Фото: ФГУП «Росморпорт»

Комитет по безопасности на море Международной морской организации (ИМО) в июне 2017 года принял Резолюцию MSC.428(98) – управление морскими киберрисками в системах управления безопасностью. Резолюция призывает администрации обеспечить, чтобы киберриски надлежащим образом учитывались в существующих системах управления безопасностью не позднее первой ежегодной проверки документа компании о соответствии после 1 января 2021 года.

Сергей Семенов, начальник ФБУ «Служба морской безопасности»

Морская кибербезопасность в мире

Несмотря на многолетнее внимание ИМО, сфера морской кибербезопасности остается отчасти латентной. Владельцы бизнеса часто скрывают информацию об успешно проведенных в отношении них кибератаках, опасаясь таких последствий, как потеря имиджа, претензии со стороны клиентов и страховых компаний, расследования, проводимые сторонними организациями и государственными органами.

Но все же анализ СМИ позволяет тезисно описать текущее состояние морской кибербезопасности и привести ряд интересных примеров.

Так, 9 мая с.г. кибератаке подвергся иранский порт Шахид Раджаи. Эксперты сходятся во мнении, что кибератаку провел Израиль.

В 2020 году, дважды в течение трех месяцев, подверглась кибератакам австралийская логистическая группа компаний Toll Group.

В апреле с.г. от кибератаки пострадала Mediterranean Shipping Co. Из-за отключения сети в одном из дата-центров компании в Женеве веб-сайт msc.com был отключен в течение более 10 часов, были недоступны ее социальные сети, не работали почтовые службы

В середине мая с.г. в результате кибератаки были зашифрованы приблизительно 370 (20%) рабочих станций и 20 (10%) серверов компании Anglo-Eastern.

Израильская компания Naval Dome, специализирующаяся в области морской кибербезопасности, провела серию успешных демонстрационных кибератак на морские суда. В результате атак «хакерами» были изменены сведения о местоположении судна, введен в заблуждение дисплей РЛС, включалось и выключалось судовое оборудование, были взяты под контроль системы управления топливом, рулевое управление и балластная система. Видеоролик о результатах кибератаки доступен на сайте компании.

Naval Dome оценивает рост количества попыток взлома с февраля 2020 года на 400%. Данный рост во многом связан с переходом сотрудников на дистанционный режим работы.

64% опрошенных в 2020 году журналом Safety at Sea и организацией BIMCO в рамках опроса о морской кибербезопасности заявили, что их компании имеют план обеспечения непрерывности деятельности в случае киберинцидента. Полученный в ходе опроса процент кажется существенным. Однако это доля только среди тех, кто согласился принять участие в опросе!

По оценкам Лондонского Ллойда, ущерб от кибератак в морской отрасли оценивается в $200 млрд. При низком уровне страхования примерно только 10% убытков от кибератак будет покрыто страховкой.

Основным трендом последнего времени является то, что кибератаки все чаще являются частью и инструментом общего по замыслу преступления, а не самодостаточным преступлением.

Злоумышленники все меньше заинтересованы только в краже данных из корпоративных IТ-систем. Сейчас они активно пытаются понять, как взять под контроль эксплуатационные сети и системы судов, обозначаемые термином operational technology.

По мнению экспертов журнала Maritime Executive, эволюция морского пиратства может привести к тому, что пираты смогут захватывать командные и контрольные системы судна.

Белая книга по кибербезопасности Международной ассоциации портов и гаваней акцентирует внимание на том, что судно само по себе также может представлять угрозу для портового объекта.

Кибератаки создают серьезные риски развитию безэкипажного судоходства.

По мнению Британской ассоциации портов, глобальный рынок кибербезопасности вырастет с 144 млрд фунтов стерлингов до 182 млрд к 2021 году.

Вышеприведенные факты опубликованы на иностранных тематических информационных ресурсах, где теме морской кибербезопасности уделяется серьезное внимание. Мониторинг позволяет констатировать, что с 1 мая с.г. только на четырех англоязычных интернет-ресурсах было опубликовано 18 статей на тему морской кибербезопасности. При этом 4 из них были посвящены выпуску различных международных и национальных рекомендаций по кибербезопасности. В одной сообщалось о внесении в сенат США законопроекта об усилении морской кибербезопасности. В другой – о создании портами США некоммерческого центра кибербезопасности.

Не ставя себе такой цели, мне удалось из открытых источников собрать почти 30 документов международных отраслевых ассоциаций, классификационных обществ и государственных органов иностранных государств о морской кибербезопасности. Причем в ряде случаев первые версии изданий относятся еще к 2015 году.

Руководящие и консультационные документы о морской кибербезопасности разработаны властями США, Великобритании, Евросоюза, Дании и Норвегии. Естественно, список не исчерпывающий. Это только те документы, которые попали в поле зрения.

Рассматривая опубликованные документы о морской кибербезопасности, можно констатировать, что Международной морской организацией, иными международными организациями и иностранными правительственными организациями для регулирования применяется отраслевой подход.

Морская кибербезопасность в России

В России морская кибербезопасность не является актуальной темой для отрасли. В российском сегменте интернета публикаций о морской кибербезопасности практически нет.

Специальное нормативно-правовое регулирование морской информационной безопасности РФ не осуществляется, доктринальные документы, например Морская доктрина РФ, данный вопрос не затрагивают.

Функция выработки государственной политики и нормативно-правового регулирования в сфере информационной безопасности к компетенции Минтранса России не относится. К задачам созданного в 2019 году Департамента цифровой трансформации Минтранса относится проведение единой технической политики, организация и координация работ по информационной безопасности и технической защите информации ТОЛЬКО в министерстве.

Правительством полномочия в сфере морской информационной безопасности на Росморречфлот также не возложены.

К специальному законодательству по противодействию киберугрозам, принятому РФ, можно отнести институт права, сформированный Федеральным законом «О безопасности критической информационной инфраструктуры РФ» (от 26.07.2017 № 187-ФЗ).

Однако данный закон является универсальным и общим для всех отраслей экономики и не учитывает специфику транспорта в целом и отдельных видов транспорта, в частности морского.

Данный закон в первую очередь нацелен на защиту ЗНАЧИМЫХ объектов критической информационной инфраструктуры, к которым относит исчерпывающий перечень объектов: информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления. Для закона не имеет существенного значения, в какой отрасли, на каком объекте используются вышеуказанные сети и системы.

Закон рассматривает в качестве объектов защиты именно сами сети и системы, а не объекты, которыми они эксплуатируются. Международный же подход нацелен на защиту именно судна или портового средства.

В этом, наверное, главное отличие международного подхода от российского.

Другим отличием является то, что для российского законодательства ключевое значение имеет значимость защищаемого объекта, которая рассматривается как основание для защиты. Объекты, не относящиеся к значимым объектам критической информационной инфраструктуры, вообще выпадают из правового регулирования ФЗ-187. Международные же рекомендации распространяются на все суда и портовые средства, но реализуются в части, их касающейся.

Требования ФЗ-187 не увязаны с отраслевыми подходами и требованиями к обеспечению иных видов морской безопасности. Они не содержат практических руководств. Без адаптации и компетентного разъяснения их сложно использовать на практике, на конкретном судне или портовом средстве.

Также международные документы в качестве объектов киберзащиты выделяют IT-системы и ОТ-системы, причем рассматриваются они во взаимосвязи и взаимодействии. Наиболее подходящим российским термином для описания ОТ-систем могут быть автоматизированные системы управления технологическими процессами. ФСТЭК приказом № 31 2014 года утверждены требования к таким АСУ. Но данные требования имеют целью защиту информации, обрабатываемой АСУ. И они распространяются только на АСУ на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность. Какие-либо отраслевые особенности в требованиях отсутствуют.

Серьезной проблемой для комплексного подхода к морской кибербезопасности в Российской Федерации является создание единого понятийного аппарата.

Выше я приводил пример, связанный с отсутствием однозначного синонима к англоязычному термину operational technology, занимающему ключевое положение в международных рекомендациях. Также в русском языке термины «кибербезопасность» и «информационная безопасность» не являются синонимами. Нет единства в терминологии и, собственно, в российских документах.

«Доктрина информационной безопасности РФ» использует термины «информационная безопасность» и «обеспечение информационной безопасности», ФЗ-187 – «безопасность критической информационной инфраструктуры», а ФСТЭК России – «обеспечение защиты информации».

«Стратегия развития информационного общества в РФ на 2017-2030 годы» вводит понятие «индустриальный интернет», под которым понимает концепцию построения информационных и коммуникационных инфраструктур на основе подключения к информационно-телекоммуникационной сети «Интернет» промышленных устройств, оборудования, датчиков, сенсоров, систем управления технологическими процессами, а также интеграции данных программно-аппаратных средств между собой без участия человека.

Ни в «Доктрине информационной безопасности», ни в ФЗ-187, ни в документах ФСТЭК данное понятие я не нашел. Неясно, можно ли отнести, например, АСУ ТП и ОТ-системы судов и портов к индустриальному интернету. Есть ли у него особенности киберзащиты?

Осталось меньше 6 месяцев…

Получаемая от судоходных компаний информация свидетельствует о том, что с 1 января 2021 года морские администрации ряда стран – членов ИМО начнут проверки заходящих в их порты судов на предмет выполнения рекомендаций ИМО по кибербезопасности.

Можно сделать логический вывод о том, что суда под флагом РФ начиная с 1 января 2021 года могут подвергаться санкциям в иностранных портах за невыполнение рекомендаций ИМО по кибербезопасности. На мой взгляд, к такой угрозе необходимо отнестись серьезно. Она влечет за собой не только ущерб репутации и убытки судоходным компаниям, но и имиджу России.

ФБУ «Служба морской безопасности» в течение продолжительного времени занимается изучением вопросов нормативно-правового регулирования морской кибербезопасности как на международном, так и на национальном уровне.

Основанием для нашего внимания к данной теме послужили:

1. Распоряжением Росморречфлота от 27 декабря 2004 г. № ВР-110 организация практической реализации требований главы ХI-2 Международной конвенции по охране человеческой жизни на море 1974 года и Международного кодекса по охране судов и портовых средств на судах и портовых средствах возложена на ФБУ «Служба морской безопасности».

2. За рубежом наблюдается консенсус об отношении оценки кибербезопасности и плана кибербезопасности к другим документам.

У иностранных специалистов есть консенсус и в отношении того, что роль должностного лица, ответственного за охрану, должна эволюционировать так, чтобы охватить вопросы кибербезопасности. План кибербезопасности для судна должен являться приложением к плану охраны судна.

С учетом изложенного у нас есть понимание, что рано или поздно РФ вопросы морской кибербезопасности будут урегулированы с учетом требований или рекомендаций ИМО и международного опыта.

В целях приобретения и развития компетенции в области морской кибербезопасности ФБУ «Служба морской безопасности» делает переводы зарубежных руководств по морской кибербезопасности. Уже переведены Рекомендации по киберустойчивости (№ 166) Международной ассоциации классификационных обществ (IACS), Свод правил кибербезопасности для судов Лондонского инженерно-технологического института (IET) при поддержке Департамента транспорта Великобритании (DfT) и Лаборатории оборонной науки и техники (Dstl) Минобороны Великобритании. В завершающей стадии находятся переводы руководства «Кибербезопасность для портов и портовых систем от IET» и рекомендуемого ИМО «Руководства по кибербезопасности на борту судов».

Начали подготовку к реализации совместного с судоходной компанией пилотного проекта по проведению оценки кибербезопасности, разработке плана кибербезопасности, а также политик, процессов и процедур как для судов компании, так и самой компании. Постараемся применить накопленные знания наиболее эффективно и с максимальной пользой для коллег.

Считаем морскую кибербезопасность актуальным вопросом для отрасли.

Морские вести России №10 (2020)