Статья

Снова безопасность за наши деньги? Разбираем законопроект о критической информационной инфраструктуре

Безопасность Бизнес ИТ в госсекторе
мобильная версия
, Текст: Диана Кочиева, Илья Стечкин

Атаки хакеров грозят не только неприятностями владельцам компьютеров – от них могут пострадать и промышленные технологические системы, и информационные системы жизнеобеспечения городов, и другие объекты, входящие в критическую информационную инфраструктуру. Последствия этих сбоев могут быть катастрофичны, поэтому в России разработан законопроект, направленный на защиту такой инфраструктуры. К чему приведет его принятие, станет ли жизнь безопаснее, и кто за это будет платить?

Весь мир озабочен проблемой обеспечения безопасности инфраструктуры и информационных систем. Компании и госструктуры подсчитывают потенциальные убытки, которые могут понести в ситуации, если не будут готовы к внезапному вторжению в свою экосистему. Поэтому тема безопасности сегодня особенно актуальна, особенно если речь идет об объектах инфраструктуры, от которых напрямую зависит жизнедеятельность целых городов, отдельных регионов, а то и всей страны.

В конце 2016 года в Госдуму был внесен законопроект «О безопасности критической информационной инфраструктуры Российской Федерации». Тема вызвала у специалистов интерес, но оставила массу сомнений относительно возможности реализации законопроекта на практике. Мы попытались разобраться, почему потребность принять такой закон возникла именно сейчас, и как это отразится на владельцах критической информационной инфраструктуры.

ФЗ о КИИ: понятия и история вопроса

Авторы проекта ФЗ №47571-7 «О безопасности критической информационной инфраструктуры РФ» оперируют следующими понятиями.

Критическая информационная инфраструктура Российской Федерации – совокупность объектов критической информационной инфраструктуры (КИИ), а также сетей электросвязи, используемых для организации взаимодействия объектов КИИ между собой.

К объектам КИИ можно отнести информационные системы, информационно-телекоммуникационные сети государственных органов, а также информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления технологическими процессами, функционирующие в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сфере, энергетике, топливной промышленности, атомной промышленности, ракетно-космической промышленности, горнодобывающей промышленности, металлургической промышленности и химической промышленности.

Первая попытка принять закон о КИИ была предпринята еще в 2006 году. Тот законопроект назывался «Об особенностях обеспечения информационной безопасности критически важных объектов информационной и телекоммуникационной инфраструктуры». Позже, в 2012 году был законопроект «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». Через год началась разработка законопроекта «О безопасности критической информационной инфраструктуры Российской Федерации». В 2016 году в Госдуму вновь был внесен законопроект с тем же названием, что и три года назад. Подготовила его Федеральная Служба Безопасности (ФСБ).

Процесс принятия законопроекта тянется так долго не случайно, уверен эксперт по информационной безопасности Алексей Лукацкий. Культура законотворчества в нашем государстве слаба, когда речь заходит о регулировании «систем, влияющих на большинство хозяйствующих субъектов». Что это значит: в случае принятия закона владельцы КИИ будут обязаны провести ряд технических и информационных мероприятий по защите объектов. Это, разумеется, потребует финансовых вложений. И надо думать, что внушительных, – ведь речь идет о критической инфраструктуре (читай: системах жизнеобеспечения). Взламывают КИИ не так уж часто. Однако, если инцидент происходит, то последствия бывают весьма плачевными... Последняя крупная кибератака произошла в мае 2017 года. Хакеры запустили в сеть вирус WCry, который поразил сначала больницы Великобритании, а после начал распространяться на другие страны. Вирус атаковал компьютеры в Бельгии, Германии, Франции, Португалии, Испании, Китае, США, Бразилии, Украине, Италии, Индии, Чехии, Турции, Канаде и других странах (жертвами стали пользователи порядка 75 стран). До России WCry тоже добрался: о вторжении сообщили как минимум в МВД и «МегаФоне».

Приоритет предупреждения компьютерной атаки перед устранением ее последствий – один из основополагающих принципов обеспечения информационной безопасности вообще и безопасности критической инфраструктуры в частности (об этом, к слову, и говорится в 4-й статье нового законопроекта).

Рынок кибербезопасности в цифрах

По подсчетам аналитиков, объем российского рынка кибербезопасности (две тысячи интеграторов, более трехсот производителей средств обеспечения безопасности – как российских, так и зарубежных, а еще аудиторы, образовательные центры, испытательные лаборатории…) в 2016 году составил от $300 до $900 млн. Тогда как, скажем, в США эта сумма была в десятки раз больше – $14 млрд.

На долю российского рынка обеспечения безопасности КИИ приходится едва ли 10% от общего бюджета, который выделяют госорганы и частные компании на решение вопросов кибербезопасности. То есть от $30 до $90 млн в год. Сопоставимо со стоимостью одного многоквартирного дома в Москве в розницу. Впечатляет, не правда ли? При том, что сфера защиты КИИ очень специфическая. Здесь требуется более высокий уровень надежности и отказоустойчивости системы, увеличенное время бесперебойной работы, чем, например, в каком-нибудь офисном здании. Ведь в случае отказа системы и, как следствие, прерывания какого-то технологического процесса (представьте себе атомную электростанцию) финансовые и другого рода потери будут исчисляться в совершенно других цифрах.

Поэтому компании, которые занимаются созданием продуктов для защиты информации (например, антивирусов под операционные системы Windows и Linux) не готовы предлагать свои услуги на рынок безопасности КИИ, уверены опрошенные нами эксперты, потому как «критичность» работы таких объектов накладывает на поставщика средств обеспечения безопасности серьезную ответственность. Однако, вопреки этим утверждениям, «Лаборатория Касперского», например, предлагает решение для КИИ, которое уже попробовало одно нефтеперерабатывающее предприятие в Татарстане.

Предложенный законопроект относит сведения о мерах защиты объектов КИИ к государственной тайне. Соответственно, эта информация становится конфиденциальной в масштабах страны, а значит, круг компаний, которые могут быть допущены к обработке и защите такой информации, сужается. Предположительно речь идет о 10% от уже имеющихся у нас $30–90 млн, то есть этот сегмент рынка, в условиях предлагаемого законопроекта, составит $3–$9 млн. Один подъезд в уже упомянутом нами многоквартирном доме в Москве...

В связи с этим возникает вопрос, хватит ли в России вообще ресурсов, чтобы защитить критическую инфраструктуру своими силами?

Однозначно на него отвечает Михаил Холопов, генеральный директор компании Atlex: «Уверен, что повода для волнения нет: надо только обратить внимание на отечественные университетские разработки. Они, вероятно, будут дешевле, чем коммерческие решения, но могут оказаться надежнее, чем продукты компаний с репутацией».

Вопросы категорирования

Если посмотреть на западный опыт, то в большинстве международных практик (мы сравнили с подходами государств, членов Европейского союза, и США) к КИИ относят действующие объекты атомной отрасли и энергетики, транспортных систем, продовольственного обеспечения, нефтегазового комплекса, телекоммуникационных систем, здравоохранения, финансового сектора, водоснабжения, объекты государственного управления и химически опасные объекты.

Итак, сферы жизни, где можно встретить объект инфраструктуры, чья деятельность критически важна для экономики государства, определены. Следующим шагом будет отнесение объекта к той или иной категории.

Категорированию КИИ посвящена 6 статья законопроекта. Осуществляется оно исходя из соображений значимости объектов. Это тоже можно отнести к одному из основных «вводимых понятий» в законопроекте. Значимость определяется размером ущерба, который будет причинен государству, обществу и владельцу КИИ в случае выхода из строя объекта. В тексте предложены следующие критерии: социальная, политическая, экономическая, экологическая значимость или значимость для обеспечения обороноспособности, безопасности государства и правопорядка.

Категорировать объекты имеют право владельцы КИИ (в законопроекте они названы «субъектами») самостоятельно или с привлечением организаций, имеющих лицензию на этот вид деятельности. Дальше происходит процедура проверки верного отнесения объекта к той или другой категории федеральным органом исполнительной власти, уполномоченным заниматься этим вопросом.

Гостайна как демотиватор развития

Когда мы говорим об объектах жизнеобеспечения (банки, гидрошлюзы, электростанции и проч.), надо понимать, что все эти структуры по определению взаимодействуют с внешним миром. Поэтому вести речь об отнесении информации о мерах защиты КИИ к гостайне – это, как минимум, странно, уверен Лукацкий.

В качестве примера эксперт приводит банковскую отрасль. На объектах КИИ РФ используется западное оборудование, у которого условие выхода через интернет к западным подрядчикам для осуществления технической поддержки может быть прописано в контракте. В обыденной жизни мы также используем западное программное обеспечение, поэтому отказываться от контрактов с западными вендорами сегодня едва ли возможно. Однако, на этот счет существуют и другие точки зрения.

Российская инфраструктура: изоляция или нет?

Эксперты отрасли знают: ни российское, ни импортное оборудование не требует обязательного подключения к интернету. Иногда конфигурирование и мониторинг системы может потребовать удаленного доступа специалистов и подключения внешних коммуникаций. Но даже если в ИТ-инфраструктуре того или иного объекта КИИ используется оборудование иностранных вендоров, то оно обязательно сертифицируется в России, что позволяет уменьшить риски, связанные с обеспечением удаленного доступа, до необходимого минимума. «В любом случае, если гипотетически представить полное отключение объекта КИИ от всех внешних коммуникаций, система продолжит функционировать, потому что большая часть таких объектов подключена к собственной автономной сети через локальные защищенные каналы» – говорит Юрий Тимофеев, генеральный директор «АйТи Фаундейшн».

Любая попытка изолировать российскую инфраструктуру, считают некоторые эксперты, остановит производственные процессы, что в конечном счете может привести к еще большим убыткам, чем теоретическая кибератака. Но, как мы выяснили, частичная изоляция давно применяется на объектах КИИ, и производственные процессы от этого не страдают. Хотя это не всегда помогает предотвратить вторжение.

Александр Адамов, руководитель NioGuard Security Lab и специалист по таргетированным атакам, уверен, что отнесение информации о средствах защиты КИИ к государственной тайне – это тоже попытка защитить критическую инфраструктуру: «Не секрет, что при планировании таргетированной атаки злоумышленники проводят первым делом разведку с целью определения типа и конфигурации атакуемой системы, включая тип защитного ПО. Это необходимо для создания кибероружия, которое могло бы эффективно проникать, обходя средства защиты, и выполнять заложенный разработчиками деструктивный алгоритм».

Как правило, на объектах критической инфраструктуры применяется принцип зонирования внутреннего периметра с целью разделения корпоративной сети в соответствии с необходимым уровнем безопасности на сегменты. В связи с этим SCADA-сегмент (сегмент системы сбора, обработки, отображения и архивирования информации об объекте мониторинга или управления), управляющий производственным процессом, всегда изолируется от остальной корпоративной сети (и тем более от сети интернет) либо с помощью межсетевого экрана, либо физически.

«Однако, как показал опыт, изолирование от сети интернет не является 100% гарантией защиты в случае таргетированной атаки, хотя и затрудняет проникновение во внутренний периметр безопасности, где находится SCADA-контроллер,» – утверждает Адамов.

В 2010 г. NioGuard Security Lab совместно с Лабораторией Касперского и компанией Microsoft анализировали одну из уязвимостей, которую использовал червь Stuxnet (кибероружие, предположительно созданное спецслужбами США и Израиля) в таргетированной атаке на ядерный проект Ирана. Суть уязвимости состояла в заражении диспетчера очереди принтера и позволяла червю распространятся в локальной сети. Другая уязвимость нулевого дня, в LNK файлах, делала возможным заражение через USB накопители. Кроме того, атака проводилась не на саму Организацию по атомной энергии Ирана (ОАЭИ), а на подрядчиков, разрабатывающих ПО и оборудование для фабрик по обогащению урана, которые включали центрифуги и контроллеры Siemens – изменение параметров их работы и являлось конечной целью Stuxnet атаки. Действия червя вызвали увеличение количества оборотов вращения центрифуг, что привело, по данным The Washington Post, к выводу из строя более 1000 центрифуг. «На примере Stuxnet мы видим, что для проведения успешной атаки не обязательно иметь доступ к критической инфраструктуре через сеть интернет», – добавляет эксперт.

Что в итоге?

После рассмотрения законопроекта осталось больше вопросов, чем ответов. Даст ли эта законодательная инициатива владельцам объектов, государству и нам, обычным гражданам, уверенность, что теперь основные системы жизнеобеспечения Российской Федерации под надежной защитой. Или только введет владельцев КИИ в дополнительные расходы? Ведь, если так, то это напрямую повлияет на жителей России, – вслед за тем увеличатся цены на необходимые нам жизненные ресурсы.

Вопросы без ответа – это верный знак, что предложение не доработано, хоть уже и вступило в силу. Но это в нашей, российской традиции, – принять закон, а после думать, как его реализовать. Так случилось с «пакетом Яровой» и с законом «О персональных данных». Мы бы очень хотели, чтобы этого не произошло с новым законопроектом ФСБ о КИИ, потому что искренне обеспокоены вопросами безопасности и нам хочется твердо знать, что завтра мы не проснемся ядерной зимой без света, газа, воды и денег.