написано в июне-октябре 2012 года
доклад на Конференции АСИ 09.10.12
(из
неопубликованного. Возможно частично устарело - сейчас стало доступно
значительно больше данных, главное: модная ныне тема импортозамещения
возникла давным-давно/
Если что-то не так, можно посмотреть по ссылке)
Если что-то не так, можно посмотреть по ссылке)
Угрозы безопасности ТЭК включают в себя множество компонентов, различающихся масштабом воздействия, временем и местом воздействия, преднамеренностью действий.
Глобальными, как правило, являются природные, экологические и техногенные угрозы безопасности. Внезапные, преднамеренные и, обычно, внешние воздействия включают в себя террористические, военные, криминальные, информационные и финансовые угрозы. Как указано в Федеральном законе № 256 «О безопасности объектов топливно-энергетического комплекса» ответственность за защищенность объектов ТЭК возлагается на руководителей профильных блоков и структурных подразделений объектов ТЭК, которые для выполнения указаний ФЗ реализуют различные программы комплексной безопасности.
При этом, несмотря на принимаемые меры и значительные финансовые средства, расходуемые на обеспечение безопасности количество преступлений и происшествий террористического, криминального характера, а также попыток нарушения информационной безопасности и внешнего вмешательства в компьютерные сети уменьшается незначительно.
Так
ОАО “ФСК ЕЭС” в период 2010-2012 гг. в безопасность вложено и освоено
5,8 млрд. руб., введено в эксплуатацию 57 объектов КАСУБ, обеспечена
физическая охрана всех подстанций напряжением 220 кВ и выше,
современными инженерно-техническими средствами охраны оборудовано 255
объектов. За это время зафиксировано 7 крупных инцидентов в области
компьютерной безопасности, за 9 месяцев 2012 г. совершено 5 преступлений
террористического характера, получено 159 постановлений, представлений,
запросов и актов от органов ФСБ России, МВД России, Прокуратуры о
криминальных проявлениях в сфере электроэнергетики. В целом к 2014 году
ОАО “ФСК ЕЭС” на решение вопросов корпоративной безопасности будет
израсходовано 11 млрд. руб.
По данным исследования, проведенного в 2011 году компанией McAfee среди 200 электроэнергетических компаний из 14 стран мира (слайд 2), статистика кибератак на информационные и технологические автоматизированные системы говорит о существовании реальной угрозы устойчивости работы энергосистем. Так в компании LCRA (Lower Colorado River Authority, США) ежегодно фиксируется свыше 4300 попыток получения доступа к компьютерным системам. В среднем защищенность энергокомпаний не превышает 58%, причем в областях действия программ комплексной безопасности - 80-85%, в области скрытых угроз, грозящих физическим уничтожением объектов - 40%, угроз с прямыми финансовыми потерями - 25%.
По данным компании Bloomberg текущие расходы на безопасность крупных энергетических компаний США составляют $45.8 млн./год, при необходимых $345 млн. В настоящий момент пропускаются (не обнаруживаются) 11% атак, 31% обнаруженных атак не может быть предотвращен, в 51% случаев системы безопасности срабатывают ложно (о финансовых потерях умалчивается). Идеальным считается вариант обеспечения безопасности, когда пропущен будет только 1% атак, 95% обнаруженных атак будет предотвращено, а ложные срабатывания не превысят 4% (в принципе огромные цифры для технологических систем).
Ожидается, что по мере внедрения на объектах ТЭК автоматизированных программных комплексов технологического управления (АСТУ), автоматизированных программных комплексов управления технологическими процессами (АСУ ТП) и систем наблюдения и мониторинга (программа ПНИН) возрастет опасность внешних вмешательств, в связи, с чем ставится вопрос о необходимости дополнительных инвестиций в создание систем кибербезопасности.
Однако предлагаемые и реализуемые мероприятия повышения безопасности объектов ТЭК в основном являются “защитой по периметру”. Не меньшую, а, может быть, и большую угрозу безопасности ТЭК представляют внутренние, обычно скрытые, отложенные угрозы, заключающиеся (средний столбик на слайд 1):
- в ошибках прогнозирования, планирования и реальной оценки ситуации в отрасли,
- в особенностях аппаратного и программного обеспечения, конструктивных особенностях применяемого оборудования,
- в используемых системных архитектурах и инфраструктурных построениях.
Вовремя завершенный первый этап реформирования энергетики (дерегулирование и приватизация), и сделанный в пользу конкурентного рынка вместо усиления роли государства выбор (слайд 3) привели, в первую очередь, к выхолащиванию из руководства отраслью технических специалистов, и заменой их профессионалами от «абакус инжиниринг»; а, во вторую очередь, лишили страну лояльных ее интересам специалистов, большинство из которых либо оказались за границей, либо подчинились интересам коммерческих, часто иностранных, структур.
Это немедленно повлекло за собой ошибки прогнозирования и планирования.
Действительно, одними из ключевых проблем отрасли являлись старение инфраструктуры и необходимость ее восстановления после периода вынужденного застоя и снижения энергопотребления. Аналогичные проблемы стоят перед энергохозяйствами всех стран мира (слайд 4).
Однако неправильная оценка возрастной структуры энергообъектов и коммерческая заинтересованность (лоббирование) в происходящем привели к принятию ряда поспешных и необдуманных решений. Так вместо планомерного и взвешенного/точечного восстановления инфраструктуры отрасли и разработки капитального долгосрочного плана развития электроэнергетики повсеместное распространение получили «победные» 100% реконструкции и новое строительство ПС (до 70% объема инвестиций), использование новых не обкатанных временем технологий и политик инстранных компаний.
В тоже время очевидно (слайд 5), что возрастная структура объектов электроэнергетики во всем мире примерно одинакова. Видимое отличие от России заключается в интенсивном развитии в последнее двадцатилетие генерации на природном газе, и невидимое – отсутствии застоя отрасли, связанного с перестройкой.
Планируемая реконструкция мировой электроэнергетики начнется в ближайшие десятилетие-двадцатилетие, когда 70-90% инфраструктуры перешагнет границу 40 летнего периода эксплуатации. Временная глубина проектирования и прогнозирования развития энергетики в разных странах зависит от текущего состояния их энергетических рынков, особенностей правил регулирования, приоритетов в отношении использования энергоносителей, национальных особенностей. Однако из супер держав только у России отсутствуют сценарные прогнозы развития до 2050 года, а государственный план развития энергетики до 2030 года только появился. В тоже время планы развития в период 2004-2011 годов пересматривались не менее 7 раз. Так выглядел прогноз развития генерации России в 2007-2008 годах (данные по США и ЕС на 2012 год).
Некоторыми специалистами высказывается мнение, что допущенные при планировании и реальной оценке ситуации ошибки привели к перефинансированию отрасли в этот период в 2-5 раз.
Неоценимую помощь в предстоящей мировому сообществу реконструкции Россия оказала в связи с происходящими в ней в последнее десятилетие, особенно после 2008 года, событиями в области закупок вторичного оборудования: фактически Россия стала государственным полигоном для «обкатки» новых технологий и технических политик, принципов работы и нового оборудования иностранных компаний и стран.
Действительно отработанные новые и нужные технологии, например генерации на природном газе, в Россию массово не поставлялись.
В результате Россия оказалась заложником нового класса скрытых и отложенных угроз.
В январе 2012 года во Флориде (слайд 7) на конференции S4 (SCADA Security Scientific Symposium) группой Basecamp был продемонстрирован взлом и указаны наиболее уязвимые места ряда контроллеров для автоматизации компаний General Electric (используется в Сочи), Rockwell Automation, Schneider Modicon, Koyo Electronics, Schweitzer Engineering Laboratories (оборудование связи, УПАСК) (контроллеры АВВ в США используются мало, применяются американские АВВ-Вестингауз).
Позднее российская компания DSecRG взломала контроллеры фирм WAGO и Tecomat, а также две SCADA-системы: Wellintech KingSCADA и OPC Systems.NET. Параллельно в США была вскрыта SCADA система фирмы ICS.
Контроллеры фирмы Сименс были вскрыты двумя годами ранее (в настоящий момент времени угрозы воздействия вируса Stuxnet устранены).
Имеется информационное письмо компании АВВ, что все ее оборудование может быть повреждено (перестанет функционировать или будет функционировать с ошибками) во время конфигурации и технического обслуживания компьютерами, зараженными «обычными» Windows-вирусами.
Самостоятельно
и по заказу международных организаций ведет работы по обнаружению
уязвимостей промышленных контроллеров и SCADA-систем компания
Касперского (параллельно она разрабатывает защищенную операционную
систему для российских систем АСУ ТП и SCADA) (Евгений Касперский: "Кибертерроризм - это реальность").
Предполагается, что большинство систем может быть поражено боевыми вирусами типа Stuxnet, Ducu, Flame, Maadi, Wiper разработки военных ведомств США, Израиля, Китая и Ирана. Недавно официально к созданию кибероружия приступила Британия.
(
Эксперт: кибератаки подрывают экономику Британии
Британия объявила о программе по созданию кибероружия
Пентагон признал, что стал жертвой мощной кибератаки
США не справляются с обеспечением своей кибербезопасности
Пентагон будет рассматривать кибератаки как "акт войны"
США считают Россию и Китай лидерами кибершпионажа
В кибервойне Китай "представляет угрозу для США"
США, Индия, МОК и ООН стали жертвами крупнейшей кибератаки
)
По данным компании Positive Technologies, исследующей безопасность систем АСУ ТП (ICS/SCADA) с 2005 г. по 1 октября 2012 г., в настоящее время происходит стремительный рост числа уязвимостей и около 65% из них являются серьезными или критическими; при этом 40% всех доступных извне SCADA-систем уязвимы и могут быть взломаны из Интернета из-за ошибок конфигурации и отсутствия обновлений (у большинства производителей обновления платные и пользователи об их появлении не уведомляются).
В России из имеющих уязвимости наиболее распространены: программные продукты семейства Siemens SIMATIC, TCP/IP технологии передачи данных и ОС Microsoft Windows.
В сегменте программируемых логических контроллеров (ПЛК, PLC) лидируют Siemens (примерно 31%), Schneider Electric (11%), ABB (9%), Allen-Bradley (7%) и Emerson (5%).
Естественно, что наибольшее количество уязвимостей обнаруживается в самых распространенных решениях:
42 в компонентах АСУ ТП производства компании Siemens, 22 в компонентах Broadwin/Advantech, 18 - Schneider Electric.
Однако более существенным показателем здесь является отношение производителей к проблеме уязвимостей. Например, компания Siemens в 2010 году сформировала специализированное подразделение Siemens ProductCERT, основной задачей которого является обнаружение и устранение проблем безопасности в продуктах компании.
Экспертами исследовательского центра Positive Research в 2012 году было обнаружено более 50 уязвимостей в различных продуктах автоматизации, большая часть которых в настоящее время уже устранена производителями. Значительную работу по координации устранения проводит
также организация ICS CERT.
В 2010-2012 годах Siemens устранил и выпустил обновления для 88% уязвимостей, тогда как Schneider Electric ликвидировал только чуть больше половины (56%) недостатков защищенности.
Другим важным показателем является скорость устранения уязвимостей. Около 81% из них ликвидируется в течение 30 дней после обнаружения.
Если говорить о компонентах систем АСУ ТП, имеющих уязвимости, то 94% из них подвержены дистанционному взлому.
Почти треть уязвимостей (36%) связаны с переполнением буфера (Buffer Overflow) — явлением, возникающим, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. Это позволяет
злоумышленнику не только вызывать аварийное завершение или «зависание» программы (отказ в обслуживании), но и выполнять в целевой системе произвольный код - около 50% всех уязвимостей позволяет хакеру дистанционно запустить в АСУ ТП выполнение стороннего кода (Buffer Overflow, Remote Code Execution). Чему так же способствует большое количество проблем с аутентификацией и управлением ключами (Authentication, Key Management; почти 23%)
В августе 2010 года было опубликовано уведомление US-CERT VU#362332, в котором сообщалось об опасной уязвимости в системе реального времени VxWorks, используемой в промышленности. По утверждению исследователя HD Moore, он обнаружил более 250 000 уязвимых систем, доступных из сети Интернет.
В твиттере @ntisec постоянно публикуется информация о системах АСУ ТП, доступных из Интернет. Однажды на Pastebin.com было опубликовано более 2000 IP-адресов SCADA-систем, расположенных в различных регионах мира.
Таким образом, возникает необходимость ранжировать уязвимости по их степени риска для функционирования систем АСУ ТП. Наибольшую опасность представляют критические уязвимости (имеющие эксплойт), и уязвимости высокой степени риска (значение CVSS v2 Base Score > 6,5) – всего 66% уязвимостей.
Относительно благополучное состояние дел с системами АСУ ТП компаний SEL, Lantronix, Emerson и Invensys объясняется лишь отсутствием широко известного способа нападения на них (нет публикаций в Интернет).
Наиболее просто поразить компоненты систем АСУ ТП компаний Schneider Electric – имеется шесть открытых и общедоступных уязвимостей; General Electric - 3 открытых уязвимости; АВВ, Advantech/Broadwin и Rockwell Automation имеют:по одной открытой уязвимости.
31,3% всех видимых из глобальной сети систем АСУ ТП, к элементам которых есть сторонний доступ, расположены в США, 6,8% в Италии, 6,2% в Южной Корее, 2,3% в России, в КНР - 1,1%.
Больше всего уязвимых систем АСУ ТП, которые «видны» из Интернета, в Швейцарии - 100%, в Чехии - 86%, в Швеции - 67%, в России – 50%.
Видны из Интернет 41,4% систем АСУ ТП Европы, 37,5 % АСУ ТП США и 12,4% АСУ ТП Азии.
В Европе уязвимы 54% видимых систем промышленной автоматизации, в США и Канаде - 39%, в Азии - 32%.
Из Интернет видны следующие компоненты систем АСУ ТП: 31% - SCADA/HMI, 12% - SCADA, 27% - HMI, 27% - контроллеры, 3% - другие сетевые устройства, обслуживающие системы АСУ ТП.
Доля безопасных систем АСУ ТП в мире не превышает 17%, подтверждённо опасных – 42%, остальные 41% систем специалисты относят скорее к опасным, чем безопасным, так как по ним просто отсутствует информация о вскрытии.
В апреле 2012 года компания Digital Security сообщила, что от 40% до 60% SAP-систем (используется в ОАО «ФСК ЕЭС») имеют более 3 000 уязвимостей, позволяющих без проблем обходить все уровни аутентификации, и полностью завладевать системами и содержащимися в них данными.
Особенную угрозу для безопасности представляют собой системы автоматизации, построенные с использованием стандарта IEC61850/GOOSE, использующие широковещательную передачу информации. При этом один каким-либо образом пораженный элемент системы мгновенно поражает всю систему/объект, приводя к ее физическому разрушению (цель боевых вирусов Stuxnet, Ducu, Flame, Maadi, Wiper, …). В тоже время как показывают опросы в США (слайды 8 и 9) интерес к внедрению стандарта спадает, чему в немалой степени способствуют возникающие в России трудности с его реализацией и большая стоимость.
Компания GE одной из первых начала «ревизию» основных постулатов стандарта как в США, так и в России, и даже в 2008 году предполагала достичь снижения стоимости проектов реконструкции ПС на 15%, однако с тех пор никаких сообщений о реально достигнутых результатах нет. Российский опыт показывает увеличение стоимости объектов до двух и более раз.
В противовес GE компании Siemens и АВВ упорно двигаются в сторону исполнения основных положений стандарта, что привело к возникновению уже пяти возможных парадигм его реализации.
Мнение немногочисленных независимых российских экспертов о преждевременности внедрения стандарта до его окончательного принятия и проработки мировым сообществом ОАО «ФСК ЕЭС» никак не учитывается.
В этом свете первоочередное значение приобретают вопросы создания и реализации государственной программы импортозамещения - практически единственной возможности защититься от подобных воздействий.
По официальным данным соотношение долей применяемого отечественного и импортного основного электротехнического оборудования, закупленного в 2006-2008 годах для объектов ОАО «ФСК ЕЭС» выглядело достаточно оптимистично
То же для отечественного и импортного оборудования вторичных коммутаций, закупленного в 2006-2008 годах для объектов ОАО «ФСК ЕЭС».
Однако в обоих случаях в статью «отечественное» оборудования включались поставки расположенных на территории России отверточных производств иностранных компаний и аффилированных с ними российских компаний. Таких как АВВ Россия, АБС, ВНИИР, ИЦ «Бреслер». Реальная доля отечественных производителей была много меньше или отсутствовала вовсе.
В 2012 году ситуация стала еще хуже (слайд 12).
По факту в ОАО «ФСК ЕЭС» основное участие российских компаний приходится на СМР, ПИР и поставку первичного оборудования - до 80% от общего объема инвестиций – и может достигать 50-60%.
Наукоемкое высокотехнологичное вторичное оборудование систем РЗА, Автоматизации, ПНИН, связи, инфраструктурных систем, без которого все первичное оборудование и сама энергетика просто не могут функционировать – до 20% от объема инвестиций - на 97-98% импортные.
Другая ситуация в США (см. слайд 13).
Из-за высокой стоимости (скрытая финансовая угроза) доминирование прямых и скрытых импортных поставок заметно тормозит темпы реконструкции (направления, в которых высоко участие российских компаний в несколько раз опережают по темпам реконструкции направления, где преобладают импортные поставки), и ведет к росту тарифов:
● количество
введенных в эксплуатацию МП устройств не превышает для релейной защиты
5-7% (высока доля импорта), электроавтоматики - 5%, противоаварийной
автоматики - 40% (российские компании), прочей автоматики - 2-3% (высока
доля импорта)
● автоматизация
технологических процессов выполнена на менее чем 10% принадлежащих ОАО
«ФСК ЕЭС» подстанций (ПС) (высока доля импорта)
● оборудование
Единой технологической сети связи электроэнергетики России (ЕТССЭ) на
50% является аналоговым и находится в эксплуатации в среднем 20-30 лет.
100% устанавливаемого ВОЛС-оборудования – импортное.
● ЕТССЭ не имеет единой системы управления, эксплуатации и контроля
● на
объектах Единой национальной (общероссийской) электрической сети России
(ЕНЭС) доминирует морально и физически устаревшая телемеханическая
аппаратура сбора и передачи информации – устанавливается импортная
техника.
Совокупная доля российских компаний на рынке РЗА техники не превышает 25-30%, а в области высоких напряжений - не более 20%.
В области цифровой связи (ВОЛС и Ethernet) 100% объема поставок принадлежит иностранным производителям, в значительной степени компаниям АВВ и Cisco. Продукция компании АВВ не соответствует требованиям российской нормативной базы по информационной безопасности, может быть удаленно переконфигурирована или остановлена. За рубежом имеются два “слепка” системы связи ОАО «ФСК ЕЭС» на оборудовании АВВ. Начиная с 2011 года, компания АВВ умышленно ставит на все поставляемое в Россию оборудование связи закладки, обеспечивающие несовместимость оборудования АВВ с продукцией других производителей, и допускающие ее дистанционное управление.
В 2011-2012 годах начались массовые поставки в ОАО «ФСК ЕЭС» оборудования компании ТТС Маркони, которое имеет «темное» происхождение (сменилось не менее 5 собственников марки в разных странах), и которое широко используется для создания цифровых сетей блоком НАТО.
Не многим лучше ситуация с оборудованием, используемым российскими операторами связи, у которых энергетика арендует каналы для собственных нужд, в том числе для технологического управления отраслью. Наиболее популярными в России в последнее время стали продукты компании Huawei, которые в некоторых странах мира уже запрещены к использованию, или вопрос о запрете решается на государственном уровне.
(
USA warnen vor Huawei- und ZTE-Geräten
Australien lehnt Huawei als Netzwerkausrüster ab
Австралийцы заподозрили Huawei Technologies в шпионаже в пользу КНР
Huawei не пустят в Австралию из-за китайских кибератак
)
В области единой системы управления ЕТССЭ 100% преобладание продукции иностранных производителей, по большей части компании АВВ, позволяет ей диктовать ОАО «ФСК ЕЭС» условия технического и коммерческого взаимодействия (изменения рабочей документации, срывы сроков поставки и запуска объектов стали привычным делом). С учетом возможности поражения программного и аппаратного обеспечения АВВ вирусами, и отказа АВВ во взаимодействии с компанией ЗАО «РКСС» в решении вопросов безопасности, система управления ЕТССЭ от АВВ становится главнейшей угрозой безопасности энергокомплекса России.
Попытка решить эту проблему установкой над системой управления АВВ системы управления более высокого уровня - “зонтика” - значительно удорожает решение связи в ТЭК России, и не гарантирует показатели информационной и технологической безопасности, поскольку она так же является импортной.
Комплекс перечисленных факторов не позволяет использовать ЕТССЭ, как сеть связи двойного назначения для нужд Министерства Обороны России и, как следствие, ведет к снижению обороноспособности России.
Аналогичная ситуация складывается и в системах технологического управления (АСУ ТП, АСТУ), наблюдения и мониторинга (программа ПНИН), и даже в системах безопасности ТЭК.
Это не значит, что импортное оборудование использовать нельзя - можно, но оно должно пройти процедуру “доверения”, когда компания добровольно передает соответствующим компетентным организациям России исходные коды программного обеспечения и оборудование на предмет отыскания в них механизмов скрытых угроз; строит на территории России технологически завершенные производства, переносит в страну центры R&D (разработки и исследований).
К сожалению, в настоящее время единственное доверенное оборудование связи в России выпускается компанией Alcatel-Lucent RT. Мультиплексоры АВВ серии FOX и оборудование компании Avaya имеют подтвержденные уязвимости, представляют угрозу безопасности и не соответствуют отраслевым требованиям.
В целом по оценке российских производителей реализация государственной программы импортозамещения может дать снижение тарифов на 10-30%, или при сохранении их текущей величины обеспечить финансирование второго этапа реконструкции электроэнергетики России.
Однако сейчас при выполнении программы импортозамещения они сталкиваются с целым рядом проблем и барьеров (слайд 14):
● отсутствие доступа на рынок ФСК/МРСК/ТЭК
Используются
различные механизмы недопущения российских производителей на торговые
площадки. Один из них: конкурсное требование по обеспечению
совместимости продукции с оборудованием импортных производителей (так
называемые “обратные концы”), причем совместимости не на уровне
стандартов, а во всех смыслах незаконное требование совместимости на
уровне проприетарных протоколов и характеристик, толкающее российских
производителей на нарушение авторских и патентных прав иностранных
компаний.
● создание локальных/региональных производственных центров
Создание в
одном географическом регионе технологических и производственных центров
заставляет сосредоточенные там компании конкурировать между собой в
очень ограниченном торговом пространстве. Причина: логистические и
сервисные возможности небольших компаний ограничены географическими
размерами страны. Иностранные компании или компании-интеграторы таких
ограничений не имеют (часто это их единственные расходы на территории
страны), и чувствуют себя в других регионах России очень комфортно.
Конкуренцию им может составить в лучшем случае одна-две российские
компании производителя.
● насаждение импортных идеологий
У нас
популярен выставочный туризм руководителей и сильна вера во все
импортное. В результате вместо того, чтобы развивать собственные
решения, российские компании вынуждены подстраиваться под иностранные
технические решения, идеологии и политики, увеличивая и без того большие
сроки технологического отставания - они по-определению догоняющие, и им
элементарно не хватает собственных средств на борьбу с компаниями с
миллиардными оборотами.
Кроме
всего прочего, из-за этого страна несет колоссальные прямые и косвенные
убытки, причинами которых являются: завышенная стоимость
“инновационного” импортного оборудования и проектов на его базе,
остановка проектов и реконструкций, основанных на “обычных” российских
технологиях, исключение из конкурсов компаний, не владеющих
подсмотренными новинками.
● ориентация НИОКР на импортные разработки
достаточно
посмотреть любые программы инновационного развития - за редким
исключением, в них нет ничего нового - цель одна: догнать или повторить
импортные разработки.
на
совещании директоров по ИТ ОАО «ФСК ЕЭС» в г. Новосибирск в 2012 году
Заместитель Председателя Правления Гуревич Дмитрий Михайлович назвал
приоритетными следующие инновационные проекты в области ИТ технологий:
размещение антенно-фидерных устройств подвижной радиосвязи на опорах ВЛ,
внедрение системы специализированного мониторинга погодных явлений,
внедрение систем мониторинга авто- и спецтехники, развитие сети
электрозарядных станций (ОАО «ФСК ЕЭС» - технологический оператор сети),
создание на базе ДЗО ОАО «ФСК ЕЭС» - ОАО «МУС Энергетики» единой службы
для технического обслуживания и ремонта цифровых систем передачи
информации, и единых центров управления и мониторинга ИТ инфраструктуры и
систем технологического управления (монополизация рынка услуг,
профанация идеи торгов), а так же направления развития: усиление
взаимодействия с ОАО «Ростелеком», ОАО «МТС» и ОАО «Мегафон» - ни одного
профильного актива,
В то время
как программы НИОКР, направленные на устранение подчиненности
российской энергетики иностранным компаниям (самостоятельные, иногда
противоречащие “тренду” решения) блокируются чиновниками всех уровней в
соответствие с их понятиями об инвестиционности.
так за
период 2011-2012 гг. было отказано в проведении совместных с ЗАО
«Юнител Инжиниринг», ОАО «НТЦ ФСК ЕЭС» и ОАО «Фирма ОРГРЭС» НИОКР по
темам: выработка рекомендаций и механизмов устранения отказов
функционирования технологической системы связи ОАО «ФСК ЕЭС», разработка
концепции технологической системы передачи информации, разработка и
изготовление устройств связи для передачи технологической информации и
систем автоматизации, разработка типовых технических решений в связи в
энергетике, разработка технологического узла связи, разработка и
изготовление опытного образца технологической системы связи, разработка
типовых проектных и конструкторских решений в связи в энергетике,
разработка новых принципов передачи технологической информации и
автоматизации с учетом требований обеспечения корпоративной и
технологической безопасности, разработка нормативной документации и
проведение соответствующих измерений и испытаний для использования ЕТССЭ
в качестве системы связи двойного назначения - работы, содержащиеся в
Положении о технической политике ОАО «ФСК ЕЭС» от 2011 года,
направленные на устранение подчиненности российской энергетики
иностранным компаниям и снижение стоимости реконструкции ОАО «ФСК ЕЭС»
● локальные отверточные производства
в
подавляющем большинстве импортные компании создают на территории России
отверточные производства с минимальными издержками, перенос технологий
их вовсе не интересует. Российским производственным компаниям
конкурировать с такими заводами практически невозможно, и дело тут не в
неэффективности российских производств, а в различии производственных
процессов. Здесь нельзя не упомянуть об имеющемся положительном опыте:
совместном производстве Рено-АвтоВАЗ, где реально происходит перенос
технологий.
Другим
распространенным механизмом является «скрытое» внедрение иностранных
компаний, через эксклюзивные поставки оборудования только одному
поставщику ОАО «ФСК ЕЭС». Таким образом, формально являющаяся российской
компания на самом деле выступает в роли иностранного агента в России.
● коррупция
возникающие
российские инновационные производства сразу скупаются чиновниками, не
согласных заносят в черные списки, лишают контрактов или отстраняют от
участия в тендерах и они сами умирают. Цель покупки, как правило -
устранить угрозу импорту.
Не менее популярный прием - приобретение акций или активов импортных компаний, с последующим их «скрытым» внедрением в страну.
● тендеры
кроме уже
упоминавшихся механизмов вытеснения российских производственных компаний
от участия в тендерах, широко используется следующий прием:
единственным критерием победы в конкурсе объявляется цена лота
(технические тендеры в стране не проводятся очень давно), где российские
производственные и инновационные компании заведомо находятся в
проигрышном положении. Тут нельзя не упомянуть положительный опыт
некоторых развивающихся стран: локальные производители при проведении
торгов имеют преимущество перед импортными компаниями в запасе по цене
10- 20% и выше.
● система оплаты
практически
все компании-заказчики в ТЭК перешли на постоплату выполняемых
договоров и контрактов. Практически это означает, что российские
импортозамещающие инновационные и производственные компании
дополнительно обременяются банковскими и налоговыми потерями, делающими
их функционирование нерентабельным. Крупные импортные компании и
компании-интеграторы таких проблем не имеют.
● аттестация
в отраслях
ТЭК принята система технической аттестации, которая в отличие от
аттестации на безопасность стоит в десятки раз дороже. Причем стоимость
аттестации определяется выполняемыми при ее проведении процедурами,
стоимость конечного продукта не учитывается. В результате частенько
происходит следующее: производитель недорогого отечественного
оборудования вынужден годовую, а то и больше прибыль пускать на
аттестацию, причем опять же обременяясь банковскими и налоговыми
потерями (ведь без аттестации производство и продажи начать невозможно).
Дешевые высокотехнологичные вещи делать просто невыгодно - легче купить
в Китае.
В
довершение всего отраслевая аттестация для российских производителей
является обязательной (причем в каждой отрасли отдельно), в то время как
существует и используется множество механизмов установки на объектах
ТЭК не аттестованного импортного оборудования
● коммерческие
существуют десятилетиями выверенные методы проведения НИОКР мирового уровня (слайд 15):
- инвестиции в НИОКР (развитие) не могут быть меньше 3-8% от оборота компании. Конкретная цифра зависит от оборота компании и ее инновационной политики. Оптимальное значение для больших компаний 4-7%, для малых компаний - 8-10%.
- существуют непрямые расходы на НИОКР, состоящие из: непредвиденных исследовательских и научных выплат, неучтенных в плане НИОКР статей расходов, необходимости закупки более нового оборудования, участия в НИОКР работников всей компании, а не только исследовательских подразделений, и т.д. Точная величина зависит от многих факторов, но, как правило, составляет 1-3%.
- инновационная и НИОКР деятельность - это “замороженная” прибыль, равно как и деятельность с постоплатой, которые подвержены инфляции, дисконтированию, и обременяются банковскими и налоговыми выплатами. В России для двух - трехлетнего НИОКР эта цифра не может быть меньше 12-18%.
- стоимость НИОКР мирового уровня не может быть менее 1-10 $млн.
Таким
образом, минимальная прибыльность выполняемых контрактов для российской
компании, занимающейся инвестициями за собственный счет, составляет
21-29%.
В это же
время крупные импортные компании или компании-интеграторы, не
обремененные полноценным собственным производством на территории России,
при проведении торгов легко понижают планку прибыльности до 10% и
меньше, выигрывая все доступные им конкурсы.
Даже, если
на конкурсе все сложилось хорошо, вступают в силу чисто
производственные показатели компании, а именно выработка на одного
человека компании в год. Компании, у которых выработка на одного
работника компании составляет менее 3-5 млн. руб. в год в принципе не
могут вести инвестиционную деятельность мирового уровня без
государственных дотаций.
На
собственные средства НИОКР могут выполнять только компании с выработкой
более 5 млн. руб. в год. Например, чтобы в НИОКР стоимостью 5 $млн.
вложить 8% от оборота компании, последний должен составлять не менее 1.8
млрд. руб в год. Число сотрудников компании при выработке 5 млн. руб. в
год будет составлять 350-400 человек, а при выработке 10 млн. руб. в
год - 150-200 человек. Последнее производство на порядок эффективней и
гибче, может реагировать на любые колебания рынка и технических политик.
Фактически
в совокупности с приведенными выше причинами и барьерами занятие
инвестиционной деятельностью за собственный счет на территории России
могут себе позволить очень немногие (сумасшедшие) компании, обладающие
самым эффективным производством.
В заключение хочется сформулировать предложения в Решение конференции:
● в
программу обеспечения комплексной безопасности объектов ТЭК должны быть
включены разделы, касающиеся скрытых и отложенных угроз, связанные с
использованием на объектах ТЭК оборудования, систем и технологий не
прошедших процедуру “доверения”, а так же не получивших одобрения
независимыми экспертными советами
● системо
- и инфраструктурно-образующие технологии, не зависимо от их
ведомственной принадлежности, должны получить “одобрение” Министерства
обороны России для возможности их использования в качестве технологий
двойного назначения
● российские
инновационные и производственные компании должны иметь преференцию при
проведении торгов в цене лота, тем большую, чем более импортонезависимую
политику они занимают (в выборе идеологий, технологий и направлений
инновационного развития). Это же касается банковского обслуживания,
налогообложения и таможенных платежей.
● в
отраслях ТЭК должны быть созданы структуры, надзирающие за равноценным
участием в торгах российских инновационных и производственных компаний, а
также пресекающие элементы технологической коррупции
● при
выполнении контрактов и договоров на российские инновационные и
производственные компании должны распространяться иные механизмы
расчетов, чем постоплата
● при
выполнении аттестации в зависимости от стоимости конечного продукта для
российских инновационных и производственных компаний должны
использоваться механизмы расчета, подобные беспроцентной рассрочке
платежа. Необходимо исключить механизмы использования на объектах ТЭК не
аттестованного импортного оборудования
● при
определении налоговой ставки на прибыль для российских инновационных и
производственных компаний должна учитываться эффективность производства,
критерием которой может служить годовая выработка на одного сотрудника
компании.