«Надо отчетливо понимать, что кибербезопасность – это всерьез и надолго…»

В свое время я посетил ряд английских заводов, где практически все автоматизировано. Зоны ответственности персонала сведены к минимуму: если ручной труд можно заменить, этой возможностью на предприятии обязательно воспользуются. Весь технологический процесс происходит без участия высококвалифицированных кадров. На железной дороге сегодня прослеживаются аналогичные тенденции.

Возьмем в качестве примера систему автоторможения: в зависимости от состояния пути, веса поезда, его скорости движения система автоматически, с оптимальными параметрами будет рассчитывать скорость торможения так, чтобы пассажиры и грузы не падали, а вагоны не смещались. Или другой пример – система автоведения. Суть ее в том, что поезд автоматически едет согласно заложенной программе. Когда эту систему внедряли в ОАО «РЖД», со стороны персонала сначала было сопротивление – зачем нам это надо? Однако когда машинисты оценили удобство использования данной системы, маятник качнулся в другую сторону. Сотрудники стали требовать установки автоматической системы, так как это существенно упрощало их труд.

Автоматизация стала частью нашей жизни.

На железной дороге используется более 100 АСУ и АСУП. На сегодняшний день внедрено примерно 67 типов микропроцессорных систем: например, горочная автоматика, которая формирует и расформировывает составы, системы электрификации управляют подачей электроэнергии на контактную сеть и т.д. В эксплуатации находятся более 40 000 микропроцессорных систем. Локально-корпоративная сеть, используемая ОАО «РЖД», включает более 250 000 программно-аппаратных портов для подключения различных систем. Для этого используются и сетевые каналы, и эфирные радиоканалы, и волоконная оптика. Конечно, необходимо отдавать себе отчет в том, что, когда есть такое количество портов, возможности для кибератак колоссальные, в том числе и с использованием коммуникационного сетевого оборудования.

На железной дороге часто возникают ситуации, когда сложно разделить зоны ответственности. Например, мы исследовали системы управления подстанциями электропитания. Специалисты нашего Центра провели успешную кибератаку, предоставили отчет, но два департамента ОАО «РЖД» никак не могли договориться между собой, в чьей зоне ответственности находится система, через которую было совершено проникновение. Энергетики утверждали, что кибератаку провели на их систему, но через локальную сеть, поэтому ответственность на себя должны взять связисты. Связисты, разумеется, возражали, ведь энергетики ранее не выдвигали никаких требований по защите канала. А если канал открыт, его легко можно «взломать». В итоге энергетикам пришлось признать, что обеспечение безопасности собственной инфраструктуры – это их забота, и они построили криптотуннель для защиты информации в данном канале.

И хотя требования к обеспечению безопасности на железной дороге очень высокие, существует определенная специфика – протяженность дорог в России составляет, по разным оценкам, от 80 000 до 100 000 км, и мгновенно переформатировать всю систему с учетом современных требований к киберзащите экономически невозможно. Именно поэтому в настоящее время на железной дороге наряду с самым современным оборудованием эксплуатируются системы, внедренные еще перед Второй мировой войной, и все это связано в единую технологическую цепь.

Конечно, те вопросы, которые беспокоят сегодня весь мир, беспокоят и нас. К сожалению, при массовом внедрении АСУ ТП было допущено несколько стратегических ошибок. Например, для экономии начали использовать существующие уже на тот момент каналы связи общего пользования, поэтому эта часть осталась незащищенной. И сейчас очень остро стоит вопрос по защите каналов связи, например, шифрованием или заменой на волоконно-оптическую связь, в которую гораздо тяжелее проникнуть, хотя и тут уже есть прецеденты. Складывается ситуация постоянного противоречия между потребностью в защите и стоимостью данной защиты. Когда специалисты начинают считать, они понимают, что таких денег нет ни у кого не только в России, но и в мире.

Влияние госрегуляторов, безусловно, существует. На одном из совещаний во ФСТЭК сообщили, что в базах данных этой федеральной службы содержится больше 1 млн уязвимостей, выявленных в операционных системах и программно-аппаратных комплексах. Представитель ФСТЭК заявил, что регулятор будет требовать от представителей отрасли проверки своих систем на наличие всех выявленных уязвимостей. Конечно, все понимают, сколько может стоить такая проверка. С другой стороны, мы сталкиваемся с тем, что относительно «свежие» угрозы закрываются производителями достаточно быстро, а уязвимости, появившиеся 10 лет назад, до сих пор актуальны. В такие моменты давление регуляторов на производителя должно сыграть положительную роль. Если такое давление не оказывать, может сложиться следующая ситуация: приходишь на предприятие и спрашиваешь: «Кто у вас главный по контролю выявленных уязвимостей?», а в ответ слышишь: «Тот, кто эксплуатирует». Но ведь тот, кто эксплуатирует, может быть недостаточно квалифицирован для исполнения этой задачи. Кроме того, не все специалисты заинтересованы в дополнительной работе и лишней ответственности.

Если говорить о негативном влиянии, в прошлом госрегуляторы не всегда принимали компетентные решения. В последние годы ситуация стала заметно выравниваться. Насколько мне известно, сейчас формируются общие требования к обеспечению кибербезопасности, а конкретная их проработка отдается на откуп отрасли. Я считаю такой подход правильным, ведь зачастую у госрегуляторов нет специалистов, глубоко знающих отраслевую специфику, тех же железнодорожников, химиков, атомщиков.

Я считаю, что необходимо обращаться и к мировому опыту в части обеспечения безопасности АСУ ТП. Например, в Германии сейчас приняли положение о кибербезопасности, в котором прописан двухлетний переходный период, в течение которого все уязвимости должны быть устранены. В России тоже все движется в этом направлении: госрегулятор принимает постановление, дает срок на его исполнение, а потом приходит с проверкой, и если ее результаты будут неудовлетворительными, принимает меры, вплоть до отзыва лицензии или остановки производства.

На мой взгляд, цели и задачи кибербезопасности и информационной безопасности разные. Я всегда утверждал, что это не конкурирующие, а взаимодополняющие друг друга дисциплины. Безусловно, кибербезопасность имеет свою специфику. В информационной безопасности акцент делают на целостность, доступность, конфиденциальность передаваемой информации, а в кибербезопасности речь идет о синтезе управления. Принцип управления, реализованный в ИБ, не предусматривает обратную связь. Реализуется фискально-надзорный принцип по отклонению, когда параметры сравниваются по одному и тому же уровню. С точки зрения защищенности информации принцип по отклонению работать будет, но любое отступление от норм будет вызывать тревогу.

А когда вы связаны с управлением, необходимо использовать принципы обратной связи: логический контроль, структурные методы защиты, прогнозирование и ретроспективный контроль. Это совершенно иной подход.

На мой взгляд, цель кибербезопасности – синтезировать безопасное управление объектом при несанкционированном, негативном воздействии, когда перед злоумышленниками стоит задача тайно проникнуть в систему и внести изменения. Когда специалисты нашего Центра проверяли разные системы на кибербезопасность, они получали несанкционированный доступ, меняли, например, кусок операционной системы, проводили кибератаку, а потом возвращали систему в исходный вид так, чтобы не оставлять следов. И это отличительное свойство кибератак – безликость сильно усложняет работу офицера по безопасности, которому необходимо понять, что это было – естественный сбой оборудования, ошибка оператора, воздействие природной среды или успешно проведенная кибератака.

Наш Центр был создан как головное подразделение, занимающееся кибербезопасностью в ОАО «РЖД». Пока у нас небольшой штат – всего 13 сотрудников, но уже сформировался костяк экспертов, отлично справляющихся с поставленными задачами. Недавно мы проверяли на наличие уязвимостей системы, применяемые на железнодорожном транспорте, двух крупнейших мировых производителей – Siemens и Bombardier. В результате тестирования обеих систем были найдены уязвимости. Когда мы обратились в Siemens с результатами нашей проверки, разработчик сначала не воспринял нас всерьез. Но после изучения нашего отчета, где были описаны 47 найденных уязвимостей, представители Siemens прислали нам благодарственное письмо.

А вот с Bombardier мы закрывали выявленные уязвимости совместными усилиями. Например, в рамках проведенных испытаний нам удалось перевести стрелку под составом удаленно. Потенциально это одна из самых опасных ситуаций, способная привести к очень серьезной аварии. После того как мы познакомили партнеров из Bombardier с результатами нашей проверки, они сами предложили нам разработать решение для устранения найденной уязвимости, что мы и сделали. Сейчас это решение тиражируется для других крупных клиентов компании в Западной Европе и Индии.

Нам остро не хватает квалифицированных кадров. Когда стояла задача собрать штат, мы приглашали на работу перспективных студентов и аспирантов. Работа у нас действительно интересная, но конкурировать, например, с «Лабораторией Касперского» по уровню зарплат, мы, к сожалению, не можем. С другой стороны, начальство справедливо говорит: «А вы зарабатывайте…». С некоторыми департаментами ОАО «РЖД» работа в этом направлении у нас налаживается, а с некоторыми пока не удается договориться.

Еще одним существенным ограничением для нас является то, что для проведения исследования на кибербезопасность требуется оборудование или программное обеспечение и поэтому зачастую нужна добрая воля производителя-поставщика. В этой ситуации наши потенциальные партнеры ведут себя по-разному. Те, кто заинтересован в качественном продукте, охотно соглашаются на партнерство. Другие не хотят, чтобы мы обнаруживали уязвимости, поэтому не предоставляют необходимые материалы, и мы вынуждены получать их с боем. К примеру, мы проверяли некую систему, состоящую из четырех плат. Договор с партнером был заключен на исследование лишь одной платы, которая является частью общей системы. Когда же мы запросили у производителя разрешение на проверку остальных плат, нам отказали. В дальнейшем выяснилось что, единственная плата, которую нам разрешили проверять, была уже сертифицирована в одном из силовых ведомств, и производитель был уверен только в ней.

Я считаю, что наша отрасль значительно отстает в нормативном поле. Например, в атомной отрасли существуют стандарты МЭК, которые уже давно приняты и работают, а в нашей отрасли пока только решают, принимать их или нет.

Еще одна проблема – отсутствие единого координирующего органа по кибербезопасности. Есть ФСТЭК, ФСБ, Министерство обороны РФ, Минкомсвязи РФ, и все они одновременно занимаются кибербезопасностью. На мой взгляд, мы должны либо создать свои российские стандарты, либо временно принять международные. Недавно я принимал участие в работе технического комитета № 362 по защите информации, проходившем в Воронеже. Представители комитета сообщили, что к концу 2016 г. должны быть выпущены первые три стандарта по кибербезопасности (переводы западных аналогов). Хотя здесь существует и тонкий момент: иногда качество переводов оставляет желать лучшего. Но я твердо уверен, что стандарты нужны. Да, пока они могут быть плохими, но на сегодняшний день лучше такие, чем никакие. Когда стандарт есть, его можно обсуждать, корректировать, и это дает нам возможность говорить с коллегами по всему миру на одном языке.

Надо отчетливо понимать, что кибербезопасность – это всерьез и надолго, поэтому заниматься данным вопросом необходимо основательно. Известно, чем популярнее тема, тем больше голословных заявлений от так называемых «экспертов», утверждающих, что занимаются кибербезопасностью. А копнешь поглубже и выясняется, что за этим ничего не стоит. Многие называют себя специалистами по кибербезопасности, не являясь таковыми. Кибербезопасность – комплексное понятие, куда входит и схемотехника, и программное обеспечение, и структурный анализ. Специалистов, которые владели бы таким системным подходом, действительно очень мало, но тем не менее письма от «квалифицированных специалистов» приходят к нам каждую неделю. На одном из совещаний заместитель директора ФСТЭК РФ Виталий Лютиков сообщил, что количество компаний, занимающихся темой информационной безопасности, за год сократилось на 30%. Я это связываю с тем, что на волне популярности этой темы люди хотели просто заработать денег, а в итоге оказалось, что это совсем непросто, потому что ФСТЭК России серьезно ужесточила требования к компаниям, желающим работать в этом поле.