В России постепенно зарождается культура информационной безопасности (ИБ) и появляется понимание того, что безопасностью ИТ-инфраструктуры предприятий надо заниматься более серьезно. По оценке SearchInform, в 2010 г. затраты российских компаний на обеспечение ИБ выросли в три-четыре раза по сравнению с 2009 г. Но насколько успешно страна движется к цивилизованному рынку и готова ли она сейчас принять все те вызовы, которые существуют в области промышленной безопасности?
Ответы на эти вопросы попытались дать участники круглого стола ”Россия перед лицом кибертерроризма: безопасность ИТ-инфраструктуры промышленных и стратегических объектов”, организованного корпорацией Symantec совместно с фондом “Наука-XXI”. Данная тематика стала особенно актуальной после появления нового поколения компьютерных вирусов, использующих сложные и изощренные механизмы для внедрения в хорошо защищенные сети промышленных объектов (например, Stuxnet, проникший в сеть Бушерской АЭС в Иране) и способных создать угрозу национальной безопасности.
Какова ситуация на российских предприятиях, хорошо ли здесь понимают, что для обеспечения должного уровня защищенности недостаточно лишь установить антивирус, что нужны системы контроля доступа, защиты от утечек данных, мониторинга инцидентов, нужны соответствующие тренинги для сотрудников? Особенно это важно для объектов критической инфраструктуры, которые включают в себя предприятия энергетики, банки, финансовые организации, компании, специализирующиеся на телекоммуникациях и информационных технологиях, учреждения здравоохранения, экстренные службы и т. д.
“В 2009 г. Россия вошла в десятку стран с наиболее высокой вредоносной активностью в Интернете, — сказал Николай Починок, директор отдела технических решений Symantec в России и СНГ. — Пока количество атак на российские предприятия не кажется столь угрожающим, тем не менее тенденция свидетельствует о нарастании количества угроз, которое усугубляется недостаточной защищенностью объектов критической инфраструктуры”.
Symantec недавно закончила исследование защищенности объектов критической инфраструктуры в мире. Прикладное исследование охватило 1580 предприятий в 15 странах, причем в их числе оказались и российские компании. По данным исследования объектов критической инфраструктуры, в РФ 20% из них не реагируют должным образом на инциденты информационной безопасности, 26% не предпринимают достаточных мер для контроля доступа к инфраструктуре на основе учетных данных, а у 30% либо вообще нет плана аварийного восстановления информационных систем, либо степень его готовности низка.
В том же отчете сообщается, что у нас на более чем половине объектов критической инфраструктуры (51%) или совсем не применяются меры по защите конечных точек (рабочих компьютеров пользователей, серверов, терминалов и т. п.), или же эти меры недостаточны; 34% объектов не применяют необходимых мер по защите сети; 45% не проводят на требуемом уровне аудит безопасности; на 39% объектов не организуются на должном уровне тренинги по безопасности. И, что особенно важно, исполнительное руководство 35% объектов критической инфраструктуры не осознает всей важности угроз ИБ.
С этим явлением уже столкнулись специалисты Института системного анализа РАН, когда обследовали ряд предприятий на предмет оценки уровня ИБ. У руководителей компаний очень часто существует совершенно необоснованная уверенность в кибербезопасности корпоративной информационно-телекоммуникационной инфраструктуры (ИТИ). При этом руководители служб ИТИ и ИБ в доверительных беседах нередко признают, что ситуация с ИБ на предприятии весьма запущенная, но, говорят они, если честно показать всю полноту проблем безопасности и оценить все киберриски, то их отсюда просто выкинут.
“В некоторых организациях царит атмосфера “святой лжи”, когда все знают, что друг другу лгут, — отметил Александр Кононов, старший научный сотрудник Института системного анализа РАН. — Начальники считают своей задачей рассовать все проблемы безопасности по подчиненным, спихнуть все на исполнителей, хотя ресурсов для выполнения поставленных задач у них нет. При этом никто не контролирует исполнения, да и спроса с сотрудников никакого нет”.
Одной из проблем данной сферы деятельности называют существование на предприятиях устаревших правил и норм безопасности. Многие нормы были установлены более 30 лет тому назад и не соответствуют современному оснащению объектов и менталитету персонала. За последние 20 лет своевременного и качественного пересмотра норм и инструкций для сотрудников так и не производилось. Например, по оценке профессора Дмитрия Черешкина, члена НТС Минкомсвязи России, в Центральном банке РФ действуют несколько тысяч требований по безопасности (законы, приказы, распоряжения, стандарты, рекомендации, инструкции и т. д.). Вероятно, не меньше их накопилось и на предприятиях нефтегазового комплекса или энергетики. Не исключено, что полное и безукоснительное следование такой массе документов может означать экономическое убийство или остановку предприятий.
Не успевает область управления безопасностью перестраиваться под существующие темпы развития данных областей. При этом, как правило, не учитываются новые риски, связанные с внедрением современных технологий. Нужен регулярный аудит предприятий. Процедуры обеспечения безопасности с точки зрения системного подхода должны определять критические точки в объекте и проводить категорирование угроз потенциально опасных объектов, перечисляет г-н Черешкин. Система автоматизации анализа рисков, разработанная в ИСА РАН, уже шесть лет успешно работает в ЦБ и его подразделениях в 89 регионах страны, говорит он.
К сожалению, реальных достижений в сфере обеспечения ИБ у нас не так много. “Есть ощущение дежа вю, когда вспоминаешь, что десять лет назад была принята Доктрина информационной безопасности России, — отмечает доктор технических наук Сергей Гриняев. — Что изменилось с тех пор? Несколько систематизировалась область нормативного обеспечения. Принято требование следовать зарубежным стандартам в ИБ в связи с возможностью вступления страны в ВТО. Но по-прежнему остро стоит вопрос безусловного обеспечения развития отечественной элементной базы и отечественного ПО”.
За последние 10 лет ключевыми достижениями ИТ на Западе стали социальные и информационные сети. Этот факт пока не исследовался в должной мере на информационную безопасность, печалится г-н Гриняев. “Деятельность WikiLeaks — продукт информационного общества, — продолжает он. — Вред США нанесен, но ни одной громкой отставки не последовало. Не исключено, что это новый виток развития угроз. Информационные угрозы трансформировались, и они оказывают воздействие непосредственно на человека”.
С ним солидарен и Юрий Матвеенко, эксперт некоммерческой организации “Центр проблем стратегических ядерных сил”. Под террористическим актом подразумевается устрашающее воздействие на сознание населения. Кибероружие разрабатывается для разрушения компьютерных сетей и устройств. Но уже сейчас, на современном этапе, происходит его выход из виртуального пространства в физическое. “Идет обкатка управления сообществами для создания напряжения в обществе, — считает Матвеенко. — Появилось понятие виртуальной забастовки или киберстачки. Необходимо анализировать состояние киберсообществ. WikiLeaks — это обкатка, это тот снежный ком, который может привести к параличу общества”.
Для создания кибероружия, использованного в атаке на иранский ядерный комплекс летом прошлого года, требовался очень высокий уровень экспертизы и значительные ресурсы. По оценкам Symantec, над созданием вируса Stuxnet работало около десяти человек в течение 6—9 месяцев. Это была отнюдь не любительская проделка чокнутых хакеров, а хорошо спланированная акция с большой группой управления, опиравшаяся на поддержку инсайдеров на объектах. Очевидно, что в условиях когда для проведения кибератаки используется вся мощь государственной машины, то и для обеспечения безопасности объектов критической инфраструктуры требуются адекватные меры государственной защиты.
Как же у нас обстоят дела с взаимодействием предприятий и государства в вопросах информационной безопасности? Пока еще не самым лучшим образом, свидетельствует Николай Починок. Число компаний, полностью осведомленных о планах правительства по работе со стратегическими объектами в России, вдвое меньше, чем в мире (16% против 33%). Отношение предприятий к этим программам скорее скептическое (35% в России против 19% в мире): российские объекты критической инфраструктуры рассчитывают больше на свои силы, чем на государственные программы. Тем не менее они хоть и в меньшей степени, чем в среднем в мире, но готовы сотрудничать с государством.
В этом направлении и предприятиям, и государственным органам нужно пройти немалый путь. Для обеспечения непрерывности бизнеса предприятиям стратегических отраслей экономики необходимо выйти на новый уровень систем защиты информации — разработать и соблюдать ИТ-политики, вести мониторинг инцидентов ИБ, защищать информацию, проводить идентификацию пользователей, обеспечивать управление системами, защищать инфраструктуру и т. д. Государственным органам также нужно принять дополнительные меры по кибербезопасности: выделять ресурсы для реализации программ защиты объектов критической инфраструктуры, развивать нормативную базу ИБ, привлекать к сотрудничеству отраслевые ассоциации с целью разработки и распространения материалов по защите критической инфаструктуры.