Валерий Комаров, 27/12/18
В статье анализируется опыт Департамента информационных технологий города Москвы, полученный при обеспечении информационной безопасности объектов в Москве, задействованных для проведения чемпионата мира по футболу FIFA 2018 г. (результаты проверочных мероприятий на объектах в данной статье не рассматриваются).
В Российской Федерации при подготовке к проведению Кубка конфедераций FIFA 2017 г. и чемпионата мира по футболу FIFA 2018 г. был проанализирован и учтен опыт Бразилии по противодействию кибератакам на инфраструктуру объектов чемпионата мира по футболу FIFA 2014 г.
Кибератака на информационную инфраструктуру олимпийского оргкомитета и главного пресс-центра Олимпиады, осуществленная неустановленными злоумышленниками 9 февраля 2018 г. во время церемонии открытия зимней Олимпиады 2018 г. в Республике Корея, явным образом продемонстрировала актуальность своевременного проведения мероприятий не только антитеррористической направленности, но и обеспечивающих информационную безопасность инфраструктуры объектов, задействованных при проведении массовых спортивных мероприятий.
Обеспечение функционирования объектов Москвы в штатном режиме в условиях высокого уровня киберугроз играло ключевую роль в успешном и безопасном проведении чемпионата мира по футболу FIFA 2018 г..
Для координации работ и контроля обеспечения информационной безопасности систем, сетей связи и автоматизированных систем управления объектов спорта, задействованных для проведения в Москве чемпионата мира по футболу FIFA 2018 г. и Кубка конфедераций FIFA 2017 г. при комиссии по информационной безопасности при мэре Москвы была создана специальная рабочая группа, включившая в свой состав сотрудников различных органов исполнительной власти Москвы, Управления ФСБ России по городу Москве и Московской области, ГУ МВД России по городу Москве, Управления ФСТЭК России по ЦФО и Управления Роскомнадзора по ЦФО.
Был разработан перечень необходимых мероприятий по обеспечению информационной безопасности информационных систем объектов, задействованных для проведения в Москве чемпионата мира по футболу FIFA 2018 г., и спланирована деятельность по их реализации.
Аудит информационной безопасности. Сложности организации и проведения проверочных мероприятий на объектах
Задача контроля за исполнением планов реализации мероприятий по информационной безопасности на объектах Москвы была возложена на Департамент информационных технологий города Москвы, с участием сотрудников УФСБ России по городу Москве и Московской области и УФСТЭК России по ЦФО.
Проверочные мероприятия проводились в период с декабря 2017 по май 2018 г. Распределение объемов проверок по месяцам приведено на рис. 1.
Причиной столь явной диспропорции интенсивности проведения аудитов информационной безопасности послужило то, что для проведения чемпионата мира по футболу в Москве строилось и модернизировалось большое количество объектов, которые вводились в эксплуатацию только в мае 2018 г. При этом необходимо учитывать, что многодневные государственные праздники в мае этого же года негативно повлияли на временные рамки проведения аудитов.
Сезонный пик пассажиропотока в майские праздники существенно осложнил и ограничил возможность проверки объектов транспортной инфраструктуры Москвы. Интервал февраль-март 2018 г. был использован для корректировки методики и способа проведения аудита, что позволило работникам Департамента информационных технологий города Москвы выполнить проверку в мае 2018 г. на всех запланированных объектах без снижения качества работ.
На рис. 2 отражены факторы, существенно повлиявшие и осложнившие проведение аудита информационной безопасности на объектах Москвы.
Рассмотрим указанные факторы более детально.
Разнородность объектов проверки
В обеспечении проведения чемпионата мира по футболу были задействованы не только спортивные объекты (стадионы, тренировочные базы), но и объекты нескольких видов транспорта (автобусные и железнодорожные вокзалы, аэропорты, метрополитен), объекты здравоохранения, фан-зоны болельщиков, информационные центры и пресс-центры, гостиницы и пансионаты. Объекты здравоохранения различались по функциональному назначению: плановая госпитализация или экстренная. Часть медицинских учреждений разворачивала бригады врачей на спортивных объектах, для обеспечения деятельности таких медицинских бригад создавались временные системы управления и связи. На стадионах, принимающих матчи чемпионата мира по футболу, функционировали дополнительные обеспечивающие и вспомогательные объекты инфраструктуры по требованиям FIFA.
Распределение количества проверок по типам объектов приведено на рис. 3.
Различные формы собственности и ведомственной подчиненности объектов проверки
Разнообразие собственников однотипных проверяемых объектов существенно усложнило организацию аудита на стадии согласования сроков и объемов проверки каждого объекта.
Отсутствие обязательных для всех объектов FIFA 2018 требований по информационной безопасности, установленных федеральным законодательством
Время подготовки к проведению чемпионата мира по футболу FIFA 2018 г. совпало с периодом перехода от защиты ключевых систем информационной инфраструктуры критически важных объектов к обеспечению безопасности критической информационной инфраструктуры Российской Федерации. При этом информационные системы и автоматизированные системы управления части критически важных объектов (стадионы, гостиницы, пансионаты, пресс-центры) были исключены из сферы действия Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
Общими для всех типов объектов проверки являлись только требования законодательства по защите персональных данных в информационных системах персональных данных, однако выполнение этих требований не позволяло нейтрализовать актуальные угрозы информационной безопасности, реализация которых позволила бы злоумышленнику нарушить функционирование объекта.
Дополнительное разнообразие внесли требования FIFA, различающиеся по типам объектов инфраструктуры чемпионата мира по футболу. Минкомсвязь России выпустила рекомендации по их выполнению на объектах FIFA 2018, согласованные с ФСБ России, ФСО России и ФСТЭК России.
В отдельных случаях выдвигались требования по информационной безопасности к инфраструктуре пансионатов и тренировочных спортивных площадок от официальных представителей команд – участниц чемпионата мира, касающиеся в основном систем видеонаблюдения объектов и конфиденциальности информации.
Объекты, осуществляющие обработку персональных данных граждан Европейского Союза (паспорт болельщиков FAN-ID), оценивались с учетом потенциального риска применения Европейским Союзом санкций согласно GDPR (General Data Protection Regulation).
Различные последствия компьютерных атак на объекты
Наиболее трудозатратным для аудиторов стал этап моделирования угроз и прогнозирования ущерба от компьютерных атак на объектах проверки. Особенностью данного этапа стало то, что самым значимым оказалось обеспечить достоверность информации в системах автоматизированного управления и информационных системах объектов, а не конфиденциальность или целостность информации.
Основное внимание уделялось защите от ложных срабатываний систем оповещения на объектах или информации, отображаемых на информационных табло в результате компьютерных атак. Отдельной проблемой стала защита информационных табло, громкоговорителей, рекламных и телевизионных устройств от возможности отображения информационного контента, содержащего экстремистские, расистские или иные провокационные материалы. Требования FIFA по отсутствию рекламы, кроме рекламы коммерческих партнеров на некоторых типах объектов Москвы, потребовали пересмотреть решения об уровне значимости информации, отображаемой на рекламных мониторах. А штрафные санкции FIFA за подобные нарушения значительно повысили стоимость инцидентов информационной безопасности на таких объектах.
Акцентировалось внимание представителей объектов на необходимости защиты от компьютерных атак автоматизированных средств управления системами жизнедеятельности (кондиционирования, водоснабжения, вентиляции, освещения) и технологических систем (автоматический полив газонов, лифты).
Загруженность объектов иными проверками
Отдельной и существенной проблемой для организации аудита информационной безопасности являлось огромное количество проверок, осуществляемых государственными надзорными органами (ФСБ, МВД, МЧС, Роспотребнадзор, Ростехнадзор, транспортный надзор и т.д.) на объектах в этот же период.
Сжатые сроки проведения проверок
Фактор, существенно влияющий на требования к профессиональному кругозору и креативности мышления аудиторов. Проблемой для аудитора являлось не только большое количество объектов, которые было необходимо проверить в условиях ограниченного времени, но и отсутствие возможности исправить недочеты, допущенные при проведении аудита. Так как целью всех мероприятий по обеспечению информационной безопасности в период подготовки к проведению чемпионата мира по футболу являлось отсутствие инцидентов информационной безопасности, которые могли повлиять на проведение чемпионата мира по футболу и/или привести к репутационным потерям для Москвы и страны, то главным критерием оценки деятельности аудитора при проведении проверок стал показатель количества угроз информационной безопасности, выявленных и нейтрализованных до окончания аудита.
Ограниченные ресурсы команды аудиторов
Проверки выполнялись штатным подразделением информационной безопасности Департамента информационных технологий города Москвы, не рассчитанным на такой объем дополнительной работы. Проверка готовности объектов Москвы к чемпионату мира по футболу являлась приоритетной задачей подразделения, но не единственной. Так же обеспечивалась информационная безопасность объектов Москвы, задействованных в выборах президента России в марте 2018 г.
Отсутствие полномочий у аудитора
Департамент информационных технологий города Москвы не наделен функциями государственного контроля в области информационной безопасности на городских объектах. Этот фактор негативно влиял на оперативность внедрения на объектах Москвы компенсирующих мер по нейтрализации угроз информационной безопасности, выявленных в ходе аудита.
Продолжение читайте в журнале Information Security №5/2018.
