Кібербезпека – новий маст хев в промисловості

/in , /by

За ступенем негативного впливу для світової спільноти наслідки кіберзлочинності займають на сьогодні третє місце. Все частіше ми чуємо дивне слово «кібербезпека» – чи то зі звітів Ілона Маска, чи із серії «Чорного дзеркала». І, здається, зовсім не із нашої повсякденності. Але уявіть, що вам потрібно в лікарню, а жодна не приймає пацієнтів, бо всі системи заблоковані зловмисниками-хакерами (два місяці тому лікарні Алабами платили хакерам викуп за розблокування інформаційних систем), або всі ваші особисті дані з фейсбук та гугл пішли в невідомому напрямку та можуть бути у будь-який момент використані проти вас, що трапилося не так давно.

Не хочеться навіть думати про те, які наслідки можуть мати ті самі дії, тільки стосовно до таких об’єктів як атомна станція. Наприклад, один із найпростіших випадків, який може бути організований зловмисниками: інформація на важливі для системи датчики через стороннє втручання подається не з контрольованих вузлів, а із зовнішнього джерела. Отже, оператор бачить по приборах, що система працює у нормальному режимі, а насправді реактор починає потроху виходити з-під контролю

«Інформаційна безпека», або «кібербезпека» – це певний стан захищеності систем обробки та зберігання даних, при якому забезпечується конфіденційність і цілісність інформації, а також унеможливлюється несанкціонований доступ до неї, у тому числі, з метою використання у протиправних цілях. З практичної точки зору, «кібербезпека» – це заходи, що мають бути прийняті для запобігання несанкціонованого використання, зловживання та зміни відомостей, фактів, даних, які потужною стіною захищають інформаційне поле від сторонніх впливів. Але навіть якщо ви побудуєте найміцнішу фортецю в світі – тут же з’явиться загроза від когось із ще більш потужною зброєю. Тож, кібербезпека – це насамперед попереджувальні дії, які дозволяють захистити інформацію та обладнання від загроз та використання їх вразливих місць.

Досвід віруса Stuxnet, що був запущений через промисловий контролер та приніс мільярдні збитки для ядерної енергетики Ірану, чудово ілюструє, що важливі промислові об’єкти по всьому світу залишаються вразливими до кібернетичних нападів. Чи достатньою є система протидії кібератакам в українській атомній енергетиці, розпитуємо Сергія Драпея, провідного інженера Навчального центру з фізичного захисту, обліку та контролю ядерного матеріалу імені Джорджа Кузмича.

Сергій Драпей, провідний інженер Навчального центру з фізичного захисту, обліку та контролю ядерного матеріалу імені Джорджа Кузмича

 

Пане Сергію, поясніть, будь ласка, хто саме в Україні, які підрозділи, займаються питаннями кібербезпеки?

Є центри безпосередньо при СБУ. Зараз при Держспецзв’язку формують список – базу даних критичної інформаційної інфраструктури. АЕС подають туди свої дані, які потім будуть зібрані, оцінені, і перевірені. Нині на CERT-UA розміщуються рекомендації щодо організації інформаційного захисту. Але ці рекомендації носять доволі загальний характер. Є підрозділи кіберполіції при СБУ, до системи кібербезпеки також долучається РНБО. На АЕС цим повинні займатися служби інформаційних технологій (СІТ). Але як частину фізичного захисту інформаційну безпеку поки що розглядати важко. Ми можемо оцінити ризики для системи від, скажімо, людини з гранатою, але оцінити ризики та побудувати захист від людини з ноутбуком доволі складно.

Чи можуть бути розроблені алгоритми та визначені спеціальні відповідальні особи для протидії саме кіберзагрозам?

Повинна існувати галузева група, яка розуміє всі види фізичних небезпек та виходячи із технологічних вимог може забезпечити захист від них. Ці групи мають бути при експлуатуючих організаціях, тому що без розуміння технічної складової неможливо створити норми та правила, які працюють. Всі установки ядерної енергетики, що мають бути захищені, мають різну конфігурацію вузлів, систем, агрегатів тощо, тому у фінальну групу із розробки таких алгоритмів повинні бути включені спеціалісти із різних АЕС, що розуміють саму суть процесів.

Сергію, скажіть, чи існує розподіл інформації за рівнями її важливості та потреби у захисті?

Система фіззахисту передбачає, що жодна інформація з АЕС не може бути винесена за межі станції без спеціального на те дозволу. Тобто немає таких фізичних каналів, за допомогою яких це може бути зроблено. Але ніхто не перевіряє чи не має, наприклад, невидимих для звичайних користувачів вай-фай каналів. Для цього потрібно мати спеціальне обладнання.

Але, як я розумію, якщо ці канали не вмикати, то і інформацію вони не можуть передавати?

Так, а хто може перевірити, чи не має ваш пристрій додаткового вай-фай каналу, який не можна побачити без спеціального обладнання, але через який може існувати зв’язок з пристроєм навіть без вашого відома. Це може бути і камера, і контролер, і навіть принтер. У рамках курсу з кібербезпеки для військових ми підключали відеокамеру від доволі недешевого виробника. Після конфігурції камери, виявилося, що в ній залишився ще спеціальний канал для оператора, і ми побачили його зовсім випадково. Через цей канал можна підключитися до загальної мережі та робити будь-що.

Чи можна призначити відповідальними за кіберзахищеність спеціалістів із фізичного захисту, чи це мають бути IT-спеціалісти?

У складі фіззахисту є IT-спеціалісти, але їх діяльність обмежена. Бо виробники та постачальники надають готову продукцію, навіть цілі системи, діяльність з якими не передбачає детальної її перевірки персоналом служби фіззахисту. А оскільки вимоги до обов’язкових перевірок не прописані у нашому законодавстві, то це має бути хоча б прописано у договорах на постачання, або техобслуговування. І це має бути зроблено до того, як трапиться щось подібне до Іранської ситуації. Наприклад, може бути налаштований вхідний контроль обладнання та включений у перевірку стану як частину фізичного захисту.

Як найкращим чином побудувати вертикаль відповідальності для забезпечення кібербезпеки?

Перше, що має бути зроблено – формування групи, що може обґрунтувати та зробити опис можливих проблем. Це має бути зроблено на рівні Міністерства, ДП «НАЕК «Енергоатом» та Держатомрегулювання. Бо невирішення проблем «кібербезпеки» – це рушниця, що заряджена і може вистрілити у будь-який момент. Потрібно здійснювати періодичну оцінку ризиків з метою виявлення загроз та факторів уразливості, мати належні технології та інструменти контролю для цього, з урахуванням значущості інформації, яка захищається.

Редакція вебсайту Uatom.org