С вступлением в силу закона «О безопасности критической информационной инфраструктуры Российской Федерации» (N187-ФЗ от 26.07.2017) перед нами возникла задача проведения категорирования всей критической информационной инфраструктуры ПАО «ГМК «Норильский никель».

В 2018 году Департаментом защиты информации и IT – инфраструктуры был инициирован проект, направленный на формирование полного перечня объектов критической информационной инфраструктуры (далее – ОКИИ) Компании и их предварительное категорирование. По итогам обследования 89-ти предприятий было выявлено 38, владеющих ОКИИ, которые относятся к восьми основным сферам деятельности, в том числе к водному транспорту.

Для того, чтобы провести категорирование ОКИИ водного транспорта мы подробно изучили судовые, береговые и портовые системы. Потребовалось плотное взаимодействие, как с представителями судоходных подразделений, так и со старшим командным составом экипажей судов.

В ходе проекта нам пришлось погрузиться в специфику разных типов судов, в детали их автоматизации (которая оказалась более комплексной, чем представлялось изначально), освоить особенности мореплавания и жизни экипажей. Все это помогло определить критические процессы, ключевые системы, а также актуальные для них угрозы.

Например, анализ специфики работы на капитанском мостике и наблюдение за высокой дисциплинированностью экипажей позволили сделать вывод, что организационные мероприятия (адаптация существующих систем, инструментов, а также повышение осведомленности сотрудников экипажей и регламентация их деятельности для повышения уровня информационной безопасности) в данном случае могут быть достаточно эффективны. Это оказалось огромным преимуществом, так как внедрение технически сложных средств защиты на судах может само по себе является дополнительным риском.

Состав экипажей всегда ограничен, нет возможности дополнительно включить в него специалистов по информационной безопасности или сотрудников, обладающих знаниями в сфере администрирования и поддержки средств защиты. Следовательно, существует риск того, что в случае возникновения сбоя в работе такой системы на судне, которое на долгое время уходит в плавание, экипаж не сможет самостоятельно справиться с устранением данной проблемы. А сам сбой может представлять дополнительную угрозу для судна и его экипажа.

Проанализировав всю собранную информацию, мы выделили в качестве критически-важных следующие процессы: погрузка и разгрузка танкеров, навигация и движение судов.

В качестве ключевых систем, требующих особого внимания в части обеспечения ИБ, мы определили следующие:

• обработка и управление грузом (погрузка и разгрузка),
• управление судами,
• навигация и позиционирование.

Наиболее высокими рисками, связанными с возможным воздействием на перечисленные классы систем, были признаны:

• кража грузов;
• разлив нефтепродуктов;
• утечка или искажение информации, в том числе необходимой для навигации и управления судном;
• отключение инженерных и судовых систем, перехват управления судном через эти системы, воздействие на ключевые узлы судна (например, на силовые установки, обеспечивающие движение судна).

Кибератаки представляют реальную угрозу для судовых систем и судовой инфраструктуры в целом. К сожалению, зачастую такие угрозы достаточно легко реализуемы – это общая проблема для мирового судоходства. Многие судовые системы и инфраструктура изначально разрабатывались и проектировались без учета возможных угроз ИБ. А на современном этапе зависимость судов и судоходной деятельности от коммуникаций и доступа к сети Интернет заметно возросла.

Реализация вышеперечисленных рисков ИБ может привести к существенным финансовым потерям, экологическому ущербу, поставить под угрозу жизни и здоровье членов экипажей. Данной проблемой озабочены в том числе и международные регуляторы в области мореплавания. В частности, OCIMF (Oil Companies International Marine Forum - Международный морской форум нефтяных компаний) уже принял обязательные требования по обеспечению кибербезопасности для танкеров.

Наш опыт создания систем защиты объектов критической информационной инфраструктуры, позволил нам определить и реализовать шаги по обеспечению безопасности судовых систем и инфраструктуры:

• формирование перечня критически-важных судовых систем и поддержание его в актуальном состоянии;
• внедрение процесса управления рисками, включая обработку неприемлемых рисков (т.е. тех, которые могут привести к вышеуказанным последствиям);
• определение классов средств защиты информации, наиболее подходящих для судовых систем;
• определение ответственных за контроль выполнения требований ИБ и формирование процедур ИБ;
• назначение членов экипажей на роль офицеров ИБ на судах;
• повышение компетенции и осведомленности членов экипажей в вопросах ИБ.

Отдельное внимание мы уделили вопросам доступа к критически важным судовым системам, в частности:

• Запрет удаленного доступа к критичным судовым системам;
• Запрет доступа через Интернет к сетевой и инженерной инфраструктуре, к которым подключены критически важные судовые системы;
• Запрет доступа через судовые сети передачи данных общего назначения к сетям, к которым подключены критичные судовые системы.

Реализация такого подхода, а также выполнение требований международного законодательства в сфере кибербезопасности, позволили включить суда Мурманского транспортного филиала компании «Норникель» в область действия системы управления информационной безопасностью и получить Сертификат соответствия системы управления информационной безопасностью нормам и требованиям международного Стандарта ISO/IEC 27001:2013.

Сертификат выдан по результатам аудита, проводившегося Британским институтом сертификации (British Standards Institution, BSI) — международным лидером в области сертификации систем менеджмента. Получение Сертификата соответствия подтверждает высокий уровень информационной безопасности предприятий «Норникеля», высокую адаптивность и эффективность предпринимаемых компанией мер по противодействию киберугрозам в отношении корпоративной информационной инфраструктуры и технологических процессов.