Як захистити ядерні об’єкти від вірусних атак? Оцінка ризиків – нова тенденція запобігання кіберзагрозам

/in , /by

Останнім часом українці стали більш пильну увагу приділяти питанням кіберзахисту об’єктів критичної інфраструктури. Однією з причин тому – вірус «Petya», який нагрянув зненацька й заразив чималу кількість IT-систем держави. На сьогодні в Україні вже створено та функціонує Центр реагування на кіберінциденти. Про те, чого не вистачає Україні для реалізації повноцінної програми запобіганню кіберзагрозам редакція веб-сайту Uatom.org спілкувалася з експертом за напрямом, представником Навчального центру з фізичного захисту, обліку та контролю ядерного матеріалу імені Джорджа Кузмича Сергієм Драпеєм.         

Експерт Навчального центру з фізичного захисту, обліку та контролю ядерного матеріалу імені Джорджа Кузмича Сергій Драпей

– Пане Сергію, у вересні минулого року Ви висловили пропозицію створити спецгрупу кіберзахисту ядерних установок в Україні. В лютому 2018-го був створений Центр на реагування кіберінцидентів. Чи зможе такий центр повноцінно захищати об’єкти ядерної галузі від вірусних атак?

– Так, минулого року я говорив про те, що в Україні на рівні атомних станцій, на рівні ядерного регулятора – необхідно створити відповідну групу, яка займатиметься миттєвим реагуванням у випадку кіберзагроз. До цієї групи увійти повинні експерти усіх ядерних об’єктів України, а також – представники Держатомрегулювання, НАЕК «Енергоатом» та Міністерства енергетики та вугільної промисловості.

Наскільки мені відомо, на даний час подібні підрозділи існують на рівні ядерних установок, проте міжвідомчої групи так створено й не було. Все ж, я вважаю, рано чи пізно ми до цього прийдемо, й не останню роль у цьому зіграє Центр реагування на кіберінциденти.   

Створення даного Центру, безсумнівно, є кроком вперед для України. Його фахівці займатимуться розвідкою в інтернеті для своєчасного виявлення небезпечних вірусів та програм. Чи вдасться значно посилити систему кіберзахисту в Україні – говорити поки зарано, адже Центр створений два місяці тому.

Відверто кажучи, я вважаю, що для такої технологічно розвиненої держави як наша – одного Центру реагування на кіберінциденти недостатньо. В Україні назріла необхідність створення регіональних та міжгалузевих центрів, очолити які міг би Центр реагування на кіберінциденти або Ситуаційний центр забезпечення кібербезпеки, заснований на базі Департаменту контррозвідувального захисту інтересів держави у сфері інформаційної безпеки СБУ.    

– Чи не траплялося останнім часом вірусних атак на ядерні об’єкти в Україні?

– Наскільки мені відомо, таких випадків не було. Це обумовлено тим, що майже всі мережі ядерних об’єктів в Україні – закриті, а персонал проходить відповідну перевірку, що мінімізує ймовірність виникнення внутрішнього правопорушника.   

Проте це не означає, що необхідності у покращенні кіберзахисту ядерних об’єктів в Україні немає. Створення міжвідомчої групи кіберзахисту ядерних установок потрібне для того,  аби аналізувати усі правопорушення кіберсфери в світовому масштабі, проводити оцінку кожного й бути готовими в будь-який момент застосувати контрзаходи. Не варто чекати нових проблем, краще діяти на запобігання, вчитися на чужих помилках, а не своїх.    

– Яким чином системи кіберзахисту посилюють у розвинених країнах світу?

– Я би, певно, зупинився на досвіді США.

Розуміючи, що від належного забезпечення кіберзахисту, залежить стабільне функціонування енергетики, економіки, медицини, врешті-решт, усієї держави в цілому – колишній президент США Барак Обама у 2013 році підписав указ про розробку структури кібербезпеки. Після чого перед Національним інститутом стандартів і технологій США (NIST) постало завдання подбати про розробку й впровадження стандартів, заснованих на оцінці ризиків. 2 жовтня 2013 року NIST представив керівний документ з попереднім описом проектованої структури стандартів. 

На сьогоднішній день, у США діє низка керівних документів, які підтримують функціонування єдиної структури інформаційної безпеки на належному рівні.

В першу чергу мова йде про Посібник з керування ризиками федеральних інформаційних систем (Special Publication 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach); Рекомендовані елементи контролю безпеки для федеральних інформаційних систем (Special Publication 800-53, Recommended Security Controls for Federal Information Systems and Organizations); Посібник для проведення оцінки ризиків (Draft Special Publication 800-30, Guide for Conducting Risk Assessments) та інші.

Крім того, у США застосовується низка міжнародних стандартів за напрямом:

  • ISO/IEC 31000, Ризик-менеджмент – принципи та керівні вказівки;
  • ISO/IEC 31010, Ризик-менеджмент – методи оцінки ризиків;
  • ISO/IEC 27001, Інформаційні технології – Методи захисту – Системи управління інформаційною безпекою – Вимоги;
  • ISO/IEC 27005, Інформаційні технології – Методи захисту – Управління ризиками інформаційної безпеки.

Я вважаю, для реалізації повноцінної програми запобіганню кіберзагрозам – в Україні також мають бути створені та застосовуватися подібні документи.

Крім того, було б не зайвим – покращити рівень підготовки спеціалістів за напрямом кіберзахисту об’єктів критичної інфраструктури. Загалом на сьогоднішній день система кіберзахисту в Україні працює, проте покращувати нам є що. 

Редакція веб-сайту Uatom.org