Новые критерии кибербезопасности
В июне 2019 года начали действовать новые требования Федеральной службы по техническому и экспортному контролю России (ФСТЭК) к программному обеспечению. Все программные продукты, используемые на объектах критической информационной инфраструктуры (КИИ), в том числе атомных, должны соответствовать новым критериям кибербезопасности.
Требования к безопасности ПО были и раньше, но их новая редакция более жесткая. В документе акцент сделан на использовании встроенных в программное обеспечение функций безопасности (до этого допускалась упрощенная защита внешними средствами), а также проведении комплексного анализа кода программного обеспечения в течение жизненного цикла его разработки и организации техподдержки при его эксплуатации. Это значит, что для применения ПО на объекте КИИ недостаточно просто установить пакет антивирусных и антихакерских программ. Теперь требуется сертификат ФСТЭК, подтверждающий отсутствие уязвимостей в программном обеспечении.
Можно попытаться сэкономить и не затевать модернизацию ПО. Но использование, например, программного обеспечения системы управления объектом без такого сертификата в случае ЧП чревато для руководителей эксплуатирующих организаций серьезными последствиями. К примеру, если кибератака привела к массовому отключению электричества, отопления, потере или блокированию значимой информации, теперь вполне реально отправиться в места не столь отдаленные на срок от пяти до 10 лет.
«Конечно, нужно двигаться в сторону выполнения новых нормативных требований. Но невозможно сразу взять и начать жить по-новому. Промышленные объекты работают, нельзя их просто остановить. Кроме того, многие разработчики не готовы быстро разработать продукты, соответствующие требованиям ФСТЭК. Вы просто не найдете сейчас те же терминалы релейной защиты, платформенные SCADA-системы, промышленные контроллеры или коммутаторы, сертифицированные по новым требованиям», — говорит начальница отдела интеллектуальных систем и средств безопасности обособленного подразделения РАСУ в Сарове Людмила Застылова.
Вместе с тем на рынке в ближайшее время все же должны появиться сертифицированные по новым требованиям ФСТЭК продукты. Благодарить за это надо руководство «Россетей», которое еще в 2017 году указало своим компаниям-поставщикам на необходимость встроенных функций безопасности. И те, в свою очередь, были вынуждены выполнить требования заказчика — в противном случае они лишились бы многомиллионных контрактов «Россетей».
Некоторые компании-разработчики рискуют остаться — или уже остались — не удел. Речь о тех, кто использовал в своих продуктах ядра (блоки программного обеспечения, которые отвечают за основной функционал) зарубежных производителей, которые просто отказались предоставить исходный код для анализа на отсутствие уязвимостей и недекларированных возможностей.
По словам начальника отдела мультимедийных приложений и систем обособленного подразделения РАСУ в Сарове Антона Субботина, новые требования ФСТЭК приведут как минимум к 20 %-му росту трудозатрат на разработку платформенной SCADA-системы (составная часть АСУ ТП). Приходится встраивать решения по информационной безопасности в уже сформированную архитектуру ПО, а к разработке должна подключиться команда специалистов по информационной безопасности. Несмотря на дополнительные затраты, в РАСУ рассчитывают выпустить пилотный продукт в плановый срок — в июле-августе 2020 года, хотя встроить все решения по безопасности к этому времени, скорее всего, не удастся.
«Необходимость встраивания решений по информационной безопасности в разрабатываемое ПО возникла не так давно. Поэтому готовой инфраструктуры для такого встраивания пока нет. Планируем создать ее в течение года-полутора», — говорит руководитель обособленного подразделения РАСУ в Сарове Владислав Хробостов.
Требования ФСТЭК серьезно изменят ситуацию на российском рынке промышленного ПО и программно-технических средств для объектов КИИ. Сейчас на нем господствуют иностранные вендоры. Но им придется принимать решение: раскрывать исходный код для анализа на предмет уязвимостей и недекларированных возможностей — или уходить из России. Возникшие ниши займут отечественные производители ПО.
КОММЕНТАРИИ
ВЛАДИСЛАВ ХРОБОСТОВ
Руководитель обособленного подразделения РАСУ в Сарове
— Наше подразделение в РАСУ занимается созданием новых продуктов с акцентом на программное обеспечение. Поэтому выполнение требований регулятора, ФСТЭК, с точки зрения разработки безопасного ПО для нас насущная необходимость. Только сертифицированное программное обеспечение, будь то промышленное платформенное решение класса SCADA или встроенное ПО оборудования нижнего уровня (контроллеры, которые обеспечивают первичную обработку информации и отслеживают нарушение параметров технологических процессов. — «СР»), может легитимно использоваться на целевых объектах КИИ.
Выстраивание всех процессов разработки согласно новым требованиям — непростая и затратная задача. Но уверен, что оно того стоит, поскольку появляются серьезные перспективы стать одними из первых на рынке промышленной автоматизации, чей продукт реально соответствует высоким стандартам информационной безопасности от и до.
АЛЕКСЕЙ КИРЮХИН
Главный технолог отдела АСУ ТП и технической поддержки ввода в эксплуатацию энергоблоков «Росэнергоатома»
— К настоящему времени все автоматизированные системы управления, информационные и коммуникационные системы АЭС «Росэнергоатома» прошли процедуру категорирования. Меры по защите от компьютерных атак систем, которым присвоена категория значимости, определены в приказе ФСТЭК № 239 и носят обязательный характер. Для остальных систем меры безопасности определены в приказе ФСТЭК № 31, который имеет рекомендательный характер. В основном эти меры безопасности уже реализованы, требуется незначительная доработка. Будем работать в этом направлении.