Круглый стол: Критические информационные ресурсы и инфраструктура
Идентификация, обеспечение защиты и устойчивости
Мы пригласили ведущих российских и зарубежных экспертов поделиться своими взглядами на вопросы, связанные с критической инфраструктурой. В качестве формата обсуждения мы выбрали "круглый стол", виртуальный, разумеется, - в духе нашего издания.
Ваше определение критической инфраструктуры?
Михаил Кадер, инженер компании Cisco
Есть несколько разных определений. Мне, как человеку много лет занимающемуся вопросами информационной безопасности, близко вот такое – из РД ФСТЭК: «Ключевая (критически важная) система информационной инфраструктуры (КСИИ) — информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление критически важным объектом (процессом), или информационное обеспечение управления таким объектом (процессом), или официальное информирование граждан, и в результате деструктивных информационных воздействий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями».
Александр Ильин, технический директор MSK-IX
Если говорить об уровне отдельного государства, то критическая инфраструктура – это совокупность разного рода объектов и связей между ними, нарушение работы которой приводит к серьезным последствиям в жизнедеятельности общества, включая экономику, информационное пространство, уровень безопасности населения и т.д.
Для конкретного государства таких систем можно выделить несколько – в частности, для их определения в случае нашей страны можно отталкиваться от распоряжения правительства РФ от 23 июня 2006 г. № 411-рс «Об утверждении Перечня критически важных объектов Российской Федерации».
Дмитрий Мариничев, Интернет-омбудсмен
Мне не очень нравится словосочетание «критическая инфраструктура», поскольку в любой технической системе присутствуют точки отказа – уязвимые компоненты, которые при выходе их строя затрудняют или делают невозможной работу всей системы. Обычно такие системы многократно резервируются и дублируются, но бывают элементы, которые продублировать нельзя (точно так же, как человеку нельзя вырастить второе сердце для резерва). Именно такие важные элементы и заслуживают наибольшего внимания и наибольшей защиты.
Герман Клименко, советник президента РФ
Если говорить в общем, то это совокупность технологических объектов и связей между ними, достаточных для функционирования управляемой системы. Рассматривая критичность инфраструктуры в аспекте общественной безопасности, можно сказать, что это инфраструктура, нарушение, отказ или разрушение которой могли бы оказать серьезное влияние на здоровье населения, общественные и политические дела, окружающую среду, безопасность и социально- экономическое благополучие. Но это лишь одно из определений – вопросами критической инфраструктуры озаботились сейчас практически все страны, и каждое государство привносит в него свой смысл и свою специфику.
Марко Хохевонинг (Marco Hogewoning)
Во-первых, мне не кажется, что можно четко разграничить Критическую инфраструктуру (КИ) и Критическую информационную инфраструктуру (КИИ). Любой компонент инфраструктуры может быть критическим, иногда это затрагивает и цифровые системы, служащие для передачи, обработки или хранения информации. Критичность системы или элемента, в конечном счете, как говорят, “в глазах смотрящего”. Все зависит от того, какой экономический ущерб нанесет прерывание обслуживания или сбой, как оно повлияет на безопасность (либо ощущение безопасности). Говоря о КИ, мы часто сразу думаем о катастрофах на макроуровне, таких как крупномасштабные аварии электросети или ИТ-сбои в аэропортах, которые вызывают крупные задержки и отмену вылетов. Но есть и микроуровень. Потеря мобильного соединения с Интернетом на одном-единственном карточном терминале может не восприниматься как КИ-отказ… но если вы владелец маленькой фирмы и терминал ваш, невозможность обработки платежей поставит под угрозу весь бизнес.
Какие информационные услуги и системы, с Вашей точки зрения, относятся к критическим ресурсам глобальной сети Интернет? Национального сегмента Интернета?
Александр Ильин, технический директор MSK-IX
В глобальной сети Интернет, на мой взгляд, можно выделить следующие ключевые подсистемы – это физическая инфраструктура (дата-центры, линии связи, каналообразующее, маршрутизирующее, коммутирующее и прочее сетевое оборудование, системы электроснабжения, рабочие станции пользователей и др.) и логическая инфраструктура (системы баз данных, доменных имен DNS, поисковые системы, операционные системы и программное обеспечение пользователей). С точки зрения степени влияния на работу сети Интернет, на мой взгляд, физическая инфраструктура имеет существенно более важное значение. Однако следует отметить, что Интернет развивался не один десяток лет, и за это время появилось множество технических решений, минимизирующих влияние физической инфраструктуры на пользователей путем многократного резервирования и повышения надежно- сти ее отдельных элементов. Конечно, существуют некоторые государства, где по каким-либо причинам (например, политическим) внедрение этих технических решений существенно ограничено, что приводит к повышению критичности инфраструктуры – в качестве примера можно привести выход из строя трансграничных переходов в Сирии в 2012 году. Тем не менее, если рассматривать вопрос на уровне глобальной сети, то сегодняшние реалии таковы, что, например, выход из строя отдельного, даже крупного провайдера или какого-либо дата-центра не оказывает существенного влияния на инфраструктуру в целом. Сюда же можно отнести и точки взаимодействия и обмена трафиком. Большинство операторов Интернета имеют полное резервирование с использованием различных каналов связи, поэтому возможное отключение одной из точек обмена трафиком может лишь привести к перераспределению потоков данных, после чего достаточно быстро сеть примет опять равновесное стабильное состояние.
Михаил Кадер, инженер компании Cisco
Я бы отнес к ним несколько основных и вспомогательных систем – конечно, службу доменных имен DNS, маршрутизацию, системы управления и службу сетевого времени (NTP).
Герман Клименко, советник президента РФ
Никакие информационные услуги не являются и не могут являться критическими ресурсами глобальной сети Интернет. Наиболее критической является энергосистема, затем – сети электросвязи, и, наконец – системы, поддерживающие технические стандарты, адресацию сети Интернет и маршрутизацию. Что касается «Национального сегмента Интернет», то для него критичнее всего национальное регулирование. Впрочем, для информационных услуг существует однозначный показатель критичности: в том случае, когда речь идет об оповещении граждан о чрезвычайных происшествиях. Тут необходима простая и безотказно работающая система, на которую должно быть минимизировано даже теоретическое деструктивное воздействие.
Марко Хохевонинг (Marco Hogewoning)
Интернет с самого начала проектировался с расчетом на сбои. Вряд ли есть вообще какие-либо системы или компоненты, которые могут считаться критическими на глобальном уровне. Для любой системы, которую можно счесть критической, имеются альтернативные системы, которые могут оказывать эквивалентные услуги в случае ее отказа. Интернет в силу своего децентрализованного устройства (по крайней мере, на техническом уровне) не содержит компонентов, чей отказ приводит к отказу всей системы (так называемых SPOF – single points of failure). С логической или организационной точек зрения, может показаться, что SPOF существуют, но их (временная) недоступность не должна иметь значительного воздействия на потоки данных или услуги, оказываемые по Интернету. Это при условии, что сети спроектированы как положено, с расчетом на возможность отказа или недоступности того или иного элемента или услуги. Это что касается глобального масштаба. На национальном уровне в теории должно быть то же самое. Однако, если рассмотреть вопрос на более детальном уровне, как в примере с владельцем маленькой фирмы, то окажется, что “незначительный локальный сбой”, каким он виделся с макроуровня, может оказаться критическим для пользователя, затронуто го сбоем. Вообще, чем более децентрализованы система и ее управляющие элементы, тем менее вероятно, что отказ конкретного сервиса приведет к критическому сбою. Дело в том, что в подобных сценариях критические системы, зависящие от этой службы, обычно могут переключиться на резервные системы и альтернативных поставщиков сервисов. Разумеется, есть примеры, когда длительный и масштабный отказ неизбежен и имеет значительные последствия в локальном масштабе, например пожар в центре данных Vodafone в Нидерландах несколько лет на- зад, когда без связи остались и общественный транспорт, и некоторые госструктуры. Но, опять же, с национальной точки зрения потеря мобильной связи была локализована в небольшом регионе, и удалось относительно быстро и легко справиться с последствиями и восстановить связь.
Дмитрий Мариничев, Интернет-омбудсмен
Это очень интересный вопрос, и под- ходить к нему можно с разных сторон. Критической обычно принято называть инфраструктуру, от работы которой зависит выполнение какой-то очень важной функции. Однако эта функция может быть очень разной для разных заказчиков. При- веду такой пример – когда-то давно мы работали с крупным банком, строили ему информационную систему. Применяли при этом классический инженерный подход – для повышения надежности дублировали каналы связи, терминалы, обрабатывающее ядро. А потом в разговоре с руководством банка выяснилось, что критичным для бизнеса является работа принтера и наличие в нем бумаги. Просто потому что когда клиент придет, необходимо распечатать договор и подписать его с ним, а занести в общую базу его можно и позже. Соответственно и при обсуждении критичности той или иной инфраструктуры нужно понимать, кому и какую функцию она помогает выполнять. Отсюда следует что для государства это будет один набор технических систем, для пользователей – другой, а для бизнеса – третий, и в общем случае они совсем не обязательно пересекаются.
Есть ли в Интернете «критически важные объекты», влияющие на работоспособность всей глобальной сети?
Дмитрий Мариничев, Интернет-омбудсмен
Безусловно. И помимо всех тех технических систем, которые обычно называют в этой связи (системы DNS корневых и национальных доменов, точки обмена трафиком, сети Tier I операторов, корневые удостоверяющие центры TLS), я бы хотел отметить, что ключевую роль в работе интернета играют отдельные люди и коллективы. Они обладают уникальными знаниями, компетенциями, чрезвычайно важной информацией (пароли, порядок доступа и т.д.). Отсутствие такого человека в доступности может нанести существенный урон работе интернета, сравнимый с отключением любой из технических систем.
Михаил Кадер, инженер компании Cisco
Да, в первую очередь маршрутизация, в случае ее масштабного сбоя сеть просто перестанет работать, или информация пойдет в «чужие» руки. Поэтому защита всех узловых элементов сети, например, магистральных маршрутизаторов BGP, серверов маршрутизации (routeservers), там, где они применяются, и про- чих, должна быть обеспечена обязательно.
То же самое касается и службы DNS. При ее выходе из строя или манипуляции ею могут возникать и масштабные сбои, а так- же осуществляться несанкционированный доступ к информации.
Герман Клименко, советник президента РФ
Естественно, есть, хотя интернет и является устойчивой и надежной системой – именно так его проектировали в самом начале. Но, тем не менее, отсутствие электричества может оставить без интерне- та район, город, страну или даже континент. А разрушение магистральной линии связи (например, повреждение подводного кабеля) неоднократно приводило к проблемам с доступом в глобальную сеть в целых регионах (речь идет не только и не столько о России, на памяти относительно недавний случай с Австралией, к примеру). Можно приводить множество примеров того, как можно нарушить связность – но, к счастью, сеть устроена так, что обходные пути находятся достаточно быстро, и работоспособность в той или иной степени восстанавливается.
<img loading="lazy" decoding="async" src="https://ii.org.ru/wp-content/uploads/2016/10/ailin.jpg" alt="Александр Ильин, технический директор MSK-IX" width="150" height="150" align="left" style="margin: 0px 15px 0px 0px;" /> Александр Ильин, технический директор MSK-IX
Пожалуй, единственным критически важным объектом, имеющим косвенное влияние на работоспособность всей глобальной сети, можно назвать систему корневых узлов DNS. И опять-таки, этот объект можно назвать критичным с очень большими оговорками. Известны протоколы связи, которые не используют в своей работе DNS, и их это никак не затрагивает. Следует отметить также, что в виду множественности глобального доменного пространства, используемого во всех странах мира, национальная система DNS (поддерживающая национальные доменные имена), по моему мнению, не является критической и может характеризоваться только как существенная.
Чем нужно руководствоваться при идентификации критической инфраструктуры? Какие факторы определяют критичность инфраструктуры какого-либо объекта?
Михаил Кадер, инженер компании Cisco
Тут все и просто, и сложно. Смотрим определение вначале. Видим, что если выполняются описанные там критерии – вот вам и критическая инфраструктура. Пример из московской жизни – перевел МГТС своих абонентов на GPON и запустил телефонию поверх него в режиме IP с сигнализацией SIP, а «старую» телефонию отключил. Вот и стала IP-телефония МГТС-а критической инфраструктурой, потому что может оказаться единственной системой оперативного оповещения граждан. Но вот сам Интернет таким для граждан не является. Они и без него вполне могут прожить. Например, если не работает портал госуслуг, жизнь от этого не остановиться, можно и в МФЦ спокойно сходить. А все меж- и внутриведомственные системы обмена информации по своим каналам связи живут, и серверами внутренними пользуются. Поэтому от Интернета не зависят. Т.е. Интернет еще пока в нашей стране не стал такой критической инфраструктурой. С ним, конечно, гораздо удобнее и продуктивнее, но и без него – ПОКА не катастрофа. Пишу ПОКА, потому что развитие технологий и оптимизация затрат на обмен данными может привести к тому, что Интернет станет просто основной и телекоммуникационной средой для ряда критически важных объектов, и тогда окажется критической инфраструктурой.
Александр Ильин, технический директор MSK-IX
Идентификация критической инфраструктуры должна производиться на основе оценки соответствующих экспертных групп. Стартовать можно от уже ранее принятых документов – в качестве примера можно привести упомянутое мною выше постановление правительства РФ. А что касается факторов, определяющих критичность инфраструктуры, то я отнес бы к ним масштаб негативного воздействия при аварии инфраструктуры, а также роль, которую играет доступ к ней для нормальной жизнедеятельности общества.
Дмитрий Мариничев, Интернет-омбудсмен
Для того чтобы понять, насколько система важна для выполнения какой-то функции (что и определяет принадлежность к критической инфраструктуре), необходимо смоделировать ситуацию, при которой эта система перестает работать и попытаться оценить последствия. И так последовательно «отключая» различные звенья мы выделяем наиболее важные из них, определяем их вес, оцениваем, какой ущерб это может принести смежным системам. И в результате такого ранжирования можно выделить составляющие, которые являются наиболее важными для работы интернета.
Герман Клименко, советник президента РФ
В первую очередь – техническими стандартами. Затем – практическим опытом и здравым смыслом. К любому объекту нужен индивидуальный подход, нужно выявить его слабые и сильные стороны в части безопасности и тогда уже говорить о факторах, которые требуют наибольшего внимания. В общем случае я бы отметил три важных фактора: влияние на экономику, влияние на население и влияние на национальную безопасность. Все остальное, по сути, вторично, и если эти три позиции защищены, то можно считать, что критическая инфраструктура имеет высокую защиту.
Марко Хохевонинг (Marco Hogewoning)
На этот вопрос нужно отвечать, рассматривая ситуацию снизу вверх. Единственное лицо или организация, которые реально могут определить эффект конкретного сбоя (будь то отказ элемента или системная ошибка) – это тот, кто зависит от соответствующего сервиса. Разумеется, ответы таких лиц необходимо агрегировать и экстраполировать на более высоком уровне, чтобы определить эффект сбоя и вероятность более широкомасштабных отказов.
Второй важный шаг – выполнять моделирование и (где возможно) тесты, чтобы обеспечить функционирование отказоустойчивых систем и отсутствие неотслеженных зависимостей или каскадных эффектов, которые могли бы превратить отказ системы или элемента в критический. В рамках этой парадигмы критичность конкретного элемента инфраструктуры определяется критичностью си стем и инфраструктуры, зависящих от него, и, что еще более важно, способностью этих систем переключиться на альтернативную.
Кто и как должен быть вовлечен в обеспечение надежности и безопасности критической инфраструктуры? Как должно происходить взаимодействие между сторонами, вовлеченными в процесс обеспечения безопасности?
Дмитрий Мариничев, Интернет-омбудсмен
В этом процессе должны участвовать самые разные стороны, и тут недопустимы перекосы. Опыт многих стран показывает, что операторами критической инфраструктуры очень часто являются коммерческие, негосударственные компании. Конкуренция на свободном рынке позволяет им достигать необходимо- го качества работы лучше и быстрее любого другого стимулирующего механизма. Безусловно, государство должно принимать участие в этом процессе путем лицензирования, установления стандартов качества, аудита, однако ни в коем случае не должно происходить огосударствления таких операторов. Кроме того желательно избегать образования сверхмассивных структур, ответственных сразу «за все», так как имен- но они и становятся теми самыми точками максимальной уязвимости.
Михаил Кадер, инженер компании Cisco
Это, наверное, самый сложный вопрос. Это и многочисленные учреждения, отвечающие за безопасность страны, например, СовБез, ФСБ, ФСТЭК и т.п., а также организации, отвечающие за функционирование этих инфраструктур. Если посмотреть на историю с МГТС, о которой я говорил чуть раньше, – они тоже должны быть вовлечены в обеспечение надежности. А распределение ролей достаточно стандартно. Агентства по безопасности, в рамках своих полномочий, разрабатывают требования по защите критических инфраструктур, например, ФСТЭК и ФСБ. Оператор или другая уполномоченная компания, обслуживающая эту инфраструктуру, обеспечивает их выполнение – например, МГТС. А также должен существовать уполномоченный орган, проверяющий выполнение требований – тот же Роскомнадзор.
Александр Ильин, технический директор MSK-IX
Это процесс многосторонний, участие всех организаций, структур и физических лиц, имеющих отношение к данной критической инфраструктуре, должно быть четко регламентировано. Соответствующая документальная база должна быть разработана компетентными экспертными группами, с учетом всех технических и юридических аспектов, и с участием государства.
Герман Клименко, советник президента РФ
Операторы, управляющие объектами, инженеры, эксперты, системные архитекторы. Формат взаимодействия может быть различным на разных уровнях, главное – не ломать существующие уже способы и моде- ли взаимодействия в области безопасности. Во многом подход к безопасности критической инфраструктуры должен решаться на государственном уровне. В первую очередь нужна полноценная и продуманная нормативная база и координирующий орган, который бы занимался, в том числе, сбором и обменом информацией об угрозах и путях борьбы с ними, следил за актуальностью нормативных документов и вовремя их пересматривал, внося изменения. Необходимо развивать государственно-частное партнерство и привлекать к решению вопросов безопасности критической инфраструктуры частные компании в области информационной безопасности. Нужно готовить квалифицированные кадры и т.д.
Марко Хохевонинг (Marco Hogewoning)
Инженеры, которые проектируют и эксплуатируют инфраструктуру, лучше всего могут оценить надежность и безопасность своих систем и должны иметь достаточное право голоса в процессе. Разумеется, госорганы и академические организации тоже играют роль в поддержке этого процесса, собирая и агрегируя оценки на национальном уровне и обеспечивая просвещение людей о зависимостях между различными сервисами и системами. Что касается взаимозависимости систем, например зависимости центра данных и электросети друг от друга, необходима некая степень (международного) сотрудничества, чтобы гарантировать участие в дискуссии всех заинтересованных сторон и информирование каждой из них о заботах другой и ее возможности урегулирования рисков в своей деятельности.
Какими дополнительными обязанностями и правами должны, с Вашей точки зрения, обладать операторы критической инфраструктуры и услуг, другие вовлеченные стороны?
Дмитрий Мариничев, Интернет-омбудсмен
Наделение какой-то организации статусом оператора критически важной инфраструктуры, безусловно, сильно сказывается на ее работе. Такая компания должна соответствовать большому количеству требований по безопасности, надежности, устойчивости работы, проходить регулярные проверки и аудит. Причем требования эти формируются не только исходя их отраслевых стандартов – в их формировании участвует и «заказчик» – тот, для кого эта инфраструктура особенно важна. Например, в Испании и Португалии расположен ряд узлов связи, которые обеспечивают связность континентальной Европы с Америкой через трансатлантические каналы. Так вот система безопасности ЦОДов, в которых эти узлы связи расположены, должна удовлетворять в том числе и государственным требованиям. В то же время такие организации могут иметь и дополнительные преференции. Прежде всего финансовые о стороны государства – оно платит компаниям за поддержание какой-то крайне важной для всего интернета функции. Также они авто матом получают большие репутационные преимущества: точно так же как раньше только лучшие производители удостаивались звания «Поставщик двора его императорского величества», так и сейчас – это знак высочайшего качества услуг.
Герман Клименко, советник президента РФ
Исключительно теми, которые определены консенсусом между всеми заинтересованными сторонами. Операторы сами заинтересованы в том, чтобы вверенные им объекты работали как часы. У каждого есть уже определенные и сформированные временем обязанности, и заниматься каждый должен своим делом.
Марко Хохевонинг (Marco Hogewoning)
Жизненно важно, чтобы каждый нес ответственность за свой кусочек этой головоломки, это относится и к конечным пользователям. Конечный пользователь, будь то частное лицо или компания, должен сам выполнять оценку того, насколько критичны для него конкретные сервисы или элементы инфраструктуры, и рассматривать любые альтернативные варианты или резервные системы, которые могли бы предотвратить превращение сбоя в критический.
Михаил Кадер, инженер компании Cisco
Мне сложно детально ответить на этот вопрос. Как минимум должна быть обязанность и проработанный порядок оповещения о возникновении сбоев. В зависимости от объекта и уровня инцидента – это может быть и узкий круг лиц, а может быть и население всей страны. Соответственно, операторы такой инфраструктуры должны иметь необходимый доступ к системам оповещения, а также к персональным данным оповещаемых. А также, естественно, иметь утвержденный порядок взаимодействия с силовыми ведомствами.
Александр Ильин, технический директор MSK-IX
Права и обязанности операторов и других сторон, участвующих в эксплуатации и поддержке критической инфраструктуры, должны вытекать из документов и регламентов, которые разрабатываются на основе взаимной договоренности и работы экспертных групп. Ключевую роль играет компетентность участников этого процесса, учет международного опыта и разумная регуляция со стороны государства.
За чей счет должно финансироваться обеспечение устойчивости и безопасности таких объектов, если они есть?
Дмитрий Мариничев, Интернет-омбудсмен
Финансирование работы любых технических систем идет за счет того, кому в первую очередь нужно чтобы эти системы работали. Чуть ранее мы говорили о том, что критическая инфраструктура может иметь разный состав в зависимости от того, кому и какую функцию она помогает выполнять. Соответствен- но будет логичным, если пользователи, государство и бизнес будут оплачивать работу тех систем, которые необходимы для их нормального функционирования, и для выполнения, соответственно, государственных или бизнесовых функций или удовлетворения интересов пользователей.
Александр Ильин, технический директор MSK-IX
Сеть Интернет успешно развивается на протяжении нескольких десятков лет, и ее относительная устойчивость и безопасность базируется на различных финансовых источниках. Во-первых, это между- народное сообщество, включая группы (IETF и др.), работающие над стандартами, обеспечивающими стабильность новых решений и платформ – они имеют негосударственное финансирование. Во-вторых, разработанные технологии и сервисы применяются в рамках коммерческих проектов, для которых устойчивость и безопасность являются жизненно необходимыми. Наконец, возможно дополнительное финансирование со стороны государства, в случае возникновения каких-либо требований, диктуемых законодательством или общественными интересами.
Герман Клименко, советник президента РФ
За счет их владельцев и заинтересованных сторон. Здесь необходимо применять механизмы партнерства – далеко не всегда у пользователей таких объектов есть выбор, поэтому в устойчивости, безопасности и безотказной работе заинтересованы все, вплоть до государственных органов, если речь идет о функционировании системы, затрагиваю- щей многие сферы деятельности граждан.
Михаил Кадер, инженер компании Cisco
Думаю, что обязательно должно быть государственное финансирование. Так как критические инфраструктуры обеспечивают функционирование критически важных объектов – а это гос и муниципальные учреждения, силовые ведомства т.п. – т.е в первую очередь бюджетные учреждения, то государство и должно нести затраты на инфраструктуру для их функционирования. Если это «разделяемая» инфраструктура, т.е. используемая и для других, например, коммерческих задач, тогда государство должно обеспечивать только частичное финансирование.