Экспертное обсуждение прошло в рамках второй встречи Экспертной группы по кибербезопасности с представителями федеральных органов исполнительной власти по теме: «Цифровая трансформация, новые вызовы и технологии кибербезопасности». Во встрече участвовали более 50 экспертов – представителей Минэнерго России, Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Национального координационного центра по компьютерным инцидентам (НКЦКИ), компаний-членов Ассоциации, а также профильного сообщества в лице АО «Лаборатории Касперского», компании «Ростелеком-Солар», ГК «РТСофт» и др.
«Изменения в мировой политике накладывают отпечаток на российский рынок. Для такого стратегического сектора экономики как электроэнергетика с иных отраслей оценивается вопрос поиска новых отечественных программных, технологических решений, а также требования регуляторов в области информационной безопасности. Ассоциация «Цифровая энергетика» как отраслевой Центр компетенций цифровой трансформации электроэнергетики изнутри видит, что работа по обеспечению кибербезопасности выстроена и идет, вместе с тем предлагает сконцентрироваться на подходах и мерах, которые дадут дополнительную защиту», – заявил модератор встречи, руководитель Экспертной группы по кибербезопасности, открывая дискуссию.
Одной из таких мер «усиления» является использование отечественных программных решений для организации фаззинг-тестирования (автоматическая или полуавтоматическая техника тестирования программ, заключающаяся в передаче программе неправильных, неожиданных или случайных данных, в целях выявления в ней уязвимостей) и динамического анализа исходного кода (поиск уязвимостей в программе в процессе ее выполнения). К 2023 году в соответствии с требованиями ФСТЭК России субъекты критической информационной инфраструктуры должны будут реализовать данные процессы для значимых объектов, а с учетом текущей ситуации необходимо ускорить работы в этом направлении. Однако при большом числе разрабатываемых программ, которые для компаний выпускают разработчики (сторонние и внутренние), есть риски увеличения нагрузки на персонал и стоимости работ.
Участники встречи отметили, что специализированное отечественное ПО как раз может снять данные риски и повысить производительность персонала в области информационной безопасности, но таких продуктов немного и их зрелость сильно варьируется есть запрос на развитие таких продуктов при поддержке государства.
Представитель ФСТЭК России добавил к этому, что предполагается, что доказывать безопасность продукта должны не компании, а разработчики, которые создали решение для организации. Альтернативные варианты исполнения требований – привлечение стороннего аудита для проверки систем или самостоятельная проверка и добровольная сертификация по ГОСТу.
Большое значение имеет и оценка своего периметра защиты через парадигму, что любые объекты, в том числе без явной связи с общедоступными сетями могут быть атакованы хакерами. «Большинство субъектов утверждали, что объекты не были связаны с Интернетом, но на последнее время были зафиксированы инциденты. Отмечены факты взлома систем жизнеобеспечения – кондиционирования, вентиляции. Например, есть лифты последнего поколения, связанные с облачным хранилищем данных. Это неявные элементы, о безопасности которых не задумываются», – отметил представитель НКЦКИ.
В завершение встречи представитель Минэнерго России напомнил, что ведомство обеспокоено ростом атак и делает все возможное для обеспечения безопасности, поддержки отрасли, в том числе работает в активном взаимодействии с НКЦКИ, Минцифры России и ФСТЭК России и готово рассмотреть предложения от профильного бизнес-сообщества по вопросу повышения информационной безопасности в сфере ТЭК.
«Ассоциация «Цифровая энергетика» благодарит участников встречи за участие. Текущий период – время новых возможностей, стимул к развитию, и мы готовы оформить все предложения и инициативы, в адрес уполномоченных органов власти, в том числе по пакету мер поддержки отрасли или других инициатив по совершенствованию нормативно-правовых актов. Готовы также включить предложения от внешних экспертов. Ждем обращений и предложений. Все контакты на нашем официальном сайте», – подытожил исполнительный директор Ассоциации «Цифровая энергетика» Антон Зубков.