Кибербезопасность — новый маст хэв в промышленности

/в , /от

По степени негативного влияния для мирового сообщества последствия киберпреступности занимают сегодня третье место. Все чаще мы слышим странное слово «кибербезопасность» — то из отчетов Илона Маска, или из серии «Черного зеркала». И, кажется, оно вовсе не из нашей повседневности. Но представьте, что вам нужно в больницу, а ни одна из них не принимает пациентов, так как все системы заблокированы злоумышленниками-хакерами (два месяца назад больницы Алабамы платили хакерам выкуп за разблокировку информационных систем), или все ваши личные данные с фейсбука и гугла ушли в неизвестном направлении и могут быть в любой момент использованы против вас, что уже случалось не так давно.

Не хочется даже думать о том, какие последствия могут иметь те же действия, только по отношению к таким объектам, как атомная станция. Например, один из самых простых эпизодов, который может быть организован злоумышленниками: информация на важные для системы датчики, из-за постороннего вмешательства, подается не из контролируемых узлов, а с внешнего источника. Итак, оператор видит по приборах, что система работает в нормальном режиме, а на самом деле реактор начинает понемногу выходить из-под контроля.

«Информационная безопасность», или «кибербезопасность» — это определенное состояние защищенности систем обработки и хранения данных, при котором обеспечивается конфиденциальность и целостность информации, а также исключается несанкционированный доступ к ней, в том числе, с целью использования в противоправных целях. С практической точки зрения, «кибербезопасность» — это меры, которые должны быть приняты для предотвращения несанкционированного использования, злоупотребления и изменения сведений, фактов, данных, они мощной стеной защищают информационное поле от посторонних влияний. Но даже если вы построите крепость, тут же появится угроза от кого-то из еще более мощным оружием. Поэтому, кибербезопасность — это прежде всего предупредительные действия, которые позволяют защитить информацию и оборудование от угроз и использования посторонними лицами.

Опыт вируса Stuxnet, который был запущен через промышленный контроллер и принес миллиардные убытки для ядерной энергетики Ирана, прекрасно иллюстрирует, что важные промышленные объекты по всему миру остаются уязвимыми к кибератакам. Достаточной ли является система противодействия кибератакам в украинской атомной энергетике, расспрашиваем Сергея Драпея, ведущего инженера Учебного центра по физической защите, учету и контролю ядерного материала имени Джорджа Кузьмича.

Сергей Драпей, ведущий инженер Учебного центра по физической защите, учету и контролю ядерного материала имени Джорджа Кузьмича

 

Сергей, объясните, пожалуйста, кто именно в Украине, какие подразделения, занимаются вопросами кибербезопасности?

Есть центры непосредственно при СБУ. Сейчас при Госспецсвязи формируют список — базу данных критической информационной инфраструктуры. АЭС подают туда свои данные, которые потом будут собраны, оценены, и проверены. Сейчас на CERT-UA размещаются рекомендации по организации информационной защиты. Но эти рекомендации носят довольно общий характер. Есть подразделения киберполиции при СБУ, к системе кибербезопасности также приобщается СНБО. На АЭС этим должны заниматься службы информационных технологий (СИТ). Но как часть физической защиты информационную безопасность пока рассматривать трудно. Мы можем оценить риски для системы от, скажем, человека с гранатой, но оценить риски и построить защиту от человека с ноутбуком довольно сложно.

Могут ли быть разработаны алгоритмы и определены специальные ответственные лица для противодействия именно киберугрозами?

Должна существовать отраслевая группа, которая понимает все виды физических опасностей и исходя из технологических требований может обеспечить защиту от них. Эти группы должны быть при эксплуатирующих организациях, так как без понимания технической составляющей невозможно создать нормы и правила, которые работают. Все установки ядерной энергетики, которые должны быть защищены, имеют разную конфигурацию узлов, систем, агрегатов и т.п., поэтому в финальную группу по разработке таких алгоритмов должны быть включены специалисты из разных АЭС, понимающие саму суть процессов.

Сергей, скажите, существует распределение информации по уровням ее важности и необходимости в защите?

Система физзащиты предусматривает, что никакая информация с АЭС не может быть вынесена за пределы станции без специального на то разрешения. То есть нет таких физических каналов, с помощью которых это может быть сделано. Но никто не проверяет, не имеет ли устройство, например, невидимых для обычных пользователей вай-фай каналов. Для этого нужно иметь специальное оборудование.

Но, как я понимаю, если эти каналы не включать, то и информацию они не могут передавать?

Да, но кто может проверить, не имеет ли устройство дополнительного вай-фай канала, который нельзя увидеть без специального оборудования, но через который может существовать связь с устройством даже без вашего ведома? Это может быть и камера, и контроллер, а также принтер. В рамках курса по кибербезопасности для военных мы подключали видеокамеру от довольно недешевого производителя. После осмотра конфигурции камеры, оказалось, что в ней остался еще специальный канал для оператора, и мы увидели его совершенно случайно. Через этот канал можно подключиться к общей сети и делать что угодно.

Можно назначить ответственными за киберзащиту  специалистов по физической защите, или это должны быть IT-специалисты?

В состав физзащиты входят IT-специалисты, но их деятельность ограничена. Потому производители и поставщики предоставляют готовую продукцию, даже целые системы, использование которых не предусматривает детальной их проверки персоналом службы физзащиты. А поскольку требования к обязательным проверкам не прописаны в нашем законодательстве, то это должно быть хотя бы прописано в договорах на поставку или техобслуживания. И это должно быть сделано до того, как случится что-то вроде Иранской ситуации. Например, может быть настроен входной контроль оборудования и включен в проверку состояния как часть физической защиты.

Как наилучшим образом построить вертикаль ответственности для обеспечения кибербезопасности?

Первое, что должно быть сделано, — формирование группы, обоснование и описание возможных проблем. Это должно быть сделано на уровне Министерства, ГП «НАЭК «Энергоатом» и Госатомрегулирования, ведь нерешение проблем «кибербезопасности» — это заряженное ружье и оно может выстрелить в любой момент. Нужно проводить периодическую оценку рисков с целью выявления угроз и факторов уязвимости, иметь надлежащие технологии и инструменты контроля для этого, а также учитывать значимость защищаемой информации.

Редакция веб-сайта Uatom.org