Кибербезопасность энергетического сектора: сравнительный опыт и пути к сотрудничеству
Вход
Авторизуйтесь, если вы уже зарегистрированы
(Голосов: 13, Рейтинг: 2.85) |
(13 голосов) |
Научный сотрудник ИПИБ МГУ
Современные предприятия энергетического сектора в своей работе всё больше полагаются на автоматизированные системы управления производственными процессами, и это открывает путь для оказания вредоносных кибервоздействий. Обеспечение информационной безопасности критически важных инфраструктур, в том числе предприятий генерации, передачи и распределения электроэнергии и энергоносителей — одна из важнейших задач любого развитого государства.
На данный момент международным сообществом не выработано общепринятого универсального определения критической инфраструктуры, но, те определения, которые имеются в документах различных государств и объединений, во многом пресекаются и не противоречат друг другу. Проблема выработки общих определений существует не только на международном, но и на национальном уровне.
Очевидно, что определения отличаются, но сходятся в главном — признается значимость бесперебойной работы критической инфраструктуры. Кроме этого, все государства мира признают, что ИКТ-среда взаимосвязана и взаимозависима. Это общее понимание может стать фундаментом продуктивного взаимодействия по защите критической инфраструктуры.
Ведущие страны мира уже не первый год выстраивают нормативно-правовые, организационно-технические и административные механизмы обеспечения информационной и кибербезопасности своей критической инфраструктуры. Изучение опыта этих стран и выявление слабых и сильных сторон применяемых ими практик — естественная и полезная научная задача.
В 2018 г. во Французском институте международных отношений был опубликован доклад «Кибербезопасность в энергетическом секторе: сравнительный анализ Европы и США». Несмотря на некоторую устарелость, эта научно-аналитическая работа всё ещё представляет определенный интерес. В ней достаточно обстоятельно рассмотрены отдельные аспекты исследуемой проблематики, в частности, приведен обзор актуальных на тот момент основных документов США и ЕС. Основная критика доклада относится к предложениям по развитию международного сотрудничества. Несмотря на нейтральное название доклада, из текста следует, что автор является сторонником идеи евроатлантизма, и поэтому неудивительно, что, продвигая взаимодействие между государствами, он полностью игнорирует Россию и другие страны — поставщики энергоносителей и электроэнергии в страны ЕС.
Также никакого внимания не уделяется достижениям Группы правительственных экспертов ООН, хотя многие европейские государства и США принимали участие в её работе.
Представляется, что защита взаимосвязанной и взаимозависимой критически важной инфраструктуры — это общая задача развитых государств. Принимая во внимание текущую напряженную ситуацию на международной арене и уровень недоверия между крупнейшими игроками, решение этой задачи только в рамках региональных объединений (без учета интересов всех заинтересованных стран и акторов) является контрпродуктивным, так как способно обострить возможные противоречия. Эта сфера представляет общий интерес, и должны быть предприняты шаги по её деполитизации.
С учетом того, что с момента публикации рассматриваемого доклада прошло более двух лет, можно обратить внимание на основные изменения в ландшафте кибербезопасности критической инфраструктуры в США и ЕС, которые произошли за этот период. Факты говорят о том, что трансатлантическое взаимодействие — не единственный возможный путь развития.
Тема информационной безопасности и противодействия киберпреступности с высокой долей вероятности будет затронута на предстоящем саммите глав России и США. Дж. Байден заявил: «Мы работаем над тем, чтобы создать некий международный стандарт, согласно которому, когда правительства знают, что с их территории осуществляется преступная деятельность, мы все противодействуем этим преступным группам. Я полагаю, что это станет одним из вопросов, о которых я буду говорить с президентом Путиным». Подобная постановка вопроса позволяет с осторожным оптимизмом предположить, что России и США удастся достигнуть договоренностей по отдельным вопросам кибербезопасности.
В декабре 2020 г. Еврокомиссия представила новую стратегию кибербезопасности, в которой критической инфраструктуре уделяется особое значение. Положения Стратегии свидетельствуют о том, что ЕС стремится стать значимым самостоятельным центром, формирующим глобальную киберповестку, в том числе и по вопросам безопасности критической инфраструктуры.
Трансатлантический путь — не единственно возможный, и, как минимум, не должен отрицать возможность сотрудничества с другими центрами силы — как отдельными государствами, так и объединениями. Взаимодействие между различными объединениями может оказаться более продуктивным подходом. Главное условие подобной работы — соблюдение равноправия сторон и взаимное уважение интересов.
Современные предприятия энергетического сектора в своей работе всё больше полагаются на автоматизированные системы управления производственными процессами, и это открывает путь для оказания вредоносных кибервоздействий. Обеспечение информационной безопасности критически важных инфраструктур, в том числе предприятий генерации, передачи и распределения электроэнергии и энергоносителей — одна из важнейших задач любого развитого государства.
Вредоносное использование ИКТ бросает вызов стратегической стабильности
На данный момент международным сообществом не выработано общепринятого универсального определения критической инфраструктуры, но, те определения, которые имеются в документах различных государств и объединений, во многом пресекаются и не противоречат друг другу. Проблема выработки общих определений существует не только на международном, но и на национальном уровне. Так, в США глоссарий Национального института стандартов и технологий (NIST) содержит пять похожих, но не идентичных определений, которые используются в различных документах. В документе NIST «Платформа для улучшения кибербезопасности критически важной инфраструктуры» от апреля 2018 г. приведено следующее определение критической инфраструктуры: «Физические или виртуальные системы и активы, которые настолько жизненно важны для Соединенных Штатов, что частичное или полное нарушение их работоспособности негативным образом скажется на кибербезопасности, национальной экономической безопасности, здоровье или безопасности граждан». В Директиве Европейского совета 2008/114/EC критическая инфраструктура определена как «актив, система или ее часть, расположенная на территории ЕС, которая имеет важное значение для поддержания жизненно важных социальных функций, здоровья, безопасности, экономики или благополучия населения; нарушение работы или уничтожение которой окажет значительное влияние как минимум на два государства-члена.
Также в ЕС принято определение «оператора основных услуг», под которым понимается «государственная или частная организация, которая предоставляет услугу и имеет важное значение для поддержания иных критически важных услуг или хозяйственной деятельности; предоставление этой услуги зависит от сети и информационных систем; и возможный инцидент будет иметь серьезные разрушительные последствия для предоставления этой услуги». В число операторов основных услуг входят предприятия по производству, передаче и распределения электроэнергии, операторы нефтедобывающих, нефтеперерабатывающих и очистных сооружений, хранения и транспортировки нефти, операторы системы распределения, передачи, хранения природного газа.
В России под критически важными объектами инфраструктуры понимаются объекты, нарушение (или прекращение) функционирования которых «приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению (или разрушению) экономики страны, субъекта Российской Федерации либо административно- территориальной единицы или существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях, на длительный срок».
Очевидно, что приведенные определения отличаются, но сходятся в главном — признается значимость бесперебойной работы критической инфраструктуры. Кроме этого, все государства мира признают, что ИКТ-среда взаимосвязана и взаимозависима. Если раньше существовало четкое разделение на концепции информационной и кибербезопасности (информационная безопасность вместе с информационно-техническими аспектами рассматривает информационно-гуманитарные), то в последние годы наметилось их сближение. Сейчас в рамках концепций кибербезопасности также выделяется угроза информационного воздействия, например на общественное сознание, а в рамках концепции информационной безопасности всё чаще говорят о кибербезопасности, как об отдельном направлении. Формирование общего понимания может стать фундаментом продуктивного взаимодействия и по защите критической инфраструктуры.
Ведущие страны мира уже не первый год выстраивают нормативно-правовые, организационно-технические и административные механизмы обеспечения информационной и кибербезопасности своей критической инфраструктуры. Изучение опыта этих стран и выявление слабых и сильных сторон применяемых ими практик — естественная и полезная научная задача.
В 2018 г. во Французском институте международных отношений был опубликован доклад «Кибербезопасность в энергетическом секторе: сравнительный анализ Европы и США». Несмотря на некоторую устарелость, эта научно-аналитическая работа всё ещё представляет определенный интерес. В ней достаточно обстоятельно рассмотрены отдельные аспекты исследуемой проблематики, в частности, приведен обзор актуальных на тот момент основных документов США и ЕС.
При всех достоинствах данной работы, автор делает некоторые допущения, и на их основе — спорные выводы. Отмечая различия в подходах ЕС и США к кибербезопасности критической инфраструктуры в целом и энергетического сектора в частности, автор не раскрывает тех глубинных причин, почему эти подходы сложились именно так, а не иначе, не рассматривает возможные преграды для реализации предложений. По итогам исследования делается вывод, что совместно разработанные ЕС и США нормы и стандарты могут стать основой для выработки международных норм. При этом автор полностью игнорирует не только очевидные проблемы подобной идеи, в частности, исключение из процесса разработки предполагаемых норм других ключевых игроков, но и достижения, которые уже были сделаны в рамках ООН.
Широкий киберконсенсус
Рассматривая подходы ЕС и США к кибербезопасности энергетического сектора, автор отмечает, что Соединенные Штаты отдают предпочтение стратегии «всеобъемлющей безопасности» с обязательными и подробными правилами для конкретных секторов, которые реализуются учреждениями, обладающими правом на принуждение. В то же время ЕС принял более гибкий подход, который охватывает широкий круг вопросов, оставляя государствам-членам значительную свободу маневра в реализации норм. Далее, автор выделяет сильные и слабые стороны каждого из этих подходов, не указывая при этом на то, что эти подходы сформировались исходя из сущности взаимоотношений между наднациональными институтами ЕС и отдельными государствами-членами, а также между федеральным правительством США и отдельными штатами. Полномочия, которые, в соответствии с Конституцией США, делегированы Федеральному правительству, несопоставимы с теми полномочиями, которыми обладают наднациональные институты ЕС. Одновременно можно констатировать, что государства — члены ЕС активно защищают свой государственный суверенитет, особенно в такой области, как энергетика (например, можно привести позицию ФРГ по вопросу строительства газопровода Северный поток – 2). Этого в известной степени очевидного наблюдения достаточно, чтобы осознать, насколько трудно будет реализовать некоторые из предложений автора исследования, например, ввести новые нормы кибербезопасности в виде Постановлений ЕС, которые обязательны к исполнению всеми странами-членами [1]. Кроме того, в объединенной Европе реализуется концепция «многих скоростей» — далеко не все государства могут быть готовы к введению тех, или иных стандартов кибербезопасности.
Основная критика доклада относится к предложениям по развитию международного сотрудничества. Несмотря на нейтральное название доклада, из текста следует, что автор является сторонником идеи евроатлантизма, и поэтому неудивительно, что, продвигая взаимодействие между государствами, он полностью игнорирует Россию и другие страны — поставщики энергоносителей и электроэнергии в страны ЕС. Автор убежден, что общие трансатлантические стандарты могут стать строгими международными нормами кибербезопасности. У международного сообщества уже есть опыт разработки подобных норм в виде Будапештской конвенции по противодействию киберпреступности. Несмотря на весь позитивный опыт её применения, существенные недостатки так и не позволили ей стать универсальным документом. Один из главных недостатков — концептуальный. Конвенция была разработана странами Европы для стран Европы и учитывает европейскую правовую и культурную специфику, но не учитывает особенности третьих стран. Так, статья 32 о трансграничном доступе к данным рассматривается рядом государств, в том числе Россией, как нарушающая национальный суверенитет.
Нет никаких сомнений, что Россия и другие страны мира играют значительную роль в энергосистеме ЕС. Согласно статистическим данным, в 2000–2018 гг. зависимость от импорта энергоносителей только возрастала, достигая 58,2 % в 2018 г. Автор совершенно справедливо отмечает, что взаимосвязанность предприятий как на физическом уровне, так и на уровне информационной инфраструктуры несет в себе значительные риски, и сотрудничество государств необходимо. Принимая во внимание указанные факторы, логично было бы развивать общие стандарты с теми государствами, чьи экономические интересы и интересы обеспечения безопасности критической инфраструктуры совпадают. Так, в 2018 г. Россия была лидером по экспорту в ЕС угля, нефти, и природного газа, в то время как США входили в пятерку стран-экспортеров в ЕС только по каменному углю. Автор исследования, очевидно, исходит из другой логики — трансатлантической солидарности, которая, как показал тот же Северный поток – 2, не всегда отвечает интересам отдельных стран-членов ЕС.
Также никакого внимания не уделяется достижениям Группы правительственных экспертов ООН, хотя многие европейские государства и США принимали участие в её работе. В Докладе ГПЭ 2015 г. содержатся согласованные нормы, правила и принципы ответственного поведения государств, ряд из которых имеют прямое отношение к безопасности критической инфраструктуры. Например, государства должны «принимать надлежащие меры для защиты своей критически важной инфраструктуры от угроз в сфере ИКТ, принимая во внимание резолюцию 58/199 Генеральной Ассамблеи о создании глобальной культуры кибербезопасности и защите важнейших информационных инфраструктур и другие соответствующие резолюции»; государства также должны «удовлетворять соответствующие просьбы об оказании помощи, поступающие от других государств, критически важная инфраструктура которых становится объектом злонамеренных действий в сфере ИКТ». Так как нормы, правила и принципы были согласованы консенсусом, есть все основания полагать, что они могут быть использованы в качестве основы при разработке универсальных стандартов кибербезопасности критически важных объектов.
Представляется, что защита взаимосвязанной и взаимозависимой критически важной инфраструктуры — это общая задача развитых государств. Принимая во внимание текущую напряженную ситуацию на международной арене и уровень недоверия между крупнейшими игроками, решение этой задачи только в рамках региональных объединений (без учета интересов всех заинтересованных стран и акторов) является контрпродуктивным, так как способно обострить возможные противоречия. Эта сфера представляет общий интерес, и должны быть предприняты шаги по её деполитизации.
Актуальные события
Принимая во внимание то, что с момента публикации рассматриваемого доклада прошло более двух лет, можно обратить внимание на основные изменения в ландшафте кибербезопасности критической инфраструктуры в США и ЕС, которые произошли за этот период. Факты говорят о том, что трансатлантическое взаимодействие — не единственный возможный путь развития.
В апреле 2021 г. в качестве пилотного проекта более широкой инициативы администрации Дж. Байдена по кибербезопасности, которая должна охватить ряд критически важных секторов инфраструктуры, было объявлено о начале реализации 100-дневного плана по повышению кибербезопасности промышленных систем управления электроэнергетических компаний и обеспечению безопасности цепочки поставок энергетического сектора. В рамках инициативы предполагается, среди прочего, поощрять владельцев и операторов внедрять меры или технологии, которые улучшают возможности по обнаружению, смягчению и криминалистике кибератак. Также будут развернуты технологии и системы, которые позволят обеспечить большую ситуационную осведомленность и возможность реагирования в режиме близком к реальному времени. В рамках реализации плана Министерство энергетики запросило у электроэнергетических компаний, научных кругов, исследовательских лабораторий, государственных учреждений и других заинтересованных сторон комментарии, которые позволят оценить, какие новые меры необходимы для дальнейшего укрепления защиты критически важной инфраструктуры от злонамеренной киберактивности и укрепления внутренней производственной базы.
Уже в мае этого года появилась возможность оценить эффективность работы Администрации Дж. Байдена в сфере защиты критической инфраструктуры, когда произошла значительная по последствиям кибератака на трубопровод Colonial Pipeline. Были приняты исчерпывающие ответные меры, направленные на обеспечение безопасности поставок энергоносителей. Что качается киберстороны вопроса, ФБР, а также Агентство кибербезопасности и защиты инфраструктуры вместе с Министерством энергетики распространили среди владельцев и операторов критически важной инфраструктуры информацию, которая должна помочь выявить заражение вирусом-вымогателем и смягчить его последствия. Через несколько дней после кибератаки, американский президент подписал указ, направленный на улучшение кибербезопасности страны. Этим документом предусмотрен ряд мер, направленных на: устранение барьеров для обмена информацией об угрозах между правительством и частным сектором; модернизацию и внедрение более строгих стандартов кибербезопасности в федеральном правительстве; повышение безопасности цепочки поставок программного обеспечения; создание Совета по анализу кибербезопасности, для изучения крупных инцидентов; создание стандартного руководства по реагированию на киберинциденты; развитие системы обнаружения инцидентов кибербезопасности в сетях федерального правительства; развитие возможностей расследования инцидентов и исправления. В принципе, кроме создания стандартизированного руководства по реагированию и Совета по анализу кибербезопасности, все предлагаемые меры носят скорее эволюционный, а не революционный характер.
Атака на Colonial Pipeline примечательна несколькими необычными деталями. Во-первых, Джо Байден заявил, что «нет доказательств того, что замешано российское правительство, хотя есть некоторые свидетельства того, что злоумышленники находятся в России. На ней лежит определенная ответственность по борьбе с ними». Во-вторых, по сообщениям СМИ, хакерская группировка, которая взяла на себя ответственность за эту кибератаку, заявила: «Мы не участвуем в геополитике, не нужно связывать нас с определенным правительством и искать... наши мотивы».
Самое главное, что тема информационной безопасности и противодействия киберпреступности с высокой долей вероятности будет затронута на предстоящем саммите глав двух государств в июне. Дж. Байден также заявил: «Мы работаем над тем, чтобы создать некий международный стандарт, согласно которому, когда правительства знают, что с их территории осуществляется преступная деятельность, мы все противодействуем этим преступным группам. Я полагаю, что это станет одним из вопросов, о которых я буду говорить с президентом Путиным». Подобная постановка вопроса позволяет с осторожным оптимизмом предположить, что России и США удастся достигнуть договоренностей по отдельным вопросам кибербезопасности.
Европейский подход к «технологическому суверенитету»
В декабре 2020 г. Еврокомиссия представила новую стратегию кибербезопасности, в которой критической инфраструктуре уделяется особое значение. В частности, было предложено разработать новые интегрированные принципы защиты всей инфраструктуры стран ЕС. Также будет разработана система наказаний и крупных штрафов для европейских операторов и компаний, которые будут пренебрегать выполнением европейских требований по кибербезопасности. Важно обратить внимание на ряд других концептуальных аспектов документа. Во-первых, Стратегия излагает меры, направленные на достижение технологического суверенитета, который должен быть основан на устойчивости всех подключенных услуг и продуктов. Во-вторых, запланировано формирование оборонного потенциала. Стратегия призывает государства-члены придать дополнительный импульс развитию современных возможностей киберзащиты посредством различных политик и инструментов ЕС. Для этого потребуется уделить внимание разработке и использованию таких ключевых технологий, как искусственный интеллект, шифрование и квантовые вычисления. Необходимо дальнейшее развитие сотрудничества между государствами-членами в области киберзащиты, в том числе с использованием потенциала Постоянного структурного сотрудничества по вопросам безопасности и обороны и Европейского фонда развития. В-третьих, более активными становятся действия на международной арене. ЕС будет продвигать, координировать и консолидировать позиции государств-членов на международных форумах, и выработает общую позицию в отношении применения международного права в киберпространстве. В рамках этого подхода в ООН уже представлена Программа действий по развитию ответственного поведения государств в киберпространстве. Она предлагается как платформа для сотрудничества и обмена передовым опытом в рамках ООН и создания механизма для применения на практике норм ответственного поведения государств. Для продвижения своих интересов ЕС также активизирует свое участие и лидерство в международных процессах стандартизации, а также расширяет свое представительство в международных и европейских органах по стандартизации и в других организациях по разработке стандартов. В-четвертых, ЕС продолжит наращивать потенциал на Западных Балканах и в странах-соседях ЕС, а также в странах-партнерах, переживающих быстрое цифровое развитие. ЕС будет поддерживать развитие законодательства и политики в этих странах в соответствии с соответствующими политиками и стандартами ЕС в области кибердипломатии.
Эти положения Стратегии свидетельствуют о том, что ЕС стремится стать значимым самостоятельным центром, формирующим глобальную киберповестку, в том числе и по вопросам безопасности критической инфраструктуры. Можно предположить, что импульсом для этого намерения стала политика Д. Трампа в отношении ЕС и НАТО. Но на момент принятия документа выборы 2020 г. в США уже состоялись, и то, что документ был принят в таком виде, говорит о серьёзности намерений объединенной Европы. Обращает на себя внимание и тот факт, что в числе стран, ставших соавторами Программы действий по развитию ответственного поведения государств в киберпространстве, нет ни России, ни США, а сама Программа предлагает объединение существующих параллельно процессов ГПЭ и РГОС. Это также можно расценивать, как желание ЕС быть более самостоятельным в кибервопросах.
Трансатлантический путь — не единственно возможный, и, как минимум, не должен отрицать возможность сотрудничества с другими центрами силы — как отдельными государствами, так и объединениями. Известно, что чем больше сторон участвует в переговорах, тем сложнее договориться. Поэтому, взаимодействие между различными объединениями, каждое из которых имеет общую позицию, может оказаться более продуктивным. Главное условие подобной работы — соблюдение равноправия сторон и взаимное уважение интересов.
1. Обратимся к Постановлению (ЕС) 2019/943 Европейского Парламента и Совета от 5 июня 2019 г. о внутреннем рынке электроэнергии. Среди прочего, Европейская комиссия уполномочена принимать делегированные акты в отношении отраслевых правил кибербезопасности трансграничных потоков электроэнергии, в том числе правила об общих минимальных требованиях, планировании, мониторинге, отчетности и кризисном управлении. Эти полномочия предоставлены до 31 декабря 2028 г. с возможностью продления на очередной 8-летний срок. Понятно, что нормативно-правовые акты могут быть приняты до истечения этого срока, но сам факт выделения такого значительного временного интервала может свидетельствовать о долгих процедурах выработки и согласования.
(Голосов: 13, Рейтинг: 2.85) |
(13 голосов) |
ЕС стремится стать лидером в выработке норм и стандартов в сфере технологий, тем самым оберегая свой «технологический суверенитет»
Широкий киберконсенсусНесмотря на успех в принятии доклада РГОС, переговорщикам ещё только предстоит поиск компромиссов по ключевым вопросам
Пора создать единую переговорную площадку по проблемам киберпространства под эгидой Первого комитета ГА ООНИнтервью с президентом ICT4Peace Дэниелом Штауффахером
Вредоносное использование ИКТ бросает вызов стратегической стабильностиРецензия на монографию ИМЭМО РАН «Международная безопасность, стратегическая стабильность и информационные технологии»