В России озабочены бесперебойной защитой КИИ
Рабочая группа центра компетенций "Энерджинет", в состав которой вошли эксперты ГК InfoWatch, опубликовала аналитический отчет для руководителей и специалистов, работающих на российских предприятиях энергетического сектора. В отчете приведены результаты сравнения ключевых документов, регулирующих вопросы кибербезопасности энергетической отрасли России и США.
Кибератаки на инфраструктуру относятся к числу наиболее значимых глобальных рисков – их значимость составляет 76, 1%, согласно результатам отчета. При этом международный рейтинг стран по индексу информационной безопасности за 2018 год свидетельствует, что всего 58% стран-участниц ООН из 194 имеют национальную стратегию информационной безопасности. Россия в рейтинге глобального индекса кибербезопасности за 2018 год заняла 26-е место с показателем 0, 836 балла, что на 16 позиций ниже, чем в редакции рейтинга за 2017 год (10-е место, с показателем 0, 788). Таким образом, уровень обеспечения ИБ в России стал ниже, однако целый ряд отдельных показателей страны по кибербезопасности существенно улучшился. В новом рейтинге России было начислено 0, 197 балла за законодательство, 0, 162 балла за технологическую сторону обеспечения ИБ и 0, 135 балла за международной сотрудничество. Составители рейтинга за 2018 год особо отмечают улучшение в России мер против мошенничества в сфере использования электронных платежных систем.
Авторами отчета отдельно отмечается, что вопросы обеспечения информационной безопасности КИИ в последнее время находятся в сфере пристального внимания руководства практически всех промышленно развитых стран. На основании проанализированных рабочей группой материалов видно, что законодательство, касающееся КИИ (критической информационной инфраструктуры), наиболее развито в США, а законодательные органы других стран стараются максимально гармонизировать нормативные документы с американскими. Анализ стратегии кибербезопасности Министерства энергетики США и основного документа для принятия технических решений Cybersecurity Framework (всего с 2014 по 2019 год по линии Министерства энергетики было принято пять основополагающих документов - "Cybersecurity capability maturity model", "2015 Energy Sector Specific Plan", "DOE Multiyear Plan for Energy Sector Cybersecurity", "Cybersecurity strategy 2018-2020" и "Securing Energy Infrastructure Act") показал членам рабочей группы центра компетенций "Энерджинет", что основные стратегические решения по управлению рисками информационной безопасности, прежде всего, реализуются на уровне предприятий. А вопросы, связанные с эффективным ростом кибербезопасности, должны носить исключительно добровольный характер.
При этом рабочая группа полагает, что в России сегодня не существует взаимоувязанных методических и организационно распорядительных документов, позволяющих комплексно выстраивать и эксплуатировать системы электроэнергетики как комплексных киберфизических систем - несмотря на актуальность темы кибербезопасности для промышленных предприятий. Так, например, невозможно идентифицировать техногенный инцидент как следствие кибератаки, что приводит к отсутствию проблематики кибербезопасности в нормативном поле. И к тому, что вопросы компьютерных атак на киберфизические системы рассматриваются в нашей стране исключительно в ИБ-разрезе.
Основным документом в области информационной безопасности в России является соответствующая доктрина, утвержденная указом Президента РФ от 05.12. 2016 (№646), в которой текущее состояние и направления развития информационной безопасности рассматриваются в разрезе стратегических национальных приоритетов. Это, по мнению авторов отчета, в перспективе должно позволить выстраивать иерархию системообразующих документов в ИБ с учетом стратегических национальных приоритетов. В связи с растущим уровнем ИБ-угроз, в новой доктрине уделяется особое внимание защите КИИ РФ, делается упор на ее бесперебойной работе.
В результате исследования рабочая группа выделила четыре основных отличия систем обеспечения кибербезопасности КИИ в США и РФ. Во-первых, в США основные решения по управлению рисками лежат на собственниках и операторах КИИ. Госорганы обеспечивают указанных лиц информацией об угрозах, стандартах управления рисками, лучших практиках и возможных решениях. В России при организации госсистемы обеспечения кибербезопасности также присутствует этап по управлению рисками, но он заключается лишь в процедуре категорирования объектов КИИ. После определения категории значимости объекта КИИ его собственники и операторы в обязательном порядке должны реализовать требования по ИБ, разработанные регуляторами и не предусматривающие вариативности или управления рисками. Получается, что российские предприятия реализуют только техническую часть процесса, а управление рисками конкретных предприятий остается в ведении государства.
По мнению Михаила Смирнова, директора экспертно-аналитического центра ГК InfoWatch, "в экосистему энергетики обязательно должны быть включены вопросы кибербезопасности. Также необходимо выстроить конструктивный диалог между всеми игроками сферы электроэнергетики в части вопросов, касающихся регулирования кибербезопасности. Именно для этого и работает центр компетенций "Кибербезопасность", включающий в себя как представителей Минэнерго РФ, теоретиков и практиков из научных и образовательных учреждений и ведущих российских производителей решений, обеспечивающих информационную безопасность, а также ИТ/ИБ-интеграторов".
Основные выводы исследования заключаются в том, что развитие электроэнергетики невозможно без внедрения цифровых технологий (без построения современных систем управления) и без глубокой проработки вопросов обеспечения кибербезопасности. При этом решения, разрабатываемые в ближайшие 10 лет должны быть фундаментально пересмотрены в концептуальном, методологическом, технологическом и организационном аспектах.