Формат нашего общения позволяет не гнаться за новостями и спокойно анализировать последствия известных событий в сфере кибербезопасности и действия, направленные на нейтрализацию последствий, недопущение аналогичных событий.
Спустя 3 недели после взлома информационной инфраструктуры компании Colonial Pipeline и «в связи с постоянной угрозой кибербезопасности трубопроводным системам и связанной с ними инфраструктуре» Министерство внутренней безопасности США (Department Homeland Security, DHS) выпустило требования к кибербезопасности для владельцев и операторов критически важных трубопроводов - Security Directive Pipeline-2021-01 (далее – Директива), которые вступили в силу 28.05.2021, действуют до 28.05.2022 г. и предназначены для владельцев и операторов трубопроводов для опасных жидкостей и природного газа или объектов сжиженного природного газа, то есть тех, кто «уведомлены Управлением транспортной безопасности (TSA DHS) о том, что их трубопроводная система или объект являются критическими».
В Директиве «Владелец / Оператор» (далее – владелец, оператор) означает лицо, которое владеет или поддерживает операционный контроль над трубопроводными объектами или занимается транспортировкой опасных жидкостей или природного газа и которое было определено TSA как одно из наиболее важных межгосударственных и внутригосударственных транспортировщиков природного газа и опасных жидкостей. трубопроводная инфраструктура и операции.
То есть выделили владельцев – субъектов критической инфраструктуры (CI), часть которой являются нематериальные активы, информационные системы, автоматизированные системы управления, сети, то, что относят к критической информационной инфраструктуре (CII). Фактически, под эти требования попадают и операторы систем, управляющих работой трубопроводов.
В России термин «критическая инфраструктура» официально не применяется, есть термины «критически важный объект», «потенциально-опасный объект» и т.п. Безопасность регулируется по отраслям - федеральными законами и отраслевыми нормативными актами, например, 256-ФЗ/2011 г. «О безопасности объектов ТЭК», 16-ФЗ/2007 г. «О транспортной безопасности», которые в основном, регулируют вопросы, связанные с физической, антитеррористической безопасностью. Безопасность компьютерных систем в критичных областях у нас регулируется законом о безопасности критической информационной инфраструктуры.
Директива состоит из пяти разделов: цель и общая информация; обязательные действия (по реализации директивы); порядок реализации директивы по безопасности; определения; согласование (утверждение) альтернативных мер.
Выделено три основных требования к владельцам и операторам трубопроводов, согласно которым они обязаны:
- сообщать об инцидентах кибербезопасности в Управление кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности (CISA);
- назначить «основного и хотя бы одного альтернативного» координаторов по кибербезопасности, которые должны быть доступны TSA и CISA 24/7 для координации действий в области кибербезопасности и устранения любых возникающих инцидентов, а также в течение семи дней с даты вступления в силу Директивы предоставить TSA в письменной форме их имена, должности, номера телефонов и адреса электронной почты;
- проверить (пересмотреть) свою текущую деятельности на соответствие рекомендациям TSA по кибербезопасности трубопроводов с целью оценки киберрисков, выявить (в ней) любые пробелы, разработать меры по исправлению положения и сообщить о результатах в TSA и CISA.
Предусмотрены меры во избежание дублирования отчётов, организации оперативного взаимодействия CISA, TSA, Национального центра реагирования и других агентств, если это необходимо. Кроме того, TSA и CISA могут использовать полученную ими от владельцев и операторов информацию для идентификации уязвимостей, анализа тенденций или для создания анонимных индикаторов взлома или других продуктов кибербезопасности в целях предотвращения других инцидентов кибербезопасности.
Прямо указано, что Координатор по кибербезопасности должен:
- быть гражданином США, «имеющим допуск к безопасности»;
- служить основным контактным лицом по вопросам киберразведывательной информации и деятельности, связанной с кибербезопасностью, и связи с TSA и CISA;
- быть доступным для TSA и CISA 24 часа в сутки, семь дней в неделю;
- координировать кибербезопасность (обеспечение кибербезопасности) и связанные с ней методы и процедуры внутренней безопасности;
- работать (взаимодействовать) с соответствующими правоохранительными органами и органами экстренного реагирования.
То есть требования в части обязанностей «координаторов-он-лайн» получились довольно жесткими, что же касается сроков предоставления информации о киберинцидентах, то она указана «как можно быстрее, но не позднее, чем через 12часов», тогда как в России сроки информирования о компьютерных инцидентах с момента обнаружения – не позднее 3 часов для значимых или 24 - для иных объектов КИИ.
Согласно Директивы (в разделе «Определения») Cybersecurity incident (инцидент кибербезопасности) – это событие, которое без законного разрешения фактически, неизбежно или потенциально ставит под угрозу, нарушает или иным образом влияет на целостность, конфиденциальность или доступность
- компьютеров,
- информационных или коммуникационных систем или сетей,
- физической или виртуальной инфраструктуры, управляемой компьютерами или информационными системами,
- информации, хранящейся в системе.
Определение включает событие, которое:
- Расследуется как возможный инцидент кибербезопасности без успешного определения первопричины или характера события (например, злонамеренный, подозрительный, доброкачественный).
- Может повлиять на целостность, конфиденциальность или доступность компьютеров, информационных или коммуникационных систем или сетей, физической или виртуальной инфраструктуры, управляемой компьютерами или информационными системами, или информации, хранящейся в системе.
Посмотрим, о каких инцидентах кибербезопасности в обслуживаемых (эксплуатируемых) ими информационных системах, АСУТП (операционных системах) трубопроводов владельцы, операторы обязаны сообщать в CISA:
- несанкционированный доступ к системе;
- обнаружение вредоносного программного обеспечения;
- действия, приводящие к отказу в обслуживании любой из этих систем;
- физическая атака на сетевую инфраструктуру владельца, Оператора (например, умышленное повреждение линий связи);
а также «любой другой инцидент в области кибербезопасности, который приводит к нарушению работы этих систем или других аспектов трубопроводных систем или объектов, или иным образом может вызвать сбои в работе, которые отрицательно влияют на безопасность и эффективность транспортировка жидкостей и газов, включая, помимо прочего, воздействие на большое количество клиентов, критически важную инфраструктуру или основные правительственные функции, а также на национальную безопасность, экономическую безопасность или общественное здоровье и безопасность».
В России субъект КИИ обязан информировать НКЦКИ о компьютерных инцидентах, то есть о «фактах нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки».
Информация о киберинцидентах (компьютерных инцидентах), связанных с функционированием объектов критической инфраструктуры США / критической информационной инфраструктуры России, которые субъект обязан направлять в государственные органы:
|
США. В соответствии с требованиями директивы владелец, операторы должны включить следующую информацию: |
Россия. В соответствии с требованиями НПА КИИ субъект КИИ должен направлять следующую информацию: |
|
1. Имя заявителя и контактная информация, включая номер телефона или адрес электронной почты. В отчете также должно быть четко указано, что информация передается для удовлетворения требований к отчетности в Директиве по безопасности 2021-01. |
[Имеется в ГосСОПКА] |
|
2. Затронутые опасные трубопроводы и / или объекты для жидкости и природного газа, включая идентификационную информацию и местонахождение. |
Дата, время, место нахождения или географическое местоположение объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент. |
|
3. Описание угрозы, инцидента или деятельности, включая: а. Информация о том, кто был уведомлен и какие действия были предприняты; б. Любая соответствующая информация, наблюдаемая или собираемая Владельцем / Оператором, такая как вредоносные IP-адреса, вредоносные домены, вредоносное ПО или злоупотребление законным программным обеспечением или учетными записями; c. Любая известная информация об угрозе, включая информацию об источнике угрозы или атаки, если таковая имеется. |
Наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой. Состав технических параметров компьютерного инцидента. Cвязь с другими компьютерными инцидентами (при наличии). |
|
4. Описание воздействия инцидента или потенциального воздействия на системы и операции информационных или операционных технологий. Эта информация также должна включать оценку фактических, неизбежных или потенциальных операций по обслуживанию, операционных задержек и / или краж данных, которые имеют или могут произойти, а также любую другую информацию, которая может быть информативной для понимания воздействия или потенциального воздействия. инцидента кибербезопасности. |
Последствия компьютерного инцидента. |
|
5. Описание всех запланированных или рассматриваемых ответов, включая, например, возврат к ручному резервному копированию, если применимо. |
|
|
6. Любая дополнительная соответствующая информация. |
|
К основным мероприятиям по обеспечению кибербезопасности также относится оценка уязвимости. В соответствии с требованиями Директивы владельцы, операторы трубопроводов обязаны:
- немедленно ознакомиться с соответствующим разделом Руководства TSA по безопасности трубопроводов от 2018 г. (с изменениями, апрель 2021 г.),
а затем:
- оценить, соответствуют ли текущие методы и действия по устранению киберрисков для защищаемых систем Руководству, выявить и оценить любые имеющиеся пробелы (заполнить форму, предоставленную TSA);
- определить меры по исправлению положения и составить график их реализации;
- предоставить в течение 30 дней с даты вступления в силу Директивы в TSA и CISA отчет, содержащий всю требуемую информацию.
Интересно, что владельцы, операторы трубопроводов должны в письменном виде представить подтверждение получения Директивы, направив его на электронный адрес TSA, а также немедленно распространить информацию и меры, содержащиеся в Директиве, среди высшего руководства компании, представителей управления безопасности и любого персонала, отвечающего за выполнение положений данной Директивы, проинструктировать всех лиц, ответственных за выполнение Директивы. Кроме того, владелец, оператор должен сообщить о Директиве и её любому лицу, подпадающему под её положения (требования), включая, помимо прочего, персонал федеральных, государственных и местных органов власти, арендаторов и подрядчиков.
Отметим, что допускается комментировать Директиву, приводить данные, мнения и аргументы отправляя их в TSA, но подача комментариев не откладывает дату вступления в силу Директивы. Впоследствии TSA может вносить поправки на основании полученных комментариев.
Если же владелец, оператор не может реализовать какие-либо меры, указанные в настоящей Директиве, то он должен немедленно уведомить TSA по электронной почте. Также он может представить (предложить) на утверждение альтернативные меры и основание для их представления.
В новостях на эту тему упоминалось, что за нарушения будут введены штрафы от $7,000 (в России согласно статье 19.7.15 КоАП: на должностных лиц от десяти тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до пятисот тысяч рублей).
В заключение приведём ещё два определения.
Под несанкционированным доступом (НСД) к ИТ-системе или ОТ-системе (АСУ) в Директиве понимается доступ:
- из неизвестного источника;
- третьей стороны или бывшего сотрудника;
- сотрудника, имеющего доступ к системам, для которых он или она не авторизован;
- и может включать в себя не злонамеренное нарушение политики владельца, оператора, такое как использование общих учетных данных сотрудником, иным образом уполномоченным на доступ к ним.
Для сравнения, в РФ. Несанкционированный доступ: Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
Примечания:
- Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
- Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.
(ГОСТ Р 53114, п. 3.3.6).
В Уголовном кодексе РФ используется понятие «неправомерный доступ».
Под нарушением работы (Operational disruption) в Директиве понимается отклонение или прерывание нормальной деятельности или операций, которое приводит к потере:
- данных,
- доступности системы,
- надежности системы,
- контролю над системами (управлению системами),
либо указывает на несанкционированный доступ или наличие вредоносного программного обеспечения в критических информационных технологических системах.
То есть наличие нарушения связывают не только со случившимся, но и с возможным фактом НСД или наличия «вредоноса».
В России, в основном в сфере промышленной безопасности, используется понятие нарушение, как правило, в контексте аварий, инцидентов, расследования причин:
Авария - разрушение сооружений и (или) технических устройств, применяемых на опасном производственном объекте, неконтролируемые взрыв и (или) выброс опасных веществ.
Инцидент - отказ или повреждение технических устройств, применяемых на опасном производственном объекте, отклонение от установленного режима технологического процесса.
(116-ФЗ «О промышленной безопасности»)
Будем наблюдать за дальнейшими мерами по обеспечению безопасности критический инфраструктуры (и КИИ) и рассказывать вам.