Особенности обеспечения безопасности критической инфраструктуры: взгляд пессимиста

Но вернемся к тому, с чего я начал. Тема на подъеме. Не проходит недели, чтобы в России не проводилось какого-нибудь мероприятия (офлайн или онлайн) по данной тематике, на котором преимущественно интеграторы по ИБ стращают аудиторию рассказами о Stuxnet или о мифической атаке на сталелитейный завод в Германии (реальных подтверждений этой истории до сих пор нет), попутно, явно или неявно, но практически безуспешно впаривая свои услуги и продукты. Все участники этой "торговли страхом", по-видимому, хотят повторить десятилетней давности успех темы с утечками информации и последовавший за ним взрывной рост продаж DLP-решений. Но что-то не срабатывает, и именно этому я бы и хотел посвятить данный материал.

Давайте вспомним, что движет потребителем, который покупает тот или иной продукт в области ИБ. Как ни странно, но ключевых драйверов всего три – страх, законодательство (кто-то относит этот драйвер тоже к страху) и экономику. Попробуем посмотреть на кибербезопасность критических инфраструктур через призму этих трех драйверов и понять, почему у нас так немного не просто успешных, а хотя бы начатых проектов по защите АСУ ТП.

Первый драйвер

Классическая "торговля страхом", т.е. рассказ страшилок о всяческих угрозах, которые могут вывести из строя атомную электростанцию, остановить завод по переработке нефти, изменить маршрут движения корабля с контейнерами, набитыми бриллиантами, или изменить рецептуру изготовления продукта питания, что приведет к его порче или отравлению людей, его попробовавших. Страшно? Безусловно. В теории.

А что у нас с практикой? И вот тут у нас возникает первый тормозящий развитие темы фактор. Реальных кейсов, о которых можно рассказать, раз-два и обчелся. Ну Stuxnet. Так он произошел не у нас. Сталелитейный завод в Германии? Так это, даже если и не выдумка, в Германии. Вывод из строя на время системы электроэнергетики Украины? Опять же – не в России, да и ущерб там был незначительный. Атаки ближневосточных хакеров на дамбу в США? И вновь мы говорим не о России. Где наша локальная специфика? Где истории про российские критические объекты? Их нет. Этот классический драйвер продажи решений по ИБ (продажи от вендора заказчику и от безопасника заказчика его руководству) не работает.

Неужели у нас в России нет примеров атак на критические инфраструктуры? Неужели мы настолько отстали в информатизации, что у нас нечего ломать? Или у нас настолько высоко выстроены технологические процессы, что их не могут сломать? Конечно же нет. Факты есть. Но они не публичны. Информация о реальных инцидентах на критически важных объектах скрывается от широкой общественности, а обязанности уведомлять об этих инцидентах в России нет (пока нет). Те, кому по долгу службы становится известно о фактах взлома какой-либо системы управления технологическими процессами, вынуждены молчать об этом, скованные соглашениями о конфиденциальности.

Руководство же заказчиков не верит продавцам на слово, требуя доказательств реальности проблемы. А доказательствто и нет. Поэтому первый драйвер, который так отлично работал (и до сих пор работает) применительно к корпоративным сетям, в случае с критическими инфраструктурами не дает должного эффекта. С DLP все было просто – фактов утечек публикуется много и с красочными деталями: сколько и чего утекло. С офисными антивирусами тоже все просто – с программами-вымогателями сталкивались многие, даже в домашних условиях. В случае с атаками на АСУ ТП таких деталей почти нет и поэтому напугать вендору заказчика, а безопаснику заказчика свое руководство должным образом не получается.

Экономика

Еще одна модная тема. Как обосновать ценность ИБ для руководства компании? Такой вопрос я слышу постоянно от специалистов по кибербезопасности разных компаний. Все хотят узнать, какую ценность они приносят бизнесу, но… Тут мы сталкиваемся с общей для любого среза ИБ проблемой. Мы не привыкли рассматривать безопасность сквозь экономические очки. Как центр затрат? Пожалуйста. Как центр прибыли? "А что, так можно? А как?"

Мы продаем газ! Значит, если мы перестанем продавать газ, то компания потеряет деньги? Да! Значит, если кто-то нарушит работу системы управления газопроводом, это серьезный риск, который приведет к потере денег? Да! Тогда давайте посчитаем, во сколько обойдется компании один час простоя трубы. Можем? Или, например, компания поставляет трубы по контракту с крупной компанией из топливно-энергетического сектора. Если встанет конвейер по производству труб и будут нарушены контрактные обязательства по поставкам, это отрицательно скажется на бизнесе компании? Да! Сможем посчитать, во что обходится часовой простой?

А нам никто данных для расчета не даст. Все, тупик! На этом экономические расчеты можно завершать – специалист по безопасности боится идти к бизнесу за исходными данными (а они есть только у бизнеса) и второй драйвер продажи решений по кибербезопасности у нас не срабатывает.

Но даже если данные все-таки находятся, то руководство, привыкшее считать деньги и оперирующее понятиями "прибыль" и "убытки", начинает задавать "неудобные" вопросы. А есть примеры реализации названных рисков? Или мы дуем на воду? Специалисту по безопасности остается только вспоминать старый советский фильм "Операция Ы и другие приключения Шурика" и ставший классикой диалог: "У вас на стройке несчастные случаи были? Будут!" Требуя деньги на безопасность сейчас, взамен предлагаются риски в будущем. Которые могут еще и не произойти.

Третий драйвер

Законодательство, к которому в России исторически относились с большим пиететом. У нас есть законодательство по защите ПДн, государственных ИС и Национальной платежной системы. А вот по безопасности критической инфраструктуры у нас законодательства нет. Такие попытки предпринимались неоднократно с 2006 г. – выпускались законопроекты, постановления правительства, ведомственные приказы… Но главного закона у нас как не было, так и нет. Даже закон "О безопасности объектов топливно-энергетического комплекса", принятый после аварии на Саяно-Шушенской ГЭС и террористической атаки на Баксанскую ГЭС и содержащий норму по ИБ информационных систем объектов ТЭК, не заработал, так как за соответствующую норму ст. 11 никто не отвечал и не отвечает. Требование есть, а ответственного за его реализацию и контроль нет. И ответственности за нарушение никакой не предусмотрено, что делает даже эту неработающую статью мертворожденной.

Но у нас есть приказ ФСТЭК № 31 по защите АСУ ТП, скажет осведомленный читатель, и будет… неправ. Приказ есть. Но статус его, к сожалению, не совсем очевидный для большинства лиц, на которых этот приказ распространяется. Над ним нет никакого вышестоящего нормативно-правового акта, который бы сделал этот приказ обязательным к применению. И даже если бы такой нормативный акт уровня федерального закона или постановления правительства был, то мы вновь натолкнемся на отсутствие ответственности за невыполнение данного приказа.

Что же делать?

Ведь все специалисты по ИБ прекрасно понимают, что и незаряженное ружье если и не раз в год, но все-таки может стрельнуть. Одно дело – вирус-шифровальщик выведет из строя компьютер бухгалтера или банковский троян украдет несколько миллионов рублей со счета компании-жертвы. Совсем другое – экологическая катастрофа или даже нанесение вреда жизни и здоровью людей. Пусть вероятность такого события и низка, но ущерб может быть колоссальным (в отличие от корпоративных сетей, где ситуация обычно обратная – вероятность высока, а ущерб не очень).

Наверное, поэтому все с нетерпением ждут принятия законопроекта по безопасности критической информационной инфраструктуры и еще двух сопутствующих ему законопроектов. Это как раз тот случай, когда лучше перебдеть и на законодательном уровне принять меры, не дожидаясь наступления риска, вероятность которого в условиях роста цифровизации и изменения геополитики все-таки растет.

Правда, в отношении законопроекта по безопасности критической инфраструктуры (по крайней мере его текущей редакции, которая, я надеюсь, после второго чтения в Госдуме претерпит серьезные изменения к лучшему) у меня есть ряд серьезных замечаний, которые не пойдут на пользу общему делу повышения защищенности критических инфраструктур. Речь идет о двух, на мой взгляд, достаточно одиозных требованиях – отнесении сведений о мерах защиты объектов критических информационных инфраструктур к гостайне и установлении уголовной ответственности за нарушение требований по защите таких инфраструктур (до 10 лет лишения свободы).

Первое требование в случае его принятия существенно сократит и так не очень большой рынок кибербезопасности АСУ ТП и отвратит от него ряд производителей и интеграторов, не желающих (или которые не захотят) получать соответствующие допуска на право работать со сведениями, составляющими гостайну. Оно же усложнит жизнь и самим потребителям, которые, понятное дело, будут обрабатывать такие сведения и вынуждены будут создавать у себя "первые отделы" или отдавать эту функцию на аутсорсинг. Второе требование будет висеть дамокловым мечом над руководителями, которые вряд ли будут рады перспективе "присесть" на 10 лет за отсутствие промышленного МЭ или антивируса.

Что у нас в сухом остатке? Коренным образом отличающаяся от обычных корпоративных продаж ситуация с кибербезопасностью критических инфраструктур, помочь которой может либо серьезный инцидент, который заставивит всех задуматься, либо жесткое законодательство, устанавливающее серьезную ответственность за несоблюдение защитных мер. И я не знаю, какой из двух вариантов лучше. Но без них серьезного качественного рывка в деле обеспечения защиты АСУ ТП в ближайшее время я не предвижу, как бы мне этого ни хотелось.