Экспертное мнение

26.02.2019

Количество хакерских атак растет, как и размер ущерба, наносимого киберпреступниками промышленным предприятиям и объектам ТЭК.  Для защиты значимых объектов критической информационной инфраструктуры российское законодательство ввело уголовную ответственность не только для злоумышленников, но и для ответственных лиц.

 

Если эти лица нарушили правила эксплуатации или доступа, если нарушения повлекли причинение вреда (УК РФ Статья 274.1. Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации, пункт 3). Расскажу о тонкостях новых законов и основных способах надежной киберзащиты объектов. 

 

Всеобщая угроза 

 

Кибератаки — одна из ключевых и самых быстрорастущих угроз нашего времени. Согласно прогнозам международной исследовательской компании Cybersecurity Ventures,  к 2021 году ежегодный ущерб от киберпреступности в мире вырастет с 3 до 6 трлн долларов. При этом расходы на защиту производств увеличатся до 1 трлн долларов, а 1,5 млн вакансий специалистов в сфере киберзащиты останутся незанятыми. Но значимость проблемы очевидна уже сейчас. Рейтинговые агентства все чаще требуют киберустойчивости: в частности, банкам с недостаточной киберзащитой может быть понижен рейтинг S&P. Судебные дела, касающиеся киберпреступлений, поднимают вопрос юридической ответственности поставщика оборудования и программного обеспечения. 

 

Уже год, с 1 января 2018 года, действует Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации». В настоящее время прорабатывается ряд подзаконных актов, конкретизирующих его положения. В соответствии с новым законом, предусмотрена уголовная ответственность за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой информации или самих объектов КИИ, либо правил доступа к указанным информации и объектам КИИ, в том числе до 10 лет лишения свободы в случае особо тяжких последствий. 

 

Промышленность и ТЭК — цели для хакеров 

 

Эпидемии вредоносных программ Ransomware (WannaCry 12/05, Petya.C 27/06) уже затронули крупнейшие российские и украинские нефтегазовые и энергетические компании. В частности, атакам подверглись нефтеперерабатывающие заводы и добычные активы российских корпораций.

 

Нужно учитывать, что собственники информационной инфраструктуры могут не заметить, когда именно произошла атака. Разрушительное действие вирусов типа WannaCry, Petya, Misha и их модификаций может проявиться через несколько недель или месяцев после атаки на фоне кажущегося благополучия. 

 

Чаще всего заражение происходит посредством эксплойтов — разновидности вредоносных программ, способных воспользоваться одной или несколькими уязвимостями в программном обеспечении на локальном или удаленном компьютере. «Подхватить» эксплойт можно при посещении зараженного сайта или при открытии безобидного на вид файла, полученного по электронной почте. 

 

Однако риск полной потери данных можно минимизировать, регулярно обновляя антивирусные программы. Также на предприятии должны быть внедрены защищенные автоматические системы резервного копирования для хранения наиболее свежих файлов (RPO < 1 сутки – Recovery Point Objective), максимально быстрого восстановления (RTO < 1 час – Recovery Time Objective) и резервные жесткие диски с копией системы (RPO < 1 год – Recovery Point Objective). 

 

Сомневающимся в необходимости киберзащиты эксперты отвечают так: «Вам кажется, что вы платите ни за что, но на самом деле вы платите за целостность и сохранность бизнеса». 

 

Государственное регулирование 

 

По мере роста киберрисков появляются новые государственные структуры и законы для повышения уровня киберзащиты объектов и противодействия злоумышленникам. 

 

Еще в 2013 году вышел Указ президента «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)». Постепенно ГосСОПКА начинает играть всё более важную роль в борьбе с киберпреступностью: сегодня к ней подключаются как госструктуры, так и частные корпорации. По своей сути ГосСОПКА — это организация, осуществляющая мониторинг данных о компьютерных инцидентах и атаках, а также разработчик рекомендаций и мер безопасности для защиты информационных активов. Отчёты обо всех обнаруженных атаках и инцидентах передаются в территориальные или ведомственные центры ГосСОПКА субъекта РФ, а оттуда — в главный центр, аккумулирующий информацию обо всех компьютерных инцидентах страны. Помимо этого, к функциям центра ГосСОПКА относятся инвентаризация информационных ресурсов, повышение уровня осведомленности персонала и пользователей о возможных киберрисках, анализ результатов устранения последствий инцидентов. 

 

В марте 2014 года Приказ ФСТЭК России N 31 утвердил требования к обеспечению защиты информации АСУ ТП на критически важных, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей среды. 

 

Но еще более важную роль для регулирования отрасли сыграл уже упомянутый 187-ФЗ «О безопасности КИИ», вступивший в силу с 1 января 2018 года. 

 

К чему обязывает 187-ФЗ? 

 

Основные вопросы, которые сейчас задает себе руководитель любой российской организации, если он в курсе новинок законодательства, таковы: «Обязан ли я выполнять требования 187-ФЗ? Считается ли моя организация критической информационной инфраструктурой?». В принципе, невыполнение обязанности по категорированию и предоставлению сведений об отдельных объектах КИИ само по себе ненаказуемо, а вот невыполнение требований по обеспечению безопасности КИИ (то есть нарушение правил эксплуатации и безопасности) уже влечет до 6 лет лишения свободы (до 8 — в случае группы лиц по предварительному сговору и до 10 лет в случае инцидента с тяжкими последствиями или угрозой таких последствий). 

 

Давайте рассмотрим основное содержание и требования действующего в России закона, а также пошаговые решения для обеспечения надежной системы безопасности, способной защитить объекты промышленности и энергетики от киберрисков. 

 

По словам эксперта Honeywell, в соответствии с законом вычислительные (компьютерные, микропроцессорные) системы, являющиеся объектом КИИ, содержит практически каждый автоматизированный промышленный объект. Все они подлежат категорированию в соответствии с Постановлением Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений». В процессе категорирования каждому объекту КИИ должна быть присвоена одна из трех категорий на основании показателей критериев значимости, которые переводят данный объект в класс значимых объектов (ЗО) КИИ, либо, если объект не соответствует ни одному критерию, его не относят к ЗО КИИ. Данные о категорировании передаются во ФСТЭК России для проверки и внесения в реестр. ФСТЭК России, в свою очередь, передает сведения о результатах категорирования в систему ГосСОПКА. Субъекты КИИ, не владеющие ЗО КИИ, имеют право получать информацию, помогающую противодействовать киберугрозам, от ФСТЭК России и ФСБ России, также они могут за свой счет выполнять план мероприятий по подключению и взаимодействию с ГосСОПКА. При этом они обязаны сообщать об инцидентах и содействовать ФСБ России. Владельцы ЗО КИИ должны соблюдать требования, выполнять предписания, обеспечивать доступ уполномоченных федеральных органов исполнительной власти к своей инфраструктуре и реагировать на инциденты. 

 

Также 187-ФЗ обязывает владельцев ЗО КИИ создать систему безопасности объекта, обеспечивающую защиту информации и технических средств, восстановление функционирования и непрерывное взаимодействие с ГосСОПКА. Владельцы КИИ обязаны планировать и выполнять мероприятия по обеспечению безопасности, принимать организационные и технические меры. Государство намерено осуществлять контроль выполнения закона: плановый – раз в три года, и внеплановый – на ЗО КИИ. 

 

С 1 января 2018 года в Уголовный кодекс РФ введена новая статья, связанная с нарушением требований 187-ФЗ. Федеральный закон № 194-ФЗ закрепил статью 274.1 «Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации». В частности, пункт 3 гласит, что «нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к критической информационной инфраструктуре Российской Федерации, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации, — наказывается принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до шести лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового». 

 

Решения Honeywell в сфере киберзащиты 

 

Этика специалистов в области информационной безопасности гласит, что единственный способ опровергнуть обвинения в халатности в случае возникновения ущерба – это привести доказательства должной заботы и осмотрительности. Важнейшей составляющей такой заботы является внедрение надежных средств киберзащиты. Высшее руководство промышленных предприятий и энергокомпаний обязано проявлять должную заботу и осмотрительность и поддерживать внедрение средств защиты на вверенных им объектах КИИ. 

 

«Хотя никто не застрахован от киберугроз на 100%, подход и решения Honeywell существенно снижают риски и последствия кибератак», — говорит Руслан Стефанов. В 2017 году для усиления компетенций в области кибербезопасности компания приобрела значимого игрока рынка Nextnine, специализирующегося на технологиях защиты АСУ ТП разных вендоров. В результате сделки к Honeywell перешла интеллектуальная собственность, подразделения разработки и клиентская база. В частности, в портфеле Honeywell появилась платформа ICS Shield, которая позволяет централизованно управлять защитой территориально разбросанных промышленных площадок. По всему миру данное решение установлено более 6000 раз, и в системе зарегистрировано более 10 000 пользователей. ICS Shield позволяет оценить состояние имеющегося на предприятии оборудования и программных средств, обеспечивает защищенный удаленный доступ к активам, унифицирует и автоматизирует управление политикой безопасности и позволяет создать распределенную архитектуру, гарантирующую целостность данных. 

 

Для оценки зрелости систем промышленной киберзащиты и управления рисками Honeywell предлагает решение Industrial Cyber Security Risk Manager, который гарантирует непрерывную наблюдаемость, проактивную идентификацию уязвимостей и количественную оценку рисков. Для понимания предоставляемых программой сведений не нужно быть специалистом в области информационных технологий, а значит пакетом может пользоваться широкий круг сотрудников и руководителей. 

 

В арсенале компании также присутствует глобальный сервис обнаружения (разведки) угроз Honeywell Advanced Threat Intelligence Exchange, существенно повышающий защищенность объектов от кибератак. В его состав входит шлюз Secure Media Exchange, который гарантирует, что к АСУ ТП будут подключаться только USB-накопители, прошедшие предварительную проверку на отсутствие угроз. 

 

Кроме того, компания Honeywell оказывает в России ряд услуг в области кибербезопасности, в том числе оценивает уровень защищенности АСУ ТП в рамках тестов на проникновение, состояние проводной и беспроводной сетевой инфраструктуры, проводит аудит на соответствие требованиям нормативных документов в области защиты АСУ ТП и КИИ. Такжевендор занимается поставкой и развертыванием антивирусной защиты в конфигурации, протестированной киберлабораторией Honeywell. Компания внедряет такие меры защиты, как защита периметра, межсетевое экранирование, сегментирование; оказывает услуги по управлению защитой АСУ ТП (Managed Security Services), включая развертывание средств защищенного удаленного доступа, и создает системы периодического резервного копирования и восстановления (Experion Backup and Restore). Для усиления антивирусной защиты компания применяет контроль запуска приложений по белым спискам (Application White Lising AWL), актуализирует настройки хостов и сетевых устройств в соответствии с лучшими практиками (Best Practice Network & EndPoint Security Hardening). 

 

Надежная киберзащита – жизненная необходимость 

 

Применительно к кибербезопасности в современной энергетической отрасли «бумажный» подход перестает работать. Инциденты, особенно ведущие к тяжким последствиям, теперь представляют угрозу для самих владельцев критически важных информационных систем и сотрудников, эксплуатирующих эти системы. Вряд ли оправдание «Не были установлены нужные патчи, но с распространением вируса мы оперативно справились» убережет от уголовной ответственности. Законодательные изменения последних лет нацелены на усиление мер информационной безопасности и приводят собственников бизнеса к жизненной необходимости обеспечить надежную киберзащиту стратегических и социально значимых объектов энергетики и ТЭК.