http://93.174.130.82/digest/showdnews.aspx?id=442a29c7-0965-4667-bf38-4e97e508b79d&print=1© 2024 Российская академия наук
Накануне 75-летия открытия «второго» фронта (06.06.1944) в российской столице в мае был проведен Международный академический экономический форум (МАЭФ) с участием членов Российской академии наук (РАН) и известных отечественных и иностранных ученых. Организации МАЭФ предшествовала длительная серия научно-технических конференций, научных сессий и семинаров, на которых, в частности, рассматривались вопросы защиты информации критических инфраструктур с анализом передового российского и зарубежного опыта и финансово-экономических и программно-технологических аспектов информационного противоборства.
В Москве в здании Президиума Российской академии наук (Ленинский проспект, 32) 15-16 мая 2019 года состоялся Первый Международный Академический Экономический Форум (МАЭФ). Организаторы Форума – Российская академия наук (РАН), Вольное экономическое общество (ВЭО) России и Международный Союз экономистов (МСЭ). Сопредседателями МАЭФ выступили Президент РАН, академик РАН, д.ф.-м.н., профессор Сергеев А.М. и Президент ВЭО России и МСЭ, Директор Института нового индустриального развития имени С.Ю.Витте, д.э.н., профессор Бодрунов С.Д.; Сопредседателями Программного комитета МАЭФ – Заведующий кафедрой экономической теории и политики РАНХиГС при Президенте РФ, академик РАН, д.э.н., профессор Аганбегян А.Г. и действительный член Сената ВЭО, научный руководитель Института народнохозяйственного прогнозирования РАН, заместитель академика-секретаря Отделения общественных наук (ООН) РАН, руководитель Секции экономики ООН РАН, академик РАН, д.э.н., профессор Ивантер В.В. Председатель Международного комитета МАЭФ – вице-президент ВЭО России, президент ФГБУН «Национальный исследовательский институт мировой экономики и международных отношений имени академика Е.М.Примакова РАН», академик-секретарь Отделения глобальных проблем и международных отношений РАН, академик РАН, д.э.н., профессор Дынкин А.А. Председатель координационного комитета МАЭФ – вице-президент ВЭО России, научный руководитель ФГОБУ ВО «Финансовый университет при Правительстве РФ», член-корреспондент РАН, д.э.н., профессор Сорокин Д.Е. Сопредседателями Организационного комитета МАЭФ выступили вице-президент ВЭО России, научный руководитель Института экономики РАН, член-корреспондент РАН, д.э.н., профессор Гринберг Р.С., член Правления ВЭО России, Заместитель Президента РАН, член-корреспондент РАН, д.э.н., профессор Иванов В.В., вице-президент и директор ВЭО России, Исполнительный директор МСЭ Ратникова М.А.
В дни работы МАЭФ были проведены пленарные заседания и конференции в Российской академии наук, Финансовом университете при Правительстве РФ, МГУ имени академика М.В.Ломоносова, РАНХиГС, РЭУ имени Г.В.Плеханова, МАИ, субъектах РФ, научных центрах и вузах. Также состоялись научные и научно-практические конференции и секции на 28 региональных площадках МАЭФ в различных субъектах РФ. В частности, на пленарном заседании МАЭФ состоялись доклады Советника Президента РФ, вице-президента ВЭО России, академика РАН, профессора Глазьева С.Ю. на тему «Методология опережающего развития экономики: как решить поставленную Президентом России задачу рывка в экономическом развитии», Научного руководителя Научно-исследовательского института системных исследований РАН, академика РАН, д.ф.-м.н., профессора Бетелина В.Б. по проблематике моделирования этапов реализации государственной программы вооружения и основ реализации национальных проектов, в т.ч., с участием инвестиционных компаний, научных предприятий и организаций и промышленных холдингов, и заместителя директора Института проблем нефти и газа РАН, члена-корреспондента РАН Богоявленского В.И. по экономическим аспектам обеспечения нефтегазовой отрасли России.
На заключительном заседании состоялось вручение наград и премий молодым ученым. Церемония награждения победителей XXII Всероссийского конкурса научных работ молодежи «Экономический рост России» предваряла лекцию ««Цифровое» будущее: новые модели ведения бизнеса, вызовы для государства и общества» лауреата Нобелевской премии по экономике, Научного руководителя Института Теории университета Тулузы, Президента Фонда Жан-Жака Лафонте Тулузской школы экономики, профессора Жана Тироля. Нобелевский лауреат, в частности, обратил внимание на тесную взаимосвязь финансово-экономических и программно-технологических аспектов информационного противоборства и на необходимость комплексного подхода при решении задач инвестирования в «цифровую» экономику!
Проведению МАЭФ предшествовала длительная серия научно-технических конференций, научных сессий и семинаров с участием представителей РАН и научных предприятий и организаций, на которых, в частности, рассматривались вопросы защиты информации критических инфраструктур с анализом передового российского и зарубежного опыта с учетом финансово-экономических и программно-технологических аспектов. Например, доклад консультанта отдела Управления Федеральной службы по техническому и экспортному контролю (ФСТЭК) России Ирины Гефнер был посвящен обзору основных направлений обеспечения безопасности значимых объектов критической информационной инфраструктуры (КИИ). С 01.01.2018 вступил в силу Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», согласно которому для обеспечения устойчивого функционирования при проведении компьютерных атак предлагается классифицировать в качестве значимых объектов информационные системы (ИС), автоматизированные системы управления (АСУ) и информационно-телекоммуникационные сети (ИТС), а как субъекты защиты – субъекты КИИ, и лица, эксплуатирующие значимые объекты, привлекаемые к проведению работ по созданию (проектированию) и устанавливающие требования к обеспечению безопасности значимых объектов (заказчики). Безопасность значимых объектов (БЗО) с обработкой информации с гостайной регулируется федеральными нормативно-правовыми документами (НПД) о государственной тайне, БЗО государственных информационных систем (ГИС) – Приказом ФСТЭК РФ от 11.02.2013 № 17, БЗО ИС баз данных (БД) – Постановлением Правительства РФ от 01.11.2012 № 1119, БЗО ИТС – ППД Минкомсвязи РФ. Дополнительно необходимо учитывать и требования по обеспечению БЗО ГИС, ИС БД и ИТС. Реализация требований определена Приказом ФСТЭК РФ от 25.12.2017 № 239: после формирования требований к обеспечению БЗО, разработки и внедрения организационных и технических мер (ОТМ) подтверждается соответствие БЗО, а после работы – безопасный вывод из эксплуатации с соответствующими мерами безопасности.
При разработке ОТМ по обеспечению БЗО формируется банк данных угроз информационной безопасности, моделируется каждая из угроз (в т.ч., описание архитектуры и угрозы с описанием нарушителей, потенциальных уязвимостей, способов реализации угроз и последствий от их реализации), проектируются подсистемы безопасности (в частности, определение субъектов доступа к объектам доступа и политики управления доступом, видов и типов средств защиты информации (СЗИ) и структур подсистем безопасности, выбор СЗИ, требования к параметрам настройки программных и программно-аппаратных средств и меры при информационном воздействии) и разрабатывается эксплуатационная документация (включающая структуру подсистемы БЗО, состав и места установки с параметрами и порядком настройки СЗИ, программного обеспечения (ПО) и программных средств, а также правила эксплуатации СЗИ для обеспечения БЗО). Внедрение ОТМ по обеспечению БЗО предполагает установку и настройку СЗИ (в т.ч., ограничения на эксплуатацию СЗИ), разработку документации по БЗО (в частности, правила и процедуры реализации отдельных ОТМ, правила безопасной работы на субъекте, действия работников субъекта КИИ при возникновении компьютерных инцидентов и иных нештатных ситуаций), его предварительные испытания (например, программа и методика предварительных испытаний с проверкой работоспособности подсистемы безопасности и влияние подсистемы безопасности на штатный режим функционирования) и опытная эксплуатация (включает программу и методику опытной эксплуатации с проверкой функционирования подсистемы безопасности, реализацией ОТМ и готовностью пользователей и администраторов) для выявления уязвимостей (например, кода, конфигурации и архитектуры значимого объекта с подтверждением отсутствия уязвимостей, содержащихся в банке данных угроз) и приемочных испытаний с моделированием угроз, подготовкой актов категорирования и эксплуатационной документации, документов по безопасности, результатов выявления уязвимостей и предварительных испытаний.
Обеспечение БЗО в ходе его эксплуатации включает не только планирование мероприятий по обеспечению БЗО, периодический анализ угроз информационной БЗО и рисков от их реализации, но и управление (администрирование) подсистемой БЗО и конфигурацией значимого объекта и его подсистемой безопасности, и реагированием на компьютерные инциденты в ходе эксплуатации, а также обеспечение действий в непредвиденных (нештатных) ситуациях для БЗО, информирование и обучением персонала для БЗО и контроль за уровнем БЗО. При планировании мероприятий по обеспечению БЗО особое внимание уделяется определению лиц, ответственных за планирование и контроль мероприятия для БЗО, разработке, утверждению и актуализации плана мероприятий и контролю их выполнения по обеспечению БЗО в соответствии с утвержденным планом. Действия в непредвиденных (нештатных) ситуациях для БЗО объединяют не только функции планирования, обучения и отработки действий персонала, но и резервирование программных и программно-аппаратных средств с возможностью восстановления уровня БЗО. Контроль за обеспечением уровня БЗО предполагает мониторинг событий безопасности, анализ и контроль уровня БЗО и функционирования объекта с документированием процедур и результатов контроля. Обеспечение БЗО при выводе его из эксплуатации означает архивирование информации на объекте для дальнейшего применения данных в деятельности субъекта, и стирания (уничтожения) данных и остаточной информации с машинных носителей и/или их уничтожение.
Широкий спектр мер предусмотрен для обеспечения БЗО: идентификация и аутентификация, управление доступом, ограничение программной среды, защита машинных носителей информации, антивирусная защита, предотвращение вторжений (компьютерных атак), обеспечение целостности и доступности, защита технических средств и систем с автоматизированной (информационной) сетью (системой) и ее компонентами, аудит БЗО, реагирование на инциденты в сфере информационной безопасности, управление конфигурацией и обновлениями ПО, планирование мероприятий по обеспечению БЗО, действии в непредвиденных (нештатных) ситуациях и информирование и обучение персонала. Первой категории БЗО соответствие высокий потенциал нарушителя (ПН), второй – не ниже базового повышенного ПН, третьей – не ниже базового ПН, причем во всех категориях БЗО применяются средства вычислительной техники не ниже 5 класса, а при анализе БЗО первой и второй категорий – ПО, прошедшее проверку не ниже, чем по четвертому уровня контроля недекларированных возможностей.
Выступление бизнес-консультанта по безопасности ООО «Циско Солюшнз» Алексея Лукацкого касалось вопросов обеспечения БЗО КИИ в других странах. Отмечалась обязательность требований по защите КИИ в разных странах: например, в США NERC CIP и USNRC – обязательно, и NIST CSF – добровольно. Для сравнения – в ЕС директива NIS обязательна с 18.05.2018, а в ФРГ IT Security Act обязателен с 25.07.2015 – транзитный период в обоих случаях составляет 2 года. В Великобритании CPNI Passport to Good Security является добровольным, во Франции НПД (в т.ч., Military Programming Act и Указы от 10.06.2016, 17.06.2016 и 11.08.2016) – обязательны, в КНР Cyber Security Act обязателен с 01.06.2017. Часто КИИ не соответствует инфраструктуре критически важных объектов (КВО). В ряде стран различны методики и НПД по КВО, опасным объектам, антитеррористическим системам и стратегически важным объектам. Во многих странах значения показателей критериев защиты КИИ и КВО являются не только не публичной, но нередко конфиденциальной и даже закрытой информацией. Значения видоизменяются в зависимости от страны и зависят от сектора с критической инфраструктурой. В США и ряде других стран за категорирование отвечают уполномоченные органы, а не сами субъекты. Во многих странах ИС (за исключением самостоятельного сектора «ИТ и связь») и другие элементы КИИ явно не выделяются и не описывается их влияние на критичность. Ряд стран не имеет конкретных значений показателей критериев категорирования – достаточно «включение» в соответствующий секторальный, региональный или отраслевой список. В большинстве стран только начинается работа по формированию стратегии кибербезопасности на национальном уровне: государственный CERT имеет только половину государств, а стран, сфокусированных на CERT КИИ, еще меньше.
В РФ особое внимание придается основам нормативно-правового регулирования деятельности ГосСОПКА, в частности, основным направлениям государственной политики в сфере обеспечения безопасности АСУ производственными и технологическими процессами КВО и КИИ РФ, утвержденным Указами Президента РФ от 03.02.2012 № 803 и от 15.01.2013 № 31с. Аналогичная ситуация с НПД «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», Указом Президента РФ от 22.05.2015 № 260 и Федеральным законом ФЗ-187 «О безопасности критической информационной инфраструктуры РФ». Присоединение к ГосСОПКА означает информирование об инцидентах на всех объектах КИИ центров пользователей ГосСОПКА, сотрудничество с сотрудниками спецслужбы по реагированию на инциденты и выполнение требований по установке и эксплуатации средств ГосСОПКА на объектах КИИ (имеются соответствующие методические рекомендации).
Роли и задачи регуляторов по безопасности КИИ в ЕС соотносятся с основными направлениями, рассмотренными в НПД «Stocktaking, Analysis and Recommendations on the Protection». Необходимо учитывать и нюансы выбора средств защиты, например, по оценке соответствия в форме обязательной сертификации, испытаний и приемки, или по обслуживанию объекта КИИ или обеспечения его безопасности, осуществляемого «российской организацией». Важно отметить, что средства защиты обеспечены поддержкой со стороны организации из РФ, не имеют неконтролируемого обновления или управления из-за рубежа, и не осуществляют несанкционированную передачу информации разработчику. Поскольку к гостайне относятся сведения о мерах по обеспечению безопасности КИИ и о состоянии ее защищенности от компьютерных атак, необходимо разработать и утвердить НПД, устанавливающий конкретный перечень сведений, относимых к государственной тайне, например, технические задания, данные о госзакупках и тендерах, применяемые меры и средства защиты, результаты аудитов и пен-тестов.
В соответствии с Постановлением Правительства РФ от 15.06.2016 № ПП-541, услуги по мониторингу информационной безопасности (ИБ) средств и систем информатизации подлежат лицензированию. Например, лицензируется деятельность для внешних нужд (коммерческие SOC, холдинговые структуры и т.д.), при этом требования к SOC от ФСТЭК РФ не всегда коррелируют с требованиями ФСБ к центрам ГосСОПКА. В технических средствах лицензируемого SOC, помимо упоминаемых в требованиях ФСБ систем анализа защищенности, SIEM и систем управления инцидентами ИБ, необходимо также наличие обязательных для ФСТЭК РФ ИС для мониторинга (т.е., SOC) аттестата на ГИС1, средств защиты каналов связи (до SOC от контролируемых средств защиты), а также системы Threat Intelligence и «песочницы».
Важный вопрос – инвестирование в разработку систем защиты информации для КИИ и КВО. Необходимо принятие НПД, регулирующего степень взаимодействия государственно-частного партнерства (ГЧП) в сфере обмена информацией об угрозах разработчиков и частного сектора, в 80% случаев владеющего КИИ. Успешными примерами зарубежного ГЧП являются UP KRITIS или Alliance for Cyber Security в ФРГ, и SAMFI в Швеции. Законодательно поддерживается и развивается взаимодействие государственных и частных CERT (преимущественно в форме ГЧП или рабочих групп), например, CERT-Verbund в ФРГ.
В завершении выступления было отмечено, что в большинстве стран требования по ИБ КИИ являются преимущественно добровольными с постепенным сдвигом в сторону обязательности, при этом категорирование объектов КИИ обычно проводится государством, а не субъектами. Создаваемые государственные CERT являются преимущественно центрами обмена информацией. Слабо развита система лицензирования и сертификации по ИБ КИИ, как и гостайны в КИИ. Особое внимание при развитии отраслевых систем уделяется взвешенным подходам к выбору защитных мер, активному использованию киберучений и росту ГЧП.
Доклад руководителя Департамента перспективных технологий АО «Лаборатория Касперского» Андрея Духвалова затрагивал проблематику разработки концепции доверия и безопасности для критических инфраструктур. Особое внимание уделялось новому классу «умных» киберфизических систем (КФС) – инженерных комплексов на основе IoT, интегрирующих человеческие, физические и информационные ресурсы в рамках проекта «Умные системы». Основными критериями их работоспособности являются устойчивость (восстановление при сбоях и отказах систем), надежность (частота выхода из стоя), сохранность данных (ошибки управления системой), безопасность (информационные и операционные риски) и приватность (контроль и предотвращение утечек данных). Т.о., основной целью создаваемых КФС является обеспечение возможности построения доверенной системы из неполностью (или частично) доверенных компонентов, например, содержащих недокументированные функции, уязвимости или вредоносный код. Общепринятым подходом является построение прямых взаимодействий между компонентами сложной системы, предполагающий изоляцию доменов безопасности и двухфазность принятия решения: вычисление секьюрити вердикта и его применение (каждая фаза выполняется в своей вычислительной среде). В Kaspersky Security System используется модуль расчета вердикта безопасности, разделение бизнес–логики ПО от функций кибербезопасности, структуры и контексты взаимодействий комбинированных ИБ–политик на уровне конфигураций, статический анализ с генерацией кода по спецификации, валидация функциональной части ПО (например, как IDS), а также масштабируемость и мобильность переноса приложений.
Для формирования доверенной среды на каждом уровне КФС применяются методики и механизмы повышения уровня доверия, в частности, согласно ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Например, в доверенной среде приложений ключевыми показателями функциональности являются доверенная пользовательская среда, наложенные средства безопасности и безопасность приложений; в доверенной программной среде (операционной системе – ОС), доверенная системная среда, средства администрирования и интегрированная безопасность; в доверенном жизненном цикле – домены безопасности, доверенная загрузка и обновление, программная виртуализация; в доверенной встроенной среде – доверенная среда исполнения, аппаратная виртуализация и доверенные приложения с алгоритмами; наконец, самый нижний и глубокий уровень, т.н. «корень доверия» - доверенное аппаратное ядро, защищенные области памяти, сертификаты и ключи. Соответственно, различен состав приложений и интерфейсов при реализации ключевых модулей на основе российских технологий и международных стандартов. «Корень доверия» включает защищенную память (PCR, AIK), постоянную память (EK, SRK) и криптопроцессор (RNG, RSA и SHA-1). «Ядро доверия» объединяет контроль целостности КФС, библиотеки шифрования, доверенное хранилище, настройки политик безопасности, доверенную ОС (KOS) и «корень доверия» (ядро, RNG). Гипервизор интегрирует в себя интерфейсы управления (HCI, RC), доверенный канал (IP, VPN), интерфейсы доверенных приложений, жизненный цикл КФС и мониторинг Logging; а ОС/Приложения – системы обеспечения безопасности коммуникаций, шифрование данных, идентификация и аутентификация, контроль жизненного цикла и «корень доверия».
Многоуровневая защита предполагает максимально-возможное применение всего комплекса технологий с замыканием их в экосистему комплекса КФС. Например, в устройствах наряду с KSN/KPSN применяются также ИБ–политики с приложениями и прошивками, в Облачных технологиях – интерфейсы управления, протоколы (MQTT, Coap), доверенная загрузка, жизненные циклы КФС, доверенные приложения, криптобиблиотеки, ИБ–политики и агенты безопасности наряду с KSH, KSS и PKI.
Практика реализации мер по защите информации на объектах КИИ была лейтмотивом выступления Дмитрия Гусева, заместителя генерального директора ОАО «ИнфоТеКС». Отмечался низкий уровень защищенности ряда применяемых протоколов передачи данных (например, шифрование в протоколе отсутствует, если не защищены пароль и логин). Типичными атаками на промышленные системы являются блокировка/задержка информационных потоков для нарушения работы КВО, несанкционированные изменения инструкций/команд/сигналов для повреждения/отключения оборудования КВО с угрозой КВО и человеческой жизни, искажение предоставляемой операторам информации для сокрытия факта несанкционированного доступа или инициирования со стороны оператора реакции в виде неадекватных действий, изменение ПО или настроек системы с заражением ее вредоносным ПО, а также вмешательство в работу систем безопасности (например, пожарной сигнализации) для ее ложного срабатывания. Анализ зарубежных атак на АСУ технологическими процессами (ТП) свидетельствует об их возрастающей интенсивности и масштабах причиненного ущерба. В 2010 г была совершена остановка иранских центрифуг вирусом Stuxnet, в 2014 г – кибератака на сталелитейный завод в ФРГ, но уже в 2015 г – кибератаки на АЭС в Японии, дистанционный взлом транспортной системы управления Jeep Cherokee в США и отключение ряда энергоподстанций в Украине. В последующие годы кибератаки только участились, и, учитывая массовое внедрение АСУ ТП и интеграцию АСУ с ERP и MES, развитие IoT и систем дистанционного мониторинга и удаленного доступа, повсеместное внедрение компонентов Industry 4.0, цифровых предприятий и PLM-систем с сервисными моделями бизнеса в промышленности, риски от их применения в российском и зарубежном промышленном производстве будут только нарастать. Защита КИИ ведет историю с сигнатурного метода 1984 г, при котором сигнатуры для IDS проходили анализ и тестирование в ETOpen и экспертном сообществе исследователей кибератак, вирусов, зловредных кодов и ПО с недокументированными функциями. В 1988 г была разработана пакетная фильтрация, в 1991 г – «прикладные прокси», в 1993 – инспекция с учетом состояния. Развитием работ стало появление Visibility 1.0 с глубокой инспекцией пакетов в 2001 г, инспекцией контента в 2004 г, формированием баз данных осведомленности о приложениях и пользователях (2009 г) и контексте (2011 г). Следующий этап – DPI, реализующий максимальную видимость с фильтрацией на 7-м уровне ISO OSI, защиту от сетевых атак с блокировкой аномалий, запрещенных команд и старых протоколов, URL-фильтрацией и защитой от вирусных атак. В 2015 г был разработан UEBA (Visibility 2.0): поскольку средства ИБ создают фоновый шум, из-за нехватки персонала или его низкой квалификации упрощается механизм реализации кибератак. Например, в 2010 г Verizon провел исследование, согласно которому в 86% случаях утечек данных доказательства были в логах, что, в т.ч., свидетельствовало о невысоком уровне компетенции ИБ-специалистов. UEBA является симбиозом программных продуктов и вычислительных технологий с применением статистических методов, машинного обучения, Data Mining и искусственного интеллекта (например, поиск ранее неизвестных данных об атаках). Центр тяжести системы смещается с событий на инциденты, где активность пользователя и его доступ к информационным ресурсам проверяется на нарушение ИБ–политик, вредоносный трафик и возможные уязвимости. В частности, согласно данным SOC «Перспективный мониторинг», в первом полугодии 2017 года из 392 326 588 событий в сфере ИБ было выявлено 242 серьезных инцидента! Известен реальный случай с выявлением WannaCry интеллектуальной аналитической системой: при обновлении сенсоров IDS 28 апреля получен БРП с описанием уязвимости ETERNALBLUE, и уже через 2 недели в эвристическом режиме 12 мая выявлен инцидент!
Выводы и рекомендации:
1. Отмечаемый российским и зарубежным сообществом в начале июня 2019 года 75-летний юбилей начала Нормандской операции с открытием «Второго» фронта (06.06.1944) – прекрасная возможность для формирования «второго» антисанкционного фронта российскими учеными и их зарубежными коллегами. Важная роль в полномасштабном «научном наступлении» отведена, в т.ч., финансово-экономическим и программно-технологическим аспектам информационного противоборства.
2. Отсутствие единства требований в сфере КВО и КИИ, обусловленное наличием правовых пробелов и внутренних и внешних противоречий в текстах НПД, препятствует организации единого нормативно-правового поля в ЕС, Америке и других мировых регионах. Для его формирования, в частности, целесообразно устранение неопределенности в законодательной базе с утверждением базового перечня выверенных и юридически-эквивалентных значений в разных странах.
3. Необходимо уточнить требования к SOC от ФСТЭК РФ, согласуемые с требованиями ФСБ к центрам ГосСОПКА. В частности, рекомендуется включение в перечень требований ФСБ к техническим средствам лицензируемого SOC не только ИС для мониторинга и средств защиты каналов связи (от контролируемых средств защиты до SOC), но и систем Threat Intelligence и «песочницы», присутствующих в перечне требований ФСТЭК РФ.