Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Правовые страхи страшнее киберугроз?

    06.11.2012

    Интересный случай из жизни безопасности критических инфраструктур произошел на прошлой неделе в США и был описан на страницах информационного агентства Reuters. Из повестки и без того закрытой конференции, проводимой где-то «там у них», в последнюю минуту были сняты доклады, касающиеся защиты критических инфраструктур от компьютерных атак, что в очередной раз, по мнению Reuters, подчеркнуло правовые противоречия по вопросам распространения данной информации. А именно, были сняты два доклада о потенциальных уязвимостях атомных электростанций, через которые могут быть совершены кибер-атаки. И сняты они были с повестки, по информации организаторов конференции, после того как им пригрозил судом вендор оборудования, ссылаясь на то, что доклады раскрывают слишком много информации об их устройствах (точнее, видимо, об их уязвимостях). При этом руководством АЭС презентации были одобрены. Более того, в результате данного инцидента участники конференции узнали что компании, занимающиеся техническим аудитом контрольно-измерительного оборудования в критически важных системах, не могут сообщить о найденных уязвимостях даже официальным властям США, опасаясь судебного преследования вендоров. Сообщения о том, что доклад о способах взлома SCADA систем был отменен по просьбе вендора оборудования, попадались в новостях и ранее (к примеру, такой случай был с Siemens), но об угрозе судом, я, например, прочитал впервые. Видимо на фоне увеличивающегося вала обнаружений уязвимостей в промышленных компьютерных системах вендоры вынуждены спасаться судебной защитой. Но вопрос здесь не однозначен. С одной стороны, информация эта действительно очень критична и знание уязвимостей в программном обеспечении конкретного оборудования широкими массами может выступить дополнительной уязвимостью в системе безопасности объекта в целом. Однако обмен этими сведениями в любом случае важен, вопрос только как он будет организован. К примеру, в этой же статье говорится, что участники конференции были очень обеспокоены, что из-за засекречивания на пять лет правительством США информации об атаках на электрогенерирующее оборудование, потенциальные жертвы не имеют информации о том, как они могут быть атакованы, и не имеют возможности принять превентивные меры защиты своих объектов. Понятное дело, здесь есть что возразить, я привожу этот пример просто для демонстрации направления диалога – производитель, потребитель, регулятор. Это кстати, еще один интересный вопрос, который поднимается в статье. Потребители жалуются на чрезмерное засекречивание всего и вся, на задержку выпуска закона, ссылаются на слабую проработанность вопросов кибербезопасности в частном секторе, для чего требуют от регуляторов подготовить четкие и понятные требования. Государство (в данном случае США) с одной стороны планирует усилить вопросы кибербезопасности в негосударственных критически важных инфраструктурах, с другой – законодательство по этим вопросам (Cybersecurity Executive Order) уже год как застряло в Конгрессе. И при этом раздаются заявления (в частности, по сообщению Reuters, со стороны республиканцев) что государство вообще не должно выпускать никакие требования (стандарты), даже не обязательные.

    Почему я столько внимания уделил, казалось бы, чужим проблемам? Мы в очень многих вопросах, касающихся безопасности критически важных объектов, повторяем путь США, возможно, включая ошибки. К примеру, их обсуждение проблемы выработки требований, практически один в один повторяет, дискуссию между энергетиками и регуляторами на круглом столе по вопросам безопасности АСУТП, который я месяц назад проводил на Инфобезе. Одни говорят: «Выработайте требования», другие им отвечают: «Делайте это сами через отраслевые сообщества». Кстати, вопрос о чрезмерном «грифовании» ИБ-документов у нас тоже постоянно поднимается отраслевыми ИБ-шниками. Поэтому, если вопрос распространения информации об уязвимостях в промышленных компьютерных системах возник сегодня у них, с большой долей вероятности завтра эти вопросы возникнут у нас. И, к примеру, у меня нет готового ответа, какой путь правильный. С одной стороны, как я уже сказал, эта информация действительно может создать дополнительные риски атак, а с другой стороны, как раз злоумышленники скорее всего этой информацией завладеют и без наших презентаций, ведь у них проблем с разглашением и обменом информацией нет, в то время, как потенциальные жертвы будут находиться в неведении об уязвимости своих систем. 

    Кроме того, ситуация в Штатах демонстрирует нам тревожный сигнал, который по всей видимости может ожидать и нас – это проблема ответственности за вопросы безопасности критических инфраструктур, особенно в частном секторе, которую никто не хочет брать на себя. И не хотелось бы повторять ошибки американцев, ведь препирательства в этой сфере крайне чреваты последствиями. При этом, мы пока в гораздо более невыгодной ситуации чем американские коллеги, у них по крайней мере есть под эгидой департамента внутренней безопасности (Department of Homeland Security) команда, занимающаяся вопросами безопасности (во всех смыслах, включая и вопросы ИБ) промышленных компьютерных систем (Industrial Control Systems Cyber Emergency Response Team). ICS-CERT, по крайней мере, выступает посредником между всеми заинтересованными сторонами, а также инициатором тех или иных документов. У нас же этим пока заняться некому, и кроме ФСТЭК в этом направлении никто особо не двигается. Да и они пока не сильно продвинулись — проект поправок в 149-ФЗ, касающийся ИБ критически важных объектов, пока гуляет на этапах межведомственных согласований.

    ICS-CERT.png

    Как сказал на упоминаемой Reuters конференции некий Кевин Макдональд, вице президент одного из провайдеров ИБ-услуг: «Если мы сейчас не сделаем что-нибудь сообща в этом направлении, то произойдут серьезные последствия и будут гибнуть люди». И он прав, критические инфраструктуры это не какие-нибудь персданные…

    Возврат к списку