По мере цифровизации отраслей экономики все большую актуальность приобретает вопрос обеспечения технологической независимости и безопасности критической информационной инфраструктуры (КИИ). Кибертерроризм, как заметил в ходе тематического круглого стола председатель Комитета Госдумы по энергетике Павел Завальный, становится инструментом политического противостояния. Он ведется через атаки в цифровом пространстве и диверсии на объектах критической инфраструктуры.

Стоит ли полагаться на государство?

Количество кибератак на объекты КИИ в России растет: в первом полугодии 2021 года по сравнению с 2020-м их стало больше почти в 2,5 раза.

«Объекты ТЭКа — это объекты особой опасности, в том числе с точки зрения уязвимости информационной инфраструктуры атака на них несет потенциальные угрозы не только самим отраслям, но и экономике страны, — говорит депутат. — Доля импортных информационных систем в отечественном ТЭКе еще достаточно велика, однако имеющиеся в нашей стране разработки уверенно продвигаются на российском рынке и вполне соответствуют современным требованиям. В сложившихся условиях очевидной стратегией государства является принятие защитных мер, включая переход на российское ПО и оборудование, защищенное от вмешательства извне».

Директор департамента обеспечения кибербезопасности Минцифры России Владимир Бенгин напомнил, что министерство подготовило проект Указа Президента РФ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры», а также связанные с ним проекты постановления и ведомственного нормативного акта.

В проекте Указа говорится, что субъектам КИИ необходимо осуществить переход на преимущественное использование российского ПО до 1 января 2023 года и до 1 января 2024-го — на преимущественное использование российского телекоммуникационного оборудования и радиоэлектронной продукции.

Важный нюанс: проекты актов не направлены на безусловное использование и замену всего иностранного ПО и оборудования. Преимущественное использование означает, что при наличии выбора между аналогичным отечественным и иностранным ПО и оборудованием приоритет должен отдаваться российскому.

Потенциал для улучшений есть

В свою очередь Минэнерго России оказывает организациям ТЭКа методическую помощь, контролирует состояние фактической защищенности КИИ.

Проводятся учения по предотвращению и защите от диверсионных действий на объектах ТЭКа в цифровой среде.

По словам статс-секретаря — заместителя министра энергетики РФ Анастасии Бондаренко, несмотря на достаточно высокий уровень защищенности объектов ТЭКа, здесь есть большой потенциал для дальнейших улучшений.

В 2021 году начата масштабная работа по переработке законодательства в сфере безопасности и антитеррористической защиты объектов ТЭКа. В частности, ведомство обсуждало с профильными компаниями проект Указа Президента РФ «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры» и получило критические отзывы. Дело в том, при реализации указа могут возникнуть проблемы, связанные с отсутствием российского ПО и оборудования и невозможностью спрогнозировать его эффективность по мере внедрения. Здесь же — большие расходы компаний по переходу на оте-чественное ПО и оборудование, не заложенные в их бюджеты. То есть не исключен рост тарифов на энергоресурсы, удорожание товаров и услуг в масштабе страны. Также вероятно появление дополнительных административных барьеров.

В части импортозамещения во исполнение поручений Президента и Правительства РФ внесены изменения в Приказ ФСТЭК России № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры РФ». Они определяют установление требований по безопасности к ПО, используемому в составе значимых объектов КИИ в целях обеспечения ее технологической независимости и безопасности путем использования преимущественно отечественного ПО.

Решение этой задачи, отмечает начальник управления ФСТЭК России Николай Мищенко, достигается установлением требований в области обеспечения безопасности к условиям выбора ПО, используемого в составе значимых объектов КИИ. В том числе средств защиты информации и прикладного ПО, обеспечивающего реализацию функций объекта по его назначению, удовлетворение которых возможно российским ПО.

Кстати, по оценке ФСТЭК, количество объектов КИИ в России превышает 250 тысяч.

Взгляд изнутри

«В вопросах информационной безопасности и киберустойчивости ответственность несут сами компании, согласно закону «О промышленной безопасности», — говорит Павел Завальный. — Думаю, компании уже прониклись данной проблематикой, но важно, чтобы они вели эту работу по одним требованиям».

Начальник управления департамента ПАО «Газпром» Александр Малько подтвердил, что вопросы обеспечения безопасности и технологической независимости очень важны для представляемой им компании — эксплуатируемые «Газпромом» активы одновременно попадают под действие № 116-ФЗ и № 187-ФЗ.

«Нами разработаны и реализуются корпоративные планы импортозамещения с использованием материально-технологических ресурсов. Дополнительно утвержден план по переходу на отечественное ПО, — сообщил Алексей Малько. — На наш взгляд, предлагаемые к введению в действие нормативные правовые акты не учитывают специфики объектов КИИ предприятий ТЭКа. Основной объем ПО и оборудования КИИ, применяемого на указанных объектах, представляют собой единые программно-аппаратные комплексы с нормированными показателями функциональности, надежности и быстродействия, их замену необходимо осуществлять одновременно. При этом объекты ПАО «Газпром» и других нефтегазовых компаний ТЭКа, попадающие под требования НПА, являются опасными производственными объектами (ОПО). В соответствии с положениями № 116-ФЗ, переход на преимущественное использование российского ПО и оборудования является техническим перевооружением, но вывести в ремонт одновременно все оборудование нельзя. В случае возникновения инцидентов и аварий на ОПО за отклонение от утвержденной проектной документации предусматривается административная и уголовная ответственность».

---

В среднем процедура технического перевооружения объекта занимает 2,5–3,5 года.

---

В среднем процедура технического перевооружения объекта занимает 2,5–3,5 года. Напрашиваются два вывода. Разделение мероприятий по импортозамещению ПО и оборудования КИИ для объектов ТЭКа нецелесообразно, это нужно делать одновременно. Сроки замены ПО до 2023-го, а оборудования до 2024 года означают, что весь комплекс работ по техническому перевооружению нужно выполнить до 2023 года.

«Даже при таких жестких ограничениях в вопросе применения российского ПО и оборудования КИИ мы не стоим на месте, — продолжает Александр Малько — «Газпром» проводит политику импортозамещения систем автоматизации. Ключевым мероприятием действующих планов импортозамещения является разработка и испытание опытных образцов российских систем автоматизации. На данный момент разработано и испытано 48 систем российского производства, в том числе пять за прошедший год».

Начальник управления обеспечения безопасности критической информационной инфраструктуры департамента обеспечения безопасности ПАО «Россети» Николай Стебенев заметил: мнение, что переход на отечественное ПО уже является какой-то гарантией безопасности, является ошибочным.

«Компьютерные атаки и угрозы реализации таких атак часто направлены на эксплуатацию уязвимости в ПО. Если это ПО разработано не в соответствии со стандартами безопасной разработки, есть соответствующие риски. Требования соответствия таким стандартам установлены Приказом ФСТЭК № 239, также с 2023 года вступают в силу дополнительные виды требований по проведению тестирования программного кода на соответствие требованиям по безопасности, — комментирует эксперт. — В ПАО «Россети» реализованы механизмы входного контроля качества ПО, поставляемого на объекты в составе АСУ ТП и других объектов КИИ, на соответствие требованиям по безопасности в виде аттестации. При выставлении требований по качеству ПО при общении с производителями мы видим, что, прежде всего, они беспокоятся за сохранение, защиту авторских прав на свою разработку. В этой связи они часто не хотят предоставлять исходный код своих программ. В таком случае исследования переносятся на территорию производителя, что существенно увеличивает сроки и стоимость их проведения».

Вообще, вопрос цены такого рода исследований достаточно серьезен для производителя: если он поставляет десятки или сотни единиц оборудования, то стоимость тестирования на соответствие требованиям ГОСТ по разработке безопасного ПО может превышать стоимость разработки самого ПО. К тому же тестирование может длиться до полугода, что тоже невыгодно производителю.

«Это специфичная отрасль, и кто первым успеет выдать продукт, тот и сможет заработать. При этом мы, как заказчики, обратили внимание на такую тенденцию — несмотря на то что софт отечественный, разработан на территории РФ, в нем достаточно много — иногда до 90% — импортных компонентов. Бывает, производитель берет какой-то импортный продукт, вносит изменения в интерфейс и выдает его за свой. Такого рода заимствования оправданны, если российский разработчик имеет соглашение с иностранным разработчиком на право использования кода или части кода ядра, но в большинстве случаев используются условно бесплатные импортные продукты либо продукт с открытым исходным кодом, который полностью перерабатывается», — заявил спикер.

В целом, вопрос повышения информационной безопасности КИИ объектов ТЭКа и перехода на гарантированно безопасное и надежное оборудование и ПО пока остается открытым. Очевидно, что в этом направлении предстоит большая работа.