От мореходной астрономии до современных интегрированных навигационных систем

 

Как отмечалось ранее, недостаточная базовая подготовка капитана судна и ответственного за кибербезопасность на судне может быть причиной проблемных ситуаций как в период эксплуатации судна в море, так и при периодических проверках судна контролирующими безопасность судовождения организациями, а также инспекциями государственного портового контроля (ИГПК) при заходе судна в порт.

Дмитрий Гагарский, генеральный директор ООО «НАВГЕОЭКСПЕРТ», к.т.н.

 

16 вопросов кибербезопасности

 

На результат любой проверки влияет уровень профессионального общения проверяющего и ответственного за кибербезопасность на судне. В настоящее время нет единого стандартного регламента подобного общения, а обобщенные требования сформулированы в различных международных документах (IMO, IACS, CIRM, BIMCO т.д.). На основании таких документов официально приняты и опубликованы документы Российского морского регистра судоходства (РС).

Рекомендуется выделить перечень наиболее важных вопросов, которые должны обсуждаться на курсах повышения квалификации как командного состава судов, так и руководящего состава компаний, представителей сервисных служб, курсантов-практикантов, планирующих индивидуальную практику на судах.

В 2022 г. в ООО «НАВГЕОЭКСПЕРТ» (НГЭ) было организовано обучение на курсах повышения квалификации 5 групп ИГПК РФ по изучению основ кибербезопасности судна – 29 инспекторов из 20 портов РФ.

Учитывая опыт общения и высокий проявленный интерес к теме кибербезопасности, а также совместное обсуждение документов РС, испытательной лабораторией «НАВГЕОЭКСПЕРТ» рекомендован перечень вопросов кибербезопасности, который приведен в таблице 1.

 

Таблица 1

№ п/п	Вопрос
1.	Кто на судне является ответственной персоной за кибербезопасность?
2.	Есть ли на борту документация СУБ, где отражены требования по кибербезопасности, политика компании?
3.	Какие судовые системы относятся к I, II и III категориям обслуживания компьютеризированных систем, где их описание в судовых документах, включая их физическое расположение?
4.	Известна ли вам методика оценки риска судовых систем II и III категорий, где документированы результаты оценки рисков судовых систем?
5.	Как в оборудовании защищены USB-порты и осуществляется проверка USB-устройств?
6.	Есть ли информация о запасе пропускной способности оборудования в сетях передачи данных?
7.	Какой уровень готовности членов экипажа по предотвращению кибератак и киберинцидентов, организуются ли судовые учебные тревоги по кибербезопасности?
8.	Как организованы судовые мероприятия по решению вопросов кибербезопасности – идентификация, защита, обнаружение, реагирование, восстановление?
9.	В каком разделе документации СУБ находится опись элементов (сетевых устройств)?
10.	Имеется ли связь судно-берег для оборудования II и III категорий OT-систем? Как организована на судне работа шлюза сети 460, какие имеются демилитаризованные зоны?
11.	Какие периметры безопасности судовых систем есть на судне, как организована их работа и защита? Где находится описание периметров безопасности?
12.	Какую роль выполняет сервер приложений шлюза сети 460? Как организована антивирусная защита?
13.	Как организована настройка сетевых управляемых устройств, допуск к настройке сервисных инженеров?
14.	Как регистрируются на судне кибератаки и киберинциденты, учитываются ли при ежегодной оценке рисков?
15.	Как организовано хранение паролей?
16.	Есть ли на судне киберпаспорт?

Эти вопросы ориентированы на должностные лица ИГПК (PSC, FSC), а также могут быть использованы инспекторами РС, проверяющими техническое состояние судового оборудования, включающее ОТ и IT судовые системы.

Описание требований к минимальному уровню знаний по вопросам 1-12 имеются в документах РС. Вопросы 13-16 являются рекомендательными, т.к. имеют существенное отношение к киберзащищенности судовой сети.

Рекомендуемый НГЭ киберпаспорт судна (тема отдельного обсуждения) может дополнять «План действий в непредвиденных обстоятельствах (Contingency Plan)» (План управления кибербезопасностью), который есть на всех судах и проверяется инспекторами РС (в РФ) в соответствии с требованиями проверки документации МКУБ. Красивого и правильного оформления «Плана…» недостаточно в данном случае, т.к. необходим обязательный контроль соответствия документации и реального состояния оборудования.

Чтобы представителю судна профессионально общаться по этим вопросам с инспектором, необходимы минимальные знания и варианты ответов на вопросы рекомендуемой таблицы 1 с обеих сторон, т.е. инспектора и проверяемого. Такие профессиональные знания можно приобрести самостоятельно, что может представлять трудности, а можно получить на курсах повышения квалификации.

Для каждого инспектора основным документом, который может быть основой для предъявления какой-либо претензии или замечания, могут быть международные конвенции (МК), в которых к настоящему времени упоминание слова «кибербезопасность» отсутствует.

Ситуация кажется странной, т.к. документация есть, а соответствие состояния оборудования требованиям документации при ежегодных проверках в РФ не обязательны, но даже в случае обнаружения несоответствий замечание написать нельзя, т.к. ссылки могут быть только на МК.

Ситуация аналогична внедрению на флоте МКУБ, когда резолюция с понятием МКУБ появилась в 1993 г., а Руководство по внедрению в МКУБ принято и опубликовано в 1995 г. (рисунок 1).

Резолюция IMO – MSC.428 (98) «Управление киберугрозами в море в системах управления безопасностью» принята в 2017 г., прошло уже 6 лет, и национальные требования разных стран уже обязуют судовладельцев относиться к кибербезопасности более серьезно. В США, например, «необходимо отметить, что за нарушение данных требований предусмотрен гражданский штраф в размере не более $25 тыс. за каждый день, в течение которого продолжается нарушение. Однако при этом максимальная сумма не должна превышать $50 тыс.» (https://morvesti.ru/analitika/1692/88174).

Это объясняется тем, что национальные документы для морского флота в этой стране начали создаваться с 2015 г., т.е. еще до опубликования резолюции IMO.

 

Кибергигиена на судне

 

На рисунке 1 можно проследить развитие нормативной базы по МКУБ, внедрение понятий «аудиторская проверка управления безопасностью», «несоответствие», «существенное несоответствие», а также возможную аналогию развития кибергигиены на морских судах в соответствии с принятием международных и национальных документов. Тенденция внедрения таких требований будет распространяться и на речной флот, где оборудование тоже может быть современное, особенно на новострое.

 

Рисунок 1.

 

Учитывая, что судно может восприниматься не только как объект повышенной опасности, но и представлять опасность для береговой инфраструктуры в случае возможности управления с берега, требования по знаниям основ кибергигиены должны распространяться и на сотрудников береговых служб.

В странах могут приниматься свои нормативные требования кибергигиены, которые могут быть выше принятых международных. В качестве примера можно привести выпущенные Национальным институтом стандартов и технологий (NIST) США требования для инспекторов объектов береговой охраны, чтобы «продвигать культуру упреждающего управления киберрисками».

Предлагается список вопросов в количестве 77 по проверке уровня готовности служащих для решения вопросов кибербезопасности береговых объектов и судовых специалистов. Такой чек-лист может применяться как при трудоустройстве, так и при очередной проверке уровня готовности персоны.

Фрагмент подобного опросника приводится на рисунке 2, где желтым цветом выделена часть требований к судовым специалистам с комментариями выдержек из национальной нормативной базы. Такие комментарии (33 CFR 105.235/240/245)* позволяют организовывать самостоятельную подготовку, что значительно сокращает время обучения.

Предлагается обсудить рекомендованный НГЭ чек-лист (таблица 1) для подготовки и проверки уровня компетенции должностных лиц (инспекторов), принимающих участие в контроле состояния судна (РС, PSC, FSC), а также персон, ответственных за кибербезопасность на судне.

 

Рисунок 2.

 

Предлагаемые и изученные темы чек-листа позволят организовывать по желанию судовладельца необходимый внутренний (внешний) аудит, контролировать соответствие судовой СУБ документации «План управления кибербезопасностью» реальному состоянию сетевого судового оборудования, а также могут на начальном этапе изучения кибергигиены судового сетевого оборудования быть основой для формирования программ обучения в учебных заведениях и тренажерных центрах.

 

Морские вести России №7 (2023)