Безопасность интеллектуальных транспортных систем – новая реальность
С конца февраля этого года вопросы безопасности России и ее граждан вышли на совершенно другой уровень. В век цифровизации и больших данных необходимость защиты информации внутри страны напрямую связана с четкой и качественной работой систем безопасности на критической инфраструктуре. В первую очередь, на информационной — ведь практически все процессы управления сегодня пронизаны компьютерными технологиями. Конечно, не последнее место тут занимают и интеллектуальные транспортные системы. Как защитить кибер-рубежи в части, касающейся ИТС, беседуем с председателем Совета кластера ГЛОНАСС Александром Сёмкиным.
— Александр Николаевич, в 2018 году вступил в силу 187 Федеральный Закон «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации». В нем были определены более десятка отраслей, которые относятся к КИИ. Вошла в этот список и транспортная отрасль.
А.С.: Разумеется. И сам транспорт, и интеллектуальные транспортные системы являются субъектами критической информационной инфраструктуры. Закон принят не так давно, но стоит отметить, что тема безопасности навигационно-телематических систем на транспорте экспертами поднималась еще более десяти лет назад, когда эти системы получили активное развитие в нашей стране. Уже тогда говорили об их уязвимости, что могло привести к негативным социальным и экономическим последствиям, если не будут решаться вопросы информационной безопасности.
— Тема информационной безопасности непростая. Если вернуться к Закону, то в нем введено понятие объекта критической информационной инфраструктуры. Что это означает в приближении к ИТС?
А.С.: Это информационные системы, автоматизированные системы управления и ряд других сетей задействованных в процессах, нарушение которых приводит к критическим последствиям. Естественно, они нуждаются в должной защите на самом высоком уровне.
Например, организация обслуживает светофоры, которые управляются из единого «мозгового центра». Представим, что кто-то получил доступ к этому центру. Отключив светофоры в городе или создав сбой в их работе, внеся изменение в алгоритм включения зеленого или красного света, можно остановить движение и спровоцировать массовые аварии. Представьте это в мегаполисе. Еще более нуждаются в защите интеллектуальные системы управления движением в туннелях, по понятной причине. Ясно, что все подсистемы ИТС — это, несомненно, объекты критической информационной инфраструктуры. И именно поэтому кибербезопасность для ИТС — ключевая вещь. Незащищенные интеллектуальные транспортные системы могут принести вреда больше, чем пользы. Поэтому принятие Федерального закона было обосновано еще пять лет назад.
— Но до сего дня внимание многих, кто по факту занимается ИТС, недостаточно было сконцентрировано на обеспечении безопасности?
А.С.: К сожалению, не в должном объеме. Но сейчас настал тот момент, когда медлить нельзя, и нужно серьезно отнестись к исполнению требований государства. Хочу обратить внимание, что в законодательстве прописана не только административная, но и уголовная ответственность руководителя компании-субъекта критической информационной инфраструктуры. В случае каких-либо опасных для людей инцидентов или суровых последствий кибер-атак отделаться штрафными санкциями уже может не получится.
— По уголовным делам есть прецеденты?
А.С.: Насколько мне известно, по административным правонарушениям ФЗ 187 уже собралась внушительная база судебной практики. По уголовной ответственности за проколы на критической информационной инфраструктуре данных пока не встречал. ФСБ как один из регуляторов создала Национальный координационный центр по компьютерным инцидентам — все значимые объекты к нему подключены. Его задача предупреждать и отражать хакерские атаки на жизненно-важные для государства объекты. В том числе и в транспортной сфере.
Пока мы не видели каких-то серьезных поражений на этом фронте, хотя атаки с февраля этого года на информационные ресурсы нашей страны идут постоянно. И даже есть сообщества, где вербуют айтишников специально для того, чтобы запускать вирусные программы на территории России.
— Это стало импульсом для усиления контроля исполнения закона?
А.С.: Разумеется. Стоит отметить, что 1 мая 2022 года Президент подписал еще один Указ (№ 250), активизирующий работу в этом направлении. В нем уровень информационной безопасности поднимается до уровня руководителя субъекта КИИ. Теперь он лично несет ответственность за обеспечение безопасности. При этом в обязательном порядке вводится должность заместителя, на которого напрямую возлагаются полномочия по обеспечению безопасности КИИ. В каждой такой организации должны быть созданы также подразделения обеспечения информационной безопасности объекта КИИ. И ждем дополнительно постановление, которое определит, что конкретно делает этот заместитель и его подразделение. Все это говорит о важности темы.
— Надо понимать, что это переход на новые жесткие правила игры? Ведь, зачастую, следить за безопасностью назначают кого-то из ИТ-отдела при этом редко ориентируются на его профессиональные компетенции в вопросах информационной безопасности. Как сейчас нужно поступить руководителю организации-субъекта критической информационной инфраструктуры, чтобы выполнить все требования закона и регуляторов?
А.С.: Организации, работающие в отраслях, которые закон относит к критической инфраструктуре, должны, прежде всего, открыть свой устав. По нему необходимо понять — являются ли они субъектом критической информационной инфраструктуры или нет. Это, к сожалению, не шутка. К примеру, у резидентов кластера есть партнеры, которые, по факту являются субъектами КИИ и подпадают под все требования законодательства, и мы это хорошо понимаем. Но сами себя таковыми они не считают. Конечно, это положение вещей будет сохраняться до первой большой проверки, а потом придут неприятности, последуют протоколы и немалые штрафы.
Вопрос выполнения требований законодательства непростой, тут необходимо переосмысление со стороны руководителей. Чтобы выполнить требования законодательства и избежать неприятных последствий, субъект КИИ должен создать у себя комиссию из юристов, которые изучат Федеральный Закон 187, определения из него. Затем нужно провести инвентаризацию своих ресурсов, выделить в них критические процессы. Процессы честно проанализировать, и все то, что является критическим, признать таковым. И защищать. Потому что, если случится какой-либо инцидент, руководителя от ответственности не спасет то, что комиссия юристов компании не признала некие процессы критическими. И с документами ФСТЭК России как регулятор сейчас работает очень серьезно. По нашему опыту, раньше компании, чтобы не усложнять себе жизнь, самостоятельно присваивали самую низкую категорию для обеспечения информационной защиты. Такое сходило с рук даже крупнейшим транспортным и энергетическим организациям. Сейчас ситуация изменилась. ФСТЭК России имеет полномочия обязать субъект КИИ соответствовать той категории, к которой он относится по факту. Из принятых документов очевидно, что государство требует от руководителей серьезного отношения к безопасности критической информационной инфраструктуры.
— Специалистам, работающим с государственными структурами в разрезе информационных технологий, известны факты, когда закупалось дорогое оборудование для обеспечения вопросов информационной безопасности, а на его развитие и модернизацию средств не находили. В таком состоянии системы начинали морально устаревать. В информационной безопасности появлялись «дыры».
А.С.: К сожалению, такие факты периодически встречаются. Зачастую, связано это с отсутствием должного финансирования. Однако, главное отличие последних нормативных документов в том, что регуляторы стали рассматривать безопасность не как состояние, а как процесс. Это большой шаг вперед. Потому что все информационные системы — системы развивающиеся. И защита их тоже должна иметь возможность развиваться и совершенствоваться. Особенно это заметно именно в ИТС.
— Почему?
А.С.: Потому что, если смотреть на вопрос глобально, все интеллектуальные транспортные системы и их развитие направлены на то, чтобы в итоге прийти к беспилотному транспорту. В этом случае каждый столб на дороге становится для беспилотного автомобиля источником данных. И мы понимаем, что вся, абсолютна вся информация, которая идет к беспилотнику, должна быть надежно защищена. К слову, в Указе Президента от 1 мая 2022 года прописано, что с 2025 года на всех значимых объектах КИИ запрещено использовать иностранные средства защиты информации.
А это значит, что государством будут выделяться большие ресурсы для создания российских программных продуктов для кибер-безопасности.
— Как обстоят дела с защитой ИТС в вашем родном регионе — Орловской области?
А.С.: Тема информационной безопасности не является для нас новой. Когда на федеральном уровне семь лет назад решался вопрос формирования в регионе кластера навигационно-телематических спутниковых систем, то уже тогда в стратегических документах отдельным пунктом был обозначен вопрос защиты информации. У нас для этого есть все компетенции — в числе резидентов находится научно-технический центр «Фобос-НТ». Эта компания является аккредитованной лабораторией ФСТЭК и ФСБ России. Они много работают с госорганами и, в частности, с управлением городским хозяйством и транспортом города Орла. В нем есть отдел, который занимается ИТС. Сейчас в ИТС города Орла как объект критической информационной инфраструктуры выделена подсистема управления светофорами. Она будет надежно защищена, все необходимое сделано для предотвращения внештатных ситуаций.
— Как вы оцениваете кадровый потенциал той части айтишников, которая занимается обеспечением безопасности в регионах и на федеральном уровне?
А.С.: Это узкая ниша и в ней могут конкурировать и успешно работать только профессионалы. Как и в других сферах, здесь также остро стоит проблема кадров. Есть серьезная потребность в обучении специалистов и в повышении квалификации. Необходимо проводить системную работу с вовлечением в нее, как компаний-экспертов, так и научного сообщества высших учебных заведений. Государство должно подключиться к этому вопросу.
Чтобы оставить комментарий - авторизуйтесь через