Как защитить ядерные объекты от вирусных атак? Оценка рисков — новая тенденция предотвращения киберугроз

В последнее время украинцы стали более пристальное внимание уделять вопросам киберзащиты объектов критической инфраструктуры. Одной из причин тому — вирус «Petya», нагрянувший неожиданно и заразивший большое количество IT-систем государства. На сегодняшний день в Украине уже создан и функционирует Центр по реагированию на кибер-инциденты. О том, чего не хватает Украине для реализации полноценной программы по предотвращению киберугроз редакция сайта Uatom.org обсудила с экспертом по направлению, представителем Учебного центра по физической защите, учету и контролю ядерного материала имени Джорджа Кузьмича Сергеем Драпеем.

Эксперт Учебного центра по физической защите, учету и контролю ядерного материала имени Джорджа Кузьмича Сергей Драпей

— Сергей, в сентябре прошлого года Вы высказали предложение создать спецгруппу киберзащиты ядерных установок в Украине. В феврале 2018-го был создан Центр по реагированию на кибер-инциденты. Сможет ли такой центр полноценно защищать объекты ядерной отрасли от вирусных атак?

— Действительно, в прошлом году я говорил о том, что в Украине на уровне атомных станций, на уровне ядерного регулятора — необходимо создать соответствующую группу, которая будет заниматься мгновенным реагированием в случае киберугроз. В эту группу должны войти эксперты всех ядерных объектов Украины, а также — представители Госатомрегулирования, НАЭК «Энергоатом» и Министерства энергетики и угольной промышленности.

Насколько мне известно, в настоящее время подобные подразделения существуют на уровне ядерных установок, однако межведомственной группы так создано и не было. Тем не менее, я считаю, рано или поздно мы к этому придем, и не последнюю роль в этом сыграет Центр по реагированию на кибер-инциденты.

Создание такого Центра, несомненно, является шагом вперед для Украины. Его специалисты будут заниматься разведкой в интернете для своевременного выявления опасных вирусов и программ. Удастся значительно усилить систему киберзащиты в Украине — говорить пока рано, ведь Центр создан два месяца назад.

Откровенно говоря, я считаю, что для такой технологически развитой страны как наша — одного Центра по реагированию на кибер-инциденты недостаточно. В Украине назрела необходимость создания региональных и межотраслевых центров, возглавить которые мог бы Центр по реагированию на кибер-инциденты или Ситуационный центр обеспечения кибербезопасности, основанный на базе Департамента контрразведывательной защиты интересов государства в области информационной безопасности СБУ.

— Случались ли в последнее время вирусные атаки на ядерные объекты в Украине?

— Насколько мне известно, таких случаев не было. Это обусловлено тем, что почти все сети ядерных объектов в Украине — закрыты, а персонал проходит соответствующую проверку, что минимизирует вероятность возникновения внутреннего правонарушителя.

Однако это не означает, что необходимости в улучшении киберзащиты ядерных объектов в Украине нет. Создание межведомственной группы киберзащиты ядерных установок нужно для того, чтобы анализировать все правонарушения киберсферы в мировом масштабе, проводить оценку каждого и быть готовыми в любой момент применить контрмеры. Не стоит ждать новых проблем, лучше действовать на упреждение, учиться на чужих ошибках, а не на своих.

— Каким образом усиливают системы киберзащиты в развитых странах мира?

— Я бы, наверное, остановился на опыте США.

Понимая, что от надлежащего обеспечения киберзащиты, зависит стабильное функционирование энергетики, экономики, медицины, в конце концов, всего государства в целом — бывший президент США Барак Обама в 2013 году подписал указ о разработке структуры кибербезопасности. После чего перед Национальным институтом стандартов и технологий США (NIST) была поставлена задача позаботиться о разработке и внедрении стандартов, основанных на оценке рисков. 2 октября 2013 года NIST представил руководящий документ с предварительным описанием проектируемой структуры стандартов.

На сегодняшний день в США действует ряд руководящих документов, поддерживающих функционирование единой структуры информационной безопасности на должном уровне.

В первую очередь речь идет о Руководстве по управлению рисками федеральных информационных систем (Special Publication 800-37, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach); Рекомендации по контролю безопасности для федеральных информационных систем (Special Publication 800-53, Recommended Security Controls for Federal Information Systems and Organizations); Пособие для проведения оценки рисков (Draft Special Publication 800-30, Guide for Conducting Risk Assessments) и другие.

Кроме того, в США применяется ряд международных стандартов по данному направлению:

— ISO / IEC 31000, Риск-менеджмент — принципы и руководящие указания;

— ISO / IEC 31010, Риск-менеджмент — методы оценки рисков;

— ISO / IEC 27001, Информационные технологии — Методы защиты — Системы управления информационной безопасностью — Требования;

— ISO / IEC 27005, Информационные технологии — Методы защиты — Управление рисками информационной безопасности.

Я считаю, для реализации полноценной программы по предотвращению киберугроз — в Украине также должны быть созданы и применяться подобные документы.

Кроме того, было бы не лишним — улучшить уровень подготовки специалистов по направлению киберзащиты объектов критической инфраструктуры. В целом на сегодняшний день система киберзащиты в Украине работает, однако нам есть еще что улучшать.

Редакция сайта Uatom.org