Цифровая оборона Испании

Цифровая оборона Испании

Применение новаторских моделей при защите критически важной инфраструктуры

Альберто Хернандес, Исполнительный директор, Национальный институт кибербезопасности Испании (INCIBE)

За последнее время был совершен целый ряд крупномасштабных кибератак на критически важные службы и объекты инфраструктуры, которые широко освещались в средствах массовой информации. Но также были и нападения, которые нанесли такой же ущерб, но прошли в основном незамеченными. Количество таких нападений будет увеличиваться по мере того, как будет возрастать связь между индустриальными системами управления и расти количество коммуникационных сетей и приборов «интернета вещей». Такие возможности связи имеют много преимуществ в плане функционирования и управления, но порождают новые угрозы в сфере интернета и киберпространства. Глобальный масштаб киберпространства, низкая стоимость доступа к нему, анонимность, асимметричность и операционное время, измеряемое в миллисекундах — вот характеристики, которые способствуют быстрому развитию этих новых угроз.

Штаб-квартира INCIBE в г. Леон, Испания. GOOGLE MAPS

Различные кибернападения наносят различный ущерб. В 2000 г. в Австралии в результате кибератаки, организованной недовольным сотрудником, в реки и парки г. Маручи вылилось более 2 млн. литров неочищенной воды. В 2008 г. в польском г. Лодзь четыре трамвая сошли с рельсов и несколько людей получили травмы после того, как 14-летний подросток переделал пульт дистанционного управления телевизором в прибор, способный переводить стрелки на трамвайных переездах. В 2010 г. был обнаружен Stuxnet. Это был первый известный вирус, созданный для шпионажа и перепрограммирования промышленных систем управления, отвечающих за критические объекты инфраструктуры, такие как ядерные электростанции. В более недавний период, в 2015 г., отключение подачи электроэнергии в сети оставило 1,5 млн. человек на несколько часов без электроэнергии в Украине. Эти кибернападения свидетельствуют о реальности угрозы нападения на ключевые службы и критические объекты инфраструктуры и о необходимости разработки и развития стратегии по снижению и управлению связанными с ними рисками.

В Испании количество инцидентов в сфере кибербезопасности, затрагивающих простых граждан и частный сектор, растет — с 18 тыс. в 2014 г. до 50 тыс. в 2015 г. и с более чем 115 тыс. в 2016 г. до 108 тыс. в период с января по сентябрь 2017 г. Что касается критически важных объектов инфраструктуры, то за последние четыре года количество инцидентов также возросло — с 31 в 2013 г. до 63 в 2014 г., 134 в 2015 г., 486 в 2016 г. и до 609 в период с января по сентябрь 2017 г. Реагирует на эти инциденты Группа безопасности и экстренного реагирования на компьютерные инциденты (CERTSI), управляемая Национальным институтом кибербезопасности Испании (INCIBE) и Национальным центром защиты критической инфраструктуры (CNPIC). Такой рост количества инцидентов в сфере кибербезопасности может быть вызван тремя причинами: ростом числа кибернападений, повышением возможностей CERTSI по обнаружению инцидентов или повышенной степенью доверия между CERTSI и стратегическими операторами. Это свидетельствует о необходимости разработать стратегию защиты критической инфраструктуры, которая могла бы помочь организациям улучшить свою кибербезопасность.

Стратегия INCIBE

В 2007 г. Министерство внутренних дел Испании создало CNPIC с целью защиты национальных объектов критической инфраструктуры, в том числе и в киберсреде. С принятием в том же году закона о защите критически важной инфраструктуры Испания ввела в действие соответствующие стратегии и структуры для направления и координации действий различных общественных учреждений, занимающихся защитой критически важной инфраструктуры, при этом рассматривая кибербезопасность в качестве ключевого фактора во всех секторах.

Для соблюдения регулирующих нормативов и реализации установленных практических мер по обеспечению кибербезопасности, INCIBE совместно с CNPIC разработал специальную целостную стратегию для критически важной инфраструктуры, охватывающую такие аспекты, как предотвращение кибератак, защиту от кибератак и реагирование в случае инцидента, угрожающего безопасности. Эта стратегия предусматривает следующие направления действий:

A. ENSI: Национальная система кибербезопасности известна как Национальная схема промышленной безопасности (ENSI). У нее есть общие методологии и инструменты для улучшения возможностей защиты, минимизации рисков, которым подвержены ключевые объекты; она также разрабатывает методологии и конкретные меры по снижению рисков, которые внедряются в промышленных организациях.

ENSI состоит из управления общей политики и трех подразделений, ответственных за следующие направления: меры по совершенствованию компьютерной жизнестойкости (IMC), модель развития возможностей кибербезопасности (C4V) и упрощенный механизм управления рисками в комплексной системе безопасности (ARLI-SI).

IMC: Модель IMC определяет набор индикаторов повышения компьютерной жизнестойкости в качестве инструмента диагностики и измерения способностей противостоять катастрофам и неисправностям в цифровом пространстве и восстанавливанию после них.

Вопрос здесь не в том, станут ли организация и ее системы, включая ее компоненты, отвечающие за жизненно важные службы, объектами нападения, а в том, будут ли они должным образом подготовлены к противостоянию такому нападению, к тому, чтобы не допустить сбоев в работе ключевых служб и к восстановлению в самый короткий срок. Короче говоря, жизнестойка ли компьютерная сеть организации?

В компьютеризированном мире концепция жизнестойкости базируется на необходимости для организации быть в состоянии готовности быстро отреагировать на нападения, не допустить сбоев в предоставлении услуг, одновременно с этим совершенствуя свои возможности по идентификации, обнаружению, предотвращению и сдерживанию нападений, а также возможности восстановления после нападения и сотрудничества с партнерскими организациями.

INCIBE разработал эту комплексную структуру для измерения индикаторов компьютерной жизнестойкости организации после анализа Национальных стратегий кибербезопасности, в которых описаны основные стандарты, параметры и индикаторы, применимые в сфере безопасности. Модель IMC включает 46 параметров, охватывающих четыре основные цели мер по обеспечению компьютерной жизнестойкости: предугадывать, противостоять, восстанавливаться и развиваться.

ARLI-SI: Методология ARLI-SI — это упрощенная методология управления рисками, разработанная в качестве практичной и простой модели управления рисками. Ее основным компонентом являются промышленные системы управления, являющиеся отправной точкой и краеугольным камнем процесса совершенствования безопасности.

После стандартного аудита ключевых операторов предприятия знакомят с предварительным диагнозом состояния их систем безопасности. Однако, крайне необходимо также дать им дополнительную информацию о шагах, которые необходимо предпринять для улучшения системы безопасности, и о том, какой уровень кибербезопасности считается приемлемым.

C4V: INCIBE разработал C4V, чтобы дать операторам понимание степени зрелости и надежности мер защиты, внедренных в системы критически важной инфраструктуры. В C4V обращено особое внимание на зависимость важных служб и на управление рисками в цепочке поставок информационных и коммуникационных технологий.

Одно из преимуществ этой модели в том, что в случаях, когда сторонние провайдеры услуг оказывают влияние на уровень возможностей организации, то организация, несущая ответственность за услугу, должна сделать так, чтобы сторонние провайдеры также отвечали требованиям в отношении возможностей. Они также должны иметь процедуры мониторинга для того, чтобы этот уровень возможностей поддерживался постоянно на должном уровне на всем протяжении функционирования предприятия.

Б. Испанская платформа для обмена информацией об угрозах для кибербезопасности (ICARO) представляет собой инструмент, помогающий идентифицировать угрозы. Для предотвращения кибернападений и реагирования на них должным образом необходимо раннее оповещение. Для того, чтобы способствовать обмену информацией об угрозах и кибератаках, INCIBE разработал и внедрил ICARO, который работает на платформе обмена информацией о вирусах (MISP), использовавшейся для распространения индикаторов слабых мест, вызванных киберугрозами. При использовании ICARO, у критически важных операторов испанских предприятий появляется канал, который ускоряет процесс анонимизации обмениваемой информации и доступ к информации CERTSI. Эта платформа может также быть объединена с другими MISP по всему миру.

B. Национальная сеть промышленных лабораторий (RNLI) является платформой поиска информации о промышленных лабораториях с мощностями для экспериментальной работы и исследования решений по инфраструктуре на национальных промышленных предприятиях. RNLI преследует две цели: способствовать внедрению новаторских решений в промышленную кибербезопасность через сотрудничество и ускорение принятия решений, которые повышают конкурентоспособность местной промышленности.

RNLI позволяет операторам находить информацию о национальных инфраструктурах и создавать точку пересечения между спросом и предложением по вопросам кибербезопасности. Другие преимущества включают продвижение взаимодействия и сотрудничества между всеми вовлеченными сторонами и ускорение обмена экспертными знаниями в среде специалистов.

Г. INCIBE взаимодействует с производителями, компаниями, специализирующимися в кибербезопасности, лабораториями и операторами объектов критической инфраструктуры с целью разработки новых инструментов улучшения кибербезопасности на критически важных объектах и для совершенствования возможностей обнаружения CERTSI.

При помощи этих инструментов INCIBE и CERTSI могут предоставлять новые услуги, например, подавать сигналы тревоги операторам с уязвимыми приборами промышленного управления. Когда INCIBE получает сигнал тревоги от производителя относительно конкретного прибора, INCIBE находит операторов, у которых имеется такой прибор, и посылает им оповещение со всей информацией, необходимой для самозащиты.

Другие дополнительные инструменты обеспечивают проактивное обнаружение систем промышленного управления, доступных через интернет, позволяя INCIBE улучшить свою систему оповещения.

Д. В качестве последнего элемента общей стратегии, национальные учения по кибербезопасности в Испании позволяют протестировать и усовершенствовать возможности кибербезопасности операторов критически важных объектов. В рамках этой инициативы под названием National CyberEx было проведено уже несколько учений. В 2015 г. учения были сосредоточены на банковском секторе, а в 2016 г. они были разработаны таким образом, чтобы провести оценку и повысить устойчивость к атакам сразу нескольких секторов, давая участникам учений ощутимые выгоды.

В ходе этих учений, в которых в командах операторов участвуют представители всех соответствующих специальностей, участники совершенствуют свои возможности ответных мер и повышают координацию между организациями.

Выводы

Глобальный масштаб и природа проблем кибербезопасности при защите объектов критической инфраструктуры требуют комплексного подхода, при котором необходимо предпринять целый ряд действий. Эти действия связаны с такими аспектами, как передовые технологии и их производители, существующая нормативная база, пользователи и человеческий фактор. Также крайне необходимы эффективная координация между всеми заинтересованными сторонами и постоянная приверженность новаторскому подходу и движению вперед.