САН-ФРАНЦИСКО — Безопасность критической инфраструктуры стала ключевой проблемой за последние несколько лет, с тех пор как высокопрофильные атаки, такие как Stuxnet и прочие, попали на первые полосы газет, а политики и прочая публика узнали об уязвимостях в жизненно важных системах. Это проблема, о которой Евгений Касперский думал уже давно, но так и не обрел уверенности в том, что организации, обсуживающие эти системы, стали хоть чуть-чуть ближе к отражению этих угроз, чем были несколько лет назад.

Как и со многими другими технологическими вещами, в отрасли есть много разногласий касательно проблем с безопасностью критической инфраструктуры и SCADA и даже касательно того, что именно считать критической инфраструктурой. Этот термин часто применяется к системам, обеспечивающим работу ЖКХ, электросетей, транспортных систем и им подобных и сетей и систем, которыми они управляют, используя разное загадочное программное обеспечение. Многие из этих программных пакетов не подвергались тестированию на предмет безопасности и такому исследованию, как обычное коммерческое программное обеспечение, а процесс их обновления сложен и трудоемок.

Хрупкая природа этих систем порождает озабоченность исследователей-безопасников, методистов и других и призывы ввести стандартизацию и регуляцию по безопасности. Что неясно во всем этом, так это кто или что должны создавать какие-либо стандарты. Должно ли это быть международной инициативой? Кто должен возглавлять это?

Евгений Касперский, руководитель «Лаборатории Касперского», рассказал в интервью на саммите по вопросам кибербезопасности, что он не особо верит в какую-либо международную инициативу по разработке таких стандартов:

«Чем старше я становлюсь, тем меньше верю в международные проекты. Дайте странам разрабатывать их самостоятельно, и они смогут показать пример остальному миру. Я думаю, США будут первыми, затем остальные страны смогут скопировать решение».

Большая проблема в мире безопасности SCADA и критической инфраструктуры в том, что, даже когда в большинстве стран появятся регуляция и стандарты в этой отрасли, государства не будут владеть этими системами — они все в руках частных компаний. Том Ридж, бывший секретарь министерства внутренней безопасности США и бывший губернатор Пенсильвании, заявил в основном докладе саммита во вторник, что как минимум в США это будет основным препятствием.

«Государство не имеет в своем владении критической инфраструктуры. Оно полагается на частный сектор, и, когда он отказывает, у государства начинаются проблемы, — сказал Ридж. — Национальная и экономическая безопасность тесно связаны».

Сети критической инфраструктуры в США — основная цель для злоумышленников, как и в случае других стран, но Касперский сказал, что сами США на вершине списка целей для умелых злоумышленников.

«Очень сложно определить, кто защищен лучше. США — самая развитая в отношении IT страна мира, — сказал он. — В ней гораздо больше систем SCADA, чем в любой другой стране, так что США — самая большая мишень. Но у США также больше всего ресурсов. Так какая страна лучше защищена — та, у которой все системы и ресурсы, или та, где систем меньше, и поэтому она является меньшей мишенью?»

Плохая новость в том, что злоумышленники вряд ли будут проводить различия. Они возьмут то, что смогут получить, скорее всего, вне зависимости от географического расположения или владельца. Но Касперский заявил, что он уверен в том, что в конечном итоге рынок предложит решение проблем безопасности критической инфраструктуры.

«Если у нас много соперничающих компаний, есть большой шанс, что одна из них предложит нечто инновационное. Я голосую за соперничество. Я верю в мир, в котором бизнес независим и соперничает, — сказал он. — Тогда у нас будет больше шансов, что правильный ответ будет найден гораздо быстрее».

Категории: Кибероборона, Уязвимости