Атаки хакерів загрожують не тільки неприємностями власникам комп'ютерів - від них можуть постраждати і промислові технологічні системи, і інформаційні системи життєзабезпечення міст, і інші об'єкти, що входять в критичну інформаційну інфраструктуру. Наслідки цих збоїв можуть бути катастрофічні, тому в Росії розроблений законопроект, спрямований на захист такої інфраструктури. До чого призведе його прийняття, стане життя безпечніше, і хто за це платитиме?
Весь світ стурбований проблемою забезпечення безпеки інфраструктури та інформаційних систем. Компанії і держструктури підраховують потенційні збитки, які можуть понести в ситуації, якщо не будуть готові до раптового вторгнення в свою екосистему. Тому тема безпеки сьогодні особливо актуальна, особливо якщо мова йде про об'єкти інфраструктури, від яких безпосередньо залежить життєдіяльність цілих міст, окремих регіонів, а то і всієї країни.
ФЗ про КВІ: поняття та історія питання
Критична інформаційна інфраструктура Російської Федерації - сукупність об'єктів критичної інформаційної інфраструктури (КВІ), а також мереж електрозв'язку, які використовуються для організації взаємодії об'єктів КВІ між собою.
До об'єктів КВІ можна віднести інформаційні системи, інформаційно-телекомунікаційні мережі державних органів, а також інформаційні системи, інформаційно-телекомунікаційні мережі та автоматизовані системи управління технологічними процесами, що функціонують в оборонній промисловості, галузі охорони здоров'я, транспорту, зв'язку, кредитно-фінансовій сфері, енергетиці, паливної промисловості, атомної промисловості, ракетно-космічної промисловості, гірничодобувної промисловості, металургійної промисло ості і хімічної промисловості.
Пріоритет попередження комп'ютерної атаки перед усуненням її наслідків - один з основоположних принципів забезпечення інформаційної безпеки взагалі і безпеки критичної інфраструктури зокрема (про це, до речі, і йдеться в 4-й статті нового законопроекту).
Ринок кібербезпеки в цифрах
На частку російського ринку забезпечення безпеки КВІ доводиться чи 10% від загального бюджету, який виділяють держоргани і приватні компанії на вирішення питань кібербезпеки. Тобто від $ 30 до $ 90 млн в рік. Можна порівняти з вартістю одного багатоквартирного будинку в Москві в роздріб. Вражає, чи не так? При тому, що сфера захисту КВІ дуже специфічна. Тут потрібно більш високий рівень надійності та відмовостійкості системи, збільшений час безперебійної роботи, ніж, наприклад, в якомусь офісній будівлі. Адже в разі відмови системи і, як наслідок, переривання якогось технологічного процесу (уявіть собі атомну електростанцію) фінансові та іншого роду втрати будуть обчислюватися в абсолютно інших цифрах.
Тому компанії, які займаються виробництвом товарів для захисту інформації (наприклад, антивірусів під операційні системи Windows і Linux) не готові пропонувати свої послуги на ринок безпеки КВІ, впевнені опитані нами експерти, тому як «критичність» роботи таких об'єктів накладає на постачальника засобів забезпечення безпеки серйозну відповідальність. Однак, всупереч цим твердженням, «Лабораторія Касперського», наприклад, пропонує рішення для КІІ, яке вже спробувало одне нафтопереробне підприємство в Татарстані.
Запропонований законопроект відносить відомості про заходи захисту об'єктів КВІ до державної таємниці. Відповідно, ця інформація стає конфіденційною в масштабах країни, а значить, коло компаній, які можуть бути допущені до обробки і захисту такої інформації, звужується. Імовірно йдеться про 10% від вже наявних у нас $ 30-90 млн, тобто цей сегмент ринку, в умовах пропонованого законопроекту, складе $ 3- $ 9 млн. Один під'їзд в уже згаданому нами багатоквартирному будинку в Москві.
У зв'язку з цим виникає питання, чи вистачить у Росії взагалі ресурсів, щоб захистити критичну інфраструктуру своїми силами?
Однозначно на нього відповідає Михайло Холопов. генеральний директор компанії Atlex: «Упевнений, що приводу для хвилювання немає: треба лише звернути увагу на вітчизняні університетські розробки. Вони, ймовірно, будуть дешевше, ніж комерційні рішення, але можуть виявитися надійніше, ніж продукти компаній з репутацією ».
Якщо подивитися на західний досвід, то в більшості міжнародних практик (ми порівняли з підходами держав, членів Європейського союзу, і США) до КВІ відносять діючі об'єкти атомної галузі та енергетики, транспортних систем, продовольчого забезпечення, нафтогазового комплексу, телекомунікаційних систем, охорони здоров'я, фінансового сектора, водопостачання, об'єкти державного управління і хімічно небезпечні об'єкти.
Держтаємниця як демотиватор розвитку
Коли ми говоримо про об'єкти життєзабезпечення (банки, гідрошлюзи, електростанції та ін.), Треба розуміти, що всі ці структури за визначенням взаємодіють із зовнішнім світом. Тому вести мову про віднесення інформації про заходи захисту КВІ до держтаємниці - це, як мінімум, дивно, впевнений Лукацький.
Як приклад експерт наводить банківську галузь. На об'єктах КВІ РФ використовується західне обладнання, у якого умова виходу через інтернет до західних підрядникам для здійснення технічної підтримки може бути прописано в контракті. У повсякденному житті ми також використовуємо західне програмне забезпечення, тому відмовлятися від контрактів із західними вендорами сьогодні навряд чи можливо. Однак, на цей рахунок існують і інші точки зору.
Російська інфраструктура: ізоляція чи ні?
Експерти галузі знають: ні російське, ні імпортне обладнання не вимагає обов'язкового підключення до інтернету. Іноді конфігурація і моніторинг системи може вимагати віддаленого доступу фахівців і підключення зовнішніх комунікацій. Але навіть якщо в ІТ-інфраструктурі того чи іншого об'єкта КВІ використовується обладнання іноземних вендорів, то воно обов'язково сертифікується в Росії, що дозволяє зменшити ризики, пов'язані із забезпеченням віддаленого доступу, до необхідного мінімуму. «У будь-якому випадку, якщо гіпотетично уявити повне відключення об'єкта КВІ від всіх зовнішніх комунікацій, система продовжить функціонувати, тому що велика частина таких об'єктів підключена до власної автономної мережі через локальні захищені канали» - каже Юрій Тимофєєв. генеральний директор «АйТі Фаундейшн».
Будь-яка спроба ізолювати російську інфраструктуру, вважають деякі експерти, зупинить виробничі процеси, що в кінцевому рахунку може привести до ще більших збитків, ніж теоретична кібератака. Але, як ми з'ясували, часткова ізоляція давно застосовується на об'єктах КВІ, і виробничі процеси від цього не страждають. Хоча це не завжди допомагає запобігти вторгненню.
Олександр Адамов. керівник NioGuard Security Lab і фахівець з таргетованим атакам, впевнений, що віднесення інформації про засоби захисту КВІ до державної таємниці - це теж спроба захистити критичну інфраструктуру: «Не секрет, що при плануванні таргетированной атаки зловмисники проводять насамперед розвідку з метою визначення типу і конфігурації атакується системи, включаючи тип захисного ПЗ. Це необхідно для створення кіберзброї, яке могло б ефективно проникати, обходячи засоби захисту, і виконувати закладений розробниками деструктивний алгоритм ».
Як правило, на об'єктах критичної інфраструктури застосовується принцип зонування внутрішнього периметра з метою поділу корпоративної мережі в відповідно до необхідного рівня безпеки на сегменти. У зв'язку з цим SCADA-сегмент (сегмент системи збору, обробки, відображення та архівування інформації про об'єкт моніторингу або управління), керуючий виробничим процесом, завжди ізолюється від решти корпоративної мережі (і тим більше від мережі інтернет) або за допомогою брандмауера, або фізично.
«Однак, як показав досвід, ізолювання від мережі інтернет не є 100% гарантією захисту в разі таргетированной атаки, хоча і ускладнює проникнення у внутрішній периметр безпеки, де знаходиться SCADA-контролер,» - стверджує Адамов.
Після розгляду законопроекту залишилося більше питань, ніж відповідей. Чи дасть ця законодавча ініціатива власникам об'єктів, державі і нам, звичайним громадянам, впевненість, що тепер основні системи життєзабезпечення Російської Федерації під надійним захистом. Або тільки введе власників КВІ в додаткові витрати? Адже, якщо так, то це безпосередньо вплине на жителів Росії, - слідом за тим збільшаться ціни на необхідні нам життєві ресурси.
Питання без відповіді - це вірний знак, що пропозиція не допрацьовано, хоч вже і вступило в силу. Але це в нашій, російській традиції, - прийняти закон, а після думати, як його реалізувати. Так сталося з «пакетом Яровий» і з законом «Про персональні дані». Ми б дуже хотіли, щоб цього не сталося з новим законопроектом ФСБ про КВІ, тому що щиро стурбовані питаннями безпеки і нам хочеться твердо знати, що завтра ми не прокинемося ядерною зимою без світла, газу, води і грошей.