила самое интересное. Директива Еврокомиссии, кроме всех прочих областей, распространяется и на системы, которые должны применяться при проведении — выборов — с целью осуществления мониторинга, контроля и подсчета голосов. И тут мы все вдруг узнаем, что аккурат перед парламентскими выборами, которые должны состояться в Молдове в сентябре, в нашу страну приезжает некая группа неких специалистов из ЕС по кибербезопасности, под них создается отдельный центр. Какие у этого центра полномочия, правящий режим особо не раскрывает. А вот у специалистов и оппозиции есть большие сомнения относительно целей этой структуры.
Тревожный звонок не заставил себя долго ждать. Судите сами, что к чему. На своей странице в соцсети юрист Юрий Мэржиняну сообщил, что Центральная избирательная комиссия вдруг не с того, ни с сего, но потеряла контроль над автоматизированной системой, применяемой на выборах. Или этот контроль у нее забрали. А послушный ЦИК, состоящий из ставленников режима Санду-PAS молчаливо проглотил и это нарушение закона.
ЮРИЙ МЭРЖИНЯНУ, юрист
Накануне нового избирательного цикла Молдова сталкивается с серьезной и беспрецедентной угрозой честности выборов. ЦИК, являющаяся законным гарантом избирательного процесса, фактически лишена контроля над инфраструктурой Государственной автоматизированной информационной системы SIAS «Alegeri», важнейшей системы для корректного и прозрачного проведения выборов. Эта критическая инфраструктура SIAS «Alegeri» была незаконно передана в Центр обработки данных Службы информационных технологий и кибербезопасности — учреждения, подчиненного правительству, что является вопиющим нарушением целого ряда законодательных актов, включая положения Кодекса о выборах.
Что в этом случае получает правительство? Полную свободу и размах творческой мысли на парламентских выборах. Например, с использованием этой электронной системы, можно нарисовать нужную явку в режиме онлайн, так что никто и не заметит подвоха. Доступ в систему позволяет менять предварительные результаты голосования, использовать персональные данные избирателей. И в целом, обеспечить себе на выборах нужный результат. Нельзя сказать, что в этом смысле было большое доверие к ЦИК. Но доверия к правительству Речана, еще меньше. И здесь, уповать на честность и порядочность — бесполезная трата времени. На этом пока все. Увидимся.
