Вы находитесь на странице: 1из 4

Безопасность

Кибербезопасность
морского и речного транспорта
С. А. Семёнов, Сегодня информационная безопасность водного транспорта характе-
начальник ФБУ ризуется избыточным административно-правовым регулированием.
«Служба Для решения проблемы необходима дальнейшая гармонизация меж-
морской дународного и российского законодательства в этой сфере, а также
безопасности» положений, принятых в разных институтах российского права.

Т
ранспортировка грузов мор- В отчете Allianz о безопасности су-
ским транспортом составля- доходства за 2015 г. [4] говорится, что
ют 90% объема международ- подверженность кибератакам (помимо
ных перевозок [1]. В наши дни обще- утраты данных) растет. Отмечен ряд
мировой тенденцией стала прогрес- серьезных киберинцидентов, и раз-
сирующая цифровизация экономики, витие технологий, включая Интернет
что в  полной мере касается морского и электронную навигацию, означает,
и речного транспорта. Суда увеличива- что в распоряжении специалистов отра-
ются, а команды уменьшаются вследст- сли всего несколько лет, чтобы подгото-
вие все большей автоматизации про- виться к риску утраты судов в результате
цессов. Некоторые бортовые системы кибератак. «Пираты уже злоупотребля-
получают обновления во время пла- ют наличием прорех в системе кибер-
вания, у команд есть выход в Интер- безопаности для планирования кражи
нет. конкретных грузов», — сказал капитан
По мнению ряда специалистов, во- Эндрю Кинси, старший консультант по
просам информационной безопасно- морским рискам AGCS. При этом не сто-
сти объектов морской и речной транс- ит переоценивать значение кибератак:
портной инфраструктуры, морских «Нельзя же взломать секстант».
и речных судов уделяется крайне мало Сотрудники компании Positive
внимания [2]. Это легко проверить на Technologies к основным специфиче-
сайтах отечественных компаний, пре- ским для морского транспорта инфор-
доставляющих услуги и производящих мационным системам и технологиям
продукты и решения для морского относят:
и речного транспорта. Как правило, • Automatic Identification System
в описании услуг, продуктов и решений (AIS) — автоматическую идентифика-
вопросы информационной безопасно- ционную систему;
сти не затрагиваются. В лучшем слу- • Electronic Chart Display and
чае упоминается возможность разгра- Information System (ECDIS) — электрон-
ничения доступа с помощью паролей но-картографическую навигационно-
и логинов или использование сетевых информационную систему; до 2019 г.
экранов. ECDIS должны быть установлены на
всех судах;
Ситуация • Voyage Data Recorder (VDR) — реги-
в сфере кибербезопасности стратор данных рейса;
Согласно отчету ENISA, озадачен- • Terminal Operating System (TOS) —
ность вопросами кибербезопасности IT-инфраструктуру, служащую целям
в морском секторе находится на низ- автоматизации процессов, происходя-
ком уровне либо вовсе не наблюдается щих с грузами в порту; на практике бы-
[3, 4]. Недостаточную обеспокоенность вает целостным продуктом конкретно-
вопросами, связанными с киберугро- го вендора или совокупностью систем
зами, отмечают и аналитики компа- (возможно, и широкого назначения),
нии CyberKeel, специализирующейся выполняющих различные задачи;
на безопасности морской индустрии. • Container Tracking System (CTS)  —
Они отмечают, что многие из занятых систему, позволяющую отслеживать
в морской сфере привыкли быть частью движение контейнеров посредством
«практически невидимой» отрасли, не- GPS и (реже) других каналов передачи
заметной обывателю [3]. данных;

№1 (74) 2018 «Транспорт Российской Федерации» | 43


Безопасность
Документы по кибербезопасности, принятые в 2017 г.

Название документа (оригинал) Дата принятия Название документа (перевод)

Рекомендации по управлению киберрисками в морской отра-


GUIDELINES ON MARITIME CYBER RISK MANAGEMENT
сли.
Annex 1 (Report of the FAL on its 41st session –
Приложение № 1 отчета о работе Комитета по упрощению
FAL 41/17) [7]
07.04.2017 формальностей (ФАЛ) на 41-й сессии – документ ФАЛ 41/17)
On Guidelines on maritime cyber risk management,
О новой редакции Рекомендаций по управлению морскими
superseding the interim guidelines cjntained in MSC.1/
киберрисками, заменяющей предыдущую редакцию, которая
Circ.1526
дана в циркуляре MSC.1/Circ.1526

MARITIME CYBER RISK MANAGEMENT IN SAFETY Управление киберрисками в системах управления безопасно-
MANAGEMENT SYSTEMS сти морской отрасли.
Resolution MSC.428(98) 30.06.2017 Резолюция (КБМ) MSC.428(98)
Annex 10 (Report of the MSC jn ins 98-th session – Приложение № 10 отчета о работе КБМ на 98-й сессии – доку-
MSC 98/23/Add.1) [8] мент MSC 98/23/Add.1

Рекомендации по управлению киберрисками в морской отра-


GUIDELINES ON MARITIME CYBER RISK MANAGEMENT
05.07.2017 сли.
(MSC-FAL.1/Circ.3) [9] (см. п. 12 Литературы)
Циркуляр КБМ-ФАЛ (MSC-FAL.1/Circ.3)

THE GUIDELINES ON CYBER SECURITY


Рекомендации по кибербезопасности на судах
ONDOARD SHIPS
(Редакция 2.0).
(Version 2.0) [10] 05.07.2017
Разработаны и поддерживаются мировыми судоходными
Produced and supported by the world leading shipping
компаниями.
compaines.

• Emergency Position Indicating • «превращение» существующего В отчете IOActive сообщается, что


Radio Beacon (EPIRB) — аварийный ра- судна в невидимое; спутниковые системы (SATCOM), в част-
диобуй, передатчик, подающий при • создание несуществующих поис- ности связывающие через Интернет
активации сигнал бедствия; в зависи- ково-спасательных вертолетов; суда друг с другом и с «большой зем-
мости от технологии исполнения, пе- • фальсификация сигналов EPIRB, лей», также весьма уязвимы. При про-
редача сигнала может осуществляться активирующих тревогу на находящихся верке терминалов спутниковой связи,
через спутник, в диапазоне УКВ или поблизости судах; используемых в судоходстве, выявлены
же комбинированно; некоторые EPIRB • проведение DoS-атаки на всю сис- такие критические бреши в безопасно-
кроме сигнала бедствия могут переда- тему путем инициирования увеличения сти, как использование устройствами
вать информацию о судне (при син- частоты передачи AIS-сообщений. незащищенных или даже недокумен-
хронизации с AIS). Морская индустрия активно ис- тированных протоколов, заведенные
Каждая из приведенных систем так пользует спутниковые технологии «фабрично» учетные записи, возмож-
или иначе уязвима в плане информаци- Satellite Communications (SATCOM) для ность эксплуатирования функции сбро-
онной безопасности [5]. доступа в Интернет, связи судно – суд- са пароля, бэкдоры.
Результаты исследования безопас- но и судно – суша, GPS/DGPS для опре- Показательный случай компроме-
ности AIS, проведенного сотрудниками деления местоположения и навигации, тации спутниковых систем произошел
компании Trend Micro, были представ- а также отслеживания перевозимых в  июле 2013 г. Студенты Техасского
лены на конференции Black Hat Asia грузов. университета смогли отклонить от кур-
2014. Предложены следующие возмож- На конференции Black Hat USA 2015 са яхту стоимостью 80 млн долл. с  по-
ные сценарии нарушения безопасности: сотрудник компании Synack К. Мур мощью оборудования, цена которого не
• изменение данных о судне, вклю- представил отчет о безопасности сис- превышала 3 тыс долл. Дублируя сигнал
чая его местоположение, курс, инфор- тем GPS-трекинга Globalstar. Вследствие настоящего спутника с  помощью ими-
мацию о грузе, скорость и имя; уязвимости систем можно осуществить татора GPS-сигналов (используются,
• создание «кораблей-призраков», перехват и подмену информации или к примеру, при калибровке оборудова-
опознаваемых другими судами как на- глушение сигнала. В сети Simplex, осно- ния) и постепенно повышая мощность,
стоящее судно, в любой локации мира; ванной на радиопередаче, которую ком- они смогли «убедить» навигационную
• отправка ложной погодной инфор- пания Globalstar использует для переда- систему судна принимать сообщения
мации конкретным судам, чтобы заста- чи данных между трекерами, спутника- спуфингового устройства и  отбрасы-
вить их изменить курс для обхода несу- ми и наземными станциями, не предус- вать сигнал настоящего спутника как
ществующего шторма; мотрены механизмы аутентификации помехи. После того как навигационная
• активация ложных предупрежде- и шифрования, невозможна валидация система начала ориентироваться по
ний о столкновении, что может стать переданных данных. Мур уверен, что данным двух спутников и атакующего
причиной автоматической корректи- такая проблема отмечается не только в устройства, судно удалось отклонить от
ровки курса судна; Globalstar. первоначального курса [6].

44 | «Транспорт Российской Федерации» №1 (74) 2018


Безопасность

Требования Международной • системы ходового мостика; РФ № 112, МВД РФ № 134 [15] в пере-
морской организации • системы обработки и управления чень потенциальных угроз соверше-
С учетом сложившейся в сфере ин- грузом; ния актов незаконного вмешательства
формационной безопасности ситуации • системы управления двигателями, в деятельность объектов транспорт-
Международная морская организация машинами и энергопитанием; ной инфраструктуры и транспортных
(ИМО) в 2017 г. разработала и приняла • системы контроля доступа; средств включены только угрозы, свя-
ряд документов по кибербезопасности • системы обслуживания и управле- занные с физическим воздействием
в  морской отрасли (таблица). ния пассажирами; на объекты транспортной инфраструк-
Приложение № 10 Резолюции (КБМ) • публичные Интернет-сети судна, туры и транспортные средства.
MSC.428(98) настоятельно рекомендует предназначенные для использования Может сложиться впечатление, что
администрациям обеспечить надлежа- пассажирами; в России не разработаны обязательные
щее рассмотрение киберрисков в си- • административные системы и сети; для водного транспорта требования по
стемах управления безопасностью не • системы связи. информационной безопасности. Одна-
позднее первой ежегодной верифика- Управление рисками традиционно ко это не совсем верно.
ции Документа о соответствии компа- сосредоточено на операциях в физи- С 1 января 2018 г. вступил в силу
нии после 1 января 2021 г. ческой области, однако зависимость от Федеральный закон от 26.07.2017
В Рекомендациях по управлению оцифровки, интеграции, автоматиза- № 187-ФЗ «О безопасности критиче-
киберрисками в морской отрасли (далее ции и сетевых систем обусловила расту- ской информационной инфраструк-
Рекомендации) отмечается, что кибер- щую потребность в управлении кибер- туры Российской Федерации» (далее
технологии стали необходимыми для рисками в судоходной отрасли. Быстро Закон), который определяет критиче-
эксплуатации и управления множест- меняющиеся информационные техно- скую информационную инфраструк-
вом систем, важных для безопасности логии и угрозы затрудняют устранение туру (КИИ) как объекты КИИ, а также
судоходства и защиты морской окружа- киберрисков только на основе техниче- сети электросвязи, используемые для
ющей среды. Однако вследствие уязви- ских стандартов. В связи с этим Реко- организации взаимодействия таких
мости, создаваемой доступом, соедине- мендациями предлагается управление объектов [16]. Под объектами КИИ по-
нием или сетевым подключением этих в отношении киберрисков через естест- нимаются информационные системы,
систем, могут появиться киберугрозы, венное расширение существующих ме- и н ф о р м а ц и о н н о - т ел е ко м м у н и к а -
которые необходимо устранять. тодов управления безопасностью море- ционные сети, автоматизированные
Рекомендации определяют морские плавания и безопасностью судна. системы управления субъектов КИИ.
киберугрозы как риски технологическо- К субъектам КИИ относятся, в част-
му ресурсу со стороны потенциальных Информационная безопасность ности, российские юридические лица
обстоятельств или событий, которые водного транспорта в России и (или) индивидуальные предприни-
могут привести к сбоям в перевозке Кодекс торгового мореплавания матели, которым на праве собствен-
грузов и пассажиров, безопасности мо- [11], Кодекс внутреннего водного тран- ности, аренды или на ином законном
реплавания или безопасности судна, спорта РФ [12], Федеральный закон от основании принадлежат информаци-
в связи с повреждением, утратой или 08.11.2007 № 261-ФЗ «О морских портах онные системы, информационно-теле-
компрометацией связанных с судоход- в Российской Федерации» [13], иные ис- коммуникационные сети, автоматизи-
ством информации или систем. Риски следованные подзаконные акты в обла- рованные системы управления, функ-
могут быть обусловлены уязвимостью, сти морского и речного транспорта не ционирующие в сфере транспорта.
связанной с неадекватной работой, ин- содержат норм, регулирующих вопросы Законом предусмотрены категори-
теграцией, обслуживанием и разработ- информационной безопасности мор- рование и оценка безопасности КИИ,
кой киберсистем, а также преднамерен- ского и речного транспорта. а  также реестр ее значимых объектов.
ными и непреднамеренными киберуг- В Федеральном законе от 09.02.2007 В государственную систему обнару-
розами. № 16-ФЗ «О транспортной безопасно- жения, предупреждения и ликвидации
Угрозы представляют собой вредо- сти» [14] также не рассматриваются во- последствий компьютерных атак на ин-
носные действия (например, взлом или просы информационной безопасности формационные ресурсы РФ включают-
внедрение вредоносных программ) или объектов транспортной инфраструк- ся подразделения и должностные лица
непреднамеренные последствия до- туры и транспортных средств. Вме- субъектов КИИ, которые принимают
брокачественных действий (например, сте с тем киберугрозы можно отнести участие в обнаружении, предупрежде-
обслуживания программного обеспе- к актам незаконного вмешательства. нии и ликвидации последствий ком-
чения или разрешения пользователя). Стоит напомнить, что акт незаконного пьютерных атак и в реагировании на
Как правило, эти действия приводят вмешательства определяется как про- компьютерные инциденты.
к уязвимости (например, устаревшее тивоправное действие (бездействие), В целях обеспечения безопасности
программное обеспечение или неэф- в том числе террористический акт, значимого объекта КИИ субъект КИИ,
фективные брандмауэры) или исполь- угрожающее безопасной деятельности согласно требованиям к созданию си-
зуют уязвимость в операционной или транспортного комплекса, повлекшее стем безопасности таких объектов
информационной технологии. за собой причинение вреда жизни и и обеспечению их функционирования,
В Рекомендациях указано, что здоровью людей, материальный ущерб которые утверждены федеральным ор-
уязвимые судовые системы могут вклю- либо создавшее угрозу наступления ганом исполнительной власти, упол-
чать (но не ограничиваются указан- таких последствий. Однако приказом номоченным в области обеспечения
ным): Минтранса РФ от 05.03.2010 № 52, ФСБ безопасности КИИ РФ, создает систему

№1 (74) 2018 «Транспорт Российской Федерации» | 45


Безопасность

безопасности такого объекта и обеспе- Литература Security/Documents/MSC-FAL.1-Circ.3


чивает ее функционирование. 1. Морская транспортировка//Междуна- — Guidelines On Maritime Cyber Risk
В заключение нужно отметить родная торговая палата — Всемирная Management (Secretariat).pdf (дата об-
следующее. К требованиям закона ассоциация бизнеса: [сайт]. URL: http:// ращения 19.12.17).
необходимо отнестись со всей серьез- www.iccwbo.ru/blog/2016/morskaya- 10. Международная палата судоходства:
ностью. Исходя из опыта реализации transportirovka-vse-tonkosti-protsessa/ [сайт]. URL: http://www.ics-shipping.
новых законов, в частности в сфере (дата обращения 17.12.17). org/docs/default-source/resources/
транспортной безопасности, мож- 2. Кибербезопасность на бескрайних мо- safety-security-and-operations/
но прогнозировать, что вступление в рях: [блог]//Positive Technologies. Ха- guidelines-on-cyber-security-onboard-
силу Закона может повлечь увеличе- брхабр: [сайт]. URL: https://habrahabr. ships.pdf?sfvrsn=16 (дата обращения
ние бюрократических процедур, ко- ru/company/pt/blog/303198/ (дата об- 19.12.17).
личества обязательных для субъекта ращения 17.12.17). 11. «Кодекс торгового мореплавания Рос-
транспортной инфраструктуры и/или 3. Кибербезопасность на бескрайних мо- сийской Федерации» от 30.04.1999
транспортного средства документов, рях: [блог]//Positive Technologies. Ха- № 81-ФЗ (ред. от 18.07.2017).
объема контрольных и надзорных ме- брхабр: [сайт]. URL: https://habrahabr. [Электронный ресурс] URL: http://
роприятий. Содержащиеся в Законе ru/company/pt/blog/303198/ (дата об- www.consultant.ru/document/cons_
определения позволяют представить, ращения 17.12.17). doc_LAW_22916/ (дата обращения
что к КИИ транспорта может быть от- 4. Allianz проанализировал безопасность 19.12.17).
несен весьма широкий круг объектов, судоходства в мире//Allianz: [сайт]. 12. «Кодекс внутреннего водного тран-
включая судовые, береговые и порто- URL: https://www.allianz.ru/ru/press/ спорта Российской Федерации»
вые системы. news/article22445986 (дата обраще- от 07.03.2001 № 24-ФЗ (ред. от
Нормы ИМО рекомендуют осу- ния 17.12.17). 01.07.2017). [Электронный ре-
ществлять управление в отношении 5. Кибербезопасность на бескрайних мо- сурс] URL: http://www.consultant.ru/
киберрисков через естественное рас- рях: [блог]//Positive Technologies. Ха- document/cons_doc_LAW_30650/ (дата
ширение существующих методов брхабр: [сайт]. URL: https://habrahabr. обращения 19.12.17).
управления безопасностью морепла- ru/company/pt/blog/303198/ (дата об- 13. Федеральный закон от 08.11.2007
вания и безопасностью судна. Однако ращения 17.12.17). № 261-ФЗ (ред. от 18.07.2017) «О
российское законодательство различ- 6. См.: Пираты XXI века: как хакеры уг- морских портах в Российской Феде-
ные вопросы безопасности регулирует рожают торговому флоту//IsraelMedia: рации и о внесении изменений в от-
отдельными, не взаимосвязанными [сайт]. URL: http://israelmedia.co.il/ дельные законодательные акты Рос-
нормативными правовыми актами, tec h / p i r a t y - xx i - ve k a - k a k- x a ke r y - сийской Федерации». [Электронный
и реализация комплексного подхода ugrozhayut-torgovomu-flotu/ (дата об- ресурс] URL: http://www.consultant.ru/
к обеспечению безопасности объекта ращения 17.12.17); Руководство IMO document/cons_doc_LAW_72390/ (дата
водного транспорта становится пра- предупреждает о кибер-уязвимости обращения 19.12.17).
ктически невозможной. рулевого устройства//Crewmarket.net: 14. Федеральный закон от 09.02.2007
С учетом сказанного можно легко [сайт]. URL: http://news.crewmarket. № 16-ФЗ (ред. от 06.07.2016)
прогнозировать ситуацию в отсутствие net/2016/05/rukovodstvo-imo- «О транспортной безопасности» (с изм.
интеграции норм ИМО по кибербез- preduprezhdaet-o-kiber-uyazvimosti- и доп., вступ. в силу с 21.12.2016).
опасности и российского законодатель- rulevogo-ustrojstva.html (дата обра- [Электронный ресурс] URL: http://
ства в сфере информационной безопас- щения 17.12.17); Кибербезопасность www.consultant.ru/document/cons_
ности. У судовладельцев и субъектов находится в руках моряков. Моряк doc_LAW_66069/ (дата обращения
морской и речной транспортной инфра- Украины: [блог].//Livejournal: [сайт]. 19.12.17.)
структуры возникнет обязанность со- URL: https://moryakukrainy.livejournal. 15. Приказ Минтранса РФ, ФСБ РФ и МВД
блюдать как международное (ИМО), так com/3843048.html (дата обращения РФ от 5 марта 2010 г. № 52/112/134
и российской законодательство. Иными 17.12.17). 16. «Об утверждении Перечня потенци-
словами, потребуется обеспечить па- 7. Международная морская организация: альных угроз совершения актов не-
раллельное и одновременное функцио- [сайт]. URL: http://www.imo.org/en/ законного вмешательства в деятель-
нирование двух систем информацион- OurWork/Facilitation/FALCommittee/ ность объектов транспортной инфра-
ной безопасности. Facilitation/FAL 41-17 — Table of структуры и транспортных средств».
Необходимо отметить, что эта про- contents (Secretariat).pdf (дата обраще- [Электронный ресурс] URL: http://
блема коснется всей транспортной ния 19.12.17). ivo.garant.ru/#/document/12174831/
сферы, а не только морского и речно- 8. Международная морская органи- paragraph/2:1 (дата обращения
го транспорта. На наш взгляд, Мин- зация: [сайт]. URL: http://www.imo. 19.12.17).
трансу России, подведомственным org/en/OurWork/Security/WestAfrica/ 17. Федеральный закон от 26.07.2017
федеральным агентствам совместно Documents/Resolution MSC.428(98) № 187-ФЗ «О безопасности кри-
с транспортным сообществом целесо- — Maritime Cyber Risk Management in тической информационной инфра-
образно проанализировать ситуацию Safety Management Systems.pdf (дата структуры Российской Федерации».
с обеспечением информационной без- обращения 19.12.17). [Электронный ресурс] URL: http://
опасности транспорта и сформировать 9. Международная морская организация: www.consultant.ru/document/cons_
определенную позицию по данному [сайт]. URL: http://www.imo.org/en/ doc_LAW_220885/ (дата обращения
вопросу. OurWork/Security/Guide_to_Maritime_ 19.12.17).

46 | «Транспорт Российской Федерации» №1 (74) 2018

Оценить