Фото: sdelanounas.ru

В статье дается краткий анализ киберугрозам со стороны государств, роли стран Запада в создании основ международного нормативного регулирования морской кибербезопасности и места классификационных и страховых обществ в обеспечении морской кибербезопасности. На основании анализа прогнозируется повышение риска кибератак на морской транспорт со стороны государств. В целях использования при разработке отраслевой системы норм по обеспечению морской кибербезопасности выделяются положительные аспекты проведенной работы ЕС и США, а также ведущих классификационных и страховых обществ.

Сергей Семенов, руководитель службы морской безопасности Минтранса РФ

Киберугрозы со стороны государств – актуальная реальность

Если еще недавно судоходные компании, морские порты и терминалы в качестве основной киберугрозы рассматривали деятельность преступников-одиночек или организованных преступных групп, то сейчас из тени на передний план выходит угроза кибератак со стороны государств.

Глава британского Стратегического командования генерал Патрик Сандерс, которого называют самым высокопоставленным кибергенералом Британии, 25 сентября 2020 года заявил The Guardian, что Великобритания обладает способностью «нарушать, разрушать и уничтожать» критическую инфраструктуру своих врагов в будущем киберконфликте. Уничтожение ключевой инфраструктуры может подразумевать нанесение удара по коммуникациям, телефонным или энергетическим сетям противника в ходе войны. При этом Патрик Сандерс отнес Россию к враждебным государствам.

На мой взгляд, заявление П. Сандерса примечательно тем, что оно на данный момент завершает ряд прозвучавших в последнее время заявлений руководителей ведущих стран мира или их вооруженных и специальных сил, в которых акцент делается на кибернападении, а не на киберзащите. При этом транспортная инфраструктура и коммуникации, в том числе морского транспорта, обозначены в качестве целей киберударов и объектов кибератак. Причем оговорки о «будущей» кибервойне не должны успокаивать и вселять уверенность в том, что в мирное время государства будут воздерживаться от использования кибероружия друг против друга, так как никаких общепризнанных норм и договоренностей ведения таких войн в настоящее время нет. В предыдущие годы зафиксирован ряд кибератак на морской транспорт, которые связывают с государствами. В 2020 году также имеется пример кибератаки на порт – иранский терминал Шахид Раджаи, который связывают с киберподразделениями Израиля.

Осознание угрозы кибервойн и их последствий у мирового сообщества есть. В частности, 25 сентября 2020 года Владимир Путин сделал заявление, в котором назвал риск возникновения масштабной конфронтации в цифровой сфере одним из основных стратегических вызовов современности. Обращаясь ко всем странам, включая США, он предложил выйти на заключение глобальной договоренности о принятии политического обязательства государствами о ненанесении первыми удара с использованием информационно-коммуникационных технологий друг против друга.

Однако надеяться на то, что в ближайшее время на международном уровне будут достигнуты какие-либо взаимообязывающие договоренности, не стоит. Это в первую очередь связано с тем, что ведущие страны мира имеют лидирующий киберпотенциал и рассматривают его в качестве серьезного аргумента при решении внешнеполитических и внешнеэкономических задач.

То, что субъектами кибератаки, в том числе на морской транспорт, могут выступать государства, для морской отрасли не является новостью. В рекомендованном Международной морской организацией в 2017 году «Руководстве по кибербезопасности на борту судов», разработанном ведущими отраслевыми объединениями, государства уже названы одним из субъектов кибератак. Но если ранее кибератаки на транспорт со стороны государств воспринимались скорее как гипотетические, то сейчас они все больше и больше становятся реальностью. При этом государства обладают несравнимым с преступностью финансовым, научным и человеческим потенциалом. Это очень тревожный знак для всей морской отрасли.

Будем надеяться, что громкие и грозные заявления политиков останутся в области политики и за ними не последуют кибервойны на просторах Мирового океана. В первую очередь такая надежда связана не с миролюбием ведущих государств мира, а с тем огромным значением морского транспорта, который он имеет для мировой экономики.

Роль западных наработок

Для лучшего понимания истории развития темы морской кибербезопасности необходимо акцентировать внимание на том, что не Резолюция Комитета по безопасности на море Международной морской организации (КБМ ИМО) MSC.428(98) «Управление морскими киберрисками в системах управления безопасностью», принятая в июне 2017 г., послужила отправной точкой развития отраслевого нормативного регулирования морской кибербезопасности. Отправной точкой для разработки руководящих принципов по практике кибербезопасности на море послужила канадско-американская рекомендация, которую поддержал в ноябре 2014 года КБМ ИМО. Но и до этого момента рядом западных стран была проведена определенная работа в этом направлении.

Так, Европейское агентство сетевой и информационной безопасности (ENISA) еще в ноябре 2011 года опубликовало результаты анализа аспектов кибербезопасности в морском секторе. Тогда ENISA констатировала, что осведомленность о потребностях и вызовах кибербезопасности в морском секторе низка или вообще отсутствует.

Выработанные на основе анализа рекомендации высокого уровня предусматривали в том числе необходимость рассмотрения Международной морской организацией совместно с Европейской комиссией и государствами-членами вопроса о согласовании и гармонизации международной и европейской политики, связанной с этим сектором, особенно в отношении его аспектов кибербезопасности.

Дорожная карта, предусмотренная анализом, включила в себя необходимость определить и внедрить целостный, основанный на рисках подход к решению проблемы морской кибербезопасности. Разработать стандарты и обеспечение соблюдения нормативных актов, обеспечивающих достижение кибербезопасности в морском секторе. Создать центры обмена информацией и анализа на национальном и европейском уровнях. Согласовать и гармонизировать международную и европейскую политику в области требований морской кибербезопасности. Принять надлежащие меры для включения соображений кибербезопасности в существующую нормативную базу, применимую к морскому сектору.

Береговая охрана Соединенных Штатов (USCG) опубликовала свой руководящий документ по киберстратегии в июне 2015 года. В этом документе излагается видение работы агентства в киберпространстве и излагаются цели и задачи агентства по трем заявленным стратегическим приоритетам: защита киберпространства, стимулирование операций и защита инфраструктуры. В декабре 2016 года USCG опубликовала письмо о политике кибербезопасности, касающееся критериев и процесса сообщения о подозрительной деятельности и нарушении безопасности, а также добавила кибербезопасность в список элементов безопасности, охватываемых законом «О безопасности морского транспорта» 2002 года. В соответствии с ним за нарушение киберготовности может назначаться наказание в виде штрафа в размере до $25 000.

Документы о морской кибербезопасности разработаны и внедряются властями США, Великобритании, Евросоюза, Дании, Норвегии и Сингапура. Естественно, список не исчерпывающий. При этом часть из них, например, Руководство «Кибербезопасность портов и портовых систем» Лондонского инженерно-технологического института при поддержке Минтранса Великобритании и Минобороны Великобритании и их «Свод правил кибербезопасности для судов» разработаны или раньше, или одновременно с Резолюцией КБМ ИМО MSC.428(98).

Многие негосударственные и отраслевые организации также начали работы в области морской кибербезопасности еще до выхода указанной резолюции. Например, «Руководство по кибербезопасности на борту судов», разработанное BIMCO, CLIA, ICS, INTERCARGO, INTERTANKO и IUMI, опубликовано в январе 2016 года. Международная ассоциация классификационных обществ (МАКО, IASC) в июне 2016 года создала панель киберсистем.

В то же время, как я писал в предыдущих статьях, в РФ какие-либо документы, касающиеся отраслевого регулирования вопросов морской кибер- или информационной безопасности как на государственном, так и на негосударственном уровне, за исключением Российского морского регистра судоходства, до настоящего времени не принимались. Сведений о состоянии кибер- или информационной безопасности морской отрасли в открытом доступе нет.

Сейчас можно с уверенностью говорить о том, что в ближайшее время морская отрасль России в целом и в первую очередь российские судоходные компании при обеспечении морской кибербезопасности будут руководствоваться международными требованиями и рекомендациями, инициаторами и разработчиками которых были США, Великобритания и страны ЕС.

Об имеющихся проблемах, связанных с гармонизацией международных норм в области морской кибербезопасности и российских норм в области информационной безопасности, я писал в предыдущих статьях.

Место классификационных и страховых обществ

В соответствии с общепринятым международным подходом рекомендации по обеспечению морской кибербезопасности касаются как судна в эксплуатации, так и распространяются на проектирование и строительство судна. Одной из основ такого подхода является вышеупомянутая Резолюция КБМ ИМО MSC.428(98), в которой содержится призыв ускорить работу по защите судоходства от текущих и возникающих киберугроз и уязвимостей, адресованный в том числе классификационным обществам, производителям оборудования, поставщикам услуг и всем другим заинтересованным сторонам морской отрасли.

В частности, Международная ассоциация классификационных обществ (МАКО) в апреле 2020 года опубликовала Рекомендацию по киберустойчивости (№ 166), объединившую предыдущие 12 рекомендаций, относящихся к киберустойчивости (№ 153-164). Рекомендация является результатом работы основанной МАКО в июне 2016 года панели киберсистем.

Рекомендация подготовлена с учетом Резолюции МАКО URE22 «Использование и применение бортовых компьютерных систем» и распространяется на использование компьютерных систем, обеспечивающих функции контроля, сигнализации, мониторинга, безопасности или внутренней связи, которые подчиняются требованиям МАКО.

Рекомендация предназначена для судов, которые строятся по контракту после публикации документа. Она касается технических аспектов проектирования, строительства и испытаний. Рекомендация может использоваться в качестве справочного материала для судов, уже находившихся в эксплуатации до ее публикации.

Рекомендация применяется к бортовым системам операционных технологий (OT) и другим системам, которые подключены к бортовым системам OT таким образом, что может повлиять на их работу (что определяется оценкой риска). Она также касается оборудования, которое может оказывать влияние на безопасность человека, безопасность судна или морскую среду, как это определено требованиями Международной конвенции по охране человеческой жизни на море и Международной конвенции по предотвращению загрязнения с судов. При оценке рисков следует учитывать требования МАКО и национального органа исполнительной власти.

В марте 2020 года классификационное общество DNV GL впервые в отрасли провело проверку кибербезопасности большого пассажирского судна, которое стало первым, добившимся соответствия требованиям в рамках интегрированной системы кибербезопасности DNV GL.

Утверждение типа кибербезопасности было введено DNV GL в 2017 году, а в следующем году было добавлено обозначение класса кибербезопасности CyberSecure . Классификация кибербезопасности была разработана DNV GL для целей обеспечения кибербезопасности основных функций судна и эксплуатационных потребностей владельца. Она устанавливает общепризнанные требования к эксплуатируемым и строящимся судам, а также к морским установкам для различных сегментов и уровней безопасности.

Обозначение класса CyberSecure включает три различных квалификатора:

– CyberSecure (Basic). Устранены наиболее критические уязвимости. Создана система управления кибербезопасностью для обеспечения безопасной эксплуатации судна и соответствия предстоящим требованиям Резолюции ИМО MSC.428 (98).

– CyberSecure (Essential). Включает все вышеприведенные требования начального уровня, но кроме того, более детально изучаются системы управления обеспечения контроля безопасности/возможности согласно профилю безопасности 1 (профиль уровня безопасности 1 в соответствии с IEC 62443). Он в первую очередь предназначен для сложных в эксплуатации судов. На этом уровне кибербезопасность внедряется в существующие процедуры и системы, направленные на установление адекватного уровня безопасности.

– CyberSecure (Advanced). Охватывает ту же область, что и Essential, но с повышенным уровнем охраны (профиль безопасности 3). Он в первую очередь предназначен для сложных новостроек и для обеспечения защиты от преднамеренных нарушений с использованием сложных средств и специальных навыков системы управления.

CyberSecure (+) охватывает дополнительные системы, не входящие в сферу действия двух вышеуказанных квалификаторов, но которые можно комбинировать с любым из них. Обозначение (+) позволяет владельцу подключать себе дополнительные системы. Он свидетельствует, что устранены угрозы, а также оценены и защищены дополнительные системы, которые особенно важны для операций и не входят в стандартный набор основных и важных функций, таких как грузовые системы, развлекательные системы, IТ-системы и системы бурения.

Ведущее классификационное общество Class NK в июле 2020 года выпустило уже вторую редакцию «Руководства по проектированию кибербезопасности на борту судов», касающегося новостроек и предназначенного для верфей и судовладельцев. Издание руководящих принципов включает меры контроля и структуру для реализации таких мер, которые были дополнены международными стандартами кибербезопасности для промышленных систем контроля серии IEC 62443 и последними рекомендациями по киберустойчивости для новых судов, опубликованными МАКО.

Кроме того, Class NK ввело требования для добавления обозначений классов к классификационным кодам, связанным с кибербезопасностью. В Руководство также включены современные передовые практики верфей и судовладельцев для новостроек с точки зрения определения компьютерных систем, которые следует защитить от киберинцидентов и построения сетей для их защиты.

Классификационное общество Корейский регистр судоходства (KR) 18 сентября провело первое в мире присвоение класса кибербезопасности (CS Ready) крупному газовозу компании Hyundai Heavy Industries.

Класс кибербезопасности был присвоен после завершения успешных документальных и полевых инспекций. Класс CS Ready присваивается вновь построенным судам, и для его получения необходимо успешно пройти 49 пунктов инспекции в общей сложности по 12 категориям, включая управление рисками и активами, реагирование на киберинциденты и восстановление после них.

Также KR проводит сертификацию по морской кибербезопасности в отношении компании или судна с системой менеджмента кибербезопасности, по результатам которой выдается сертификат соответствия. Соответствие требованиям кибербезопасности для компании или существующего судна разделено на 3 уровня (CS1, CS2 и CS3) в соответствии со зрелостью кибербезопасности и состоит из 35 зон и 144 пунктов обследования. Кроме того, KR проводит освидетельствование оборудования на соответствие требованиям кибербезопасности.

Приведенные примеры хорошо иллюстрируют роль зарубежных классификационных обществ в обеспечении морской кибербезопасности, начиная с этапа строительства судна.

Большое внимание вопросам морской кибербезопасности уделяют и страховые общества и компании. Так, Международный союз морского страхования (IUMI) участвовал в разработке «Руководства по кибербезопасности на борту судов», начиная с первого издания. IUMI входит в числе отраслевых партнеров в совместную с МАКО рабочую группу по киберсистемам.

Опубликованная 24 августа 2020 года Стратегическая программа Международного союза морского страхования содержит раздел 3 «Киберриски». В данном разделе IUMI отмечает, что страхование рисков единичных атак вымогателей теперь доступно как на морском, так и на не морском рынке страхования. Однако косвенный ущерб корпусу судна, грузу и обязательствам перед третьими лицами в результате кибератаки на борту судна или морской плавучей платформы представляет собой иной и более дорогостоящий риск. Успешная кибератака может иметь несколько последствий, имеющих отношение к страхованию: гибель людей, телесные повреждения, загрязнение окружающей среды, потеря имущества, прерывание бизнеса, потеря производства, потеря данных и потеря репутации. С точки зрения грузовых перевозок особую озабоченность вызывают потенциальные риски и последствия кибератак, направленных на беспилотные грузовые автоколонны и мегаузлы. Ограниченность данных о частоте, серьезности потерь или вероятности физического ущерба является проблемой для страховщиков.

По оценкам Лондонского Ллойда, ущерб от кибератак в морской отрасли может оцениваться в $200 млрд. При низком уровне страхования примерно только 10% убытков от кибератак будет покрыто страховкой.

X   X   X

Надеюсь, что примеры положительного зарубежного опыта позволят России в кратчайшие сроки сформировать передовую морскую отраслевую систему кибербезопасности, избежав ошибок и неэффективных решений.

Морские вести России №18 (2020)