Какие уязвимости использую ... Вилионор Орехов, Объединенная судостроительная корпорация: С точки зрения ИБ морское судно можно рассматривать как крупную организацию, которую всегда могут атаковать
Вилионор Орехов, Объединенная судостроительная корпорация: С точки зрения ИБ морское судно можно рассматривать как крупную организацию, которую всегда могут атаковать...
Какие уязвимости используют хакеры при нападении на корабли в море? На каком уровне находится кибербезопасность гражданских судов и военных кораблей? На эти и другие вопросы Cyber Media ответил Вилионор Орехов, начальник отдела ИБ Департамента безопасности АО «Объединенная судостроительная корпорация» (ОСК).
Cyber Media: Как вы оцениваете кибербезопасность гражданских судов в России?
Вилионор Орехов: Информационной безопасности в гражданском судостроении почти нет, если сравнивать ее с кибербезопасностью военных судов. Причина в том, что пока она законодательно никак не урегулирована. Это новая тема. В 2021 году Российским морским регистром судоходства утверждено Руководство по обеспечению кибербезопасности (НД № 2-030101-040). Документ содержит рекомендации и должен применяться к судам, контракт на постройку которых заключен после 01 января 2021 г.
Но не все так плохо. Насколько я знаю, в 2021 году появилась специальная комиссия при Научно-экспертном совете Морской коллегии при Правительстве РФ. Она занимается регулированием кибербезопасности гражданских судов. Правда пока только тех, что работают с ВМФ. Но это уже хорошее начало.
Cyber Media: А какие требования к ИБ предъявляют ваши заказчики?
Вилионор Орехов: Обычно они отражают такие вопросы в техническом задании. Если требования к ИБ есть – мы их, конечно же, учитываем при проектировании и строительстве. Однако почти в 100% случаев кибербезопасность не очень интересует заказчиков гражданских судов.
Думаю, запросы по ИБ часто возникают и решаются уже потом – в ходе эксплуатации. В частности, кибербезопасность должна обеспечиваться, если гражданское судно заходит в порты других государств. Этого требует резолюция Комитета по безопасности на море международной морской организации MSC.428(98) «Управление морскими киберрисками в системах управления безопасностью» от 16.06.2017. Документ требует от владельца судна, чтобы киберриски учитывались в системах управления безопасностью.
Некоторые зарубежные порты включают вопросы ИБ в декларации, которые заполняются входящими судами. Если киберзащита выстроена ненадлежащим образом, судно могут не впустить в акваторию.
Но все это – международный опыт. В гражданском судоходстве внутри страны никаких требований к киберзащите нет. Совершенно другая ситуация, конечно, в военном кораблестроении. Здесь учитывается множество требований, в том числе к технической защите информации.
Cyber Media: Насколько легко взломать гражданское судно?
Вилионор Орехов: По международной классификации уязвимыми на судне могут быть минимум девять систем. Именно их предлагает защищать Международная морская организация. Уязвимыми могут быть системы грузовые, навигационного мостика, движения и энергетического менеджмента, управления доступом, обслуживания пассажиров, социального обеспечения экипажа, радиосвязи и коммуникации, а также сетей общего пользования. Получается, что судно можно рассматривать как крупную организацию, которую всегда могут атаковать.
В международной практике есть громкие инциденты. Например, в 2020 году израильская компания Naval Dome, специализирующаяся в области морской кибербезопасности, провела серию успешных демонстрационных кибератак на морские суда. В итоге были изменены сведения о местоположении судна, введен в заблуждение дисплей РЛС, включалось и выключалось судовое оборудование, были взяты под контроль системы управления топливом, рулевое управление и балластная система.
Результат успешной атаки на океанский пассажирский лайнер эффектно продемонстрирован в одном из зарубежных фильмов («Скорость-2»). Насколько она была реалистичной, судить не нам, но последствия такой атаки могут быть действительно катастрофическими.
Cyber Media: Насколько актуальны ИБ-вопросы для российской отрасли?
Вилионор Орехов: В марте мы провели конференцию и обсудили ИБ-вызовы, которые появились после 24 февраля 2022 года. В их числе переход на практическую информационную безопасность – планов теперь недостаточно, нужно все шаги отрабатывать на практике. Именно поэтому мы вместе с одним из подрядчиков в марте 2023 года развернули киберполигон и провели учения по защите ИТ-инфраструктуры и противодействию атакам в судостроительной корпорации.
Cyber Media: Государство существенно ужесточило требования к кибербезопасности за последний год. Считаете ли вы это сложностью?
Вилионор Орехов: Наша корпорация попала под действие Указа Президента № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» от 1 мая 2022 года. И я считаю, что это хорошо.
Например, благодаря Указу № 250 в нашей корпорации в прошлом году появились дополнительный ИБ-специалист и SIEM-система.
Несмотря на высокую стоимость, SIEM-система действительно была нужна компании. Кибератак на промышленные предприятия в прошлом году стало намного больше, хотя мы не расслаблялись и раньше. ОСК и дочерние общества всегда были интересны злоумышленникам за рубежом. Благодаря SIEM теперь мы можем регулярно сканировать наши системы на наличие уязвимостей и оперативно устранять их. Также помогаем дочерним обществам. С ее помощью проводим удаленный контроль и подсвечиваем критичные уязвимости их ПО.
Cyber Media: Какие задачи сейчас стоят перед вами? К каким событиям готовитесь?
Вилионор Орехов: Часть задач касается исполнения требований законодательства. В частности, в декабре прошлого года прошла последняя итерация нового Постановления № 127, в соответствии с которым нам предстоит пересмотреть категории значимости объектов КИИ. Также ожидаем, что в ближайшее время появятся оборотные штрафы за нарушения 152-ФЗ в части работы с персональными данными, защиту которых тоже необходимо усилить.
Огромный пласт работы связан с переходом на отечественное ПО. В корпорации действует сводный план по импортозамещению, впереди – переход на российские операционные системы. Сделать это моментально пока не получится. Одна из ключевых систем – САПР для проектирования и моделирования судов и кораблей – не имеет российских аналогов. Создавать его ОСК будет самостоятельно – в декабре корпорация получила государственный грант. Нашему отделу предстоит защитить собственный САПР от возможных атак и уязвимостей.
Также продолжаем решать проблему кадрового голода, с которой сталкиваются многие ИБ-руководители крупных предприятий. Помимо сотрудничества с вузами, заключили соглашение с Минобороны России. Теперь на двух заводах ОСК в качестве эксперимента проходят службу ИБ-специалисты из научно-производственной роты. Надеюсь, что они останутся на своих местах и помогут нам в будущем реализовать Стратегию цифровой трансформации.
Среди задач Стратегии есть создание своего корпоративного SOC (Центра мониторинга событий), который работал бы в интересах всех обществ Группы ОСК. Чтобы повысить их защиту и исполнить положения Указа № 250, мы также организуем переподготовку и обучение заместителей гендиректоров, рассматриваем бюджетные модели дочерних обществ и даем рекомендации к ним в части затрат на защиту информации.
Cyber Media: Ожидаете ли роста кибератак в судостроении в целом?
Вилионор Орехов: Судя по статистике, бум фишинга, DDoS и других атак уже прошел в марте-апреле прошлого года. После этого интерес злоумышленников к нашим предприятиям немного угас и пока держится на одном уровне.
Что касается прогнозов по отрасли судостроения, не исключаю в будущем какие-то более точечные и изощренные атаки. В том числе со стороны так называемых кибервойск недружественных государств.
Если же рассматривать возможные атаки на военные корабли, вряд ли это вообще случится – они защищены по максимуму. А в гражданском сегменте ситуация может измениться в лучшую сторону. И здесь я очень надеюсь, что появятся законодательные требования и они будут обязательными при проектировании и строительстве судов. Учитывая темпы цифровизации, уже пора ускоряться.