Киберугроза или кибербезопасность: что на самом деле происходит в отечественной энергетике?

Киберугрозы с каждым годом поднимаются в «рейтинге» важности для мировой экономики. Это, важнейшую для Украины тему, обсуждали и во время форума «Топливно-энергетический комплекс Украины: настоящее и будущее».

Забегая вперед - вопросы есть и у участников рынка, и у органов, которые призваны обеспечить кибербезопасность на уровне государства. Но ничего такого, что нельзя было бы изменить.

 

Несовершенства украинского законодательства

Менеджер проекта IFES в Украине Юлия Шипилова, рассказала, что в сфере кибербезопасности нет ни одного единого глобального документа, который бы определял, как государства должны действовать. В 2011 и 2015 годах Россия и Китай попытались пролоббировать определенные документы на уровне ООН, но они не были приняты так, как США имеет другой взгляд на эти вопросы.

Есть Будапештская конвенция о киберпреступлениях - Украина ее ратифицировала в 2015 году, и сейчас эти положения являются обязательными. Но, для того, чтобы этот документ заработал, он должен быть реализован в национальном законодательстве.

Будапештская конвенция состоит из трех компонентов: материальное право, процессуальное и сотрудничество. Материальные нормы Украины имплементировала: большинство кибер-преступлений в уголовном кодексе отражены. У нас проблемы относительно процессуального права: факт кибер-преступления мы установить можем, но никто не знает, что делать дальше.

«Когда начинается сотрудничество с другими государствами в сфере киберпреступлений, сбор информации и передача доказательств, то Украина до сих пор не определила - что такое электронное доказательство, как их собирать, хранить, обеспечивать, чтобы не было вмешательства. Поэтому такое сотрудничество проблематично», - пояснила Шипилова.

Есть также директива Европейского союза об информационной и сетевой безопасности NIS. Она не является обязательной для Украины, поскольку мы не являемся членом ЕС. 

Директива предусматривает принятие стратегии кибербезопасности, в Украине подобный документ был принят в 2016 году. Уже созданы группы по сотрудничеству и обмену информацией. 

С другой стороны, согласно этому документу, Украина обязана сообщать, с соблюдением всех протоколов, о киберинцидентах  в соответствующие структуры. Сейчас наши предприятия делают это время от времени и в произвольной форме. По мнению эксперта, атака вируса «Петя» произошла именно потому, что не было систем информирования и рекомендаций, как действовать.

«Это важно потому что позволит проанализировать, кто и как атаковал, и понять, как действовать в том или ином случае», - пояснила Шипилова.

На основе Стратегии кибербезопасности Украины был принят в 2017 году закон об основах кибербезопасности. Но он - рамочный. «Многие его положения должны быть прописаны на подзаконном уровне. Но Кабмином они не приняты», - отметила эксперт.

Стратегия кибербезопасности и ее цели - хорошо, что это есть. Но не прописано, кто их должен достигать и выполнять.

«Создание национальной системы кибербезопасности - очень амбициозная цель. Но не сказано, кто за нее отвечает, когда она должна быть достигнута и как. И никто не отслеживает, как осуществляется деятельность, чтобы эту систему построить», - отметила эксперт.

Среди других пробелов законодательства - несоответствие определенных норм международным обязательствам Украины и непоследовательность терминологии. Законодательство принималось в разное время, поэтому и терминологию использовали разную. Теперь компетентные органы сталкиваются с тем, что не могут оказать определенные действия, суд не признает их действия законными.

Касательно законодательства о критической инфраструктуре - Минэкономики разработало законопроект, долго обсуждаемый, и внесенный в ВР в конце каденции 8-го созыва. Но он считается отклоненным. И теперь эту работу начали сначала. Хотя он мог бы стать неплохой базой, считает Шипилова.

Одна из  главных проблем обеспечения кибербезопасности - подведомственность. Многие учреждения имеют схожие функции. В результате - или никто не отвечает за определенные вопросы, или, наоборот, органы начинают конкурировать между собой.

Среди других проблем - отсутствие стратегического плана. Сама стратегия - хорошо. Но план - это не только то, чего мы хотим достичь, но и средства достижения.

Большая проблема для агентств, которые обеспечивают кибербезопасность, - бюджетные ограничения.. "Агентства нанимают на работу молодых, учат их, а они потом идут в частный сектор, потому что нужно кормить семьи, ведь за деньги, которые предлагает государство, невозможно выжить. Чтобы создать систему киберзащиты - нужны, в том числе, и нормальные зарплаты», - отметила Шипилова.

 

Подводя итоги дискуссии на форуме, среди неотложных задач можно назвать:

- согласование терминологии;

- принятие комплексного закона о киберзащита;

- принятие закона о критической инфраструктуре:

- гармонизация законодательства с европейским;

- создание внутренней системы информирования о киберинцидентах (с единой структурой, которая видела полную картину, пусть это будет не новая структура);

- обновление законодательства о правоохранительных органах, убрать дублирование функций;

- принятие закона о государственно-частном партнерстве в сфере кибербезопасности.

 

Что рассказали энергопредприятия

Директор по информационным технологиям ГП НАЭК «Энергоатом» Александр Лесной рассказал, что в «Энергоатоме» критичными являются информационно-управляющие системы.

«К счастью, они были спроектированы в 60-80-е годы. Такие предпосылки позволяют нам обеспечивать защиту особо критичных активов, внутренние периметры, внешние информационные системы общего пользования - как барьер для проникновения», - отметил Лесной.

Самая большая угроза, по его словам - внутренняя. «Мы имели несколько инцидентов, которые широкую огласку не получили. Все они на 100% связаны с действиями внутреннего работника. Но умышленных действий для достижения своей какой-то цели, чтобы создать «дыру» в кибербезопасности, не было. Поэтому для нас это работа по повышению уровня знаний нашего персонала. Повышение уровня кибербезопасности - это процесс, который не должен заканчиваться», - подчеркнул представитель «Энергоатома».

Директор департамента информационных технологий «Укргидроэнерго» Богдан Карбань заверил, что в его компании постоянно анализируют текущую ситуацию и внедряют новейшие технологии обеспечения безопасности.

«Мы видим проблему - отсутствуют до настоящего времени определения объектов критической инфраструктуры. Существуют проблемы с регулированием технических аспектов кибербезопасности. Мы отмечаем не очень хорошую перспективу с точки зрения улучшения кибербезопасности после внедрения рынка электроэнергии. Прецеденты были незначительны, мы не испытали никаких атак. Что было - это неумышленные действия работников. Серьезных угроз не было», - рассказал Карбань.

Начальник отдела ИТ безопасности ГП НЭК «Укрэнерго» Валерий Ермошин рассказал, что интерес к их информационным порталам постоянный. По его словам, в частности, одним из недоступных широкой публике сервисов интересовались 69 раз.

«Наши пользователи получили 54 фишинговые письма, содержащих вредоносное ПО. Мы зафиксировали 7 случаев его появления на различных носителях, ресурсах. Нам повезло - мы продолжили работу. Сейчас мы ощущаем постоянный интерес. В некоторых случаях он успешен, в некоторых - нет», - уточнил Ермошин.

По его словам - именно персонал компании и преодолевает все угрозы. И с точки зрения информационной безопасности и персонала «Укрэнерго» в 2015 году и 2019-м - это разные организации.

«Нам помогли те средства защиты, которые мы используем постоянно. В мире нет ничего такого, о чем мы бы не знали», - сказал он.

Ермошин отметил, что нужно исправлять процедуры закупки средств защиты. Сегодня физическая защита объектов энергетики относится к  сведениям, содержащим государственную тайну. Более критическая и доступная информационная защита - максимум для служебного использования. Кто-то должен выйти с инициативой, чтобы Служба безопасности внесла корректировки в отчет сведения. Иначе те, кто постоянно нами интересуются, будут в совершенстве знать нашу инфраструктуру, начиная с модели и версий средств защиты и тому подобное.

Представитель ДТЭК Сергей Дзюба заверил, что его компания прилагает максимум усилий, чтобы обеспечить бесперебойное функционирование наших предприятий и предоставление услуг потребителям.

«До «Пети» ни один аудит не смотрел на настоящую защиту от настоящих киберугроз. Практическая работа должна стоять на первом месте», - сказал Дзюба.

По его словам, законодательное урегулирование вопроса кибербезопасности даст возможность адекватной беседы с государственными органами и с регулятором. Выход постановления № 518 (КМУ, об утверждении Общих требований к киберзащиты объектов критической инфраструктуры - ред.) поставил ряд вопросов, как эти требования имплементировать на объекты, которые компания считает звеньями критической инфраструктуры.

«Например, использование антивирусной защиты на таких объектах. А если автоматизированная система управления технологическими процессами не предполагает использования системы антивирусной защиты, если она посторонняя в этой системе? Это элемент дискуссии с людьми, которые разрабатывали это постановление. Мы имеем возможность пригласить к себе опытных специалистов. Но понимаем, что специалисты, работающие в государственных, законодательных органах, разрабатывают постановления - они, видимо, не очень мотивированы за результаты своей работы. Поэтому, такие документы должны выноситься в целом, дорабатываться, обсуждаться в сообществе специалистов», - пояснил он.

 

Что думает и делает государство

Начальник Госслужбы киберзащиты Роман Боярчук согласился, что законодательство в сфере защиты критической инфраструктуры еще не сформировано.

«Каждое министерство ежегодно создает план реализации кибербезопасности Украины. Этот план утвержден Кабмином, формируются отчеты. Но они не доступны общественности. Кроме правительства, никто не видит, что и как было внедрено», - отметил Боярчук.

Единственный документ, который может считаться стандартом защиты критической инфраструктуры, и на который можно опираться - постановление Кабинета министров, отметил он. Остается надеяться, что действующий парламент сможет принять необходимый закон.

Бюджетные ограничения по финансированию экспертов, привлеченных к обеспечению кибербезопасности - действительно, важный вопрос, считает Боярчук.

«Эксперты в области кибербезопасности в частном секторе имеют даже большую зарплату, чем «обычные» специалисты ИТ. Поэтому очень важно именно государственно-частное партнерство в вопросе привлечения специалистов в систему развития национальной кибербезопасности», - сказал он.

Но есть только один закон о государственно-частном партнерстве, который касается совместного использования государственных ресурсов частными и государственными организациями. А главная проблема государственно-частного партнерства - в доверии. Чтобы его построить - нужно время.

Представитель Ситуационного центра по обеспечению кибербезопасности СБУ Андрей Гайдар рассказал, что в сфере государственно-частного партнерства Служба уже начала несколько проектов.

«Один из них - это платформа обмена индикаторами компрометации, киберугрозами про кибератаки - MISP HYPERLINK. Она была ранее открыта, мы ее доработали до наших стандартов. Постоянно обновляем, добавляем туда индикаторы компрометации, техническую информацию, которая может быть использована системами, чтобы среагировать на какую-то кибератаку. На сегодня около 50 объектов критической инфраструктуры к ней подключены, и порядка 10 - это объекты энергетические. Она хороша тем, что можно получить актуальную техническую информацию об киберугрозе для администраторов по кибербезопасности. Этот сервис бесплатный и добровольный», - рассказал Гайдар.

Еще один проект - координированное раскрытие уязвимости. На сайте СБУ есть меморандум, который должен помогать киберобществу и государству защищать свои объекты. Есть почтовый ящик, на который можно анонимно сообщить информацию. Она будет проверена СБУ, и предоставлена ​​соответствующая реакция.

«Так мы призываем «белых» хакеров не писать что-то в Фейсбуке, а обращаться в Службу безопасности. Мы совместно с объектом будем реагировать на угрозы», - отметил Гайдар.

В СБУ тоже ждут законопроект про критическую инфраструктуру. Сейчас правительство уже создало рабочую группу по этому вопросу. Потому что общие критерии определения таких объектов - только начало совместной работы.

 

Чего нам не хватает: взгляд из-за рубежа

Эксперт Cisco по информационной безопасности Владимир Илибман отметил, что темы, которые озвучили другие спикеры - стандартные: законодательные ограничения и трансферные. Эти проблемы есть во всех странах. Но в Украине есть еще свои ограничения.

Первая - проблема доверия, вторая - цифровые коммуникации, третья - ограничения ресурса для обучения персонала. Как рассказал Илибман, компания Cisco уже столкнулась с проблемой доверия, когда организовывала отраслевое бизнес-комьюнити: никто не хотел делиться информацией, особенно если на этой платформе есть регулятор или электронные госорганы.

В США эту проблему решили по-своему: там есть общественный центр кибербезопасности, который собирает информацию «снизу», анонимизирует ее и передает «вверх» уже обезличенные данные об угрозах. А «сверху» уже идет информация с рекомендациями. В Украине коммуникация односторонняя - постановление от министерства к "низу" и все, даже без фидбэка.

«Но даже то, что есть в постановлении 518, хотя оно не идеальное, надо использовать. Там есть много полезных пунктов, чтобы улучшить состояние безопасности в Украине», - отметил эксперт Cisco. 

По обучению персонала - есть много бесплатных ресурсов, их надо использовать, отметил Илибман. В частности, Cisco запускает курсы, на которых администраторы инфраструктуры смогут повысить свой уровень квалификации.

«Ибо этим и отличается украинский и американский опыт - там постоянно учатся”, -  подытожил эксперт.

 





 

Тэги: Кабмин, газ, ДТЭК, контракты, нефть, возобновляемые источники энергии, АЭС, НАЭК "Энергоатом", законодательство, электроэнергия, НКРЭКУ, Евросоюз, минэкоэнерго, США, энергорынок, международные отношения

Читайте также

Атомная генерация: ответы на проблемные вопросы украинской энергетики
Деньги энергокомпаний: выручка, импорт и экспорт
Рынок газа для населения: как достигнуть баланса интересов