В настоящее время общемировой тенденцией является прогрессирующая цифровизация экономики, которая в полной мере касается морского транспорта. На морском транспорте активно развивается электронная навигация. Суда увеличиваются в размере, а команды уменьшаются в количестве в связи с все большей автоматизацией процессов. Бортовые системы получают обновления во время плавания, у команд есть выход в интернет.

Сергей Семенов, начальник ФБУ «Служба морской безопасности»

Цифровая среда

Предстоит погружение в цифровую среду всех сегментов портового хозяйства. Уже сейчас успешно эксплуатируются полностью автоматические контейнерные терминалы, например голландский Maasvlakte II или китайский Qingdao New Qianwan Container Terminal.

Широко известным и показательным примером компрометации спутниковых систем является случай, произошедший в 2013 году, когда студенты из Техасского университета смогли отклонить от курса яхту стоимостью $80 млн с помощью имитатора GPS-сигналов, цена которого не превышала $3 тыс.

Международная морская организация к уязвимым судовым системам относит:

• системы ходового мостика;

• системы обработки и управления грузом;

• системы управления двигателями, машинами и энергопитанием;

• системы контроля доступа;

• системы обслуживания и управления пассажирами;

• публичные интернет-сети судна, предназначенные для использования пассажирами;

• административные системы и сети;

• системы связи.

Исходя из изложенного, можно сделать вывод, что судно крайне уязвимо перед спланированной кибератакой.

Порты также нуждаются в защите от информационных угроз.

Самый знаменитый инцидент, связанный с портовой кибербезопасностью, произошел в порту Антверпена в 2012 году. Около двух лет системы порта подвергались целевым кибератакам, организованным наркокартелем. Предположительно еще в июне 2011 года хакеры взяли под контроль системы терминала и оперировали погрузками и разгрузками без ведома порта.

В 2017 году в результате масштабной вирусной эпидемии Not Petya остановились 17 из 76 грузовых терминалов компании Maersk, а в 2018 году подверглись кибератакам порты Барселона и Сан-Диего.

По информации израильской компании по интернет-безопасности Theta Ray, имел место случай, когда хакеру удалось наклонить плавучую нефтяную вышку в сторону, заставив ее закрыться.

А в 2010 году на буровой платформе по пути из Южной Кореи в Бразилию вредоносное программное обеспечение привело к остановке систем судна. Как оказалось, компьютерные и контрольные системы были переполнены вирусами.

К сожалению, такая ситуация является характерной для многих судов.

Понимание реальной ситуации с обеспечением информационной безопасности и необходимости принятия соответствующих мер есть как на международном, так и на национальном уровне.

Международной морской организацией (ИМО) подготовлена уже 3-я версия «Руководства по управлению морскими киберрисками».

Комитет по безопасности на море ИМО в июне 2017 года принял Резолюцию MSC.428(98) – управление морскими киберрисками в системах управления безопасностью. Резолюция призывает администрации обеспечить, чтобы киберриски надлежащим образом учитывались в существующих системах управления безопасностью не позднее первой ежегодной проверки документа компании о соответствии после 1 января 2021 года.

Международной организацией по стандартизации и Международной электротехнической комиссией разработан и опубликован стандарт 27001 по информационным технологиям.

Международной морской организацией рекомендованы «Руководство по кибербезопасности на судах», разработанное ведущими морскими транспортными ассоциациями, и «Рамочная программа Национального института стандартов и технологий США по совершенствованию критической инфраструктуры кибербезопасности».

1 января 2018 г. вступил в силу ФЗ от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (ФЗ-187). ФЗ-187 к объектам критической информационной инфраструктуры относит информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры. Содержащиеся в ФЗ-187 определения позволяют сделать предварительный вывод о том, что к критической информационной инфраструктуре водного транспорта может быть отнесен достаточно широкий круг объектов, включая судовые, береговые и портовые системы.

Проект резолюции XVIII Международной конференции «Терроризм и безопасность на транспорте» (пункт 16) призывает федеральные органы исполнительной власти при рассмотрении угроз совершения актов незаконного вмешательства в деятельность объектов транспортной инфраструктуры при проведении оценки уязвимости и разработке планов обеспечения транспортной безопасности учитывать способы совершения актов незаконного вмешательства с использованием кибератак…, внести соответствующие изменения в описание угроз.

Коллизионность регулирующих норм

Как видим, проблема обеспечения информационной безопасности водного транспорта, включая морской, на международном и российском уровнях признается, отдельные меры принимаются. Однако в отношении нормативно-правового регулирования обеспечения информационной безопасности настроен пессимистично, считаю, что уже сейчас есть ряд трудно разрешаемых проблем.

В первую очередь в области информационной безопасности в сфере водного транспорта отсутствует единый, системный и комплексный подход, унификация требований и правил.

Хотел бы заострить внимание, что в России отсутствует транспортный отраслевой центр компетенции по информационной безопасности. Ни в положении о Минтрансе России, ни в положении о Росморречфлоте нет ничего об информационной безопасности в целом и о морской кибербезопасности в частности. То есть формирование единой отраслевой политики в области информационной безопасности не является задачей или обязанностью федеральных органов власти в сфере транспорта.

Мне могут возразить, что в РФ вопросы информационной безопасности отнесены к компетенции Федеральной службы по техническому и экспортному контролю. Однако ФСТЭК России создает общие, рамочные правила и требования в области информационной безопасности. Он не учитывает отраслевые особенности.

Важной отраслевой особенностью морского транспорта является то, что вопросы информационной безопасности регулируются также международным законодательством и нормами международных отраслевых объединений. Причем для владельцев судов под государственным флагом РФ гораздо важнее для бизнеса соблюсти именно международные нормы, а не национальные.

В июне с.г. в ИМО на 101-й сессии Комитета по безопасности на море будет обсуждаться уже 3-я редакция «Руководства по управлению морскими киберрисками». Уверен, что для выработки позиции делегации России по данному Руководству ФСТЭК не привлекалась. Поэтому насколько требования Руководства соответствуют российскому подходу к обеспечению информационной безопасности, а насколько – отличаются, неизвестно. При этом хочу напомнить, что через год, с 1 января 2021 года, требования Руководства уже обязательны для судов под государственным флагом РФ. Так что различия в подходах судовладельцы будут узнавать из своего личного опыта.

Схожая ситуация с «Руководством по кибербезопасности на судах», разработанным ведущими морскими транспортными ассоциациями. Хотя уже сейчас инспекторами, например Международного морского форума нефтяных компаний (OCINF), проверяется выполнение судами норм указанного руководства.

Почему считаю это важным?

Нормы международных организаций и российского законодательства развивались параллельно, без взаимного учета положений. В ближайшее время в первую очередь судовладельцы столкнутся с тем, что им придется одновременно выполнять и требования международных организаций, и ФЗ-187.

В нормативных правовых актах по информационной безопасности есть разница в понятийном аппарате. Например, в международных документах используется «кибербезопасность», в «Доктрине информационной безопасности России» – «информационная безопасность», а в документах ФСТЭК – «защита информации» и «безопасность критической информационной инфраструктуры». Это только понятия верхнего уровня, ниже спускаться не буду. Есть мнение, что с точки зрения толкования это одно и то же. Однако разница в понятийном аппарате при правоприменении создает практически непреодолимые барьеры в регулировании однотипных и схожих правоотношений. Следствием будет необходимость разработки, параллельного и одновременного функционирования двух систем информационной безопасности. Опыт развития транспортной безопасности поддерживает обоснованность моего утверждения.

Международная морская организация рекомендует управление в отношении киберрисков осуществлять через естественное расширение существующих методов управления безопасностью мореплавания и безопасностью судна. ИМО рассматривает кибербезопасность как часть морской безопасности. Однако российское законодательство различные аспекты безопасности регулирует разными, не взаимоувязанными нормативными правовыми актами. В результате с точки зрения российского законодательства реализация единого и комплексного подхода к обеспечению безопасности судна практически невозможна.

Представители ФСТЭК в публичном выступлении выражали позицию, что меры по обеспечению безопасности критической информационной инфраструктуры могут быть предусмотрены в едином плане обеспечения безопасности объекта критической информационной инфраструктуры. Как видим, подходы к планированию мер обеспечения информационной безопасности у ИМО и ФСТЭК схожи. Однако пока неясно, как ФСТЭК будет реагировать на запланированные меры по ФЗ-187, если они найдут свое отражение в планах, выполненных в соответствии с требованиями ИМО.

Посмотрим на этот же вопрос с точки зрения транспортной безопасности. Банк данных угроз безопасности информации содержит на 14 июня с.г. сведения о 213 угрозах и 21 617 уязвимостях программного обеспечения и программно-аппаратных средств. Однако законодательство о транспортной безопасности вообще не рассматривает кибератаки в качестве актов незаконного вмешательства, а угрозы их совершения в качестве угроз актов незаконного вмешательства. Порядок разработки планов обеспечения транспортной безопасности объектов транспортной инфраструктуры и транспортных средств, утвержденный приказом Минтранса России от 11.02.2010 № 34, не предусматривает отражения в планах обеспечения транспортной безопасности сведений о киберугрозах и мерах по защите от них.

То есть информационная безопасность отдельно, а транспортная – отдельно.

Следующий наглядный пример: технические средства обеспечения транспортной безопасности как объект правового регулирования. Как правило, их существенным элементом являются системы и средства видеонаблюдения.

В соответствии с пунктом 8 статьи 12.2 ФЗ от 09.02.2007 № 16-ФЗ «О транспортной безопасности» технические средства обеспечения транспортной безопасности подлежат обязательной сертификации. Требования к функциональным свойствам технических средств обеспечения транспортной безопасности и порядок их сертификации определены постановлением Правительства РФ от 26.09.2016 № 969.

Двойное регулирование

В свою очередь, судовая телевизионная система охранного наблюдения является поднадзорной Российскому морскому регистру судоходства и должна отвечать его требованиям, а также иметь сертификат типового одобрения. Она включена в номенклатуру объектов технического наблюдения Регистра (код 0441000, Правила технического наблюдения за постройкой судов и изготовлением материалов и изделий для судов. Т. 1, часть I. Общие требования по техническому наблюдению).

Технические средства судовых (телевизионных) систем охранного наблюдения должны устанавливаться в соответствии с согласованной в Регистре проектной документацией на их установку. Требования к ним для морских судов разработаны и утверждены в разделе 7.2 части IV Правил по оборудованию морских судов. В качестве объекта технического наблюдения Регистр рассматривает также системы внешнего/внутреннего видеонаблюдения: видеокамеры (код 11100701), видеотерминалы (код 11100702), щиты, пульты контроля и сигнализации (код 11100703) и датчики и другие элементы (код 11100704).

С точки зрения ФЗ-187 отдельные системы технических средств обеспечения транспортной безопасности и судовые телевизионные системы охранного наблюдения являются его объектами правового регулирования. А с точки зрения ИМО на них могут распространяться рекомендации «Руководства по управлению морскими киберрисками». И как все эти требования будут уживаться вместе? Насколько это будет дорого для судовладельцев? Покажет только практический опыт.

Необходимо также отметить, что под двойное регулирование по информационной безопасности (ИМО и ФЗ-187) попадут и другие системы судна, прежде всего системы автоматизации.

Я постарался подобрать наиболее наглядные примеры для иллюстрации возможных негативных сценариев. Этими примерами проблема, конечно же, не исчерпывается. Схожие проблемы есть и у речного транспорта, портов, береговой инфраструктуры, да и в целом у транспортной отрасли.

Итоги изложенного

Киберугрозы представляют реальную опасность морскому и речному транспорту. Причем угрозы могут исходить от широкого круга субъектов: криминальных групп разного характера, пиратов, террористов, а также связанных с государствами хакеров. Представляет угрозу несоблюдение требований кибербезопасности персоналом субъектов транспортной инфраструктуры и экипажей судов.

Единого подхода к нормативно-правовому регулированию именно морской кибербезопасности в России нет. Вопросы обеспечения кибербезопасности морского транспорта одновременно регулируются как нормами международного, так и нормами российского права. Указанные нормы не взаимоувязаны между собой, международные нормы не имплементированы в российское законодательство.

К информационным и телекоммуникационным системам, автоматизированным системам управления морских судов, их элементам и обеспечению их безопасности одновременно предъявляются требования, имеющие источники в различных институтах международного и российского права.

Учитывая вышеизложенное, можно прогнозировать коллизии при правоприменении.

Формирование единой отраслевой политики в области информационной безопасности не является задачей или обязанностью федеральных органов власти в сфере транспорта. Их компетенция в этой области ограничивается подведомственными организациями и учреждениями.

Существующие в РФ подходы к обеспечению информационной безопасности не предполагают различий между информационными и телекоммуникационными системами, автоматизированными системами управления, используемыми в различных сферах экономики. То есть с точки зрения ФЗ-187 системы медицинского учреждения и морского нефтяного терминала идентичны, критерии к их категорированию и требования к обеспечению их безопасности одинаковы.

Естественно, что такой подход носит крайне общий характер, и на практике отраслевые особенности учитывать придется. Поскольку единые отраслевые подходы к обеспечению информационной безопасности отсутствуют, субъекты транспортной инфраструктуры и владельцы транспортных средств будут исполнять требования ФЗ-187, исходя из своего личного, уникального их толкования. Складывающуюся ситуацию можно охарактеризовать известной всем фразой: «Кто в лес, кто по дрова».

Российское законодательство различные аспекты безопасности регулирует разными, не взаимоувязанными нормативными правовыми актами. В результате с точки зрения российского законодательства реализация единого и комплексного подхода к обеспечению безопасности объекта транспортной инфраструктуры или судна практически невозможна.

Если прогнозируемые мной проблемы на практике будут сложными и затратными, то для морских судов возникнет дополнительный аргумент в пользу ухода из реестров судов Российской Федерации под «удобный» флаг.

Гармонизация и упрощение формальностей

Пока отрасль находится в начале пути по внедрению в жизнь требований по обеспечению информационной безопасности, необходимо организовать работу по гармонизации существующих правовых норм и упрощению формальностей. В связи с тем, что отраслевые федеральные органы исполнительной власти некомпетентны в вопросах информационной безопасности, организацию и осуществление данной работы необходимо взять на себя отраслевым профессиональным объединениям. Хорошим примером в данном вопросе служит совместная работа отраслевых международных объединений (BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, OCIMF, IUMI и Всемирного совета судоходства) по разработке «Руководства по кибербезопасности на судах».

В мире активное участие в разработке рекомендуемых практик и руководящих принципов и стандартов по кибербезопасности принимают классификационные общества. В частности, крупнейшее классификационное общество DNV GL в 2016 году разработало рекомендуемые практики «Управление устойчивостью к кибербезопасности для судов и мобильных морских установок в эксплуатации», а ведущее классификационное общество Японии Class NK разрабатывает свои подходы к обеспечению бортовой кибербезопасности для судов. Учитывая изложенное, Российский морской регистр судоходства можно и нужно привлечь к данной работе.

На мой взгляд, работу по разработке национального подхода к обеспечению морской кибербезопасности необходимо проводить во взаимодействии с ФСТЭК России.

Морские вести России №1 (2020)