Кибербезопасность оборонных контрактов
Кибербезопасность оборонных контрактов — это комплекс правовых, организационных и технических мер, направленных на защиту информации, информационных систем и инфраструктуры, используемых при разработке, производстве, испытаниях, поставке и эксплуатации продукции военного назначения, а также при выполнении научно-исследовательских и опытно-конструкторских работ (НИОКР) в интересах обороны и безопасности государства. Обеспечение кибербезопасности в данной сфере является критически важным для сохранения государственной тайны, предотвращения утечек технологий двойного назначения, защиты от промышленного шпионажа и противодействия кибератакам со стороны иностранных государств и негосударственных акторов.
История и предпосылки
Вопросы защиты информации в оборонной сфере имеют долгую историю, однако термин «кибербезопасность» применительно к оборонным контрактам стал активно использоваться с конца XX века. До этого основное внимание уделялось физической защите носителей секретных сведений и криптографической защите каналов связи.
Этапы развития
- Эпоха «бумажной» секретности (до 1980-х годов). Защита информации строилась на режиме секретности, допуске к государственной тайне и контроле за документооборотом. Киберугрозы в современном понимании отсутствовали.
- Компьютеризация оборонных предприятий (1980-е – 1990-е). Внедрение автоматизированных систем управления (АСУ), вычислительных сетей и персональных компьютеров создало новые уязвимости. Появились первые случаи несанкционированного доступа к базам данных оборонных заказов.
- Интернетизация и глобализация (2000-е годы). Переход на цифровые системы управления жизненным циклом изделий (PLM), электронный документооборот и кооперационные цепочки с использованием сетей общего пользования резко расширили поверхность атаки. Кибератаки на оборонные подрядчики стали регулярными.
- Современный этап (с 2010-х годов). Признание киберпространства как пятой сферы военных действий (наряду с сушей, морем, воздухом и космосом). Разработка и внедрение специализированных стандартов и нормативных актов, регулирующих кибербезопасность оборонных контрактов (например, NIST SP 800-171 в США, ГОСТ Р 56545-2015, ГОСТ Р 56939-2016 в России).
Классификация угроз
Угрозы кибербезопасности оборонных контрактов можно классифицировать по нескольким признакам.
По источнику угрозы
- Государственные (национальные) разведки и кибервойска. Наиболее опасный тип угрозы. Цели: кража технологий вооружений, подрыв обороноспособности, дезинформация, нарушение цепочек поставок. Примеры: атака на компанию SolarWinds (2020), приписываемая группировке APT29 (СВР России, по данным США); атаки на оборонные предприятия с использованием вредоносного ПО, связанного с группировкой Lazarus (КНДР).
- Промышленные шпионы (конкуренты). Действуют в интересах коммерческих структур, стремясь получить доступ к технологиям двойного назначения, патентам, ноу-хау.
- Хактивисты и киберпреступники. Могут атаковать оборонные предприятия с целью вымогательства (шифровальщики), нанесения репутационного ущерба или в рамках политических акций.
- Инсайдеры. Сотрудники предприятий, имеющие легальный доступ к информации, но использующие его в корыстных целях или по неосторожности.
По объекту атаки
- Информационные системы (АСУ, САПР, PLM). Нарушение целостности или кража проектной документации, моделей, расчетов.
- Цепочки поставок. Компрометация компонентов, программного обеспечения или оборудования, поставляемых субподрядчиками. Пример: внедрение «закладок» в микросхемы или ПО.
- Инфраструктура (SCADA, IoT). Атаки на системы управления производственным оборудованием, логистикой, энергоснабжением оборонных заводов.
- Персонал. Фишинг, социальная инженерия, направленные на получение паролей и доступа к системам.
Нормативно-правовая база в Российской Федерации
В Российской Федерации кибербезопасность оборонных контрактов регулируется рядом законодательных и подзаконных актов.
- Закон РФ «О государственной тайне» от 21.07.1993 № 5485-1. Определяет категории сведений, составляющих государственную тайну, и порядок допуска к ним.
- Федеральный закон «О безопасности» от 28.12.2010 № 390-ФЗ.
- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.
- Доктрина информационной безопасности Российской Федерации (утверждена Указом Президента РФ от 05.12.2016 № 646). Определяет стратегические цели и основные направления обеспечения информационной безопасности, в том числе в оборонной сфере.
- Требования к защите информации, содержащейся в государственных информационных системах (утверждены приказом ФСТЭК России от 11.02.2013 № 17).
- Методические документы ФСТЭК России. Включают требования по защите информации от несанкционированного доступа (НСД), по обеспечению безопасности критической информационной инфраструктуры (КИИ), по категорированию объектов КИИ.
- ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».
- ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Основные меры и требования
Обеспечение кибербезопасности оборонных контрактов требует реализации многоуровневой системы защиты.
Организационные меры
- Лицензирование. Наличие у исполнителя лицензий ФСБ России на работу со сведениями, составляющими государственную тайну, и ФСТЭК России на техническую защиту конфиденциальной информации.
- Аттестация объектов информатизации. Обязательная процедура подтверждения соответствия систем защиты информации установленным требованиям.
- Разграничение доступа. Строгая политика управления доступом на основе принципа минимальных привилегий и ролевой модели.
- Контроль цепочек поставок. Проверка субподрядчиков и поставщиков на соответствие требованиям безопасности, в том числе на отсутствие связей с иностранными разведками или нежелательными организациями.
- Обучение персонала. Регулярные тренинги по информационной безопасности, противодействию фишингу и социальной инженерии.
Технические меры
- Сертифицированные средства защиты информации (СЗИ). Использование межсетевых экранов, систем обнаружения и предотвращения вторжений (IDS/IPS), антивирусного ПО, средств криптографической защиты информации (СКЗИ), прошедших сертификацию в ФСТЭК России или ФСБ России.
- Сегментирование сетей. Разделение корпоративной сети на изолированные сегменты (например, сегмент для работы с секретной информацией, сегмент для выхода в интернет, сегмент для АСУ ТП).
- Управление уязвимостями. Регулярное сканирование, анализ и устранение уязвимостей в программном обеспечении и конфигурациях.
- Мониторинг событий безопасности (SIEM). Централизованный сбор и анализ событий безопасности для выявления аномалий и инцидентов.
- Резервное копирование и восстановление. Обеспечение возможности восстановления данных и систем после кибератак, включая атаки с использованием программ-вымогателей.
Критика и проблемы
Несмотря на принимаемые меры, система кибербезопасности оборонных контрактов сталкивается с рядом проблем.
- Высокая стоимость. Внедрение и поддержание сертифицированных СЗИ, проведение аттестации и обучение персонала требуют значительных финансовых затрат, что особенно критично для малых и средних предприятий-субподрядчиков.
- Бюрократизация. Избыточные требования и длительные процедуры согласования могут замедлять внедрение новых технологий и оперативность реагирования на угрозы.
- Человеческий фактор. Несмотря на обучение, инциденты, связанные с неосторожностью или злонамеренными действиями сотрудников, остаются одной из главных угроз.
- Сложность контроля цепочек поставок. Обеспечить единый уровень безопасности у всех участников кооперации, особенно при использовании импортных компонентов, крайне сложно.
- Асимметрия угроз. Государственные хакерские группы обладают ресурсами и временем, значительно превосходящими возможности большинства оборонных предприятий.
Примеры инцидентов
- Атака на SolarWinds (2020, США). Компрометация системы обновлений ПО Orion, используемого тысячами организаций, включая оборонные подрядчики. Позволила злоумышленникам получить доступ к сетям многочисленных целей.
- Утечка данных о проекте F-35 (2009, США). Китайские хакеры, по данным Пентагона, похитили терабайты данных, касающихся конструкции истребителя F-35, что позволило ускорить разработку китайского аналога J-31.
- Атака на «НПО машиностроения» (2022, Россия). Сообщалось о кибератаке на предприятие, разрабатывающее гиперзвуковые ракеты «Циркон». Атака была отражена, но инцидент продемонстрировал уязвимость российских оборонных заводов.
- Инцидент с «Ростехом» (2023, Россия). Хакерская группировка, предположительно связанная с Украиной, заявила о взломе серверов госкорпорации «Ростех» и краже данных о военной технике. «Ростех» опроверг утечку секретных данных, но подтвердил факт атаки.
Перспективы развития
Дальнейшее развитие кибербезопасности оборонных контрактов связано с внедрением технологий искусственного интеллекта (ИИ) для автоматизации обнаружения и реагирования на угрозы, использованием квантово-устойчивых криптографических алгоритмов, переходом на доверенные программно-аппаратные комплексы отечественного производства и развитием концепции «нулевого доверия» (Zero Trust), предполагающей отсутствие автоматического доверия к любому пользователю или устройству внутри сети.
Источники
- Закон РФ «О государственной тайне» от 21.07.1993 № 5485-1.
- Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 05.12.2016 № 646).
- Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ.
- Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».
- ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
- Материалы открытых отчетов ФСТЭК России о состоянии информационной безопасности.
- Публикации в специализированных изданиях (CNews, TAdviser, SecurityLab) по теме кибератак на оборонные предприятия.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →