Проблемы критической информационной инфраструктуры как риски цифровой трансформации

Данная статья подготовлена по материалам сессии ПМЭФ-2023 «Развитие критической информационной инфраструктуры: угрозы и перспективы». Информационно-аналитическая система Росконгресс. [Электронный ресурс]. Режим доступа:    ugrozy-i-perspektivy/translation/# (дата обращения 26.12.2023).

В настоящее время на форумах различного уровня активно обсуждаются проблемы, связанные с защитой объектов отечественной критической информационной инфраструктуры (КИИ) [1]. В соответствии с Федеральным законом «О безопасности критической информационной инфраструктуры» [2], понятие «критическая информационная инфраструктура» определяется как «информационные системы, информационно-коммуникационные сети, АСУ субъектов КИИ, а также сети электросвязи, используемые для организации взаимодействия таких объектов».

Основанием для отнесения системы к КИИ является использование ее государственным органом, учреждением или российской компанией в одной из тринадцати отраслей экономики (здравоохранение, банковский сектор, оборонная промышленность и др.). С другой стороны, рассматривая цифровую трансформацию экономики, в первую очередь, следует иметь в виду, что ее основу составляет комплексное внедрение информационных (цифровых) технологий, которые реализуются в виде инфоком-муникационных систем. Таким образом, для изучения проблем КИИ предлагается провести анализ более общего процесса - цифровой трансформации экономики, выявить его риски и предложить рекомендации для их снижения, которые могут применяться и для защиты объектов КИИ.

Особенности цифровой трансформации экономики

В научной литературе приводятся различные определения цифровой трансформации. Если их обобщить, то можно определить это понятие как интеграцию информационных технологий во все сферы деятельности предприятия с целью повышения эффективности ведения бизнеса. Авторы статьи склонны считать цифровую трансформацию очередным этапом процесса автоматизации предприятия. Благодаря новым информационным технологиям, в первую очередь сквозным технологиям, удалось существенно повлиять на содержание экономики. Ученые-экономисты констатируют, что традиционная экономика превращается в сетевую экономику, вместо линейной бизнес-модели чаще используют платформенно-сетевую, изменился фактор ценности бизнеса, появились цифровые предприятия. Среди ключевых факторов цифровой трансформации экономики, выделяемых Е.П. Кочетковым [3], следует остановиться на двух: мобильность и подключенность к Интернету; сетевизация.

Масштабное развитие мобильной связи способствовало существенному увеличению числа пользователей Интернета, что, в свою очередь, привело к глобальному росту объемов информации, используемой в бизнесе. Данные превратились в ключевой актив цифровой экономики. С другой стороны, развитие сетевых информационных технологий позволило объединить объекты экономической деятельности и организовать саму экономическую деятельность вокруг телекоммуникационных сетей. Таким образом, сетевизация происходит за счет роста числа сетевых ресурсов и сетевых пользователей. Благодаря этим ключевым факторам в экономике произошли существенные изменения, связанные с развитием облачных вычислительных ресурсов, снижением стоимости передачи и хранения данных, существенным расширением возможностей анализа данных. Указанные изменения привели к появлению новой бизнес-модели (платформенно-сетевой), в центре которой располагаются данные, а вокруг них -бизнес-процессы. Сегодня эта модель реализуется в виде экосистемы, включающей в себя совокупность участников, площадку для реализации товаров и услуг, развивающиеся предприятия [4].

Одной из основных характеристик такой системы является взаимодействие экономических агентов в киберпространстве. Киберпространство можно трактовать как пространство функционирования продуктов инфокоммуникационных технологий, позволяющих создавать чрезвычайно сложные системы взаимодействий агентов с целью получения информации, обмена и управления ею, а также осуществления коммуникаций в условиях функционирования множества различных сетей [5]. Это пространство потоков, в нем картина реального мира формируется в виде виртуальных объектов. Естественно, что в киберпространстве, наряду с традиционными экономическими рисками, присутствуют свои специфические риски. Их особенностью является распространение по сети от одного предприятия к другому и, в некоторых случаях, независимо от национальной принадлежности.

Таким образом, цифровая трансформация экономики связана с появлением новых глобальных рисков, последствия которых могут быть более разнообразными и привести к значительно более серьезным последствиям.

Риски цифровой трансформации экономики

Большинство авторов, изучающих риски цифровой трансформации экономики, сосредотачивают свое внимание на экономических и социальных рисках, ограничиваясь рассмотрением технических рисков только в рамках ответственности информационной безопасности. В первую очередь, они отмечают угрозу цифровому суверенитету и изменение роли государства в трансграничном мире цифровой экономики, а также рост сложности бизнес-моделей и схем взаимодействия [6]. Предприятия, желающие встать на путь цифровой трансформации, часто встречаются с проблемами сложности определения приоритетов для цифрового преобразования и оценки экономической эффективности от внедрения информационных технологий [7].

Другой крайностью на этом пути является кампанейщина, когда руководство предприятия желает быть в тренде или на него оказывается административное воздействие «сверху», поэтому оно занимается цифровизацией ради цифровизации. Социальные риски цифровой трансформации связаны, по мнению ряда авторов, с человеческим фактором. С одной стороны, процессы цифровизации требуют большого количества квалифицированных кадров, обладающих цифровыми компетенциями, но их не хватает. С другой стороны, результатом цифровой трансформации предприятия является значительное сокращение персонала, поэтому происходящие на предприятии изменения встречают сопротивление среди сотрудников и топ-менеджеров. Кроме того, процессы цифровизации приводят к нарушению частной жизни граждан, их персональные данные становятся более доступными для незаконного использования.

В последнее время стал проявляться еще один вид угроз, относящихся к социальным рискам. Он получил название «новой цифровой власти» [8]. Суть его заключается в том, что ИТ-специалисты, принятые на работу и обслуживающие корпоративные информационные системы, имеют доступ к конфиденциальной корпоративной информации, а также к персональным данным сотрудников. При этом у них нет ни этических, ни законодательных ограничений на использование этой информации в корыстных целях – это уже власть и возможность злоупотребления ею.

Рассмотрим подробнее технические риски цифровой трансформации. Они связаны с использованием киберпространства в процессе профессиональной деятельности. С появлением первых средств автоматизации на предприятии возникла необходимость объединить вычислительные мощности и обеспечить коллективное использование данных в масштабе отдела/управления/предприятия. Для решения этой задачи связывались в единую инфраструктуру соответствующие аппаратные и программные средства, телекоммуникационные сети. Организационно-техническое объединение указанных средств, а также персонала, обслуживающего эти средства, получило название ИТ-инфраструктура предприятия. Ее целью является предоставление информационных, вычислительных и телекоммуникационных ресурсов и услуг сотрудникам предприятия.

В своем развитии ИТ-инфраструктура прошла несколько этапов и сегодня она обеспечивает не только сотрудников предприятия, но и клиентов, поставщиков и других участников бизнес-процессов. Различают два типа инфраструктуры: традиционная и облачная. Традиционная инфраструктура предполагает использование собственных аппаратно-программных средств предприятия. Она более затратна при развертывании и эксплуатации, но обеспечивает более безопасный режим хранения данных по сравнению с облачной. В последнее время (в связи с цифровой трансформацией) набирает популярность облачная инфраструктура, которая реализуется средствами предприятия, предоставляющего соответствующие услуги, и позволяет размещать вычислительные мощности и хранилища данных в рамках ЦОД облачных провайдеров. Данный тип инфраструктуры обладает гибкостью и масштабируемостью, но имеются неоднозначные аспекты, связанные с надежностью хранения данных, поскольку за это отвечают сторонние лица.

Переход предприятий на платформенно-сетевую модель бизнеса и реализация ее в виде экосистемы привел к преобразованию ИТ-инфраструктуры отдельного предприятия в цифровую платформу, которая, в свою очередь (как и ИТ-инфраструктура предприятия), является частью киберпространства. Таким образом, можно констатировать, что в результате цифровой трансформации предприятие становится агентом трансграничного киберпространства. Это является источником новых опасностей для предприятия, в первую очередь, технического характера.

Все технические риски цифровой трансформации целесообразно объединить одним названием – технологические уязвимости ИТ-инфраструктуры. Причины этих рисков могут быть разные, но все они объединяются киберпространством, из которого исходят. В свою очередь, причиной данных рисков могут быть как непреднамеренные, так и спланированные действия. Непрофессиональные действия или ошибки специалистов, разрабатывающих или эксплуатирующих ИТ-инфраструктуру (киберпространство) предприятия могут привести к тяжелым материальным потерям или к прекращению деятельности предприятия. Отсутствие достаточных ресурсов и специалистов на предприятии, а также опыта самостоятельной интеграции и внедрения информационных технологий может привести к появлению ошибок в настройках программных или аппаратных средств, которыми могут воспользоваться заинтересованные лица или организации.

Применение программных и аппаратных средств, произведенных в недружественных странах, может привести к такому же эффекту. К еще большим потерям могут привести преднамеренные действия в киберпространстве. Трансграничное киберпространство во много раз увеличивает количество лиц и организаций, желающих получить прибыль за счёт преступного воздействия на ИТ-инфраструктуру предприятия. Данный вид технических рисков называют киберпреступностью. В первую очередь, ее проявлением являются хакерские атаки, направленные на похищение конфиденциальных и персональных данных, замедление и нарушение работы предприятия для получения выкупа или перехвата управления с целью терроризма [9]. Особенно усилились эту риски в последнее время в условиях обострения отношений России с рядом западных стран.

По данным заместителя директора Национального координационного центра по компьютерным инцидентам Николая Мурашова [10], ежедневно на российские информационные ресурсы фиксируется более 170 комплексных компьютерных атак. Аналитики отмечают применение серьезных кибератак на критическую информационную инфраструктуру России. Такие атаки реализуются на протяжении длительного времени, проводятся скрытно, требуют значительных ресурсов и организуются профессиональными хакерами. По данным компании Positive Technologies [11], в первом квартале 2023 года количество таких кибератак увеличилось на 7% по сравнению с предыдущим кварталом и на 10% относительно начала 2022 года. Сместился акцент в выборе объектов для атаки: если в 2021 году объектом атак являлся финансовый сектор, то сейчас - это государственный сектор. Атаки хорошо организуются, в них участвуют серьезные многочисленные группировки, а также индивидуальные хакеры.

Целью атак является выведение из строя информационной инфраструктуры страны и получение доступа к системам управления предприятиями и организациями. Следует отметить еще одну особенность современных рисков, относящихся к технологической уязвимости ИТ-инфраструктуры. Она связана одновременно с непреднамеренными и преднамеренными действиями. При существовании киберпространства преднамеренная угроза ИТ-инфраструктуре предприятия может быть реализована через ИТ-инфраструктуру предприятия-партнера, взаимодействующего с рассматриваемым, из-за непрофессиональных (непреднамеренных) действий ИТ-специалистов предприятия-партнера или специалистов по информационной безопасности предприятия.

Эта ситуация возможна в том случае, если в организации выполняются мероприятия по информационной безопасности в соответствии с регламентом, но организация-партнер использует несертифи-цированные программно-аппаратные средства, которые и являются местом проникновения хакеров в систему партнера. После этого осуществляется несанкционированный доступ и вредоносные воздействия на ИТ-инфраструктуру рассматриваемого предприятия (при формальном контроле за деятельностью партнеров и полном соблюдении регламентов в рамках самой организации).

Проведенный анализ технических рисков для предприятия, занимающегося цифровой трансформацией, позволяет сделать вывод о том, что современное состояние проблемы цифровой трансформации экономики требует перейти от рассмотрения вопросов информационной безопасности предприятия к кибербезопасности. Основным отличием между этими терминами, по мнению авторов, является уровень рассмотрения проблемы безопасности: киберпространство требует заниматься не только защитой данных, но и защитой технологий.

Возможные направления развития защиты КИИ

В соответствии с рассмотренными рисками цифровой трансформации на предприятии следует выполнять определенные технические и организационные мероприятия, целью которых является снижение уровня угроз деятельности предприятия в условиях использования киберпространства. Надежная защита цифровой среды предприятия является необходимым условием обеспечения безопасности его

КИИ. В настоящее время рассматриваются несколько направлений развития системы защиты КИИ: конструктивная безопасность, цифровая среда доверия, модель безопасности «нулевое доверие».

До недавнего времени информационные системы, образующие ИТ-инфраструктуру предприятия, разрабатывались и внедрялись без учета требований информационной безопасности. После начала эксплуатации система подвергалась доработке с учетом этих требований. В результате стоимость системы существенно увеличивалась, особенно при обнаружении в ней уязвимостей и необходимости их устранения. Для устранения подобных проблем компании-разработчики используют сегодня подход, получивший название «конструктивная безопасность» (Secure by Design). Суть его состоит в том, что безопасность создаваемой системы обеспечивается на всех этапах жизненного цикла, от концептуальной разработки до эксплуатации, т.е. свойства безопасности в будущую систему интегрируются наравне с функциональными требованиями.

Конструктивная безопасность предполагает, что на этапе разработки концепции определяются требования безопасности на основании построения и исследования модели всевозможных угроз. На этапе проектирования осуществляется построение архитектуры безопасности будущей системы. Проверка программного кода и сканирование кода выполняется на этапе разработки. На этапе проверки реализуется тестирование на проникновение. На этапе эксплуатации осуществляется доставка, установка системы, обучение правилам безопасности и техническая поддержка. Данный подход, реализующий меры безопасности в производственном процессе, повышает киберустойчивость КИИ и исключает последующие дорогостоящие улучшения кибербезопасности.

Другим направлением развития систем защиты КИИ является создание в России доверительной среды разработки КИИ. Это направление особенно актуально сейчас, когда большая часть западных производителей программных и аппаратных средств, на которых создавались информационные системы, ушла с рынка и проявляет недружественное отношение к России. Способность КИИ отвечать требованиям информационной безопасности определяется доверенностью к используемым для построения аппаратно-программным средствам. Доверенными аппаратно-программными средствами (ДАПС) принято считать совокупность технических и программных средств, обеспечивающих создание, применение и развитие автоматизированных систем в соответствии с предназначением, имеющих полный комплект программной, конструкторской и эксплуатационной документации, включая исходные тексты программ, отвечающих необходимым требованиям информационной безопасности, подтвержденных сертификатами соответствия (заключениями) в соответствующих обязательных системах сертификации [12].

Государство понимает необходимость решения данной проблемы, ФСТЭК поручено к 2024 году создать унифицированную среду разработки безопасного отечественного программного обеспечения (ПО). Она позволит внедрить интегрированные технологии разработки безопасного ПО в отечественных организациях-разработчиках и предоставить им унифицированный набор инструментов для разработки. В ходе определения номенклатуры базового набора инструментов приоритеты должны отдаваться российскому ПО и оборудованию, а также софту, свободно распространяемому на территории России. Решить задачу создания доверительной среды разработки на базе только отечественных ДАПС невозможно и нецелесообразно. Во-первых, потому что отсутствуют российские аналоги определенных аппаратно-программных средств. Во-вторых, отказ от средств, которые широко используются во всем мире, лишает возможности в дальнейшем продавать КИИ другим странам. Выходом из этой ситуации является исследование и тестирование зарубежных ДАПС и их сертификация как доверенных средств в случае положительной оценки результатов тестирования.

Еще одним направлением развития систем защиты КИИ, активно развивающимся в мире и показавшим свою эффективность при отражении кибератак, выступает модель безопасности «нулевое доверие» (Zero Trust). Данный подход противоположен цифровой среде доверия и предполагает, что в системе полностью отсутствует доверие к кому-либо, даже к пользователям, располагающимся внутри периметра безопасности. Каждый пользователь или устройство должны подтверждать свою подлинность всякий раз при запросе доступа к какому-либо ресурсу внутри или за пределами системы. В основе данной модели лежат три принципа: требование безопасного и подтвержденного доступа ко всем ресурсам; использование модели наименьших привилегий и контроль доступа; отслеживание всей активности с помощью аналитики данных.

В таблице представлены результаты анализа рассмотренных направлений развития систем защиты КИИ.

Таблица

Направления развития систем защиты КИИ

Направление	Сущность	Достоинства	Недостатки
Конструктивная безопасность	Интеграция свойств безопасности в будущую систему наравне с функциональными требованиями	Уменьшение количества уязвимостей в системе. Сокращение затрат на доработку системы в соответствии с требованиями информационной безопасности	Усложнение процесса проектирования системы
Цифровая среда доверия	Построение системы с использованием программных и аппаратных средств, имеющих сертификаты соответствия требованиям информационной безопасности	Обеспечение надежной защиты КИИ. Наличие базы программных и аппаратных средств, которые можно использовать для создания защищенных систем	Отсутствие унифицированной среды разработки безопасного отечественного ПО. Отсутствие отечественных аппаратных средств. Необходимость исследования и тестирования зарубежных ДАПС с целью их сертификации
Нулевое доверие	В системе полностью отсутствует доверие ко всем пользователям. Каждый пользователь или устройство должны подтверждать свою подлинность всякий раз при запросе доступа к какому-либо ресурсу внутри или за пределами системы	Эффективно противодействует кибератакам, связанных с массовой утечкой данных. Отсутствует необходимость защищать периметр организации	Сложность реализации: техническая и психологическая

Заключение

Наиболее рациональным направлением можно считать конструктивную безопасность, т.к. сегодня нет серьезных препятствий на пути реализации данного направления. Цифровая среда доверия пока не может использоваться в полном объеме, нужна помощь государства в создании системы сертификации. Концепцию «нулевого доверия» можно рассматривать как перспективное направление, требующее значительных ресурсов для создания технической базы и подготовки пользователей к новым условиям работы.