Второе интервью по теме кибер-безопасности. В “гостях” ТК 185 Александр Потий, доктор технических наук, профессор, заместитель главного конструктора Института информационных технологий. В области кибербезопасности, информационной безопасности работаю больше двадцати лет.

Як ви оцінюєте розвиток в Україні кібер-безпеки в промислових системах керування (АСКТП)? – наскільки ми відстаємо від сусідів, від розвинутих країн й наскільки просунулись за останні 3 роки?

Скорее всего, что мы не сможем сейчас оценить, насколько мы продвинулись в кибербезопасности именно промышленных систем типа SCADA, поскольку в последнее время я не слышал, чтобы проводились соответствующие аудиты подобного рода систем на промышленных предприятиях, кроме тех систем, которые относятся к классу информационно-телекоммуникационных, подпадающих под закон «О защите информации в автоматизированных системах Украины». Поэтому, здесь сложно сейчас сразу ответить. Очевидно, что, поскольку каких-либо крупных инцидентов в промышленности не наблюдалось, какие-то мероприятия по защите информации в подобных системах выполняются; в соответствии с какими стандартами – тоже непонятно, поскольку известный международный стандарт IEC 62443 в Украине еще на работает. Скорее всего, что эти предприятия выполняют нормы стандартов, если от них требуют этого их заграничные заказчики. Например, надёжность или безопасность систем в энергетическом секторе нам продемонстрировали последние события по вирусной атаке в 2017-2018 годах, в 2015-2017 годах, которые привели к известным блэкаутам, то есть, можно сказать, что не всё там хорошо с точки зрения обеспечения безопасности информации.

Чи знаєте ви що небудь про координацію – синхронізацію в цій сфері зусиль різних гравців на державному рівні? – Адже мова йде про кібер-безпеку критичної інфраструктури.

На сегодняшний момент уже несколько лет идет дискуссия относительно принятия закона «Про критическую инфраструктуру и ее защиту», основными разработчиками-провайдерами этого закона являются специалисты Института стратегических исследований и всё это делается в рамках реализации стратегии кибербезопасности в Украине. И сегодня ГосСпецСвязь является одним из провайдеров и игроков, которые разрабатывают и внедряют требования по кибербезопасности на объектах критической инфраструктуры. Объекты, которые работают с использованием промышленных систем, SCADA-систем, скорее всего, будут отнесены к объектам критической информационной инфраструктуры, и следовательно, в случае, если они будут отнесены к соответствующей категории критичности, к ним будут предъявлены требования про обязательности выполнения требований по кибербезопасности. На сегодняшний день подготовлена постанова Кабинета Министров №518 о требованиях по киберзащите на таких объектах, и готовится проекты документов. В ближайшее время они будут рассматриваться, скорее всего, относительно категорирования объектов критической инфраструктуры, а также разработки документов, которые будут рассматривать требования по кибербезопасности для объектов критической инфраструктуры не зависимо от формы их собственности. Вот такая работа на данный момент на уровне государственных органов ведется.

Хто взагалі повинен координувати такі дії та яким чином? Хоча б на рівні законодавства? І як це робиться в інших країнах?

В Украине, в случае принятия закона «Про защиту критической инфраструктуры», будет создаваться государственная система защиты критической инфраструктуры и будет назначен или сформирован государственный уполномоченный орган по защите критической инфраструктуры, который будет координировать усилия всех министерств, ведомств, которые отвечают за соответствующие сектора критической инфраструктуры с точки зрения обеспечения безопасности объектов критической инфраструктуры. Это общепринятая практика в мире. Аналогично, принимаются соответствующие законы, формируется такая государственная система, где назначается соответствующий ответственный орган, центральный орган государственной власти, отвечающий за защиту критической инфраструктуры. Это может быть и Министерство внутренних дел в каких-то странах, это может быть отдельно выделенный орган, это могут быть какие-то другие центральные органы власти, но суть остается такая же. То есть, модель выбрана следующая:

• в государстве формируется список жизненно важных или критических услуг, которые предоставляются в различных секторах; эти услуги предоставляют объекты критической инфраструктуры: предприятия, организации любой формы собственности, которые предоставляют эти услуги для населения.
• Назначается соответствующий уполномоченный орган в лице министерства или другого государственного органа власти, который отвечает за соответствующий сектор критической инфраструктуры и отвечает за реализацию политики и требований безопасности объектов критической инфраструктуры в своем секторе.

 Що можуть робити самі учасники (замовники, провайдери, галузеві асоціації), щоб прискорити процеси впровадження надійних систем протидії кібер-загрозам?

Скорее всего, что здесь можно строить работу в рамках государственно-частного партнерства для того, чтобы решить несколько задач. Первая — это донесение собственникам критических ресурсов о тех опасностях и угрозах, которые реально существуют для того, чтобы они могли реально оценить и осознать те угрозы, которые существуют для их бизнеса, для их критических активов. Соответствующим образом проводить со стороны, например, ассоциаций, промышленных ассоциаций, которые проводят работу по осведомленности, информированности потребителя в этих угрозах, а также информированности по продуктам, которые существуют на рынке для предотвращения таких угроз. Через такие же промышленных или какие-то иные ассоциации осуществляется взаимообмен информацией об угрозах и кибер-инцидентах, которые случились на объектах критической инфраструктуры среди пользователей, что позволяет оперативно откликаться производителям, которые могут предлагать новые решения для рынка, для предотвращения новых угроз, существующих угроз, а также для того, чтоб можно было уменьшить риски или последствия после реализации тех или иных угроз.

 Яку роль в цих спільних процесах еволюції ви відводите стандартам як ISO 27001 та IEC 62443?

Основная эволюционная роль в принятии и реализации требований этих стандартов в Украине заключается в том, что происходит постепенная смена парадигмы построения систем защиты информации, а именно, построение их на основе модели управляемого риска , которая позволяет перейти собственникам систем к работе по защите информации на постоянной основе с учетом риска, который существует для их активов. Таким образом, мы можем уйти от предыдущей парадигмы гарантированной защиты, которая так или иначе, скажем так, «просвечивается» в нынешних нормативных документах, к новой парадигме управляемого риска, которая позволяет сэкономить или оптимально, или эффективно, или рационально использовать средства для снижения риска, перекрытия угроз безопасности на предприятиях и т.д.. Эти два стандарта, по сути, позволяют реализовать такую модель, только стандарт ISO 27001 — более широкой сферы действия, а IEC 62443 — в основном предназначен для промышленных систем, но тоже вводит систему управления рисками безопасности.