Кибербезопасность энергетического сектора: сравнительный опыт и пути к сотрудничеству

Современные предприятия энергетического сектора в своей работе всё больше полагаются на автоматизированные системы управления производственными процессами, и это открывает путь для оказания вредоносных кибервоздействий. Обеспечение информационной безопасности критически важных инфраструктур, в том числе предприятий генерации, передачи и распределения электроэнергии и энергоносителей — одна из важнейших задач любого развитого государства.

На данный момент международным сообществом не выработано общепринятого универсального определения критической инфраструктуры, но, те определения, которые имеются в документах различных государств и объединений, во многом пресекаются и не противоречат друг другу. Проблема выработки общих определений существует не только на международном, но и на национальном уровне.

Очевидно, что определения отличаются, но сходятся в главном — признается значимость бесперебойной работы критической инфраструктуры. Кроме этого, все государства мира признают, что ИКТ-среда взаимосвязана и взаимозависима. Это общее понимание может стать фундаментом продуктивного взаимодействия по защите критической инфраструктуры.

Ведущие страны мира уже не первый год выстраивают нормативно-правовые, организационно-технические и административные механизмы обеспечения информационной и кибербезопасности своей критической инфраструктуры. Изучение опыта этих стран и выявление слабых и сильных сторон применяемых ими практик — естественная и полезная научная задача.

В 2018 г. во Французском институте международных отношений был опубликован доклад «Кибербезопасность в энергетическом секторе: сравнительный анализ Европы и США». Несмотря на некоторую устарелость, эта научно-аналитическая работа всё ещё представляет определенный интерес. В ней достаточно обстоятельно рассмотрены отдельные аспекты исследуемой проблематики, в частности, приведен обзор актуальных на тот момент основных документов США и ЕС. Основная критика доклада относится к предложениям по развитию международного сотрудничества. Несмотря на нейтральное название доклада, из текста следует, что автор является сторонником идеи евроатлантизма, и поэтому неудивительно, что, продвигая взаимодействие между государствами, он полностью игнорирует Россию и другие страны — поставщики энергоносителей и электроэнергии в страны ЕС.

Также никакого внимания не уделяется достижениям Группы правительственных экспертов ООН, хотя многие европейские государства и США принимали участие в её работе.

Представляется, что защита взаимосвязанной и взаимозависимой критически важной инфраструктуры — это общая задача развитых государств. Принимая во внимание текущую напряженную ситуацию на международной арене и уровень недоверия между крупнейшими игроками, решение этой задачи только в рамках региональных объединений (без учета интересов всех заинтересованных стран и акторов) является контрпродуктивным, так как способно обострить возможные противоречия. Эта сфера представляет общий интерес, и должны быть предприняты шаги по её деполитизации.

С учетом того, что с момента публикации рассматриваемого доклада прошло более двух лет, можно обратить внимание на основные изменения в ландшафте кибербезопасности критической инфраструктуры в США и ЕС, которые произошли за этот период. Факты говорят о том, что трансатлантическое взаимодействие — не единственный возможный путь развития.

Тема информационной безопасности и противодействия киберпреступности с высокой долей вероятности будет затронута на предстоящем саммите глав России и США. Дж. Байден заявил: «Мы работаем над тем, чтобы создать некий международный стандарт, согласно которому, когда правительства знают, что с их территории осуществляется преступная деятельность, мы все противодействуем этим преступным группам. Я полагаю, что это станет одним из вопросов, о которых я буду говорить с президентом Путиным». Подобная постановка вопроса позволяет с осторожным оптимизмом предположить, что России и США удастся достигнуть договоренностей по отдельным вопросам кибербезопасности.

В декабре 2020 г. Еврокомиссия представила новую стратегию кибербезопасности, в которой критической инфраструктуре уделяется особое значение. Положения Стратегии свидетельствуют о том, что ЕС стремится стать значимым самостоятельным центром, формирующим глобальную киберповестку, в том числе и по вопросам безопасности критической инфраструктуры.

Трансатлантический путь — не единственно возможный, и, как минимум, не должен отрицать возможность сотрудничества с другими центрами силы — как отдельными государствами, так и объединениями. Взаимодействие между различными объединениями может оказаться более продуктивным подходом. Главное условие подобной работы — соблюдение равноправия сторон и взаимное уважение интересов.

Современные предприятия энергетического сектора в своей работе всё больше полагаются на автоматизированные системы управления производственными процессами, и это открывает путь для оказания вредоносных кибервоздействий. Обеспечение информационной безопасности критически важных инфраструктур, в том числе предприятий генерации, передачи и распределения электроэнергии и энергоносителей — одна из важнейших задач любого развитого государства.

Анастасия Толстухина:
Вредоносное использование ИКТ бросает вызов стратегической стабильности

На данный момент международным сообществом не выработано общепринятого универсального определения критической инфраструктуры, но, те определения, которые имеются в документах различных государств и объединений, во многом пресекаются и не противоречат друг другу. Проблема выработки общих определений существует не только на международном, но и на национальном уровне. Так, в США глоссарий Национального института стандартов и технологий (NIST) содержит пять похожих, но не идентичных определений, которые используются в различных документах. В документе NIST «Платформа для улучшения кибербезопасности критически важной инфраструктуры» от апреля 2018 г. приведено следующее определение критической инфраструктуры: «Физические или виртуальные системы и активы, которые настолько жизненно важны для Соединенных Штатов, что частичное или полное нарушение их работоспособности негативным образом скажется на кибербезопасности, национальной экономической безопасности, здоровье или безопасности граждан». В Директиве Европейского совета 2008/114/EC критическая инфраструктура определена как «актив, система или ее часть, расположенная на территории ЕС, которая имеет важное значение для поддержания жизненно важных социальных функций, здоровья, безопасности, экономики или благополучия населения; нарушение работы или уничтожение которой окажет значительное влияние как минимум на два государства-члена.

Также в ЕС принято определение «оператора основных услуг», под которым понимается «государственная или частная организация, которая предоставляет услугу и имеет важное значение для поддержания иных критически важных услуг или хозяйственной деятельности; предоставление этой услуги зависит от сети и информационных систем; и возможный инцидент будет иметь серьезные разрушительные последствия для предоставления этой услуги». В число операторов основных услуг входят предприятия по производству, передаче и распределения электроэнергии, операторы нефтедобывающих, нефтеперерабатывающих и очистных сооружений, хранения и транспортировки нефти, операторы системы распределения, передачи, хранения природного газа.

В России под критически важными объектами инфраструктуры понимаются объекты, нарушение (или прекращение) функционирования которых «приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок».

Очевидно, что приведенные определения отличаются, но сходятся в главном — признается значимость бесперебойной работы критической инфраструктуры. Кроме этого, все государства мира признают, что ИКТ-среда взаимосвязана и взаимозависима. Если раньше существовало четкое разделение на концепции информационной и кибербезопасности (информационная безопасность вместе с информационно-техническими аспектами рассматривает информационно-гуманитарные), то в последние годы наметилось их сближение. Сейчас в рамках концепций кибербезопасности также выделяется угроза информационного воздействия, например на общественное сознание, а в рамках концепции информационной безопасности всё чаще говорят о кибербезопасности, как об отдельном направлении. Формирование общего понимания может стать фундаментом продуктивного взаимодействия и по защите критической инфраструктуры.

Ведущие страны мира уже не первый год выстраивают нормативно-правовые, организационно-технические и административные механизмы обеспечения информационной и кибербезопасности своей критической инфраструктуры. Изучение опыта этих стран и выявление слабых и сильных сторон применяемых ими практик — естественная и полезная научная задача.

В 2018 г. во Французском институте международных отношений был опубликован доклад «Кибербезопасность в энергетическом секторе: сравнительный анализ Европы и США». Несмотря на некоторую устарелость, эта научно-аналитическая работа всё ещё представляет определенный интерес. В ней достаточно обстоятельно рассмотрены отдельные аспекты исследуемой проблематики, в частности, приведен обзор актуальных на тот момент основных документов США и ЕС.

При всех достоинствах данной работы, автор делает некоторые допущения, и на их основе — спорные выводы. Отмечая различия в подходах ЕС и США к кибербезопасности критической инфраструктуры в целом и энергетического сектора в частности, автор не раскрывает тех глубинных причин, почему эти подходы сложились именно так, а не иначе, не рассматривает возможные преграды для реализации предложений. По итогам исследования делается вывод, что совместно разработанные ЕС и США нормы и стандарты могут стать основой для выработки международных норм. При этом автор полностью игнорирует не только очевидные проблемы подобной идеи, в частности, исключение из процесса разработки предполагаемых норм других ключевых игроков, но и достижения, которые уже были сделаны в рамках ООН.

Олег Шакиров:
Широкий киберконсенсус

Рассматривая подходы ЕС и США к кибербезопасности энергетического сектора, автор отмечает, что Соединенные Штаты отдают предпочтение стратегии «всеобъемлющей безопасности» с обязательными и подробными правилами для конкретных секторов, которые реализуются учреждениями, обладающими правом на принуждение. В то же время ЕС принял более гибкий подход, который охватывает широкий круг вопросов, оставляя государствам-членам значительную свободу маневра в реализации норм. Далее, автор выделяет сильные и слабые стороны каждого из этих подходов, не указывая при этом на то, что эти подходы сформировались исходя из сущности взаимоотношений между наднациональными институтами ЕС и отдельными государствами-членами, а также между федеральным правительством США и отдельными штатами. Полномочия, которые, в соответствии с Конституцией США, делегированы Федеральному правительству, несопоставимы с теми полномочиями, которыми обладают наднациональные институты ЕС. Одновременно можно констатировать, что государства — члены ЕС активно защищают свой государственный суверенитет, особенно в такой области, как энергетика (например, можно привести позицию ФРГ по вопросу строительства газопровода Северный поток – 2). Этого в известной степени очевидного наблюдения достаточно, чтобы осознать, насколько трудно будет реализовать некоторые из предложений автора исследования, например, ввести новые нормы кибербезопасности в виде Постановлений ЕС, которые обязательны к исполнению всеми странами-членами [1]. Кроме того, в объединенной Европе реализуется концепция «многих скоростей» — далеко не все государства могут быть готовы к введению тех, или иных стандартов кибербезопасности.

Основная критика доклада относится к предложениям по развитию международного сотрудничества. Несмотря на нейтральное название доклада, из текста следует, что автор является сторонником идеи евроатлантизма, и поэтому неудивительно, что, продвигая взаимодействие между государствами, он полностью игнорирует Россию и другие страны — поставщики энергоносителей и электроэнергии в страны ЕС. Автор убежден, что общие трансатлантические стандарты могут стать строгими международными нормами кибербезопасности. У международного сообщества уже есть опыт разработки подобных норм в виде Будапештской конвенции по противодействию киберпреступности. Несмотря на весь позитивный опыт её применения, существенные недостатки так и не позволили ей стать универсальным документом. Один из главных недостатков — концептуальный. Конвенция была разработана странами Европы для стран Европы и учитывает европейскую правовую и культурную специфику, но не учитывает особенности третьих стран. Так, статья 32 о трансграничном доступе к данным рассматривается рядом государств, в том числе Россией, как нарушающая национальный суверенитет.

Нет никаких сомнений, что Россия и другие страны мира играют значительную роль в энергосистеме ЕС. Согласно статистическим данным, в 2000–2018 гг. зависимость от импорта энергоносителей только возрастала, достигая 58,2 % в 2018 г. Автор совершенно справедливо отмечает, что взаимосвязанность предприятий как на физическом уровне, так и на уровне информационной инфраструктуры несет в себе значительные риски, и сотрудничество государств необходимо. Принимая во внимание указанные факторы, логично было бы развивать общие стандарты с теми государствами, чьи экономические интересы и интересы обеспечения безопасности критической инфраструктуры совпадают. Так, в 2018 г. Россия была лидером по экспорту в ЕС угля, нефти, и природного газа, в то время как США входили в пятерку стран-экспортеров в ЕС только по каменному углю. Автор исследования, очевидно, исходит из другой логики — трансатлантической солидарности, которая, как показал тот же Северный поток – 2, не всегда отвечает интересам отдельных стран-членов ЕС.

Также никакого внимания не уделяется достижениям Группы правительственных экспертов ООН, хотя многие европейские государства и США принимали участие в её работе. В Докладе ГПЭ 2015 г. содержатся согласованные нормы, правила и принципы ответственного поведения государств, ряд из которых имеют прямое отношение к безопасности критической инфраструктуры. Например, государства должны «принимать надлежащие меры для защиты своей критически важной инфраструктуры от угроз в сфере ИКТ, принимая во внимание резолюцию 58/199 Генеральной Ассамблеи о создании глобальной культуры кибербезопасности и защите важнейших информационных инфраструктур и другие соответствующие резолюции»; государства также должны «удовлетворять соответствующие просьбы об оказании помощи, поступающие от других государств, критически важная инфраструктура которых становится объектом злонамеренных действий в сфере ИКТ». Так как нормы, правила и принципы были согласованы консенсусом, есть все основания полагать, что они могут быть использованы в качестве основы при разработке универсальных стандартов кибербезопасности критически важных объектов.

Дэниел Штауффхер:
Пора создать единую переговорную площадку по проблемам киберпространства под эгидой Первого комитета ГА ООН

Представляется, что защита взаимосвязанной и взаимозависимой критически важной инфраструктуры — это общая задача развитых государств. Принимая во внимание текущую напряженную ситуацию на международной арене и уровень недоверия между крупнейшими игроками, решение этой задачи только в рамках региональных объединений (без учета интересов всех заинтересованных стран и акторов) является контрпродуктивным, так как способно обострить возможные противоречия. Эта сфера представляет общий интерес, и должны быть предприняты шаги по её деполитизации.

Актуальные события

Принимая во внимание то, что с момента публикации рассматриваемого доклада прошло более двух лет, можно обратить внимание на основные изменения в ландшафте кибербезопасности критической инфраструктуры в США и ЕС, которые произошли за этот период. Факты говорят о том, что трансатлантическое взаимодействие — не единственный возможный путь развития.

В апреле 2021 г. в качестве пилотного проекта более широкой инициативы администрации Дж. Байдена по кибербезопасности, которая должна охватить ряд критически важных секторов инфраструктуры, было объявлено о начале реализации 100-дневного плана по повышению кибербезопасности промышленных систем управления электроэнергетических компаний и обеспечению безопасности цепочки поставок энергетического сектора. В рамках инициативы предполагается, среди прочего, поощрять владельцев и операторов внедрять меры или технологии, которые улучшают возможности по обнаружению, смягчению и криминалистике кибератак. Также будут развернуты технологии и системы, которые позволят обеспечить большую ситуационную осведомленность и возможность реагирования в режиме близком к реальному времени. В рамках реализации плана Министерство энергетики запросило у электроэнергетических компаний, научных кругов, исследовательских лабораторий, государственных учреждений и других заинтересованных сторон комментарии, которые позволят оценить, какие новые меры необходимы для дальнейшего укрепления защиты критически важной инфраструктуры от злонамеренной киберактивности и укрепления внутренней производственной базы.

Уже в мае этого года появилась возможность оценить эффективность работы Администрации Дж. Байдена в сфере защиты критической инфраструктуры, когда произошла значительная по последствиям кибератака на трубопровод Colonial Pipeline. Были приняты исчерпывающие ответные меры, направленные на обеспечение безопасности поставок энергоносителей. Что качается киберстороны вопроса, ФБР, а также Агентство кибербезопасности и защиты инфраструктуры вместе с Министерством энергетики распространили среди владельцев и операторов критически важной инфраструктуры информацию, которая должна помочь выявить заражение вирусом-вымогателем и смягчить его последствия. Через несколько дней после кибератаки, американский президент подписал указ, направленный на улучшение кибербезопасности страны. Этим документом предусмотрен ряд мер, направленных на: устранение барьеров для обмена информацией об угрозах между правительством и частным сектором; модернизацию и внедрение более строгих стандартов кибербезопасности в федеральном правительстве; повышение безопасности цепочки поставок программного обеспечения; создание Совета по анализу кибербезопасности, для изучения крупных инцидентов; создание стандартного руководства по реагированию на киберинциденты; развитие системы обнаружения инцидентов кибербезопасности в сетях федерального правительства; развитие возможностей расследования инцидентов и исправления. В принципе, кроме создания стандартизированного руководства по реагированию и Совета по анализу кибербезопасности, все предлагаемые меры носят скорее эволюционный, а не революционный характер.

Атака на Colonial Pipeline примечательна несколькими необычными деталями. Во-первых, Джо Байден заявил, что «нет доказательств того, что замешано российское правительство, хотя есть некоторые свидетельства того, что злоумышленники находятся в России. На ней лежит определенная ответственность по борьбе с ними». Во-вторых, по сообщениям СМИ, хакерская группировка, которая взяла на себя ответственность за эту кибератаку, заявила: «Мы не участвуем в геополитике, не нужно связывать нас с определенным правительством и искать... наши мотивы».

Самое главное, что тема информационной безопасности и противодействия киберпреступности с высокой долей вероятности будет затронута на предстоящем саммите глав двух государств в июне. Дж. Байден также заявил: «Мы работаем над тем, чтобы создать некий международный стандарт, согласно которому, когда правительства знают, что с их территории осуществляется преступная деятельность, мы все противодействуем этим преступным группам. Я полагаю, что это станет одним из вопросов, о которых я буду говорить с президентом Путиным». Подобная постановка вопроса позволяет с осторожным оптимизмом предположить, что России и США удастся достигнуть договоренностей по отдельным вопросам кибербезопасности.

Анита Хасанова:
Европейский подход к «технологическому суверенитету»

В декабре 2020 г. Еврокомиссия представила новую стратегию кибербезопасности, в которой критической инфраструктуре уделяется особое значение. В частности, было предложено разработать новые интегрированные принципы защиты всей инфраструктуры стран ЕС. Также будет разработана система наказаний и крупных штрафов для европейских операторов и компаний, которые будут пренебрегать выполнением европейских требований по кибербезопасности. Важно обратить внимание на ряд других концептуальных аспектов документа. Во-первых, Стратегия излагает меры, направленные на достижение технологического суверенитета, который должен быть основан на устойчивости всех подключенных услуг и продуктов. Во-вторых, запланировано формирование оборонного потенциала. Стратегия призывает государства-члены придать дополнительный импульс развитию современных возможностей киберзащиты посредством различных политик и инструментов ЕС. Для этого потребуется уделить внимание разработке и использованию таких ключевых технологий, как искусственный интеллект, шифрование и квантовые вычисления. Необходимо дальнейшее развитие сотрудничества между государствами-членами в области киберзащиты, в том числе с использованием потенциала Постоянного структурного сотрудничества по вопросам безопасности и обороны и Европейского фонда развития. В-третьих, более активными становятся действия на международной арене. ЕС будет продвигать, координировать и консолидировать позиции государств-членов на международных форумах, и выработает общую позицию в отношении применения международного права в киберпространстве. В рамках этого подхода в ООН уже представлена Программа действий по развитию ответственного поведения государств в киберпространстве. Она предлагается как платформа для сотрудничества и обмена передовым опытом в рамках ООН и создания механизма для применения на практике норм ответственного поведения государств. Для продвижения своих интересов ЕС также активизирует свое участие и лидерство в международных процессах стандартизации, а также расширяет свое представительство в международных и европейских органах по стандартизации и в других организациях по разработке стандартов. В-четвертых, ЕС продолжит наращивать потенциал на Западных Балканах и в странах-соседях ЕС, а также в странах-партнерах, переживающих быстрое цифровое развитие. ЕС будет поддерживать развитие законодательства и политики в этих странах в соответствии с соответствующими политиками и стандартами ЕС в области кибердипломатии.

Эти положения Стратегии свидетельствуют о том, что ЕС стремится стать значимым самостоятельным центром, формирующим глобальную киберповестку, в том числе и по вопросам безопасности критической инфраструктуры. Можно предположить, что импульсом для этого намерения стала политика Д. Трампа в отношении ЕС и НАТО. Но на момент принятия документа выборы 2020 г. в США уже состоялись, и то, что документ был принят в таком виде, говорит о серьёзности намерений объединенной Европы. Обращает на себя внимание и тот факт, что в числе стран, ставших соавторами Программы действий по развитию ответственного поведения государств в киберпространстве, нет ни России, ни США, а сама Программа предлагает объединение существующих параллельно процессов ГПЭ и РГОС. Это также можно расценивать, как желание ЕС быть более самостоятельным в кибервопросах.

Трансатлантический путь — не единственно возможный, и, как минимум, не должен отрицать возможность сотрудничества с другими центрами силы — как отдельными государствами, так и объединениями. Известно, что чем больше сторон участвует в переговорах, тем сложнее договориться. Поэтому, взаимодействие между различными объединениями, каждое из которых имеет общую позицию, может оказаться более продуктивным. Главное условие подобной работы — соблюдение равноправия сторон и взаимное уважение интересов.

1. Обратимся к Постановлению (ЕС) 2019/943 Европейского Парламента и Совета от 5 июня 2019 г. о внутреннем рынке электроэнергии. Среди прочего, Европейская комиссия уполномочена принимать делегированные акты в отношении отраслевых правил кибербезопасности трансграничных потоков электроэнергии, в том числе правила об общих минимальных требованиях, планировании, мониторинге, отчетности и кризисном управлении. Эти полномочия предоставлены до 31 декабря 2028 г. с возможностью продления на очередной 8-летний срок. Понятно, что нормативно-правовые акты могут быть приняты до истечения этого срока, но сам факт выделения такого значительного временного интервала может свидетельствовать о долгих процедурах выработки и согласования.