Специальное интервью для Sky review начальника отдела авиационной кибербезопасности ФГУП ГосНИИ ГА Андрея Никитина.

Внедрение информационных технологий в сферу авиации и ОрВД значительно повысило качество предоставляемых услуг. Цифровизация неба дает преимущества и компаниям, и конечным потребителям. Авиационный товарообмен все чаще осуществляется через специальные приложения, при помощи различных IT-опций.

Цифровая трансформация авиационной отрасли, интенсивность информационного обмена, а также рост участников этого процесса стали источником серьезной проблемы, связанной с обеспечением кибербезопасности. Все чаще крупнейшие аэропорты, компании и поставщики аэронавигационных услуг становятся жертвами хакеров и киберпреступников. И пока противоядия этому не найдено.

Вопрос информационной защищенности в авиации актуализирован на уровне ИКАО. Международная организация призывает стран-участниц активней обмениваться опытом и предпринимать усилия для внедрения успешных методов профилактики киберугроз.

Одним из проводников политики ИКАО по кибербезопасности в России является Государственный научно-исследовательский институт гражданской авиации (ФГУП ГосНИИ ГА). Его сотрудники осуществляют большую просветительскую работу в этой сфере. Об актуальных вопросах кибербезопасности, о тенденциях и векторах развития технологий защиты в этой области рассказывает эксперт ГосНИИ ГА Андрей Никитин.

- Андрей Васильевич, сегодня о кибербезопасности в авиации говорят много. Однако складывается ощущение, что в этот термин зачастую вкладываются разные понятия. Так что же такое кибербезопасность?

- Да, действительно, в настоящее время нет единой терминологии в данной области - различные специалисты придерживаются разных мнений. На сегодняшний день такие термины, как киберустойчивость, кибербезопасность, информационная безопасность имеют множество определений. При этом ни в одном нормативно-правовом акте в РФ нет терминов в области информационной безопасности с префиксом "кибер". В 2013-2014 годах на уровне Совета Федерации была предпринята попытка создания концепции стратегии кибербезопасности России. На сайте верхней палаты российского парламента был опубликован проект концепции, однако этот документ так и остался проектом. Пожалуй, в силу своей "сырой" проработки и несоответствия содержания духу документа.

Интересная ситуация и на Западе. Однозначно устоявшихся определений нет и там. Существуют различные определения от компании Gartner, Департамента внутренней безопасности США, института NIST. В англоязычном мире сегодня используются два термина, которые на русский язык переводятся как кибербезопасность, - cybersafety и cybersecurity. Различия и нюансы в понимании этих двух понятий на Западе тоже приводит к разным точкам зрения.

Я склонен придерживаться позиции Мигэля Гухлина (Miguel Guhlin) из института TCEA. Cybersafety - это все, что касается политики в области кибербезопасности, правил работы в цифровом мире, принципов защиты цифровых профилей личностей. Cybersecurity - это защита технологической инфраструктуры, такой, как сети, компьютеры, облачные приложения и данные от злонамеренных действий. Когда мы говорим о кибербезопасности в авиационной отрасли, то ориентируемся на следующие два определения.

Киберустойчивость - способность информационной системы, информационно-телекоммуникационной сети или автоматизированной системы управления выдерживать состояние сниженных рабочих характеристик, возникшее в результате угроз и инцидентов, в том числе, утраты или порчи данных и системных нарушений, таких, как потеря возможности установления связи или интероперабельности, а также способность выходить из этого состояния (ICAO, AN-Conf/13-WP/27).

Кибербезопасность - это состояние, при котором все составляющие киберпространства защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями, при котором обеспечены конфиденциальность, доступность и целостность информации, находящейся в этом киберпространстве.

- Как давно возникла проблема обеспечения информационной безопасности в авиации?

- Сложно сказать, в какой конкретно момент стала актуальна тематика обеспечения кибербезопасности в авиации. Полагаю, в последние 10-20 лет. Это связано, во-первых, с проникновением ИТ-технологий практически во все процессы авиационной деятельности, что привело к увеличению количества разнообразных информационных систем (зачастую не обладающих интероперабельностью) и к росту рисков, связанных с возможными непреднамеренными нарушениями работы в этих системах. Во-вторых, в связи с активизацией различных хакерских групп и обнародованием результатов нескольких удачных крупных хакерских атак, затрагивающих критические информационные системы целых государств. На мой взгляд, косвенно повышает актуальность данного направления и ужесточение политики в области мировой авиационной и транспортной безопасности. Эффективность принятых в данном направлении мер также может вынуждать злоумышленников совершенствовать свои методы и искать иные способы атак.

- Какова позиция ИКАО по кибербезопасности? Какие основные направления деятельности этой организации здесь можно отметить?

- Впервые вопрос кибербезопасности был поднят на высоком уровне в 2016 году в рамках 39-ой сессии ассамблеи ИКАО. Была принята резолюция А39-19, посвященная решению проблем кибербезопасности в гражданской авиации. В документе отмечается, что глобальная система авиации представляет собой чрезвычайно сложную и интегрированную систему. Она включает в себя информационные и связные технологии, имеющие критически важное значение для безопасности полетов и безопасности гражданской авиации в целом. ИКАО признает многогранность и комплексный характер проблем и решений в сфере кибербезопасности.

По данной тематике в дальнейшем было проведено много мероприятий. В 2017 году в Дубае состоялся кибер-саммит и была принята "Дубайская декларация", олицетворяющая обязательства и единство сектора воздушного транспорта в обеспечении эффективной киберустойчивости. А в октябре 2018 года в Монреале прошла Тринадцатая аэронавигационная конференция, в рамках которой присутствовал отдельный пункт повестки дня по киберустойчивости. По итогам конференции были опубликованы и нашли свое отражение в резолюции 14 документов по вопросам кибербезопасности.

В августе 2017 г. создана Исследовательская группа Секретариата ИКАО по кибербезопасности. Работа внутри нее осуществляется по четырем секторам: аэронавигационные системы, летная годность, аэропорты, юридические аспекты. Основной задачей каждого направления является разработка высокоуровневой стратегии для скоординированных и гармонизированных
действий в вопросах кибербезопасности. В работе исследовательской группы по всем направлениям активное участие принимают представители от РФ, в том числе, сотрудники ФГУП ГосНИИ ГА.

Исследовательская группа сегодня отмечает наличие комплексной проблемы обеспечения безопасности от киберугроз в гражданской авиации. Также в ходе своей деятельности группа пришла к выводу, что ввиду высокой интеграции и сложности связей, очень уязвимыми становятся цепочки поставок путем манипулирования или замены оборудования, прошивок, данных или программного обеспечения в рамках процессов производства или эксплуатации объектов ГА. Также группой отмечается первостепенная важность обнаружения искажений или манипулирований информацией при осуществлении деятельности в сфере гражданской авиации, поскольку обнаружение таких изменений занимает длительное время.

Основным достижением исследовательской группы стало представление Стратегии кибербезопасности в области гражданской авиации к 40-ой Сессии ассамблеи ИКАО в 2019 г., основной целью которой является устойчивость авиационного сектора к кибератакам при сохранении надежности и глобального доверия к себе в условиях внедрения инноваций и непрерывного развития. В рамках 40-я сессии Ассамблеи ИКАО подтвердила важность и безотлагательность защиты критически важных систем инфраструктуры гражданской авиации и ее данных от кибератак и принятия глобальных обязательств со стороны ИКАО, ее государств-членов и заинтересованных сторон отрасли в отношении предпринятия действий, направленных на совместное и системное решение проблем кибербезопасности в гражданской авиации и устранения соответствующих угроз и рисков.

В настоящее время Исследовательская группа продолжает работу по анализу международных документов по воздушному праву, которые могут применяться в области кибербезопасности, а также проводит работы по изучению положений и руководств ИКАО на предмет их актуальности применительно к кибербезопасности. Важность такой работы обусловлена необходимостью определения уровня охвата вопросов кибербезопасности положениями стандартов и рекомендуемой практики (SARPS) ИКАО, а также уровня толкования или существующих пробелов.

- Имеются ли на сегодняшний день успешные кейсы в области реализации комплексных программ по кибербезопасности в отдельно взятых государствах?

- Государственные стратегии кибербезопасности есть в США, Канаде, Великобритании, Японии и во многих странах Евросоюза. Как правило, эти документы направлены на построение модели, политики и механизмов с целью обеспечения кибербезопасности. В них дается четкое обозначение ролей, прав и ответственности субъектов; определение критических информационных инфраструктур, в том числе, основных активов, сервисов и взаимозависимостей; разработка системного и интегрированного подхода к государственному управлению рисками.

Поскольку согласованного определения кибербезопасности нет, в каждой стране ключевые термины могут значительно различаться. Как следствие - разные подходы и к составлению стратегий кибербезопасности, а также к их содержанию. Говорить об успешности той или иной стратегии сегодня не приходится - инструменты, которые бы позволили это оценить, попросту отсутствуют.

С опубликованием стратегии кибербезопасности в области гражданской авиации, думаю, постепенно мировое сообщество придет к единому понимаю ключевых терминов и постановке единых целей в области обеспечения кибербезопасности в гражданской авиации.

- А что предлагают для повышения киберзащищенности крупнейшие IT-компании? Имеются ли у них предложения и разработки в этой области?

- Здесь следует строго разделять решения для обеспечения безопасности корпоративного и технологического сегментов. Что касается первого, то сегодня на рынке представлено большое количество различных решений, обладающих своими достоинствами и недостатками. Это позволяет специалистам выбирать соответствующие решения на основании поставленных задач и финансовых возможностей. А вот с технологическим сегментом не все так просто. С одной стороны, далеко не всегда решения под корпоративный сегмент можно использовать в технологическом сегменте, с другой - как таковых специализированных разработчиков или интеграторов в области обеспечения безопасности технологического сегмента авиационного сектора практически нет. Как правило, разработчики существующих систем одновременно являются и производителями продуктов для их защиты, а такая ситуация может приводить к снижению доверительной среды для этих решений.

- Как обстоит ситуация с авиационной кибербезопасностью в РФ: законодательство, практика, разработки?

- В России обеспечение безопасности авиационных информационных систем и защита каналов передачи данных, используемых в ГА, осуществляются согласно стандартам и рекомендуемой практике, содержащимся в Приложении 17 "Безопасность. Защита международной гражданской авиации от актов незаконного вмешательства" к Конвенции о международной гражданской авиации, положениям Руководства ИКАО по авиационной безопасности (Doc 8973) (Глава 18), Рабочим документом A39-WP/17. Решение проблем кибербезопасности в ГА обеспечивается также с учетом пп. 116 и 117 Федеральной системы обеспечения авиационной безопасности в соответствии с несколькими законодательными, нормативными и правовыми актами. Это федеральные законы № 149-ФЗ "Об информации, информационных технологиях и о защите информации", № 85-ФЗ "Об участии в международном информационном обмене", № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", а также Указ Президента РФ от 05.12.2016 № 646 "Об утверждении Доктрины информационной безопасности Российской Федерации".

Следует отметить, что поскольку практически все субъекты авиационной деятельности сегодня попадают под действие 187-ФЗ, они должны обеспечивать соответствующей защитой свою критическую информационную инфраструктуру. Однако, к сожалению, по оценкам ФСТЭК России, транспортная отрасль является одним из аутсайдеров по выполнению требований указанного закона. Причина этому, по моему мнению, следующая: субъекты гражданской авиации обладают большим количеством объектов критической информационной инфраструктуры (причем зачастую высоких категорий значимости), которые имеют высокую степень связности с другими системами, что приводит к увеличению сроков категорирования объектов, проектирования и внедрения систем защиты, необходимости выделения существенного финансирования на выполнение таких работ.

­- Расскажите о наиболее показательных случаях кибератак в авиации. Какова практика разрешения подобных инцидентов?

- На протяжении последних лет гражданская авиация в мире не раз подвергалась компьютерным атакам. Опубликованные материалы лишь подтверждают этот тезис. Вот только некоторые примеры кибератак на гражданскую авиацию. В 2013 г. в аэропорту Стамбула произошел отказ системы паспортного контроля, а в международном аэропорту Дубая была выявлена кража критически важных данных. В 2015 г. польская авиакомпания LOT столкнулась с хакерской атакой, которая привела к приостановке деятельности компании на некоторое время. В 2016 г. авиакомпания British Airways была вынуждена отменить более ста рейсов из аэропорта Хитроу в Лондоне после отказа ИТ-системы. В конце июля 2018 г. администрация аэропорта Домодедово получила от хакеров письмо с угрозами вмешательства в работу навигационных систем аэропорта.

В основном, компании предпочитают умалчивать о таких инцидентах и не выносить их на всеобщее обозрение, поэтому зачастую информация ограничивается лишь официальными заявлениями пресс-службы. Подробности не разглашаются, поэтому сегодня достаточно сложно говорить о статистике киберинцидентов по отрасли.

- А насколько важна практика ведения статистики в этой области?

- Во-первых, это не просто важно, сегодня в России это - обязательно. В соответствии со ст.9 п.2 ФЗ-187 субъекты критической информационной инфраструктуры обязаны незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (таким органом, в соответствии с приказом ФСБ №366, назначен НКЦКИ - Национальный координационном центре по компьютерным инцидентам ФСБ России), а также в Центральный банк РФ (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка).

Во-вторых, отсутствие "общего языка" и единых подходов усложняет процесс международного сотрудничества, тогда как важность сотрудничества признается всеми странами. Однако ИКАО сегодня предпринимает все усилия для формализации такого международного сотрудничества.

Сегодня, принимая во внимание значимость информационных технологий в авиации и осознавая масштаб возможных последствий от киберинцидентов, было бы разумно создать отраслевой центр ГосСОПКА в сфере транспорта или непосредственно в сфере гражданской авиации - особенно учитывая ее специфические особенности, кардинально отличающие ее от других видов транспорта . Это, с одной стороны, не противоречит закону, а с другой, обеспечивает возможность оперативного обмена необходимой информацией на международном уровне, в том числе, с ИКАО в режиме реального времени. Своевременная отчетность и обмен конкретной информацией могут помочь задержать или предотвратить воздействие аналогичных инцидентов в области кибербезопасности на другие государства и отраслевых участников. По этой причине обмен соответствующей информацией должен осуществляться как можно раньше с использованием заранее установленных каналов или механизмов.

- Считается, что одним из самых острых вопросов кибербезопасности в авиации является защищенность каналов передачи данных UAT, VDL-4 и 1090. Что известно о киберзащищенности этих ЛПД?

Действительно, в настоящее время каналы связи являются уязвимыми для угроз кибертеррористического характера. Многие годы не утихает технологический спор между сторонниками различных ЛПД, каждые из которых пытаются обосновать киберзащищенность того или иного канала. Существует ли убедительное обоснование защищенности того или иного канала передачи данных? По данному направлению необходимо проводить больше научных исследований с привлечением специалистов и организаций в области защиты информации мирового уровня. Одно очевидно для всех - обеспечение безопасности гражданской авиации диктует необходимость использования технологий, гарантирующих защиту передаваемых данных.

- Какой будет эволюция технологий в области кибербезопасности? Что реально может повысить уровень информационной безопасности в ГА?

- Представляемая возможными киберинцидентами угроза для гражданской авиации постоянно изменяется, а носители такой угрозы вынашивают преступные намерения с целью нарушения деловой активности и кражу информации по политическим, финансовым или другим мотивам. Основной вектор в данном направлении - устойчивость авиационного сектора к кибератакам при сохранении надежности и глобального доверия к себе. При этом авиационный сектор должен продолжать внедрять инновации и развиваться.

Концептуально ответ на данный вопрос дан в стратегии в области авиационной кибербезопасности ИКАО. Для повышения уровня информационной безопасности в авиации в первую очередь необходимо государствам признать свои обязательства в рамках Конвенции о международной гражданской авиации (Чикагской конвенции) по обеспечению безопасности полетов, авиационной безопасности и непрерывности деятельности гражданской авиации с учетом кибербезопасности; согласовать меры по обеспечению кибербезопасности между государственными органами в целях обеспечения эффективного и результативного управления факторами риска кибербезопасности; всем заинтересованным сторонам в сфере гражданской авиации взять на себя обязательства по дальнейшему развитию киберустойчивости и защите от кибератак, которые могут повлиять на безопасность полетов, авиационную безопасность и непрерывность деятельности системы воздушного транспорта....