25 ноября 2020 17:12

фото: Иван Шаповалов / Пресс-служба ОАО «РЖД»

Требуется обновление

ОАО «РЖД» создаёт собственную классификацию уязвимостей информационных систем

В минувший четверг прошла онлайн-конференция Information Security, посвящённая защите информации в автоматизированных системах управления технологическим процессом (АСУ ТП), а также безопасности критической информационной инфраструктуры. В ходе мероприятия представитель Центра кибербезопасности АО «НИИАС» рассказал об опыте проверки программно-управляемых объектов и комплексов ОАО «РЖД», реализации программ импортозамещения и локализации производства, а также о планах в этой области на 2021 год. В частности, институт планирует развивать и совершенствовать нормативную и методологическую базу.
По словам главного специалиста Центра кибербезопасности АО «НИИАС» (дочерняя структура ОАО «РЖД») Романа Бакуркина, в РЖД для осуществления транспортной деятельности задействовано очень большое количество различных систем управления, которые условно можно поделить на три типа – локомотивные (располагаются на борт), объектов железнодорожной инфраструктуры (обслуживают станции, перегоны, горки и другие объекты), а также системы связи.
«Они представлены большим количеством различных производителей – сейчас их более 70, среди которых ЭЛТЕЗА, научно-производственный центр «Промэлектроника», ОАО «Радиоавионика», – отметил он. – Ввиду такого разнообразия систем первое время работа Центра кибербезопасности тормозилась из-за отсутствия нормативных и методологических документов. Поэтому мы занимались разработкой требований по кибербезопасности микропроцессорных систем управления (МПСУ) движением поездов, локомотивами и электроснабжением, станционными системами. В настоящее время часть этих документов немного устарела, и мы планируем работы по их совершенствованию».

Роман Бакурин рассказал, что процесс проверки на кибербезопасность систем управления регламентирован внутренними документами и стандартами организации (СТО).
«В результате таких проверок мы делаем полный отчёт, в котором представлен процесс исследования уязвимостей, а также рекомендации для их устранения. Кроме того, выдаётся экспертное заключение, в котором даются краткие выводы о полученных результатах», – заметил он.

НИИАС занимается проверкой не только существующих систем, но и экспертизой планируемой к закупке техники.
«В своих моделях угроз мы чаще всего выделяем два основных класса – угроза безопасности движения подвижного состава и угроза снижения эффективности перевозочного процесса. Первая непосредственно связана с нарушением функциональной безопасности и может привести к серьёзным последствиям, к примеру, к сходу составов с рельсов или столкновению поездов. Вторая может выражаться в задержке поездов или неправильном формировании составов при сортировке», – сказал Роман Бакурин.

Согласно статистики НИИАСа, почти 20% всех выявленных уязвимостей носят критическую степень опасности, то есть при определённых обстоятельствах они могли привести к угрозам безопасности движения.
«Это связано в первую очередь с использованием устаревших программных компонентов с известными уязвимостями, отсутствием встроенных средств защиты. Кроме того, в связи с тем, что системы разрабатывались достаточно давно, к ним зачастую не применялись требования по безопасности», – рассказал эксперт.

По мнению участников мероприятия, модель, которую выбрали РЖД в сфере кибербезопасности, является эффективной, перспективной, а также может послужить п римером для других предприятий.

Генеральный директор компании «Гротек» (занимается отраслевыми бизнес-коммуникациями в области безопасности, информационных технологий, строительства и транспорта) Андрей Мирошкин отметил, что производственное оборудование компаний, у которых есть критические процессы и инфраструктура, зачастую базируется на устаревшем ПО.
«Такая модель, когда вы, по сути, на входе, то есть при закупке и обновлении, проверяете всё, что планируется внедрить, встречается очень редко. Это действительно трендовая вещь, и пока существует мало органичных объединений и организационных воплощений такой идеи», – отметил он.

В 2021 году Центр кибербезопасности АО «НИИАС» планирует проверить ещё восемь систем управления. Также институт будет развивать нормативную базу и создавать собственную методику для классификации уязвимостей. Кроме того, планируется разработать «Паспорт комплексной транспортной безопасности» – документ, в котором будут отражены вопросы информационной функциональной и транспортной кибер- и физической безопасности, а также вопросы импортозамещения.

Также запланировано выполнение научно-исследовательских и опытно-конструкторских работ по расширению спектра выполняемых программно-аппаратных средств, методик, проверок на киберзащищённость МПСУ.

Ксения Потаева

Пн Вт Ср Чт Пт Сб Вс
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31