Информационные системы проникают во все сферы человеческой деятельности, даже в такие консервативные как судостроение. Современные суда уже невозможно представить без информационных систем — они обеспечивают навигацию, коммуникацию, координацию действий такого сложного агрегата как современный сухогруз или танкер. Однако смесь современных коммуникационных технологий с консервативными информационным системам могут создавать проблемы информационной безопасности.
Киберинциденты на море
В частности, одной из компаний, пострадавших от атаки червя NotPetya, оказалась датская компания-перевозчик Moller-Maersk, которая владеет одним из крупных флотов для контейнерной перевозки. В частности, у нее был и украинский отдел, который как раз и получил вредоносное обновление модуля компании M.E.Doc, которое и содержало червь-блокировщик NotPetya. В результате горизонтального распространения вредоноса внутри сети компании с помощью боевого эксплойта EternalBlue ему удалось поразить и вывести из строя систему APM Terminal, управляющую погрузкой сухогрузов в 76 портах 59 стран. В результате, в течении недели, пока ИТ-службы Maersk восстанавливали работоспособность системы, сухогрузы не могли выйти в море из-за проблем с балансировкой контейнеров внутри корабля. В результате, экономические издержки для компании Maersk, связанные с атакой вредоноса, были оценены в 850 млн долл.
Этот инцидент поднял на международном уровне вопрос об обеспечении информационной безопасности морских и речных перевозок. В частности, в апреле 2020 года Международная Ассоциация Классификационных Общества (МАКО) выпустила рекомендации № 166 под названием «Рекомендации по обеспечению киберустойчивости» (Recommendation on Cyber Resilience). На основе этого документа Российский морской регистр судоходства (РС) выпустил свое «Руководство по обеспечению кибербезопасности», которое вступило в силу с 1 января 2021 года. Область применения определена в самом документе так: «Руководство применяется к судам, контракт на постройку которых заключен 01.01.2021 или после этой даты», а цель, которую с его помощью планируется достичь — так: «Руководство по обеспечению кибербезопасности содержит рекомендации по проектированию, изготовлению, обслуживанию и проведению испытаний судовых компьютеризированных систем, а также рекомендации, применимые к системам управления безопасностью (СУБ)». То есть на проектируемых после 1 января 2021 года судах уже должна закладываться система управления безопасностью.
Требования МАКО №166
В документе все информационные системы на судне подразделяются на три категории: категория I – системы, отказ которых не приведет к возникновению опасных ситуаций для безопасности людей и судна или угрозы для окружающей среды; категория II – системы, отказ которых может, в конечном итоге, привести к возникновению опасных ситуаций для безопасности людей и судна, или угрозы для окружающей среды; а к системам категории III относятся три типа ИС: системы главных и вспомогательных механизмов судна, системы защиты и системы динамического позиционирования. Собственно, список систем категории II также ограничен следующими типами систем: аварийно-предупредительной сигнализации, индикации, внутренней связи, управления грузовыми и балластными операциями (именно их вывел из строя NotPetya), управления системой инертных газов и управления бункеровочными операциями. Причем сказано, что если система I уровня связана с ИС более высоких уровней, то и ее нужно учитывать при построении защиты.
Концепция управления безопасностью в документе предполагается риск-ориентированная. Оценка рисков остается на совести интегратора, который проектирует судно, но учтены должны быть как минимум четыре риска: непреднамеренные действия персонала, эксплуатирующего систему; получение несанкционированного доступа; DoS-атака и нападение вредоносных программ. Правда, если строиться серия однотипных кораблей, то можно провести оценку риска только для первого корабля в серии, а на остальных распространить уже готовую модель при условии отсутствия изменений в компьютерных системах. При оценке рисков рекомендуется использовать международные стандарты ИСО/МЭК 27005 и ИСО/МЭК 31010. Причем на каждом судне должны быть следующие документы: описание сетей передачи данных, а также аппаратных, программных и логических элементов ИС категорий II и III, модель оценки рисков, инструкция по обеспечению кибербезопасности на судне, перечень поставщиков услуг и описание периметра безопасности.
Руководство также определяет и набор функциональных требований к СУБ, которые разделены на пять категорий: Идентификация (I), Защита (P), Обнаружение (D), Реагирование (R) и Восстановление (RC). Меры защиты считаются рекомендательными — это также на совести системного интегратора, но в руководстве перечислены следующие строго рекомендательные категории: защита от атак, обнаружение инцидентов, восстановление после нападения, контроль сети и доступа к компьютерным системам, причем даже в удаленном режиме. Причем отдельно предусмотрено требование организации ручного управления на случай, если информационная система будет выведена из строя. Для этого при проектировании судна необходимо предусмотреть перевод всех элементов системы на локальное управление с соответствующего терминала в ручном режиме. Причем все элементы систем защиты должны быть проверены — «проверки и испытания должны проводиться на этапах рассмотрения технической документации, изготовления оборудования и строительства судна. При строительстве судна испытания на борту должны проводится после окончания работ по монтажу и подключению всех кабелей и оборудования компьютеризированных систем». Это фактически своеобразная аттестация системы защиты.
Если сравнить эти требования с документами по критической информационной инфраструктуре (КИИ), то видно, что они очень конкретны и практичны, однако это является результатом того, что фактически документ описывает одну узкую нишу КИИ — автоматические системы управления судами, что позволяет конкретизировать требования вплоть до описания конкретных систем. Собственно, закон №187-ФЗ «О безопасности КИИ» изначально и предполагал некоторую модульность — возможность всем остальным ведомствам выпускать свои требования для конкретных прикладных отраслей, и судостроительство вполне подпадает под действия закона №187-ФЗ в части транспортной сферы деятельности и не противоречит принятому Руководству. Правда, ссылок в последнем на законы о безопасности КИИ в тексте нет — это все-таки честный перевод международного документа, поскольку рассчитан он на международное использование. Поэтому было бы интересно посмотреть на гармонизированные требования к проектированию судов, которые одновременно соответствовали бы и выпущенному руководству, и закону №187-ФЗ.
