Про новости от ЦБ уже
было . Про новости от ФСТЭК и ФСБ тоже уже
было . И про РКН тоже я на днях
прошелся . Теперь мы поговорим про информационную безопасность от... МАГАТЭ. Да-да, от МАГАТЭ. Это тоже в своем роде регулятор, который курирует вопросы безопасности, включая и информационную, для атомных объектов. И если раньше эти вопросы не стояли на повестке дня под номером один, то за последнее время произошло несколько событий, который заставили МАГАТЭ пересмотреть свои приоритеты. И как результат, прошедшая в Вене 1-5 июня, глобальная конференция по кибербезопасности, организованная МАГАТЭ.
Мероприятие было не просто международным по названию, но действительно таковым. Я не помню мероприятий по ИБ (как тех, на которых я был, так и тех, на которых не был), на которых выступали бы представители такого количества государств. Обычно на международных конференциях выступают преимущественно американцы или европейцы (и то только из некоторых стран Евросоюза). В данном случае были представители всех материков, кроме Антарктиды и то по той причине, что на этом континенте нет атомных объектов :-)
Могу сказать, что тема ИБ на АЭС для МАГАТЭ относительно в новинку. Что-то схожее с темой ИБ АСУ ТП на иных КВО, но с некоторым опозданием. У МАГАТЭ до недавнего времени не было вообще никаких документов и рекомендаций по ИБ. Только в 2013-м году они начали активную работу в этом направлении. И вот специальная конференция, целиком посвященная данной тематике.
172 доклада (!) в течение пяти дней. Очевидно, что не все участники могли адекватно делиться опытом в области безопасности АЭС. Оно и понятно, не у всех были эти самые АЭС. Поэтому представители, например, Африки либо показывали прикольные картинки:
либо рассказывали об общем состоянии информационной безопасности в своих странах, в которых атомные электростанции отсутствуют. Кто-то (например, представители Танзании, Малави и других стран не на слуху) выступали без презентаций.
Дальше попробую высказать то, что мне запомнилось или понравилось. Во-первых, меня удивило активное продвижение идеи подключения АЭС к Интернет. Да, местами для передачи диагностической информации о состоянии объекта. Да, используется зонирование. Да, применяются однонаправленные МСЭ. Но... Прекрасно понимая, что человеку свойственно ошибаться, хочу отметить, что такая "вольность" и "удобство" могут дорого обойтись, если в настройке однонаправленных МСЭ будет сделана ошибка или в диагностические данные будут внесены несанкционированные изменения. Да и вообще, почему считается, что однонаправленный МСЭ защищает? От прямого онлайн-взаимодействия - да. А от загрузки по однонаправленному каналу вредоносного ПО - нет. Однако подключение к Интернет демонстрировали многие. И американцы:
и японцы:
В России в этом плане ситуация более безопасная. У нас АСУ ТП АЭС по требованиям Росэнергоатома должны быть изолированы от Интернет. Египтяне рассказывали о своем опыте применения Wi-Fi на критически важных объектах. Достаточно интересная презентация.
 |
| Египетские рекомендации по защищенному применению Wi-Fi на АЭС |
Schneider Electric (вообще вендоров было не так уж и много среди выступающих - запомнил еще Cisco, ЛК, TM, Waterfall) активно продвигал идею удаленной (!) поддержки критически важных объектов, включая атомные. Разумеется, безопасным образом.
Достаточно интересно было видеть описания различных
инцидентов , произошедших на атомных объектах в разных странах мира в разное время. И речь не о набившем оскомину Stuxnet, а о других случаях. Например, зафиксированых в Южной Корее:
или в Японии:
в США и других государствах. Всего сейчас насчитывается свыше 10
инцидентов на атомных электростанциях (преимущественно в США), исходящих извне и изнутри, имеющих злой умысел и произошедших случайно. Немного, но и немало, учитывая критичность объекта. Ни в одном из случаев не было жертв и экологических катастроф, но отключения электроэнергии (достаточно массовые) случались.
Достаточно много говорили о DBT (Design Base Threat) или проектных угрозах, которые анализируются с точки зрения безопасности (например, падение самолета на АЭС) и затем для них предлагаются методы нейтрализации. Обычно речь всегда шла о физической безопасности и только совсем недавно DBT стали расширяться за счет киберсоставляющей.
Было много интересных докладов о разработке моделей угроз ИБ (DBT) для АЭС в разных странах. Кто-то (американцы) использует автоматизированный инструментарий. Кто-то (голландцы) привлекает внешних консультантов. Кто-то (Зимбабве) использует метод Дельфи для определения угроз атомной инфраструктуре. Немало говорили про управление взаимоотношений с вендорами и управление цепочками поставок оборудования и ПО. Опыт здесь у разных стран разный.
Учитывая, что пока мало кто готов внедрять средства защиты на сами АЭС (обычно строят либо стену вокруг, либо правильно сегментируют), то влияние человеческого фактора нельзя недооценивать и поэтому очень много на конференции МАГАТЭ говорили про культуру ИБ и различные мероприятия по ее повышению. Например, сербское агенство по атомной безопасности проводит тренинги своих сотрудников в части борьбы с почтовыми сообщениями, содержащими фишинговые ссылки (это достаточно распространенная атака на АЭС, как оказалось). Сербы привели интересные результаты поведения своих сотрудников до проведения тренинга:
 |
| До |
и после:
 |
| После |
Почти все участники пишут новую или адаптируют под киберсоставляющую существующие документы по безопасности АЭС. Кто-то пишет свое и адаптирует потом под требования МАГАТЭ. Кто-то наоборот - берет документы МАГАТЭ и дополняет их своими деталями и практикой.
 |
| Немцы разрабатывали свою нормативку на базе подходов МАГАТЭ |
 |
| Канадцы написали свою нормативку по безопасности АЭС |
Наиболее активны были представители США (у них, кстати, и инцидентов ИБ на АЭС происходило больше) - от них было больше всего докладов. Американские регуляторы активно проводят
аудит всех атомных объектов. К концу 2012-го года должны были завершиться работы по разработке атомными объектами планов по кибербезопасности и реализации защитных мер против ключевых атак (сегментация и изоляция, контроль мобильных устройств, борьба с внутренним нарушителем, реализация защитных мер для ключевых активов, мониторинг безопасности). К 2017-му на АЭС должна быть реализована вся программа кибербезопасности, включая тренинги и внедрение процедур.
Были представители и РФ. Точнее три представителя - от ситуационного и кризисного центра Росатома, от РАН и от "Элерона". Не знаю, что сказать про эти доклады. Они у меня вызвали двойственные чувства. И это при том, что в России есть, что сказать в этой области.
 |
| Доклад Росатома |
 |
| Много формул в докладе РАН |
 |
| Доклад "Элерона" про ИБ в Росатоме |
Уфффф... Устал писать :-) А ведь можно было говорить еще о многом - об управлении инцидентами, об анализе ПО, о внутренних нарушителях, об ИБ в системах физической безопасности и противоаварийной автоматике, о многом чем еще. Но пора закругляться. Выводов делать не буду - конференция не подразумевала его; скорее она позволила членам МАГАТЭ обменяться опытом в области информационной безопасности атомных объектов - нарождающейся теме в нашей сфере.
Достаточно интересно было видеть описания различных инцидентов , произошедших на атомных объектах в разных странах мира в разное время. И речь не о набившем оскомину Stuxnet, а о других случаях. Например, зафиксированых в Южной Корее:
или в Японии:
