Требования к минимальным знаниям
19.07.2023
Безопасность мореплавания
От мореходной астрономии до современных интегрированных навигационных систем
Как отмечалось ранее, недостаточная базовая подготовка капитана судна и ответственного за кибербезопасность на судне может быть причиной проблемных ситуаций как в период эксплуатации судна в море, так и при периодических проверках судна контролирующими безопасность судовождения организациями, а также инспекциями государственного портового контроля (ИГПК) при заходе судна в порт.
Дмитрий Гагарский, генеральный директор ООО «НАВГЕОЭКСПЕРТ», к.т.н.
16 вопросов кибербезопасности
На результат любой проверки влияет уровень профессионального общения проверяющего и ответственного за кибербезопасность на судне. В настоящее время нет единого стандартного регламента подобного общения, а обобщенные требования сформулированы в различных международных документах (IMO, IACS, CIRM, BIMCO т.д.). На основании таких документов официально приняты и опубликованы документы Российского морского регистра судоходства (РС).
Рекомендуется выделить перечень наиболее важных вопросов, которые должны обсуждаться на курсах повышения квалификации как командного состава судов, так и руководящего состава компаний, представителей сервисных служб, курсантов-практикантов, планирующих индивидуальную практику на судах.
В 2022 г. в ООО «НАВГЕОЭКСПЕРТ» (НГЭ) было организовано обучение на курсах повышения квалификации 5 групп ИГПК РФ по изучению основ кибербезопасности судна – 29 инспекторов из 20 портов РФ.
Учитывая опыт общения и высокий проявленный интерес к теме кибербезопасности, а также совместное обсуждение документов РС, испытательной лабораторией «НАВГЕОЭКСПЕРТ» рекомендован перечень вопросов кибербезопасности, который приведен в таблице 1.
Таблица 1
№ п/п |
Вопрос |
---|---|
1. |
Кто на судне является ответственной персоной за кибербезопасность? |
2. |
Есть ли на борту документация СУБ, где отражены требования по кибербезопасности, политика компании? |
3. |
Какие судовые системы относятся к I, II и III категориям обслуживания компьютеризированных систем, где их описание в судовых документах, включая их физическое расположение? |
4. |
Известна ли вам методика оценки риска судовых систем II и III категорий, где документированы результаты оценки рисков судовых систем? |
5. |
Как в оборудовании защищены USB-порты и осуществляется проверка USB-устройств? |
6. |
Есть ли информация о запасе пропускной способности оборудования в сетях передачи данных? |
7. |
Какой уровень готовности членов экипажа по предотвращению кибератак и киберинцидентов, организуются ли судовые учебные тревоги по кибербезопасности? |
8. |
Как организованы судовые мероприятия по решению вопросов кибербезопасности – идентификация, защита, обнаружение, реагирование, восстановление? |
9. |
В каком разделе документации СУБ находится опись элементов (сетевых устройств)? |
10. |
Имеется ли связь судно-берег для оборудования II и III категорий OT-систем? Как организована на судне работа шлюза сети 460, какие имеются демилитаризованные зоны? |
11. |
Какие периметры безопасности судовых систем есть на судне, как организована их работа и защита? Где находится описание периметров безопасности? |
12. |
Какую роль выполняет сервер приложений шлюза сети 460? Как организована антивирусная защита? |
13. |
Как организована настройка сетевых управляемых устройств, допуск к настройке сервисных инженеров? |
14. |
Как регистрируются на судне кибератаки и киберинциденты, учитываются ли при ежегодной оценке рисков? |
15. |
Как организовано хранение паролей? |
16. |
Есть ли на судне киберпаспорт? |
Эти вопросы ориентированы на должностные лица ИГПК (PSC, FSC), а также могут быть использованы инспекторами РС, проверяющими техническое состояние судового оборудования, включающее ОТ и IT судовые системы.
Описание требований к минимальному уровню знаний по вопросам 1-12 имеются в документах РС. Вопросы 13-16 являются рекомендательными, т.к. имеют существенное отношение к киберзащищенности судовой сети.
Рекомендуемый НГЭ киберпаспорт судна (тема отдельного обсуждения) может дополнять «План действий в непредвиденных обстоятельствах (Contingency Plan)» (План управления кибербезопасностью), который есть на всех судах и проверяется инспекторами РС (в РФ) в соответствии с требованиями проверки документации МКУБ. Красивого и правильного оформления «Плана…» недостаточно в данном случае, т.к. необходим обязательный контроль соответствия документации и реального состояния оборудования.
Чтобы представителю судна профессионально общаться по этим вопросам с инспектором, необходимы минимальные знания и варианты ответов на вопросы рекомендуемой таблицы 1 с обеих сторон, т.е. инспектора и проверяемого. Такие профессиональные знания можно приобрести самостоятельно, что может представлять трудности, а можно получить на курсах повышения квалификации.
Для каждого инспектора основным документом, который может быть основой для предъявления какой-либо претензии или замечания, могут быть международные конвенции (МК), в которых к настоящему времени упоминание слова «кибербезопасность» отсутствует.
Ситуация кажется странной, т.к. документация есть, а соответствие состояния оборудования требованиям документации при ежегодных проверках в РФ не обязательны, но даже в случае обнаружения несоответствий замечание написать нельзя, т.к. ссылки могут быть только на МК.
Ситуация аналогична внедрению на флоте МКУБ, когда резолюция с понятием МКУБ появилась в 1993 г., а Руководство по внедрению в МКУБ принято и опубликовано в 1995 г. (рисунок 1).
Резолюция IMO – MSC.428 (98) «Управление киберугрозами в море в системах управления безопасностью» принята в 2017 г., прошло уже 6 лет, и национальные требования разных стран уже обязуют судовладельцев относиться к кибербезопасности более серьезно. В США, например, «необходимо отметить, что за нарушение данных требований предусмотрен гражданский штраф в размере не более $25 тыс. за каждый день, в течение которого продолжается нарушение. Однако при этом максимальная сумма не должна превышать $50 тыс.» (https://morvesti.ru/analitika/1692/88174).
Это объясняется тем, что национальные документы для морского флота в этой стране начали создаваться с 2015 г., т.е. еще до опубликования резолюции IMO.
Кибергигиена на судне
На рисунке 1 можно проследить развитие нормативной базы по МКУБ, внедрение понятий «аудиторская проверка управления безопасностью», «несоответствие», «существенное несоответствие», а также возможную аналогию развития кибергигиены на морских судах в соответствии с принятием международных и национальных документов. Тенденция внедрения таких требований будет распространяться и на речной флот, где оборудование тоже может быть современное, особенно на новострое.
Рисунок 1.
Учитывая, что судно может восприниматься не только как объект повышенной опасности, но и представлять опасность для береговой инфраструктуры в случае возможности управления с берега, требования по знаниям основ кибергигиены должны распространяться и на сотрудников береговых служб.
В странах могут приниматься свои нормативные требования кибергигиены, которые могут быть выше принятых международных. В качестве примера можно привести выпущенные Национальным институтом стандартов и технологий (NIST) США требования для инспекторов объектов береговой охраны, чтобы «продвигать культуру упреждающего управления киберрисками».
Предлагается список вопросов в количестве 77 по проверке уровня готовности служащих для решения вопросов кибербезопасности береговых объектов и судовых специалистов. Такой чек-лист может применяться как при трудоустройстве, так и при очередной проверке уровня готовности персоны.
Фрагмент подобного опросника приводится на рисунке 2, где желтым цветом выделена часть требований к судовым специалистам с комментариями выдержек из национальной нормативной базы. Такие комментарии (33 CFR 105.235/240/245)* позволяют организовывать самостоятельную подготовку, что значительно сокращает время обучения.
Предлагается обсудить рекомендованный НГЭ чек-лист (таблица 1) для подготовки и проверки уровня компетенции должностных лиц (инспекторов), принимающих участие в контроле состояния судна (РС, PSC, FSC), а также персон, ответственных за кибербезопасность на судне.
Рисунок 2.
Предлагаемые и изученные темы чек-листа позволят организовывать по желанию судовладельца необходимый внутренний (внешний) аудит, контролировать соответствие судовой СУБ документации «План управления кибербезопасностью» реальному состоянию сетевого судового оборудования, а также могут на начальном этапе изучения кибергигиены судового сетевого оборудования быть основой для формирования программ обучения в учебных заведениях и тренажерных центрах.
Морские вести России №7 (2023)