Планы СБ РФ по защите ИТ-инфраструктуры своевременны, но сложны в реализации - эксперты
16 июля 2012 года

Направления государственной политики по безопасности автоматизированных систем управления критически важными объектами инфраструктуры, определенные Советом Безопасности РФ, своевременны и отвечают современным угрозам, однако требуют конкретизации и значительных ресурсов, в том числе временных, считают эксперты, опрошенные .

Документ, описывающий направления госполитики в области защиты наиболее важных объектов ИТ-инфраструктуры (оборонные предприятия, системы энерго- и водоснабжения, телекоммуникации и прочее), был размещен на сайте Совбеза в понедельник. Он предусматривает комплексную программу совершенствования госрегулирования, развития технологий и решения кадровых вопросов, сроком до 2020 года.

Даже с учетом того, что пока опубликованы лишь планы, изменения позитивные и своевременные, считают опрошенные эксперты.

ВОВРЕМЯ

"Можно только приветствовать, что такой орган, как Совет Безопасности обратил внимание на растущую опасность, которую представляют сегодня информационные угрозы. Разработка такого документа - это признание серьезности киберугроз и их возможного негативного воздействия на критически важную инфраструктуру страны", - сказал руководитель управления интернет-решений "Лаборатории Касперского" Андрей Ярных.

Эксперт отметил, что в международной практике подобные меры не единичны. "Так, развитые государства придают большое значение этой проблеме и предпринимают определенные меры для защиты собственной инфраструктуры от интернет-угроз. Поэтому выработка аналогичного документа в России - важный и своевременный шаг", - сказал Ярных.

В российской компании Group-IB, занимающейся расследованиями киберпреступлений, также признали важность утверждения планов действий государства в столь уязвимой области.

"Уже тот факт, что власти России обратили более пристальное внимание к проблемам защиты КВО (критически важных объектов), является без сомнения положительным моментом. Особенно с учетом того, что подобные тенденции давно существуют во многих развитых странах", - сказал руководитель отдела аудита и консалтинга Group-IB Андрей Комаров.

Комаров, впрочем, обратил внимание, что характер такого документа подразумевает, что авторы хотят лишь обозначить фундамент, на котором будет строиться вся государственная политика в этой области.

"Думаю, что более конкретно можно будет говорить, когда появится утвержденная федеральная программа реализации", - добавил эксперт.

В российской компании Positive Technologies, которая в том числе занимается поиском уязвимостей в автоматизированных системах управления технологическим процессом (АСУ ТП), заявленный набор направлений посчитали вполне адекватным существующим в этой области угрозам, хотя и отметили его "программность".

"Документ, принятый СБ РФ, - программный, это даже не планы, а декларация о намерениях. В документе заявлены основные направления, а что именно будет делаться в этих направлениях, будет видно только ближе к концу второго этапа, то есть к 2017 году", - сказал заместитель технического директора Positive Technologies Дмитрий Кузнецов.

По данным исследования антивирусной компании Symantec, посвященного состоянию критических инфраструктур в разных странах, в том числе и в России, более половины объектов критической инфраструктуры в России не защищены от атак в должной мере. В то же время, число компаний, полностью осведомленных о планах государства по работе с объектами критической инфраструктуры в России вдвое меньше, чем в мире (16% против 33%).

"Поэтому данную инициативу СБ РФ мы считаем крайне своевременной", - сказал руководитель группы ИБ Symantec в России и СНГ Олег Шабуров.

В российской компании InfoWatch, занимающейся защитой от утечек конфиденциальных данных, обратили внимание на отсутствие в документе, опубликованном СБ РФ, планов по борьбе с инсайдерами.

"В документе учтено многое, но не все. В частности, документ составлен в старой территориально-патриотической парадигме, где размещение на соответствующей территории почти гарантирует отсутствие вражеского воздействия, а гражданство работников - отсутствие шпионов и диверсантов. Если и не гарантирует, то существенно снижает вероятность. В нынешней реальности это не так", - отметил главный аналитик InfoWatch Николай Федотов.

Сейчас, по словам эксперта, расположение компьютерного оборудования и линий связи в той или иной юрисдикции не затрудняет и не облегчает проведение разведывательных или диверсионных операций. Гражданство или прописка работников никак не влияет на их лояльность и вероятность саботажа.

"Неучет этих современных особенностей - явная слабость документа", - сказал Федотов.

СРОКИ И НЮАНСЫ

Есть в документе, опубликованном СБ, и другие нюансы, требующие уточнения, считают эксперты.

"В свете появления "Основных направлений" не до конца ясны перспективы применения уже существующих документов по защите ключевых систем информационной инфраструктуры (КСИИ), которые были разработаны ФСТЭК РФ", - отметил Андрей Комаров.

По его словам, в этих документах прописан системный подход к обеспечению защиты подобных ресурсов, начиная с формулировки базовой модели угроз и заканчивая конкретными методами защиты.

"С учетом благоприятного и успешного опыта ФСТЭК РФ в вопросах защиты ключевых инфраструктур и разработки уже действующих нормативных документов, стоит отметить необходимость его привлечение как одной из профильных служб в этих вопросах", - добавил Комаров. Он также оценил сроки исполнения планов, заявленные в документе как адекватные, хотя некоторые пункты вызывают сомнения эксперта.

"Создание единой государственной системы обнаружения и предупреждения компьютерных атак на критическую информационную инфраструктуру выглядит более чем скептически с учетом того, что многие КВО работают автономно без использования распределенных телекоммуникационных инфраструктур, поэтому мониторинг и контроль их безопасности осуществить очень сложно", - пояснил Комаров.

Недоверчиво к планам по созданию единой системы отнесся и эксперт из Positive Technologies.

"СБ РФ поставил очень амбициозную цель - создать единую систему, в которой функции безопасности будут распределены между предприятиями (в основном, частными) и государством. Понятно, что в России нет ни опыта создания таких систем, ни адаптированного к решению этой задачи законодательства", - сказал Дмитрий Кузнецов.

По его словам, проблемами на пути к созданию такой системы является отсутствие специалистов, адекватного бюджета на создание и поддержание системы защиты, а также самостоятельного понимания, как именно и что именно нужно защищать. К тому же коммерческие системы, которые используются на критически важных объектах, часто не готовы к отражению хакерской атаки.

"Positive Technologies регулярно натыкается на ошибки в решениях именитых производителей, таких как Siemens. Поэтому то, что будет сделано к 2020 году, в любом случае потребует работы над ошибками и переделки", - сказал Кузнецов.

В InfoWatch анонсированные сроки исполнения планов СБ посчитали адекватными за исключением одного пункта.

"Производство российского коммуникационного оборудования - явно неподъемная задача. Она вряд ли будет решена к 2020 и даже к 2030 году. Если другие мероприятия станут ориентироваться на предстоящее появление отечественной техники и комплектующих, они тоже могут быть завалены", - спрогнозировал Федотов.

ЧТО ЗАЩИЩАТЬ?

Не совсем конкретно, по мнению экспертов, в документе СБ РФ определены и конкретные АСУ ТП, которые должны быть защищены. В Symantec, прежде всего, предостерегают от слишком узкого понимания видов таких систем.

"Многие неправильно интерпретируют это понятие, думая, что это крупные оборонные и госпредприятия. На практике же неважно, какого размера эта организации и кто является ее собственником, это может быть даже небольшая частная компания", - пояснил Шабуров.

По его словам, объекты критической инфраструктуры - термин, используемый правительствами многих стран, описывающий активы, которые абсолютно необходимы для нормального функционирования общества и экономики, это компании, которые имеют такое значение для национальной экономики или для общества, что в случае успешных атак и повреждения их компьютерных сетей возникнет угроза национальной безопасности.

"Это более широкое понятие, чем термин "стратегические объекты", используемый в российской практике и включающий только объекты по определенному списку", - сказал эксперт.

В Positive Technologies приводят список первоочередных объектов, нуждающихся в защите.

"Банки и кредитные организации, экологически опасные производства (атомная и химическая промышленность), критически важные для государства производства (ТЭК), предприятия транспорта, прежде всего, железнодорожного сообщения, трубопроводы и порты, операторы связи", - перечислил Кузнецов.

В Group-IB считают, что в случае с планами СБ РФ в первую очередь речь идет об обеспечении защиты энергетической инфраструктуры государства (ГЭС, АЭС, ТЭЦ).

"В пользу приоритетности этого направления свидетельствуют тренды в сфере создания специализированного вредоносного программного обеспечения. В частности, это касается известного инцидента с размещением вредоносного кода на АЭС в Бушере (Иран)", - сказал Комаров, имея в виду Stuxnet.

Затем, по его словам, особо пристально следует отнестись к защите транспортной инфраструктуры и опасных производственных объектов, где используются автоматизированные системы управления. "К этой же категории я бы отнес жизнеобеспечивающие подсистемы городской инфраструктуры", - добавил эксперт.

Финансовая, космическая и телекоммункационная отрасль - самые критические объекты, считает Николай Федотов из InfoWatch, а в Symantec к уже озвученным другими экспертами отраслям добавляют здравоохранение и экстренные службы (полиция, пожарные и тому подобные).

Все эксперты отметили масштабность задач, которую поставил СБ РФ, опубликовав план. Например, Дмитрий Кузнецов утверждает, что проблема информационной безопасности критических объектов очень сложна и не решена ни в одной стране мира.

"К примеру, АЭС США за последние десять неоднократно были вынуждены экстренно отключать энергоблоки из-за сбоев программного обеспечения", - привел пример эксперт.

"План выглядит масштабно и всеохватывающим", - считает Андрей Комаров.

Однако, по его словам, реализация плана потребует существенных финансово-экономических вложений на проведение ряда НИР и НИОКР, так как для защиты АСУ ТП нужны специализированные средства, позволяющие работать с промышленными протоколами передачи данных, где традиционные решения неприменимы. Решение всех этих и многих других проблем еще только предстоит обсудить и выработать, отметили опрошенные эксперты.

Автоматизированные системы управления критически важными объектами инфраструктуры или АСУ ТП (автоматизированные системы управления технологическим процессом) уязвимы для хакерских атак - впервые это было доказано в 2010 году, когда стало известно о вирусе Stuxnet - сложной программе, которая была создана специально для атак на заводы по обогащению урана - один из программных модулей вируса позволял злоумышленнику управлять частотой вращения специальных центрифуг, в которых обогащается уран.

Предположительно Stuxnet серьезно нарушил работу таких центрифуг на нескольких иранских ядерных объектах. После Stuxnet случались и другие инциденты, связанные с компьютерными системами крупных предприятий, работающих, в том числе, на оборонную промышленность - об атаках на такие предприятия заявляли власти США, Японии и других стран.

В России подобные угрозы долгое время оставались вне внимания властей. Обнародование планов СБ РФ изменило эту ситуацию.