Кто защитит 50 тысяч объектов КИИ
На секции "Кибербезопасность: обеспечение защиты критической инфраструктуры", которая прошла в рамках 12 Российского форума по управлению интернетом, модератор дискуссии, руководитель направления интернет-решений "Лаборатории Касперского" Андрей Ярных назвал ситуацию с обеспечением безопасности объектов промышленной инфраструктуры стабильно тяжелой как в России, так и в мире в целом. Согласно данным глобальной статистики "Лаборатории Касперского", по итогам первого полугодия текущего года 31,8% объектов АСУ ТП в мире и 30,7% хотя бы раз пытались атаковать злоумышленники. Чаще всего для атак используют вредоносные скрипты, троянцы, шпионское ПО и шифровальщики. Также злоумышленники все чаще применяют такую простую в реализации и эффективную технологию как фишинг. Из отраслей наиболее активно атакую автомобилестроение, энергетику и ТЭК, а также системы умных зданий.
Заместитель директора по федеральному проекту "Информационная инфраструктура" направления "Безопасная открытая инфраструктура" АНО "Цифровая экономика" Максим Чернов привел выдержку из аналитического отчета, подготовленного АНО "Цифровая экономика". По результатам исследования, статистика распределения объектов критической информационной инфраструктуры (КИИ) по отраслям выглядит следующим образом: "По числу объектов КИИ первое место занимает топливно-энергетический комплекс (71 %), далее следует здравоохранение (12 %), связь (9 %) и на оставшиеся 10 отраслей приходится в сумме 8 % объектов".
Общее количество объектов КИИ, согласно результатам исследования – более 50 тысяч. Соответственно, учитывая требования указа №250, необходимо найти как минимум 50 тысяч человек, что в условиях, с одной стороны, цейтнота, и с другой - жесткого дефицита кадров, является очень сложной задачей.
При этом на очень многих объектах до сих пор применяются зарубежные решения, прежде всего, аппаратные и программно-аппаратные. Некоторые из них, как подчеркнул Максим Чернов, применяются на 90% непрерывных производств, и быстро найти им отечественную замену невозможно. Соответственно, необходимо выработать параметры доверенности для таких систем. Например, можно ли считать доверенным ПО созданное в дружественных странах или только российской компанией, или обязательно только в России, нужен ли контроль государства и если да, то в какой форме (сертификация, стандартизация). По мнению Максима Чернова, это позволит облегчить переход на российское ПО.
Эксперт по кибер безопасности систем промышленной автоматизации и умных устройств в Kaspersky ICS CERT Владимир Дащенко привел несколько примеров того, как продукты, которые вроде бы соответствуют всем критериям российского ПО, но "под капотом" имеют зарубежные компоненты. При этом российские вендоры не устранили уязвимости, в том числе критичные. Когда исследователи указали вендору на незакрытые уязвимости, то коммуникацию выстроить не удалось.
По мнению Максима Чернова, Федеральная служба по техническому и экспортному контролю (ФСТЭК) проводит большую работу по обеспечению доверия, но закрыть весь фронт из 50000 объектов КИИ только силами регулятора невозможно. Он предложил создать индустриальное объединение под эгидой профессионалов в области информационной безопасности. Оно поможет не только самим компаниям, которые являются владельцами объектов КИИ, но и их поставщикам и подрядчикам, среди которых много компаний с низкой культурой информационной и кибербезопасности, и атаки через поставщиков чрезвычайно распространены.
Заместитель директора Департамента обеспечения кибербезопасности Минцифры России Евгений Хасин назвал серьезным упущением, которое было выявлено в ходе мер по реализации положений указа №250 то, что локальная нормативная база, направленная на обеспечение информационной безопасности, представляет собой переложение неких типовых документов и не учитывает отраслевой специфики. А без учета отраслевой специфики говорить о построении реальной защиты систем АСУ ТП и прочих элементов промышленной инфраструктуры не приходится. А специалисты по ИБ в этой отраслевой специфике разбираются очень слабо. Так что к описанию моделей угроз необходимо привлекать тех, кто в этих системах работает. Иначе невозможно даже сформировать перечень нежелательных событий, от наступления которых хотелось бы защититься, и имеющиеся проблемы, причем понятным для ИБ и ИТ языком. Евгений Хасин предложил решать эту проблему с двух сторон: с помощью как ИТ и ИБ персонала, знающего специфику промышленных систем, так и специалистов по промышленным системам, которые могут найти общий язык с ИБ. Этому можно научиться на специальных курсах. Также необходимо учить ИБ будущих специалистов в вузах.
Советник руководителя Департамента информационной безопасности ПАО "МТС" Павел Сундеев напомнил о регуляторных рисках. Например, существует целый ряд коллизий, связанных с приоритетом требований разных нормативных актов: по защите КИИ, персональных данных, банковской или коммерческой тайны. Причем однозначных рекомендаций нет. Он предложил создать единую шкалу технических и организационных требований. Также он напомнил, что объекты КИИ должны работать в выделенных сетях, отключенных от публичного интернета.