Не региональный «ИнфоБЕРЕГ»
события на рынке ИБ, экономики и политики оказали свое влияние и на программу конференции
В рамках конференции «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ — 2012», рассматривались темы, далеко выходящие за рамки регионального масштаба, так как относились скорее к концептуальным практикам обеспечения информационной безопасности (ИБ).
XI Всероссийская конференция «Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ — 2012» в этом году привлекла внимание более 250 участников из 56 субъектов РФ. На секциях и круглых столах были крайне востребованы традиционные вопросы мобильного доступа, ИБ виртуализированных и облачных сред, персональных данных и пр. Все эти темы не сходят со страниц прессы, они на слуху у профессионально сообщества и было бы странным обойти их вниманием.
Кроме того, недавние события на рынке ИБ, экономики и политики оказали свое влияние и на программу конференции. Тема вступления России в ВТО не имеет прямого отношения к рынку ИБ, так как с точки зрения ввоза средств защиты мы уже давно живем по правилам ВТО и западные вендоры ввозят оборудование без ограничений. Особые ограничения ВТО касались оборудования двойного применения, в частности средств шифрования. Но в 2010 году был организован таможенный союз, и он уже работает по правилам ВТО. Тем не менее тема вступления России в ВТО звучала и в кулуарах. Последствия вступления в ВТО комментировали с точки зрения изменения внутреннего законодательства. Примером тому стали действия регуляторов, которые, закрутили гайки по использованию средств криптографии различными нормативными документами..
Также весьма популярными оказались практики электронного документа и электронной подписи, защита систем АСУ ПТ, SCADA. Безопасность критически важных объектов и инфраструктур — это то новое, что было привнесено в конференцию в этом году. Интерес к данной проблеме вызван принятым Федеральным законом № 256 «О безопасности объектов топливно-энергетического комплекса». Сегодня идет активная паспортизация объектов комплекса, однако осталось много вопросов, поскольку подходы, прописанные в нормативных документах, на практике зачастую оказываются не реализуемыми.
Коллапс инфраструктуры
В июле нынешнего года в России сложилась ситуация, которая привела к тому, что иначе, как коллапсом участники секций по электронному документообороту назвать не могли. Сдать отчетность в электронном виде стало невозможно, потому что 1 июля старый ФЗ «Об электронной цифровой подписи» перестал действовать, а инфраструктура под новый Федеральный закон № 63 «Об электронной подписи» оказалась не готова. В частности, средства электронной подписи и средства удостоверяющего центра получили сертификаты только в июне 2012-го, а их аккредитацию начали проводить во второй половине месяца. В системе насчитывается около 300 удостоверяющих центров, и очевидно, что такое количество невозможно аккредитовать за 15 дней. В результате десять дней страна жила в вакууме, когда старый закон уже не действовал, а инфраструктуры для нового еще не существовало. И только 10 июля было наконец объявлено, что старый ФЗ действителен еще год.
Проблема, выйдя за рамки России, отразилась и на деятельности таможенного союза, затронув интересы Белоруссии и Казахстана, так как с 1 июля они уже не могли работать на российских торговых площадках. «На первый взгляд проблема в «технарях», которые не успели что-то вовремя сделать и подготовить. Но на самом деле вопрос в том, что в стране нет нормальной законодательной базы и идет подмена понятий, когда технические вопросы выносятся на уровень федеральных законов. В то же время, вещи, которые должны касаться трансграничной передачи, включая согласование, форматы, описание и прочее, не решены на уровне законодательства. И такие вопросы начинают решать технари, поскольку они без этого работать не могут, — заявил в своем докладе председатель совета НП ПСИБ, Дмитрий Левиев.».
Пример близости ВТО проиллюстрировали страховыми компаниями. Транснациональной корпорации выгоднее оформлять страховые контракты на своих сотрудников в Европе, включая сотню сотрудников из России, чем страховать российский офис в РФ, поскольку в первом случае предполагаются скидки. Препятствовать этому в условиях ВТО уже нельзя. Однако работодатель не может заставить сотрудника подписать согласие на трансграничную передачу данных о себе. Это еще раз подтверждает, что законодательство РФ не готово к подобным политическим и экономическим изменениям.
Сторонники применения электронной подписи, обещают колоссальную эффективность и экономию за счет снижения затрат на бумажные носители, курьеров, логистику, транспорт и пр. Однако примеры практиков, к числу которых можно отнести интеграторов, ставят под сомнение эти радужные прогнозы. Дело в том, что когда при реализации проектов по электронному документообороту приходится приводить всю инфраструктуру в соответствие с требованиями законодательства, то необходимые затраты практически сводят на нет всю ожидаемую экономию...
Перспективы в АСУ ТП
В силу непридуманных угроз со стороны вируса StuxNet на иранской атомной станции интерес к защите промышленных объектов и инфраструктур на уровне АСУ ТП очень высок. Вопрос в том, как выстроить безопасность? Ведь если раньше АСУ ТП была физически изолированной средой, то сейчас подключена к Интернету, переходит на IP-протокол и становится уязвимой извне. Эти вопросы находятся в мейнстрим-отрасли не только российской, но и мировой. Если рынок средств защиты АСУ ТП оценивать продажами вендов, то он практически нулевой, не считая единичных примеров специализированных решений.. Но с другой стороны, российский рынок измеряется как минимум 2,5 тыс. критически важных объектов, перечисленных в распоряжении правительства. Потенциальная емкость данного рынка колоссальна..
Как заметил в своем докладе бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий, система управления технологическими процессами по-разному трактуется в разных странах и отраслях. Единой терминологии, если не рассматривать документы Совбеза и ФСТЭК, в России до сих пор нет. Мало кто знает, что именно следует защищать и по чьим требованиям. Мир изрядно напуган StuxNet, но если отбросить панические страхи, то можно заметить, что атаки на системы энергетических компаний далеко не всегда связаны с террористической деятельностью. В частности, Китай в последнее время старается приобретать различные активы компаний из ТЭК по всему миру. «Если наложить эту коммерческую активность на карту известных атак, которые по мнению экспертов осуществлялись со стороны Китая, то оказывается, что они осуществлялись именно на те страны, где впоследствии Китай приобретал энергетические объекты по ценам ниже, чем если бы у него не было инсайдерской информации о состоянии объектов, мощностях и возможностях. Вот это ни один современный нормативный акт в области ТЭКа не регламентирует, поскольку в подобных действиях нет никакой террористической активности. Это в чистом виде промышленный шпионаж, доказать который крайне трудно.».
На сегодняшний день в мире существует около 70 стандартов по безопасности АСУ ТП, но Россия всегда идет своим особым путем. Планы, которые опубликовал Совбез по защите критически важных объектов, предусматривают разработку нормативной документации не раньше 2014 года, в то время как в США эти документы были созданы еще в 2009-м и каждые два года проводится анализ рисков объектов энергетики, а с 2005-го публикуется ТОП-10 рисков. Поскольку не каждый объект готов сразу реализовывать весь набор мероприятий и внедрять средства защиты, то и меры противодействия разбивают на базовый, средний и максимальный пакет, когда речь идет о ситуациях, в которых надо реагировать достаточно быстро на инцидент, не изучать, а действовать, не мешкать и не метаться. Для этого придется делать то, что не любят делать айтишники или люди, отвечающие за АСУ ТП, — заниматься документированием вопросов ИБ.
Кроме того, необходимо заручиться поддержкой руководства. Рассказывать, как действует StuxNet, наверное, интересно, но не более того, потому что для руководства это не актуально. Ту же проблему можно представить иначе: проиллюстрировав примерами, как должны были работать заводы в нормальном режиме и как выглядит падение производства при действиях вредоносно кода, показать реальные цифры недополученной прибыли. Или, если речь идет об Иране, проанализировать ситуацию, при которой нестабильность в производственной сфере привела к невозможности решать политические или национальные задачи.
Большого внимания заслуживает и вопрос обучения специалистов службы ИБ специфике АСУ ТП. В Интернете можно найти курс лаборатории в Айдахо американского министерства энергетики. Это четырехчасовой тренинг, состоящий из 100 слайдов для менеджеров среднего звена и объясняющий, что такое безопасность АСУ ТП, риски, и основные методы борьбы с ними. В отличие от России, где на многие подобные документы ставят гриф ДСП (для служебного пользования), на Западе из этого не делают секрета. Знание того, как эффективно выстраивать защиту, вовсе не означает, что злоумышленник может воспользоваться им в своих целях. Если защита выстроена правильно, в соответствии с этими документами, то владение подобной информацией ничего не даст злоумышленнику.
По мнению Дмитрия Левиева, знания регуляторов в данном вопросе не соответствуют практике реального бизнеса. Раньше считалось, что людям, пишущим законы, не нужно знать, как работает то или иное производство. Но когда речь идет о системах управления, то надо понимать, чем эта система управляет и как управляется сама. По словам Алексея Лукацкого, подходы регуляторов не менялись с 1990-х и сильно отстали от реальной жизни, в которой больше невозможно создать контролируемую зону. И в этих условиях от всего профессионального сообщества требуется находить и выстраивать новые подходы к обеспечению информационной безопасности.
Опубликовано 02.11.2012