ФСТЭК рассказал о проблемах реализации законодательства в области обеспечения безопасности КИИ

Заместитель начальника управления ФСТЭК России Елена Торбенко в своём выступлении на XXV научно-практической конференции «Комплексная защита информации» рассказала об основных проблемах применения и реализации законодательства в области обеспечения безопасности КИИ. Среди них невовлечённость отраслевых регуляторов, незнание и непонимание закона, нежелание выполнять требования и другие. 

 

Отсутствие отраслевого регулирования 

По словам Елены Торбенко, в законе прописано три регулятора — ФСТЭК России, ФСБ России и Минкомсвязь. При этом в каждой сфере есть свой регулятор, который лучше знает специфику своей отрасли. 

«Кто лучше этих [отраслевых — ред.] регуляторов знает специфику тех систем, которые есть в этих сферах? Никто. ФСТЭК один, он маленький, а субъектов очень много. И дать однозначную рекомендацию, которая охватывала бы все отрасли, невозможно, это должны быть различные документы. У автоматизированных систем управления в сфере здравоохранения очень мало общего с автоматизированными система в транспорте. В системах управления сетью связи очень мало общего с банковскими системами. Специфика реализации, специфика последствий, которые будут от нарушения, функционирования, в том числе специфика проведения атак на эти системы тоже будет разная. Поэтому мы бы хотели, чтобы отраслевые регуляторы помогали», — сказала Елена Торбенко. 

Несмотря на то, что есть отраслевые законы по безопасности, ФСТЭК рассчитывает на большую инициативу со стороны отраслевых регуляторов в вопросе обеспечения безопасности КИИ. По словам спикера, в нескольких сферах уже начинаются подвижки в эту сторону, но их немного. Вместе с тем и сами субъекты тоже стали больше интересоваться этой темой. 

 

Отсутствие знаний у субъекта КИИ 

Ещё одна из проблем — субъекты не знают законодательство. На личном опыте Елена Торбенко не раз сталкивалась с ситуацией, когда представители компании не понимали или не знали, что они относятся к субъектам КИИ. 

«Не знают, не читают, не хотят осознать или же читают через строчку. Очень много ошибок по реализации систем защиты связанны именно с тем, что закон прочитали до запятой, а дальше не прочитали», — отметила Елена Торбенко. 

Сюда же она отнесла и незнание своих информационных систем. По словам эксперта, когда вышел закон, крупные субъекты попытались реализовать его сходу, но поняли: если в компании больше 10-20 систем, то разобраться в этом зоопарке не может никто. Это всё следствие развития технологий, когда компании ни по документам, ни фактически не знают, какие системы у них на балансе, какие в аренде, какие списаны, где границы систем, из чего состоит система, как проходит канал связи. «Если ты не знаешь объект защиты, ты не можешь построить защиту полноценно», — констатировала Елена Торбенко. 

С другой стороны, по мнению спикера, один из плюсов закона — те, кто начал его реализовывать, в первую очередь проводят оценку и инвентаризацию своих систем. 

В эту же проблему входит и невозможность здраво оценить последствия от компьютерной атаки. По словам Елены Торбенко, это происходит, потому что внутри компании/организации разные подразделения не могут собраться и договориться между собой. Плюс к этому люди просто не умеют пользоваться инструментами подсчёта ущерба по 5 показателям (социальный, экологический, экономический, политический, обеспечение обороны и безопасности). 

«Сознательно пытаются, не сознательно пытаются занизить последствия. Почему? Либо не договорились, либо это решение руководства, которое не понимает важности. Большинство российских крупных монополистов понимают. Мы сейчас работает со средним классом, которому пытаемся объяснить, что это важно. Действительно, интерес обеспечения безопасности КИИ — это не только наш интерес, это интерес общего дела», — сказала Елена Торбенко. 

 

Нежелание субъекта КИИ выполнять требования 

Пожалуй, одна из очевидных проблем — просто нежелание субъектов выполнять требования. Замначальника управления ФСТЭК связывает это и с незнанием закона, и с неправильным его преподнесением в СМИ.

Но кроме этого иногда причиной нежелания выполнять требования по безопасности КИИ является элементарное отсутствие денег на их внедрение. 
Что на предприятии отнести к КИИ? 

По словам Елены Торбенко, у них возникли проблемы с предприятиями, которые занимаются промышленностью и производством, потому что непонятно что там защищать. Помимо защиты очевидных SCADA и MES, нарушение в работе которых может привести к остановке производства, есть ещё верхние системы, которые занимаются планированием, управлением деятельности предприятий — ERP, BPM. Напрямую с производственным процессом они не связаны, но это тоже объекты, которые важны для производства. К тому не надо забывать и про обычные датчики и исполнительные механизмы, так как они давно уже все цифровизованы, а значит через них тоже можно провести атаку на предприятие. 

 

На что ещё обратить внимание? 

Замначальника управления ФСТЭК также отметила, что часто забывают о нарушителях и не соотносят, что если есть связь системы с внешним миром, обязательно будет внешний нарушитель. 

Ещё одно слабое место — рассматриваются не все возможные сценарии атак. «Чаще всего люди говорят: у нас наихудший сценарий будет, если нас атакуют и у нас всё отключится. Понятно, всё отключиться и компьютер погаснет. А если за ним сидит оператор, который принимает какое-то решение? К примеру, нужно гасить электроподстанцию, нужно гасить какой-то котёл или не нужно? Если выключился монитор, оператор тут же позвонил в службу поддержки и сказал, что всё плохо. А если ему подменили данные? Оператор будет принимать решение на основе неправильных данных, соответственно, решение будет неправильное. Почему-то об этом все забывают. Здесь будет атака развиваться, будут какие-то последствия развиваться, а мы этого видеть не будем. Почему-то не анализируется это. Почему? Наверно потому что инженеры не участвуют, подразделения, которые эксплуатируют систему, мало участвуют в процессе реализации закона», — пояснила Елена Торбенко. 

Она также упомянула, что редко считают критичным замедление автоматизированного процесса и зависимость одного процесса от другого.  

 

И что же делать? 

«Как решать? Доносить информацию. Чем мы уже 3 года занимаемся с разным успехом в разных сферах. Пока что мы решаем эти проблемы разработкой методических документов. В том числе со спецификой АСУ, со спецификой систем в различных отраслях», — сказала Елена Торбенко.

«Мы готовы отвечать на вопросы, мы готовы идти навстречу, но хотим видеть и обратный процесс, что общество заинтересовано в этом, что оно понимает важность не только денег, но и безопасности в целом», — подытожила она.

17 сентября, 2020