Критическая информационная инфраструктура: хотели как лучше, а получится ли?

7 февраля в Москве на площадке Digital October на Берсеневской набережной прошел Десятый, юбилейный, международный форум по кибербезопасности Cyber Security Forum (СSF 2017). На этом мероприятии люди бизнеса и государственные чиновники (были представители Совета Федерации Федерального Собрания РФ, Минкомсвязи РФ, Роскомнадзора, Администрации Президента РФ, Государственной Думы РФ) обсудили вопросы защиты информационного пространства России в эпоху цифровой экономики, оценили риски и обменялись мнениями относительно направлений дальнейшего развития отрасли.

По традиции, делимся с вами самыми интересными выступлениями. Сегодня поговорим о недавно принятом в первом чтении законопроекте “О безопасности критической информационной инфраструктуры Российской Федерации”. Эту тему предложил бизнес-консультант Cisco Systems Алексей Лукацкий.

• Вводимые понятия
• История вопроса
• Рынок кибербезопасности в цифрах
• Вопросы категорирования
• Гостайна как демотиватор развития
• Заключение

Вводимые понятия

Авторы проекта ФЗ №47571-7 “О безопасности критической информационной инфраструктуры РФ” оперируют следующими понятиями:

Критическая информационная инфраструктура Российской Федерации - совокупность объектов критической информационной инфраструктуры (КИИ), а также сетей электросвязи, используемых для организации взаимодействия объектов КИИ между собой.

Безопасность критической информационной инфраструктуры Российской Федерации - состояние защищенности КИИ Российской Федерации, при котором проведение в отношении нее компьютерных атак не приведет к нарушению (прекращению) функционирования КИИ РФ и (или) значимых ее объектов.

К объектам КИИ можно отнести информационные системы, информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности и химической промышленности.

Между тем, значимым объектом КИИ считается объект, которому по итогам категорирования присвоена одна из категорий значимости и который включен в реестр значимых объектов КИИ.

Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак - российские (!) технологии, а также технические, в том числе предназначенные для поиска признаков компьютерных атак в сетях электросвязи, программные, лингвистические, правовые, организационные средства, средства сбора и анализа информации, поддержки принятия управленческих решений (ситуационные центры), предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак.

История вопроса

Процесс принятия законопроекта тянется так долго не случайно, уверен Алексей Лукацкий. Культура законотворчества в нашем государстве слаба, когда речь заходит о регулировании систем, влияющих “на большинство хозяйствующих субъектов”.

Что это значит: в случае принятия закона владельцы КИИ будут обязаны провести ряд технических и информационных мероприятий по защите объектов. Это, разумеется, потребует финансовых вложений. И надо думать, что внушительных, - ведь речь идет о критической инфраструктуре (читай: системах жизнеобеспечения). Между тем, ломают КИИ не так уж часто. Когда вы в последний раз слышали о кибератаке на гидротехническое сооружение, например? Однако, критическая инфраструктура действительно может подвергаться и подвергается атакам хакеров. Редко, но метко. Например, в 1999 киберпреступникам удалось запустить троян в систему безопасности российской транснациональной корпорации “Газпром”. Это позволило злоумышленникам получить доступ к SCADA-системе компании. К счастью, к фатальному исходу это тогда не привело.

“Самые громкие кибер-атаки на критические инфраструктуры”. https://habrahabr.ru/company/panda/blog/316500/

Но такие истории не всегда будут заканчиваться благополучно. Именно поэтому приоритет предупреждения компьютерной атаки перед устранением ее последствий - один из основополагающих принципов обеспечения информационной безопасности вообще и безопасности критической инфраструктуры в частности (об этом, к слову, и говорится в 4-ой статье нового законопроекта).

Рынок кибербезопасности в цифрах

По подсчетам Cisco Systems, весь российский рынок кибербезопасности (две тысячи интеграторов, более трехсот производителей средств обеспечения безопасности - как российских, так и зарубежных, а еще аудиторы, образовательные центры, испытательные лаборатории…) в 2016 году составил от 300 до 900 млн. долларов. Тогда как, скажем, в Америке эта сумма была в десятки раз больше: 14 млрд. долларов.

Но долю российского рынка обеспечения безопасности КИИ достается едва ли 10% от общего бюджета, который выделяют гос. органы и частные компании на решение вопросов кибербезопасности. То есть от 30 до 90 млн. долларов в год. Меньше, чем один многоквартирный дом в Москве в розницу. Впечатляет, не правда ли? При том, что сфера защиты КИИ очень специфическая. Здесь требуется более высокий уровень надежности и отказоустойчивости системы, увеличенное время бесперебойной работы, чем, например, в каком-нибудь офисном здании. Ведь в случае отказа системы и, как следствие, прерывания какого-то технологического процесса (представьте себе атомную электростанцию) финансовые (и не только) потери будут исчисляться в совершенно других цифрах.

Поэтому компании, которые занимаются созданием продуктов для защиты информации (например, антивирусов под операционные системы Windows и Linux) не готовы предлагать свои услуги на рынок безопасности КИИ, уверен Лукацкий, потому как “критичность” работы таких объектов накладывает на поставщика средств обеспечения безопасности серьезную ответственность.

Однако, вопреки утверждениям Алексея, “лаборатория Касперского”, например, предлагает для КИИ решение Kaspersky Industrial CyberSecurity, которое уже попробовало АО “ТАНЕКО” (группа компаний “Татнефть”) - нефтеперерабатывающие предприятие в Татарстане. Читайте об этом в материале экспертов Лаборатории Касперского - специально для ATLEX.Ru.

Рынок кибербезопасности РФ. Слайд из презентации А. Лукацкого, Сisco Systems

Предложенный законопроект относит сведения о мерах защиты объектов КИИ к государственной тайне. Соответственно, эта информация становится конфиденциальной в масштабах страны, а значит, круг компаний, которые могут быть допущены к обработке и защите такой информации, сужается. Предположительно, по словам Алексея Лукацкого, речь идет о 10% от имеющихся у нас уже 30 - 90 млн. долларов, то есть этот сегмент рынка, в условиях предлагаемого законопроекта, составит 3 - 9 млн. долларов. 1 - 3 квартиры в уже упомянутом нами многоквартирном доме в Москве...

В связи с этим возникает вопрос, хватит ли в России вообще ресурсов, чтобы защитить критическую инфраструктуру своими силами? Обратим еще раз ваше внимание, что в тексте законопроекта сказано: средствами обнаружения, предупреждения и ликвидации последствий компьютерных атак могут быть российские технологии. В рамках имеющихся условий задачи вопрос остается открытым.

Вопросы категорирования

Кто будет отнесен к КИИ? Слайд из презентации А. Лукацкого, Сisco Systems

Если посмотреть на западный опыт, то в большинстве международных практик (мы сравнили с подходами государств, членов Европейского союза, и США) к КИИ относят действующие объекты атомной отрасли, энергетики, транспортных систем, продовольственного обеспечения, нефтегазового комплекса, телекоммуникационных систем, здравоохранения, финансового сектора, водоснабжения, объекты государственного управления и химически опасные объекты.

Итак, сферы жизни, где можно встретить объект инфраструктуры, чья деятельность критически важна для экономики государства, определены. Следующим шагом будет отнесение объекта к той или иной категории.

Категорированию КИИ посвящена 6-ая статья законопроекта. Осуществляется оно, исходя из соображений значимости объектов. Это тоже можно отнести к одному из основных “вводимых понятий” в законопроекте. Значимость определяется размером ущерба, который будет причинен государству, обществу и владельцу КИИ в случае выхода из строя объекта. В тексте предложены следующие критерии:

• социальная значимость, выражающаяся в том числе в оценке ущерба здоровью людей, возможности прекращения (нарушения) функционирования объектов обеспечения жизнедеятельности населения, транспортной инфраструктуры, сетей связи, а также максимального времени недоступности государственной услуги для определенного количества получателей такой услуги;
• политическая значимость, выражающаяся в оценке ущерба интересам Российской Федерации во внутриполитической и внешнеполитической сферах;
• экономическая значимость, выражающаяся в оценке снижения экономических показателей, прямых и косвенных финансовых потерь Российской Федерации;
• экологическая значимость, выражающаяся в оценке вреда, причиняемого окружающей среде;
• значимость для обеспечения обороноспособности, безопасности государства и правопорядка.

Категорировать объекты имеют право владельцы КИИ (в законопроекте они названы “субъектами”) самостоятельно или с привлечением организаций, имеющих на категорирование лицензию. Дальше происходит процедура проверки верного отнесения объекта к той или другой категории федеральным органом исполнительной власти, уполномоченным заниматься этим вопросом.

Гостайна как демотиватор развития

Когда мы говорим об объектах жизнеобеспечения (банки, гидрошлюзы, электростанции и проч.), надо понимать, что все эти структуры по определению взаимодействуют с внешним миром. Поэтому вести речь об отнесении информации о мерах защиты КИИ к гостайне - это, как минимум, странно.

Вы можете представить себе российский банк, оторванный от всего мира? А ведь на объектах КИИ РФ используется западное оборудование, у которого условие выхода через Интернет к западным подрядчикам для осуществления технической поддержки может быть прописано в контракте. Не говоря уже о том, что мы используем западное программное обеспечение. Что же, отказываться от контрактов с западными вендорами? Сегодня это едва ли возможно.

Подключение к интернету не является обязательным условием функционирования объекта КИИ, считает генеральный директор “АйТи Фаундейшн” Юрий Тимофеев.

"Большая часть объектов критической инфраструктуры подключена к собственной автономной сети через локальные защищенные каналы."

Забота о безопасности не должна становиться параноидальной идеей. Любая попытка изолировать российскую инфраструктуру остановит производственные процессы, что в конечном счете может привести к еще большим убыткам, чем теоретическая кибератака.

Существует, однако и другое мнение. Александр Адамов, руководитель NioGuard Security Lab убежден: отнесение информации о средствах защиты КИИ к государственной тайне - это тоже попытка защитить критическую инфраструктуру.

"Не секрет, что при планировании таргетированной атаки злоумышленники проводят первым делом разведку с целью определения типа и конфигурации атакуемой системы, включая тип защитного ПО."

Можно ли изолировать критическую инфраструктуру в рамках гостайны? Слайд из презентации А. Лукацкого, Сisco Systems

Заключение

После рассмотрения законопроекта осталось больше вопросов, чем ответов. Даст ли эта законодательная инициатива владельцам объектов, государству и нам, обычным гражданам, уверенность, что теперь основные системы жизнеобеспечения Российской Федерацией под надежной защитой. Или только введет владельцев КИИ в дополнительные расходы? Ведь, если так, то это напрямую повлияет на жителей России, - вслед за тем увеличатся цены на необходимые нам жизненные ресурсы.

Вопросы без ответа - это верный знак, что предложение не доработано, хоть уже и принято в первом чтении. Но это в нашей, российской традиции, - принять закон, а после думать, как его реализовать. Так случилось с “пакетом Яровой” и с законом “О персональных данных” (наше мнение по этому поводу можно посмотреть здесь).

Мы бы очень хотели, чтобы этого не произошло с новым законопроектом ФСБ о КИИ, потому что искренне обеспокоены вопросами безопасности и нам хочется твердо знать, что завтра мы не проснемся ядерной зимой без света, газа, воды и денег. На эту весну у нас другие планы!