Кибербезопасность критической инфраструктуры (трубопроводы)

Добрый день, коллеги!

   Формат нашего общения позволяет не гнаться за новостями и спокойно анализировать последствия известных событий в сфере кибербезопасности и действия, направленные на нейтрализацию последствий, недопущение аналогичных событий.

   Спустя 3 недели после взлома информационной инфраструктуры компании Colonial Pipeline и «в связи с постоянной угрозой кибербезопасности трубопроводным системам и связанной с ними инфраструктуре» Министерство внутренней безопасности США (Department Homeland Security, DHS) выпустило требования к кибербезопасности для владельцев и операторов критически важных трубопроводов - Security Directive Pipeline-2021-01 (далее – Директива), которые вступили в силу 28.05.2021, действуют до 28.05.2022 г. и предназначены для владельцев и операторов трубопроводов для опасных жидкостей и природного газа или объектов сжиженного природного газа, то есть тех, кто «уведомлены Управлением транспортной безопасности (TSA DHS) о том, что их трубопроводная система или объект являются критическими».

   В Директиве «Владелец / Оператор» (далее – владелец, оператор) означает лицо, которое владеет или поддерживает операционный контроль над трубопроводными объектами или занимается транспортировкой опасных жидкостей или природного газа и которое было определено TSA как одно из наиболее важных межгосударственных и внутригосударственных транспортировщиков природного газа и опасных жидкостей. трубопроводная инфраструктура и операции.

   То есть выделили владельцев – субъектов критической инфраструктуры (CI), часть которой являются нематериальные активы, информационные системы, автоматизированные системы управления, сети, то, что относят к критической информационной инфраструктуре (CII). Фактически, под эти требования попадают и операторы систем, управляющих работой трубопроводов.

   В России термин «критическая инфраструктура» официально не применяется, есть термины «критически важный объект», «потенциально-опасный объект» и т.п. Безопасность регулируется по отраслям - федеральными законами и отраслевыми нормативными актами, например, 256-ФЗ/2011 г. «О безопасности объектов ТЭК», 16-ФЗ/2007 г. «О транспортной безопасности», которые в основном, регулируют вопросы, связанные с физической, антитеррористической безопасностью. Безопасность компьютерных систем в критичных областях у нас регулируется законом о безопасности критической информационной инфраструктуры.

   Директива состоит из пяти разделов: цель и общая информация; обязательные действия (по реализации директивы); порядок реализации директивы по безопасности; определения; согласование (утверждение) альтернативных мер.

   Выделено три основных требования к владельцам и операторам трубопроводов, согласно которым они обязаны:

  • сообщать об инцидентах кибербезопасности в Управление кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (CISA);
  • назначить «основного и хотя бы одного альтернативного» координаторов по кибербезопасности, которые должны быть доступны TSA и CISA 24/7 для координации действий в области кибербезопасности и устранения любых возникающих инцидентов, а также в течение семи дней с даты вступления в силу Директивы предоставить TSA в письменной форме их имена, должности, номера телефонов и адреса электронной почты;
  • проверить (пересмотреть) свою текущую деятельности на соответствие рекомендациям TSA по кибербезопасности трубопроводов с целью оценки киберрисков, выявить (в ней) любые пробелы, разработать меры по исправлению положения и сообщить о результатах в TSA и CISA.

   Предусмотрены меры во избежание дублирования отчётов, организации оперативного взаимодействия CISA, TSA, Национального центра реагирования и других агентств, если это необходимо. Кроме того, TSA и CISA могут использовать полученную ими от владельцев и операторов информацию для идентификации уязвимостей, анализа тенденций или для создания анонимных индикаторов взлома или других продуктов кибербезопасности в целях предотвращения других инцидентов кибербезопасности.

   Прямо указано, что Координатор по кибербезопасности должен:

  • быть гражданином США, «имеющим допуск к безопасности»;
  • служить основным контактным лицом по вопросам киберразведывательной информации и деятельности, связанной с кибербезопасностью, и связи с TSA и CISA;
  • быть доступным для TSA и CISA 24 часа в сутки, семь дней в неделю;
  • координировать кибербезопасность (обеспечение кибербезопасности) и связанные с ней методы и процедуры внутренней безопасности;
  • работать (взаимодействовать) с соответствующими правоохранительными органами и органами экстренного реагирования.

   То есть требования в части обязанностей «координаторов-он-лайн» получились довольно жесткими, что же касается сроков предоставления информации о киберинцидентах, то она указана «как можно быстрее, но не позднее, чем через 12часов», тогда как в России сроки информирования о компьютерных инцидентах с момента обнаружения – не позднее 3 часов для значимых или 24 - для иных объектов КИИ.

   Согласно Директивы (в разделе «Определения») Cybersecurity incident (инцидент кибербезопасности) – это событие, которое без законного разрешения фактически, неизбежно или потенциально ставит под угрозу, нарушает или иным образом влияет на целостность, конфиденциальность или доступность

  • компьютеров,
  • информационных или коммуникационных систем или сетей,
  • физической или виртуальной инфраструктуры, управляемой компьютерами или информационными системами,
  • информации, хранящейся в системе.

Определение включает событие, которое:

  1. Расследуется как возможный инцидент кибербезопасности без успешного определения первопричины или характера события (например, злонамеренный, подозрительный, доброкачественный).
  2. Может повлиять на целостность, конфиденциальность или доступность компьютеров, информационных или коммуникационных систем или сетей, физической или виртуальной инфраструктуры, управляемой компьютерами или информационными системами, или информации, хранящейся в системе.

   Посмотрим, о каких инцидентах кибербезопасности в обслуживаемых (эксплуатируемых) ими информационных системах, АСУТП (операционных системах) трубопроводов владельцы, операторы обязаны сообщать в CISA:

  • несанкционированный доступ к системе;
  • обнаружение вредоносного программного обеспечения;
  • действия, приводящие к отказу в обслуживании любой из этих систем;
  • физическая атака на сетевую инфраструктуру владельца, Оператора (например, умышленное повреждение линий связи);

а также «любой другой инцидент в области кибербезопасности, который приводит к нарушению работы этих систем или других аспектов трубопроводных систем или объектов, или иным образом может вызвать сбои в работе, которые отрицательно влияют на безопасность и эффективность транспортировка жидкостей и газов, включая, помимо прочего, воздействие на большое количество клиентов, критически важную инфраструктуру или основные правительственные функции, а также на национальную безопасность, экономическую безопасность или общественное здоровье и безопасность».

   В России субъект КИИ обязан информировать НКЦКИ о компьютерных инцидентах, то есть о «фактах нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».

   Информация о киберинцидентах (компьютерных инцидентах), связанных с функционированием объектов критической инфраструктуры США / критической информационной инфраструктуры России, которые субъект обязан направлять в государственные органы:

США.

В соответствии с требованиями директивы владелец, операторы должны включить следующую информацию:

Россия.

В соответствии с требованиями НПА КИИ субъект КИИ должен направлять следующую информацию:

1. Имя заявителя и контактная информация, включая номер телефона или адрес электронной почты. В отчете также должно быть четко указано, что информация передается для удовлетворения требований к отчетности в Директиве по безопасности 2021-01.

[Имеется в ГосСОПКА]

2. Затронутые опасные трубопроводы и / или объекты для жидкости и природного газа, включая идентификационную информацию и местонахождение.

Дата, время, место нахождения или географическое местоположение объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент.

3. Описание угрозы, инцидента или деятельности, включая:

а. Информация о том, кто был уведомлен и какие действия были предприняты;

б. Любая соответствующая информация, наблюдаемая или собираемая Владельцем / Оператором, такая как вредоносные IP-адреса, вредоносные домены, вредоносное ПО или злоупотребление законным программным обеспечением или учетными записями;

c. Любая известная информация об угрозе, включая информацию об источнике угрозы или атаки, если таковая имеется.

Наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой.

Состав технических параметров компьютерного инцидента.

Cвязь с другими компьютерными инцидентами (при наличии).

4. Описание воздействия инцидента или потенциального воздействия на системы и операции информационных или операционных технологий. Эта информация также должна включать оценку фактических, неизбежных или потенциальных операций по обслуживанию, операционных задержек и / или краж данных, которые имеют или могут произойти, а также любую другую информацию, которая может быть информативной для понимания воздействия или потенциального воздействия. инцидента кибербезопасности.

Последствия компьютерного инцидента.

5. Описание всех запланированных или рассматриваемых ответов, включая, например, возврат к ручному резервному копированию, если применимо.

 

6. Любая дополнительная соответствующая информация.

 

   К основным мероприятиям по обеспечению кибербезопасности также относится оценка уязвимости. В соответствии с требованиями Директивы владельцы, операторы трубопроводов обязаны:

  •  немедленно ознакомиться с соответствующим разделом Руководства TSA по безопасности трубопроводов от 2018 г. (с изменениями, апрель 2021 г.),

а затем:

  •  оценить, соответствуют ли текущие методы и действия по устранению киберрисков для защищаемых систем Руководству, выявить и оценить любые имеющиеся пробелы (заполнить форму, предоставленную TSA);
  •  определить меры по исправлению положения и составить график их реализации;
  •  предоставить в течение 30 дней с даты вступления в силу Директивы в TSA и CISA отчет, содержащий всю требуемую информацию.

   Интересно, что владельцы, операторы трубопроводов должны в письменном виде представить подтверждение получения Директивы, направив его на электронный адрес TSA, а также немедленно распространить информацию и меры, содержащиеся в Директиве, среди высшего руководства компании, представителей управления безопасности и любого персонала, отвечающего за выполнение положений данной Директивы, проинструктировать всех лиц, ответственных за выполнение Директивы. Кроме того, владелец, оператор должен сообщить о Директиве и её любому лицу, подпадающему под её положения (требования), включая, помимо прочего, персонал федеральных, государственных и местных органов власти, арендаторов и подрядчиков.

   Отметим, что допускается комментировать Директиву, приводить данные, мнения и аргументы отправляя их в TSA, но подача комментариев не откладывает дату вступления в силу Директивы. Впоследствии TSA может вносить поправки на основании полученных комментариев.

   Если же владелец, оператор не может реализовать какие-либо меры, указанные в настоящей Директиве, то он должен немедленно уведомить TSA по электронной почте. Также он может представить (предложить) на утверждение альтернативные меры и основание для их представления.

   В новостях на эту тему упоминалось, что за нарушения будут введены штрафы от $7,000 (в России согласно статье 19.7.15 КоАП: на должностных лиц от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей).

   В заключение приведём ещё два определения.

   Под несанкционированным доступом (НСД) к ИТ-системе или ОТ-системе (АСУ) в Директиве понимается доступ:

  • из неизвестного источника;
  • третьей стороны или бывшего сотрудника;
  • сотрудника, имеющего доступ к системам, для которых он или она не авторизован;
  • и может включать в себя не злонамеренное нарушение политики владельца, оператора, такое как использование общих учетных данных сотрудником, иным образом уполномоченным на доступ к ним.

   Для сравнения, в РФ. Несанкционированный доступ: Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.

   Примечания:

  1. Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
  2. Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.

(ГОСТ Р 53114, п. 3.3.6).

   В Уголовном кодексе РФ используется понятие «неправомерный доступ».

   Под нарушением работы (Operational disruption) в Директиве понимается отклонение или прерывание нормальной деятельности или операций, которое приводит к потере:

  •  данных,
  •  доступности системы,
  •  надежности системы,
  •  контролю над системами (управлению системами),

либо указывает на несанкционированный доступ или наличие вредоносного программного обеспечения в критических информационных технологических системах.

   То есть наличие нарушения связывают не только со случившимся, но и с возможным фактом НСД или наличия «вредоноса».

   В России, в основном в сфере промышленной безопасности, используется понятие нарушение, как правило, в контексте аварий, инцидентов, расследования причин:

   Авария - разрушение сооружений и (или) технических устройств, применяемых на опасном производственном объекте, неконтролируемые взрыв и (или) выброс опасных веществ.

   Инцидент - отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от установленного режима технологического процесса.

(116-ФЗ «О промышленной безопасности»)

   Будем наблюдать за дальнейшими мерами по обеспечению безопасности критический инфраструктуры (и КИИ) и рассказывать вам.

Оставайтесь на связи, Михаил Смирнов


Другие статьи
Поделиться:
 
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.