Однако особенностью российского подхода является то, что, в отличие от других государств, в которых объекты критической инфраструктуры, как правило, заранее распределены по отраслям, в России действует система признаков классификации объектов, относящихся к критическим. Точный перечень таких признаков не содержится в открытых источниках, однако сам принцип системы состоит именно в применении к объекту инфраструктуры системы критериев, а не отнесения его к списку КИ исключительно на основании той отрасли или сектора, к которому объект принадлежит.
В международной практике к категориям КИИ, встречающимся в классификациях абсолютного большинства государств, как правило, относятся:
• объекты атомной отрасли;
• энергосети, энергогенерирующие и энергораспределительные мощности;
• транспортные системы: авиация, железные дороги, автомобильные дороги и т. д.;
• объекты производства и хранения сельхозпродукции, а также продовольственного обеспечения;
• объекты государственного управления и правительственных коммуникаций;
• объекты ТЭК, в том числе нефтегазового комплекса;
• основные телекоммуникационные системы, сети, программно-аппаратное обеспечение и системы связи;
• объекты ОПК (в России – химически опасные объекты);
• финансово-кредитный сектор;
• водообеспечение и водоснабжение;
• здравоохранение.
Приведенный перечень, с одной стороны, показывает, что некоторые категории объектов причисляются к КИ почти во всех национальных законодательствах. С другой стороны, даже в этом случае неминуемы различия в трактовках, определениях и детализации категорий. Во многих государствах выделяются категории объектов КИ, часть из которых могут вообще не встречаться у их партнеров, и наоборот.
В то же время на международном уровне до сих пор практически нет механизмов, которые бы обеспечивали эффективное взаимодействие в сфере обеспечения безопасности КИИ. В частности, никаких специальных мер обеспечения безопасности КИИ среди прочих объектов не предусматривают ни Будапештская конвенция, ни межправительственное соглашение ШОС. Эпизоды кибершпионажа и атаки с использованием вредоносного ПО против объектов КИ периодически попадают в проработку национальными CERT и их ассоциациями, альянсом ИМПАКТ – МСЭ, иными структурами частного сектора и частно-государственного партнерства.
В рамках различных форматов за последнее десятилетие сформировалось и действует значительное число проектов, обеспечивающих взаимодействие в сфере безопасности КИИ на технологическом уровне. Такие проекты и форматы включают в себя оценку угроз, разработку и продвижение технических рекомендаций по защите объектов и прочие меры. Технические аспекты обеспечения безопасности КИИ оказались включены в деятельность Международной электротехнической комиссии (IEC), Европейского агентства сетей и информационной безопасности (ENISA), Организации экономического сотрудничества и развития (OECD) и проч.
Однако практически ни один из упомянутых форматов на сегодняшний день не обеспечивает полномасштабного международного сотрудничества, которое включало бы в себя диалог по политико-правовым аспектам обеспечения безопасности КИИ – как в контексте обмена национальным опытом, так и на уровне выработки широких международных договоренностей.
Одним из немногих исключений можно назвать Международное агентство по атомной энергии (МАГАТЭ), которое в рамках своих компетенций ведет работу по укреплению кибербезопасности объектов мирной атомной отрасли. Агентство издает технические руководства по обеспечению компьютерной безопасности на ядерных установках (серия NSS 17), а также развивает отдельные рекомендации в этой части в документах по физической ядерной безопасности (INFCIRC/225/Revision 5). При Департаменте МАГАТЭ по физической ядерной безопасности действует Программа компьютерной и информационной безопасности, в рамках которой разрабатываются технические рекомендации, публикуются документы, проводятся консультативные встречи, региональные тренинговые курсы. Среди типов угроз КИИ атомной отрасли, которые рассматриваются в рамках программы, важное место занимают целенаправленные компьютерные атаки.
Также одной из площадок, работающих над изучением международного опыта и подготовкой исследований лучших практик обеспечения безопасности КИИ, остается ОЭСР. Организацией в 2007–2008 гг. издана серия отчетов и иных документов, обобщающих анализ политик семи государств, имеющих развитые подходы к вопросам защиты КИИ. Среди ключевых выводов документов ОЭСР: необходимость развития научных и образовательных политик в части защиты КВО от ИКТ-угроз; наращивания международного взаимодействия между CERTs/CSIRTs, а также обмена информацией об угрозах и лучших практиках и развития государственно-частного партнерства. Наработки и выводы ОЭСР видится целесообразным учесть России (с учетом подготовки к присоединению к Организации) в рамках развития собственного подхода к защите КИИ.
Среди региональных форматов активной проработкой проблем обеспечения безопасности КИИ выделяются ОБСЕ, АСЕАН/АРФ, а также АТЭС. В 2013 г. ОБСЕ подготовила «Руководство по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в связи с угрозами, исходящими от киберпространства». Документ содержит перечень рекомендаций по развитию международного сотрудничества в рамках указанной проблематики.
Среди государств к числу лидеров в регулировании вопросов безопасности КИИ следует отнести США, Великобританию, Германию, Австралию и Японию. В Соединенных Штатах одним из ключевых национальных регуляторов по вопросам КИИ сегодня выступает Национальный институт стандартов и технологий (NIST). Институт со временем вобрал передовые наработки Министерства энергетики США и некоммерческой организации, разработавшей большое количество стандартов в области электротехники, – Североамериканской корпорации по надежности электроэнергетики (NERC).
В феврале 2014 г. NIST издал основополагающий Рамочный документ по укреплению кибербезопасности критической инфраструктуры (Версия 1.0). Цель такого документа была сформулирована годом ранее, в приказе президента США Барака Обамы № 13636 «Укрепление кибербезопасности КИ», она включает в себя создание системы стандартов, руководств и практик для содействия структурам частного и государственного сектора в управлении рисками в сфере ИКТ. Документ NIST является одним из актов в сфере обеспечения безопасности КИИ, который позиционируется в качестве модели международного сотрудничества и предлагается к использованию зарубежными организациями. Предполагается, что документ может способствовать «выработке общего языка международного сотрудничества в обеспечении безопасности КИИ». Еще один документ NIST, который детально рассматривает вопросы безопасности КИИ, – Руководство по защите АСУ ТП NIST SP800-82, изданное в 2011 г. Обширная и глубокая проработка NIST вопросов ИКТ-безопасности объектов КВО делает актуальной задачей учет опыта ведомства США при выработке международных практик и документов по вопросам безопасности КИИ.
В рамках практических, прикладных форматов международного взаимодействия растет роль киберучений, специализированных на критической инфраструктуре.
Крупнейшие общеевропейские киберучения под названием Cyber Europe с 2010 г. каждые два года проводит Европейское агентство сетевой и информационной безопасности (ENISA). Очередные, третьи, учения ENISA начались 29 апреля 2014 г. с участием 29 команд стран – членов ЕС и более 400 специалистов; главной задачей учений было выявление слабых мест и возможностей для укрепления КИИ ЕС в рамках технической, оперативно-тактической и стратегической фаз. Отражение угроз КИИ, исходящих от компьютерных атак и использования ИКТ в неправомерных целях, также является одной из основных целей учений НАТО Cyber Coalition, которые в 2013 г. вовлекли более 300 специалистов из 30 стран, включая четырех партнеров, не являющихся членами НАТО. В рамках учений угрозы КИИ и противодействие им напрямую увязывается с вопросами киберобороны.
Другим редким примером механизма по развитию норм и подходов к обеспечению безопасности КИИ является проект Модельного закона о КВО информационно-коммуникационной инфраструктуры, разработанный в рамках СНГ в 2013 г. Из числа механизмов, выработанных в рамках СНГ, стоит упомянуть и «Рекомендации по совершенствованию и гармонизации национального законодательства государств – участников СНГ в сфере обеспечения информационной безопасности», утвержденные постановлением МПА СНГ от 23.11.2012 № 38–20. Вместе с тем, предоставляя странам СНГ рекомендации и общие ориентиры для развития регулирования на национальном уровне, такие документы не формируют напрямую регуляторные механизмы и сами по себе не ведут к появлению новых инструментов международного взаимодействия и сотрудничества по вопросам КИИ. Следует также отметить, что роль СНГ как площадки интеграции и выработки общих политик в последние годы снижается как за счет внутрирегиональных кризисов и конфликтов («Пятидневная война» в 2008 г., вооруженный конфликт на Востоке Украины 2014–2015 гг.), так и в силу роста интереса правительств к альтернативным трекам региональной интеграции (Евразийский Союз).
Некоторые другие региональные форматы в последние годы также начали активно обсуждать перспективы совместного противодействия угрозам информационной безопасности критических инфраструктур и возможностей выработать некие коллективные механизмы в этой сфере.
Преимущественное отсутствие нормативных механизмов международного взаимодействия и обмена информацией об ИКТ-атаках на объекты КИИ объясняется несколькими причинами. Возможно, ключевая из них – новизна самой проблематики, причем не только в международной повестке дня, но и на внутригосударственном уровне регулирования. Вопросы, связанные с проработкой проблем ИБ КВО и ИБ АСУ ТП, в том числе в части изоляции таких объектов от Интернета и их защиты от компьютерных атак извне, даже в экономически передовых и развитых странах выдвинулись на передний план для индустрии и регуляторов лишь в течение последнего десятилетия. Устойчивой предпосылкой для активного развития международного сотрудничества зачастую выступает завершенное, четкое видение проблемы и стратегий ее решения на уровне отдельных участников диалога, что в случае с обеспечением безопасности КИИ верно далеко не для всех государств.
Безусловно, в последние годы ситуация меняется очень быстро, но к такому темпу изменений готовы не все и не во всех странах. Как Россия, так и ее зарубежные партнеры все острее сталкиваются с дефицитом интеллектуальных ресурсов, готовых специалистов по ИБ АСУ ТП, а также с частичным регуляторным вакуумом, который проявляется в нехватке существующих стандартов, технических рекомендаций и нормативов в этой области. Как итог, международное сотрудничество в этой области пока не в полной мере обеспечено ресурсами и подкреплено осознанными стратегиями своих участников, чтобы активно и продуктивно развиваться.
Вторая причина связана с особым режимом безопасности объектов КИИ. Соображения национальной безопасности и режимы ограничения доступа к информации об объектах КИИ действуют практически во всех странах. Вследствие этого международное сотрудничество в полноценном понимании этого термина требует качественно иного уровня доверия между его сторонами и потому в обозримой перспективе сильно ограничено по своему потенциалу. Речь может идти о формировании на международном уровне общего понимания ИКТ-угроз КИИ и организации доступа к лучшим мировым практикам и внешним ресурсам для противодействия им. Контуры и задачи участников такого взаимодействия должны отражать актуальную картину угроз в этой сфере.
Наконец, обострение отношений России с рядом стран Запада, а также приостановка ряда механизмов обмена информацией и сотрудничества в сфере безопасности, включая вопросы ИКТ, едва ли будет способствовать конструктивной выработке механизмов международного взаимодействия в области безопасности КИИ.
Позитивной возможностью даже в отсутствие условий для выработки норм, укрепляющих международное сотрудничество, видится развитие взаимодействия и обмена информацией между Центрами реагирования на компьютерные инциденты (CERT/CSIRT). В России существует уже несколько таких центров – как государственных (RU-CERT, GOV–CERT), так и частных. Одним из примеров частных центров реагирования на компьютерные инциденты является GIB-CERT, созданный компанией Group-IB и до последнего времени остававшийся единственным российским CERT, обеспечивающим круглосуточное и полнофункциональное взаимодействие по реагированию на киберинциденты как российских, так и международных клиентов. В 2015 г. GIB-CERT оказался единственным российским Центром реагирования на киберинциденты, который получил аккредитацию как член FIRST – крупнейшего международного сообщества центров реагирования на инциденты кибербезопасности. Кроме того, GIB-CERT является участником альянса ИМПАКТ-МСЭ, а также аккредитованным членом сообщества Trusted Introducer, объединяющего европейские центры реагирования на киберинциденты. Глубокая интеграция в структуры международного взаимодействия и обмена данными по киберинцидентам, в том числе и в отношении КВО и объектов КИИ, существенно расширяет возможности GIB-CERT. Кроме того, пример центра GIB подчеркивает огромную роль частного сектора в защите объектов КИИ и реализации государственной политики в этой сфере. Даже при том, что Россия далека от США по показателю доли частного сектора среди владельцев и операторов объектов КВО (в США – более 80 %), компетенции бизнеса, частного сектора незаменимы и необходимы для построения эффективного механизма защиты критической инфраструктуры от ИКТ-угроз.
Также стоит отметить, что в последнее время в России наметилась еще одна тенденция, уже получившая глубокое развитие в США, ряде стран Европы и Юго-Восточной Азии: создание специализированных «отраслевых» центров реагирования на киберинциденты. Такие структуры уже есть не только в США, где существуют собственные центры реагирования на компьютерные инциденты крупных банков (например, CIRT Bank of America) и специализированные отраслевые структуры (Financial Services Information Sharing and Analysis Center, FS-ISAC), но и во многих других странах. Лишь в списке участников FIRST (международный Форум команд обеспечения безопасности и реагирования на киберинциденты), к примеру, присутствуют CIRT 17 банков, в том числе Canadian Imperial Bank of Commerce, Commerzbank (ФРГ), Европейского Центрального банка, First National Bank (ЮАР), Deutsche Bank, Handelsbanken (Швеция), Национального банка Австралии.
Естественно, специализированный подход важен прежде всего в контексте защиты КИИ, поскольку позволяет регуляторам, государственным и частным структурам сфокусировать свои усилия на предотвращении и реагировании на компьютерные инциденты в том или ином конкретном секторе критической инфраструктуры. С 1 июля 2015 г. при Центральном Банке РФ начал работу Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FINCERT). Одна из главных задач Центра состоит в накоплении информации об инцидентах в банковском секторе и потенциальных угрозах и ее распространении среди организаций российского банковского сектора. Ключевые объекты финансовой и банковской инфраструктуры в большинстве стран мира, безусловно, относятся к числу КВО, и угрозы кибербезопасности в этой нише носят постоянный и системный характер. Важно, чтобы методика работы и круг задач FINCERT по мере развития и накопления его компетенций включали в себя приоритет международного взаимодействия с другими центрами, занимающимися реагированием и предупреждением инцидентов в финансово-кредитном секторе. Теоретически мало что мешает организовать схему обмена данными об инцидентах и даже аномалиях трафика в банковских сетях в международном масштабе – технические вопросы сводятся к стандартизации формата и выбору каналов обмена данными (например, таких как используемый FS-ISAC Traffic Light Protocol (TLP)).
Наконец, запуск FINCERT представляет собой позитивный пример, запрос на воспроизведение которого может быть и в других секторах и отраслях национальной экономики и управления, опирающихся на КВО и объекты КИИ: транспортно-логистическом секторе, авиаперевозках, электроэнергетике, медицине и проч.
Информационные угрозы объектам КИИ: основные тенденции развития
В целом перечень угроз промышленным системам управления, в том числе АСУ ТП объектов КИ, раскрывается в разработанном Организацией по безопасности и сотрудничеству в Европе Руководстве по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в связи с угрозами, исходящими от киберпространства.
Согласно этому руководству основными угрозами системам контроля технологических процессов (ICS) на объектах критической инфраструктуры вследствие преднамеренных неправомерных действий являются:
• Несанкционированное использование точек доступа дистанционного технического обслуживания (специальные внешние входы в сеть ICS, которые могут быть недостаточно защищены).
• Сетевые атаки через корпоративную сеть.
• Атаки на стандартные компоненты, используемые в сети системами контроля технологических процессов (ICS) (в частности, могут эксплуатироваться уязвимости системного программного обеспечения, сервер приложений или баз данных).
• (D)DoS-атаки (возможны при наличии подключения ICS к Интернету).
• Саботаж со стороны внутренних и внешних нарушителей (в данном случае речь не идет о саботаже средствами специального ПО).
• Запуск вредоносного ПО через съемные носители и внешние устройства (Stuxnet).
• Чтение и запись записей в сети промышленных систем контроля (АСУ ТП).
• Несанкционированный доступ к ресурсам.
• Атаки на компоненты сети (атака типа «незаконный посредник» (MITM), упрощение анализа трафика и проч.).
В основных параметрах динамика ИКТ-угроз объектам КИИ сегодня может быть описана в рамках нескольких тенденций: