Алёна Махукова
31 марта — 1 апреля 2016 г. в Вашингтоне прошел четвертый Саммит по ядерной безопасности. Главной темой для лидеров более чем 50 стран стали меры по борьбе с угрозой ядерного терроризма, однако немало внимания было уделено и информационной безопасности ядерных объектов. В частности, Великобритания и США договорились о проведении в 2016 г. совместных учений по защите гражданской ядерной инфраструктуры от киберугроз.
Участники саммита вновь, как и в 2012 г., приняли совместное заявление о кибербезопасности ядерных объектов: 29 государств обязались принять участие в семинарах, которые в 2016 г. проведет Великобритания. Цель этих семинаров — обмен передовыми практиками между государствами, операторами ядерных инфраструктур и ядерными поставщиками.
Более 20 государств-участников саммита в своих национальных докладах о проделанной работе указали разного рода прогресс в противодействии киберугрозам на ядерных объектах. Правительства нескольких государств — Австралии, Венгрии, Германии, Нидерландов, Финляндии, Чехии, Южной Кореи, Японии — за два года, прошедшие с предыдущего саммита, внесли киберугрозы в концепцию проектной угрозы для ядерной отрасли или обновили содержание этой угрозы в концепции.
В нескольких государствах — Венгрии, Германии, Канаде, Китае, Нидерландах, Объединенных Арабских Эмиратах (ОАЭ), Южной Корее, Японии — прошли национальные, региональные или международные тренинги по ядерной кибербезопасности или учения, включающие в себя киберкомпонент.
Венгрия, Испания, Канада, Нидерланды, ОАЭ, Финляндия, Франция, Чехия, Швейцария, Южная Корея усилили или в ближайшее время усилят национальное законодательство актами, направленными на увеличение информационной защиты ядерных объектов.
Новые регулирующие и/или контролирующие кибербезопасность, в т. ч. на инфраструктурных объектах, органы были учреждены в Бельгии, Индии, Сингапуре. Проверки кибербезопасности объектов ядерной инфраструктуры прошли в Бельгии, Дании, США.
Ниже представлены выдержки из национальных докладов стран-участниц вашингтонского Саммита по ядерной безопасности. Полные тексты докладов доступны на официальном сайте саммита.
Австралия
Австралия включила киберугрозы в концепцию проектной угрозы для ядерной отрасли.
Бельгия
В 2015 г. в Бельгии был образован Центр кибербезопасности, подчиняющийся непосредственно премьер-министру королевства. В настоящее время центр совместно с Федеральным агентством по ядерному контролю определяют, какие инициативы правительства могли бы послужить оптимизации кибербезопасности ядерных объектов и укреплению международного сотрудничества в этой сфере.
Правительство Бельгии по собственной инициативе расширило сферу применения стресс-тестов, введенных после аварии на японской АЭС Фукусима-1, включив в них инциденты антропогенного характера, такие как кибератаки. Бельгия планирует продолжать изучение результатов таких тестов, которые уже оказали существенную помощь при определении рисков.
Великобритания
Великобритания вела и направляла предпринимаемые на международном уровне меры по обеспечению защиты информации на ядерных объектах. Правительство Великобритании в отчете указывает, что именно его действия привели к признанию важности этого вопроса в МАГАТЭ и к публикации в феврале 2015 г. документа NSS 23-G «Безопасность информации по ядерной тематике» (Security of Nuclear Information), посвященного реализации принципа конфиденциальности и иных аспектов информационной безопасности (целостности и доступности) на ядерных объектах.
Венгрия
Венгрия разработала всеобъемлющий, систематизированный и дифференцированный подход к классификации всех видов чувствительной информации и управления ею, в том числе, управления в случаях раскрытия такой информации.
В 2014 г. были введены новые требования к установленным на ядерных объектах системам с программным управлением. Впоследствии в 2015 г. в обновленную концепцию проектной угрозы были включены киберугрозы.
В 2014 г. был проведен национальный семинар по кибербезопасности для венгерских объектов.
Венгрия подготовила национальную стратегию «Защита систем с программным управлением и их компонентов в ядерных объектах», основанную на рекомендациях и советах МАГАТЭ.
Германия
Германия активно участвует в обмене с другими государствами опытом и руководящими принципами по компьютерной безопасности. Германия намерена продолжать устраивать региональные семинары и встречи для обмена информацией и лучшими практиками, в том числе, в сфере оценки, законодательства, угроз, вызванных ошибками в проектировании и др.
Германия регулярно пересматривает и переоценивает концепции проектной угрозы для ядерной отрасли. Германия оказала поддержку серии публикаций МАГАТЭ по ядерной безопасности, предоставляя экспертизу по компьютерной безопасности на уровне рекомендаций.
Дания
В 2014 г. Дания провела инспекцию безопасности компьютерных систем на ядерном объекте в г. Ризо (Национальная лаборатория устойчивой энергетики).
Индия
Кибербезопасность в Индии признана национальным приоритетом.
В Департаменте атомной энергетики правительства Индии была учреждена группа компьютерной информации и безопасности.
Индонезия
Индонезийский Университет Гаджа Мада запускает аспирантуру по ядерной кибербезопасности.
Испания
В конце 2015 г. в Испании был издан королевский указ 1086/2015, актуализировавший нормативные акты по физической защите ядерных материалов и объектов. Он позволил адаптировать существующее законодательство к новым угрозам — в т. ч. к угрозам кибербезопасности, а также использовать базовые элементы стратегии кибербезопасности, принятой в 2013 г.
Канада
В конце 2014 г. Канада опубликовала новый национальный стандарт CSA N290.7, который предусматривает меры кибербезопасности для АЭС и небольших ядерных установок. Операторы АЭС в Канаде имеют программы кибербезопасности, приведенные в соответствие с международными стандартами и лучшими практиками.
В декабре 2015 г. в Канаде прошел национальный тренинг МАГАТЭ по оценке компьютерной безопасности. В нем участвовали представители отрасли, регулятора и правительства.
Китай
Китай расширил собственные возможности в области реагирования на чрезвычайные ситуации в отношении инцидентов кибербезопасности и провел серию учений в этой сфере. Китай укрепил готовность предотвращать кибератаки на интернет-инфраструктуру и усилил защиту данных в интернете.
ОАЭ
В ОАЭ было обновлено действующее Руководство по защите информации, определяющее стандарты обращения с чувствительной ядерной информацией. Отраслевые компании и агентства работают по обновленному руководству. Пособия, принятые в ОАЭ, основаны на публикациях МАГАТЭ. Рекомендации агентства были по защите от кибератак были учтены в различных инструкциях Федерального органа по ядерному регулированию, разработанных и принятых в 2009-2015 гг.
В 2014 г. в ОАЭ прошел национальный семинар по кибербезопасности.
Нидерланды
В 2014 г. в Нидерландах вступила в силу концепция проектной угрозы, описывающая киберугрозы в отношении нидерландских ядерных объектов. В обсуждении угроз как в отношении физической защиты, так и в отношении кибербезопасности ядерных объектов участвовали отраслевые операторы. Внедрение концепции запланировано на вторую половину 2016 г. Одновременно будет актуализирована концепция проектной угрозы для киберугроз.
В парламенте Нидерландов в настоящее время рассматривается законопроект об обязательном извещении о киберинцидентах в ядерном секторе. Предполагается, что если закон будет принят, он вступит в силу в 2017 г.
В 2014 г. в Нидерландах прошли вторые международные учения “@tomic”, посвященные противодействию ядерному и радиологическому терроризму. Как и в 2012 г., они включали в себя модули по противодействию киберугрозам.
Норвегия
В 2015 г. Норвегия принимала миссию Международной консультативной службы МАГАТЭ по физической защите, которая рекомендовала государству усилить меры противодействия киберугрозам.
Сингапур
В апреле 2015 г. в Сингапуре начало работу Агентство по кибербезопасности, которое будет координировать усилия государственного и частного сектора по защите национальных инфраструктур от возрастающих угроз кибербезопасности.
США
В США прошли проверки и оценки действующих АЭС на предмет соответствия требованиям кибербезопасности в соответствии с планами этих станций по кибербезопасности. США оказали поддержку практикумам, организованным Всемирным институтом ядерной безопасности, на которых, в том числе, происходил обмен практиками по проведению учений по кибербезопасности ядерных объектов.
Финляндия
В 2012 г. в Финляндии прошло консультативное совещание по развитию процедурных документов по безопасности автоматизированных систем управления. Финляндия также участвует в выработке Руководящих материалов МАГАТЭ по компьютерной безопасности.
Центр радиационной безопасности Финляндии координирует неформальную рабочую группу с участием других представителей национальных ведомств и финских операторов ядерных объектов. Цель этой группы — усилить обмен информацией об угрозах кибербезопасности и соответствующих инцидентах, а также разработать меры эффективного реагирования, процедуры подготовки и аттестации специалистов.
В 2013 г. вступило в силу разработанное Центром радиационной безопасности Финляндии новое регулирующее руководство по информационной и кибербезопасности на ядерных объектах. Также в 2013 г. вступила в силу новая концепция проектной угрозы для ядерной отрасли, включившая в себя угрозы информационной и кибербезопасности. В 2016 г. начался пересмотр этой концепции.
Франция
В 2014-2015 гг. Франция проводила консультативные совещания с МАГАТЭ по выработке носящего рекомендательный характер документа по кибербезопасности, который может быть принят в будущем; тренинги, в т. ч. первый тренинг МАГАТЭ по оценке компьютерной безопасности; пересмотр документов по компьютерной безопасности на ядерных объектах; консультативные совещания по учету существующих и нарождающихся киберугроз в планировании мер ядерной безопасности и по оценке киберугроз на ядерных объектах.
Франция запустила процесс принятия технических правил, который будет закончен в ближайшие годы. В частности, в конце 2013 г. парламент принял закон о кибербезопасности, применимый к объектам критической инфраструктуры, в том числе, ядерным объектам.
Чехия
В 2014 г. в Чехии была создана рабочая группа, состоящая из представителей различных министерств, отраслевых агентств и компаний и призванная выработать новую концепцию проектной угрозы для ядерной отрасли. В выработанной концепции нашли отражение новые угрозы, в том числе, киберугрозы в отношении автоматизированных систем ядерной безопасности и учета и контроля ядерного материала.
В настоящее время в Чехии также готовится новый Атомный закон и нормативный акт по его осуществлению. Оба документа затронут представленные в концепции новые угрозы ядерной безопасности.
Швейцария
В 2012 г. правительство Швейцарии одобрило Национальную стратегию защиты Швейцарии от кибер-рисков.
Южная Корея
В национальное законодательство и нормативные акты Республики Корея были включены требования к кибербезопасности на ядерных объектах. В соответствии с этими законами и нормативными актами, с 2015 г. Южная Корея проводит регулярные инспекции и обзоры проблем в области кибербезопасности ядерных объектов.
Южная Корея включила киберугрозы в свою концепцию проектной угрозы для ядерной отрасли.
В 2014 г. в Республике Корея прошел региональный семинар МАГАТЭ по компьютерной безопасности ядерных объектов. В 2015 г. Корея приняла участие в Международной конференции МАГАТЭ по компьютерной безопасности в ядерном мире, представив свой опыт по противодействию кибератаке против ядерных объектов.
Япония
В 2014 г. в Японии прошли учения по противодействию угрозам на всех защищенных объектах, в том числе, учения по противодействию киберугрозам в отношении АСУ ТП на ядерных объектах, в том числе, в комбинации с физическими атаками.
Приведенный обзор отчетливо показывает, что по состоянию на 2016 г. далеко не все страны в какой-то мере озаботились кибербезопасностью ядерной инфраструктуры – во всяком случае, это следует из представленных ими отчетов. Упоминания о какой-либо деятельности в этой сфере содержатся в отчетах 22 государств из 50 опубликовавших такие документы. В то же время, прогресс с начала 2010-х есть: в некоторых странах правительства начали разрабатывать специализиорованное законодательство, и многие государства участвуют в тренингах и учениях, посвященных кибербезопасности гражданской ядерной инфраструктуры.
Выходные данные cтатьи:
Пульс Кибермира. Выпуск № 2 (20), Июнь 2016