Весь мир озабочен проблемой обеспечения безопасностиинфраструктуры и информационных систем. Компании и госструктуры подсчитываютпотенциальные убытки, которые могут понести в ситуации, если не будут готовы квнезапному вторжению в свою экосистему. Поэтому тема безопасности сегодняособенно актуальна, особенно если речь идет об объектах инфраструктуры, откоторых напрямую зависит жизнедеятельность целых городов, отдельных регионов, ато и всей страны.

В конце 2016 года в Госдуму был внесен законопроект «Обезопасности критической информационной инфраструктуры Российской Федерации». Тема вызвала у специалистов интерес, но оставила массу сомненийотносительно возможности реализации законопроекта на практике. Мы попыталисьразобраться, почему потребность принять такой закон возникла именно сейчас, икак это отразится на владельцах критической информационной инфраструктуры.

ФЗ о КИИ: понятия иистория вопроса

Авторы проекта ФЗ №47571-7 «О безопасности критическойинформационной инфраструктуры РФ» оперируют следующими понятиями.

Критическая информационная инфраструктура РоссийскойФедерации – совокупность объектов критической информационной инфраструктуры(КИИ), а также сетей электросвязи, используемых для организации взаимодействияобъектов КИИ между собой.

К объектам КИИ можно отнести информационные системы,информационно-телекоммуникационные сети государственных органов, а такжеинформационные системы, информационно-телекоммуникационные сети иавтоматизированные системы управления технологическими процессами,функционирующие в оборонной промышленности, области здравоохранения,транспорта, связи, кредитно-финансовой сфере, энергетике, топливнойпромышленности, атомной промышленности, ракетно-космической промышленности,горнодобывающей промышленности, металлургической промышленности и химическойпромышленности.

Первая попытка принять закон о КИИ была предпринята еще в2006 году. Тот законопроект назывался «Об особенностях обеспеченияинформационной безопасности критически важных объектов информационной ителекоммуникационной инфраструктуры». Позже, в 2012 году был законопроект «Овнесении изменений в Федеральный закон «Об информации, информационныхтехнологиях и о защите информации». Через год началась разработка законопроекта«О безопасности критической информационной инфраструктуры Российской Федерации».В 2016 году в Госдуму вновь был внесен законопроект с тем же названием, что итри года назад. Подготовила его Федеральная Служба Безопасности (ФСБ).

Процесс принятия законопроекта тянется так долго неслучайно, уверен эксперт по информационной безопасности АлексейЛукацкий. Культура законотворчества в нашем государстве слаба, когда речьзаходит о регулировании «систем, влияющих на большинство хозяйствующихсубъектов». Что это значит: в случае принятия закона владельцы КИИ будутобязаны провести ряд технических и информационных мероприятий по защитеобъектов. Это, разумеется, потребует финансовых вложений. И надо думать, чтовнушительных, – ведь речь идет о критической инфраструктуре (читай: системахжизнеобеспечения). Взламывают КИИ не так уж часто. Однако, если инцидентпроисходит, то последствия бывают весьма плачевными... Последняя крупнаякибератака произошла в мае 2017 года. Хакеры запустили в сеть вирус WCry,который поразил сначала больницы Великобритании, а после начал распространятьсяна другие страны. Вирус атаковал компьютеры в Бельгии, Германии, Франции,Португалии, Испании, Китае, США, Бразилии, Украине, Италии, Индии, Чехии,Турции, Канаде и других странах (жертвами стали пользователи порядка 75 стран).До России WCry тоже добрался: о вторжении сообщили как минимум в МВД и «МегаФоне».

Приоритет предупреждения компьютерной атаки передустранением ее последствий – один из основополагающих принципов обеспеченияинформационной безопасности вообще и безопасности критической инфраструктуры вчастности (об этом, к слову, и говорится в 4-й статье нового законопроекта).

Рыноккибербезопасности в цифрах

По подсчетам аналитиков, объем российского рынкакибербезопасности (две тысячи интеграторов, более трехсот производителейсредств обеспечения безопасности – как российских, так и зарубежных, а ещеаудиторы, образовательные центры, испытательные лаборатории…) в 2016 году составилот $300 до $900 млн. Тогда как, скажем, в США эта сумма была в десятки разбольше – $14 млрд.

На долю российского рынка обеспечения безопасности КИИприходится едва ли 10% от общего бюджета, который выделяют госорганы и частныекомпании на решение вопросов кибербезопасности. То есть от $30 до $90 млн в год. Сопоставимо со стоимостьюодного многоквартирного дома в Москве в розницу. Впечатляет, не правда ли? Притом, что сфера защиты КИИ очень специфическая. Здесь требуется более высокийуровень надежности и отказоустойчивости системы, увеличенное времябесперебойной работы, чем, например, в каком-нибудь офисном здании. Ведь вслучае отказа системы и, как следствие, прерывания какого-то технологическогопроцесса (представьте себе атомную электростанцию) финансовые и другого родапотери будут исчисляться в совершенно других цифрах.

Поэтому компании, которые занимаются созданием продуктов длязащиты информации (например, антивирусов под операционные системы Windows иLinux) не готовы предлагать свои услуги на рынок безопасности КИИ, увереныопрошенные нами эксперты, потому как «критичность» работы таких объектовнакладывает на поставщика средств обеспечения безопасности серьезнуюответственность. Однако, вопреки этим утверждениям, «ЛабораторияКасперского», например, предлагает решение для КИИ, которое уже попробовалоодно нефтеперерабатывающее предприятие в Татарстане.

Предложенный законопроект относит сведения о мерах защитыобъектов КИИ к государственной тайне. Соответственно, эта информация становитсяконфиденциальной в масштабах страны, а значит, круг компаний, которые могутбыть допущены к обработке и защите такой информации, сужается. Предположительноречь идет о 10% от уже имеющихся у нас $30–90 млн, то есть этот сегмент рынка,в условиях предлагаемого законопроекта, составит $3–$9 млн. Один подъезд в ужеупомянутом нами многоквартирном доме в Москве...

В связи с этим возникает вопрос, хватит ли в России вообщересурсов, чтобы защитить критическую инфраструктуру своими силами?

Однозначно на него отвечает Михаил Холопов, генеральный директор компании Atlex: «Уверен, чтоповода для волнения нет: надо только обратить внимание на отечественныеуниверситетские разработки. Они, вероятно, будут дешевле, чем коммерческиерешения, но могут оказаться надежнее, чем продукты компаний с репутацией».

Вопросыкатегорирования

Если посмотреть на западный опыт, то в большинствемеждународных практик (мы сравнили с подходами государств, членов Европейскогосоюза, и США) к КИИ относят действующие объекты атомной отрасли и энергетики,транспортных систем, продовольственного обеспечения, нефтегазового комплекса,телекоммуникационных систем, здравоохранения, финансового сектора,водоснабжения, объекты государственного управления и химически опасные объекты.

Итак, сферы жизни, где можно встретить объектинфраструктуры, чья деятельность критически важна для экономики государства,определены. Следующим шагом будет отнесение объекта к той или иной категории.

Категорированию КИИ посвящена 6 статья законопроекта.Осуществляется оно исходя из соображений значимости объектов. Это тоже можноотнести к одному из основных «вводимых понятий» в законопроекте. Значимостьопределяется размером ущерба, который будет причинен государству, обществу ивладельцу КИИ в случае выхода из строя объекта. В тексте предложены следующиекритерии: социальная, политическая, экономическая, экологическая значимость илизначимость для обеспечения обороноспособности, безопасности государства иправопорядка.

Категорировать объекты имеют право владельцы КИИ (взаконопроекте они названы «субъектами») самостоятельно или с привлечениеморганизаций, имеющих лицензию на этот вид деятельности. Дальше происходитпроцедура проверки верного отнесения объекта к той или другой категориифедеральным органом исполнительной власти, уполномоченным заниматься этимвопросом.

Гостайна какдемотиватор развития

Когда мы говорим об объектах жизнеобеспечения (банки,гидрошлюзы, электростанции и проч.), надо понимать, что все эти структуры поопределению взаимодействуют с внешним миром. Поэтому вести речь об отнесенииинформации о мерах защиты КИИ к гостайне – это, как минимум, странно, уверенЛукацкий.

В качестве примера эксперт приводит банковскую отрасль. Наобъектах КИИ РФ используется западное оборудование, у которого условие выходачерез интернет к западным подрядчикам для осуществления технической поддержкиможет быть прописано в контракте. В обыденной жизни мы также используемзападное программное обеспечение, поэтому отказываться от контрактов сзападными вендорами сегодня едва ли возможно. Однако, на этот счет существуют идругие точки зрения.

Российскаяинфраструктура: изоляция или нет? 

Эксперты отрасли знают: ни российское, ни импортноеоборудование не требует обязательного подключения к интернету. Иногдаконфигурирование и мониторинг системы может потребовать удаленного доступаспециалистов и подключения внешних коммуникаций. Но даже если вИТ-инфраструктуре того или иного объекта КИИ используется оборудованиеиностранных вендоров, то оно обязательно сертифицируется в России, чтопозволяет уменьшить риски, связанные с обеспечением удаленного доступа, донеобходимого минимума. «В любом случае, если гипотетически представить полноеотключение объекта КИИ от всех внешних коммуникаций, система продолжитфункционировать, потому что большая часть таких объектов подключена ксобственной автономной сети через локальные защищенные каналы» – говорит Юрий Тимофеев, генеральный директор «АйТиФаундейшн».

Любая попытка изолировать российскую инфраструктуру, считают некоторые эксперты, остановит производственные процессы, что в конечном счете можетпривести к еще большим убыткам, чем теоретическая кибератака. Но, как мывыяснили, частичная изоляция давно применяется на объектах КИИ, ипроизводственные процессы от этого не страдают. Хотя это не всегда помогаетпредотвратить вторжение.

Александр Адамов,руководитель NioGuard Security Lab и специалист по таргетированным атакам,уверен, что отнесение информации о средствах защиты КИИ к государственной тайне– это тоже попытка защитить критическую инфраструктуру: «Не секрет, что припланировании таргетированной атаки злоумышленники проводят первым деломразведку с целью определения типа и конфигурации атакуемой системы, включая типзащитного ПО. Это необходимо для создания кибероружия, которое могло быэффективно проникать, обходя средства защиты, и выполнять заложенныйразработчиками деструктивный алгоритм».

Как правило, на объектах критической инфраструктурыприменяется принцип зонирования внутреннего периметра с целью разделениякорпоративной сети в соответствии с необходимым уровнем безопасности насегменты. В связи с этим SCADA-сегмент (сегмент системы сбора, обработки,отображения и архивирования информации об объекте мониторинга или управления),управляющий производственным процессом, всегда изолируется от остальнойкорпоративной сети (и тем более от сети интернет) либо с помощью межсетевогоэкрана, либо физически.

«Однако, как показал опыт, изолирование от сети интернет неявляется 100% гарантией защиты в случае таргетированной атаки, хотя изатрудняет проникновение во внутренний периметр безопасности, где находитсяSCADA-контроллер,» – утверждает Адамов.

В 2010 г. NioGuard Security Lab совместно с ЛабораториейКасперского и компанией Microsoft анализировали одну из уязвимостей, которуюиспользовал червь Stuxnet (кибероружие, предположительно созданное спецслужбамиСША и Израиля) в таргетированной атаке на ядерный проект Ирана. Суть уязвимостисостояла в заражении диспетчера очереди принтера и позволяла червюраспространятся в локальной сети. Другая уязвимость нулевого дня, в LNK файлах,делала возможным заражение через USB накопители. Кроме того, атака проводиласьне на саму Организацию по атомной энергии Ирана (ОАЭИ), а на подрядчиков,разрабатывающих ПО и оборудование для фабрик по обогащению урана, которыевключали центрифуги и контроллеры Siemens – изменение параметров их работы и являлоськонечной целью Stuxnet атаки. Действия червя вызвали увеличение количестваоборотов вращения центрифуг, что привело, по данным The Washington Post, квыводу из строя более 1000 центрифуг. «На примере Stuxnet мы видим, что для проведения успешнойатаки не обязательно иметь доступ к критической инфраструктуре через сетьинтернет», – добавляет эксперт.

Что в итоге?

После рассмотрения законопроекта осталось больше вопросов,чем ответов. Даст ли эта законодательная инициатива владельцам объектов,государству и нам, обычным гражданам, уверенность, что теперь основные системыжизнеобеспечения Российской Федерации под надежной защитой. Или только введетвладельцев КИИ в дополнительные расходы? Ведь, если так, то это напрямуюповлияет на жителей России, – вслед за тем увеличатся цены на необходимые намжизненные ресурсы.

Вопросы без ответа – это верный знак, что предложение недоработано, хоть уже и вступило в силу. Но это в нашей, российской традиции, – принятьзакон, а после думать, как его реализовать. Так случилось с «пакетом Яровой» ис законом «О персональных данных». Мы бы очень хотели, чтобы этого не произошлос новым законопроектом ФСБ о КИИ, потому что искренне обеспокоены вопросамибезопасности и нам хочется твердо знать, что завтра мы не проснемся ядернойзимой без света, газа, воды и денег.