Обеспечение ИБ на объектах г. Москвы в период подготовки к проведению ЧМ по футболу FIFA 2018.Часть 1

В статье Валерий Комаров, аудитор ИБ отдела методологии информационной безопасности, 
управление информационной безопасности, Департамент информационных технологий города Москвыанализирует опыт ДИТ г. Москвы, полученный при обеспечении информационной безопасности объектов в Москве, задействованных для проведения чемпионата мира по футболу FIFA 2018 г. (Результаты проверочных мероприятий на объектах в данной статье не рассматриваются.)

В Российской Федерации при подготовке к проведению Кубка конфедераций FIFA 2017 г. и чемпионата мира по футболу FIFA 2018 г. был проанализирован и учтен опыт Бразилии по противодействию кибератакам на инфраструктуру объектов чемпионата мира по футболу FIFA 2014 г.

komarov

Кибератака на информационную инфраструктуру олимпийского оргкомитета и главного пресс-центра Олимпиады, осуществленная неустановленными злоумышленниками 9 февраля 2018 г. во время церемонии открытия зимней Олимпиады 2018 г. в Республике Корея, явным образом продемонстрировала актуальность своевременного проведения мероприятий не только антитеррористической направленности, но и обеспечивающих информационную безопасность инфраструктуры объектов, задействованных при проведении массовых спортивных мероприятий.

Обеспечение функционирования объектов Москвы в штатном режиме в условиях высокого уровня киберугроз играло ключевую роль в успешном и безопасном проведении чемпионата мира по футболу FIFA 2018 г.

Для координации работ и контроля обеспечения ИБ систем, сетей связи и автоматизированных систем управления объектов спорта, задействованных для проведения в Москве чемпионата мира по футболу FIFA 2018 г. и Кубка конфедераций FIFA 2017 г. при комиссии по информационной безопасности при мэре Москвы была создана специальная рабочая группа, включившая в свой состав сотрудников различных органов исполнительной власти Москвы, Управления ФСБ России по городу Москве и Московской области, ГУ МВД России по городу Москве, Управления ФСТЭК России по ЦФО и Управления Роскомнадзора по ЦФО.

Был разработан перечень необходимых мероприятий по обеспечению ИБ информационных систем объектов, задействованных для проведения в Москве чемпионата мира по футболу FIFA 2018 г., и спланирована деятельность по их реализации.

Аудит ИБ. Сложности организации и проведения проверочных мероприятий на объектах

Задача контроля за исполнением планов реализации мероприятий по ИБ на объектах Москвы была возложена на ДИТ города Москвы, с участием сотрудников УФСБ России по городу Москве и Московской области и УФСТЭК России по ЦФО.

Проверочные мероприятия проводились в период с декабря 2017 по май 2018 г. Распределение объемов проверок по месяцам приведено на рис. 1.  komarov ris 1-1

Причиной столь явной диспропорции интенсивности проведения аудитов ИБ послужило то, что для проведения ЧМ по футболу в Москве строилось и модернизировалось большое количество объектов, которые вводились в эксплуатацию только в мае 2018 г. При этом необходимо учитывать, что многодневные государственные праздники в мае этого же года негативно повлияли на временные рамки проведения аудитов.

Сезонный пик пассажиропотока в майские праздники существенно осложнил и ограничил возможность проверки объектов транспортной инфраструктуры Москвы. Интервал февраль – март 2018 г. был использован для корректировки методики и способа проведения аудита, что позволило работникам ДИТ города Москвы выполнить проверку в мае 2018 г. на всех запланированных объектах без снижения качества работ. 

komarov ris 2-1

На рис. 2 отражены факторы, существенно повлиявшие и осложнившие проведение аудита ИБ на объектах Москвы.

Рассмотрим указанные факторы более детально.

Разнородность объектов проверки

В обеспечении проведения чемпионата мира по футболу были задействованы не только спортивные объекты (стадионы, тренировочные базы), но и объекты нескольких видов транспорта (автобусные и железнодорожные вокзалы, аэропорты, метрополитен), объекты здравоохранения, фан-зоны болельщиков, информационные центры и пресс-центры, гостиницы и пансионаты. Объекты здравоохранения различались по функциональному назначению: плановая госпитализация или экстренная. Часть медицинских учреждений разворачивала бригады врачей на спортивных объектах, для обеспечения деятельности таких медицинских бригад создавались временные системы управления и связи. На стадионах, принимающих матчи чемпионата мира по футболу, функционировали дополнительные обеспечивающие и вспомогательные объекты инфраструктуры по требованиям FIFA. 

komarov ris 3

Распределение количества проверок по типам объектов приведено на рис. 3.

Различные формы собственности и ведомственной подчиненности объектов проверки

Разнообразие собственников однотипных проверяемых объектов существенно усложнило организацию аудита на стадии согласования сроков и объемов проверки каждого объекта.

Отсутствие обязательных для всех объектов FIFA 2018 требований по ИБ, установленных федеральным законодательством

Время подготовки к проведению чемпионата мира по футболу FIFA 2018 г. совпало с периодом перехода от защиты ключевых систем информационной инфраструктуры критически важных объектов к обеспечению безопасности критической информационной инфраструктуры Российской Федерации. При этом информационные системы и автоматизированные системы управления части критически важных объектов (стадионы, гостиницы, пансионаты, пресс-центры) были исключены из сферы действия Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Общими для всех типов объектов проверки являлись только требования законодательства по защите ПДн в информационных системах персональных данных, однако выполнение этих требований не позволяло нейтрализовать актуальные угрозы ИБ, реализация которых позволила бы злоумышленнику нарушить функционирование объекта.

Дополнительное разнообразие внесли требования FIFA, различающиеся по типам объектов инфраструктуры чемпионата мира по футболу. Минкомсвязь России выпустила рекомендации по их выполнению на объектах FIFA 2018, согласованные с ФСБ России, ФСО России и ФСТЭК России.

В отдельных случаях выдвигались требования по ИБ к инфраструктуре пансионатов и тренировочных спортивных площадок от официальных представителей команд – участниц чемпионата мира, касающиеся в основном систем видеонаблюдения объектов и конфиденциальности информации.

Объекты, осуществляющие обработку персональных данных граждан Европейского Союза (паспорт болельщиков FAN-ID), оценивались с учетом потенциального риска применения Европейским Союзом санкций согласно GDPR (General Data Protection Regulation).

Различные последствия компьютерных атак на объекты

Наиболее трудозатратным для аудиторов стал этап моделирования угроз и прогнозирования ущерба от компьютерных атак на объектах проверки. Особенностью данного этапа стало то, что самым значимым оказалось обеспечить достоверность информации в системах автоматизированного управления и информационных системах объектов, а не конфиденциальность или целостность информации.

Основное внимание уделялось защите от ложных срабатываний систем оповещения на объектах или информации, отображаемых на информационных табло в результате компьютерных атак. Отдельной проблемой стала защита информационных табло, громкоговорителей, рекламных и телевизионных устройств от возможности отображения информационного контента, содержащего экстремистские, расистские или иные провокационные материалы. Требования FIFA по отсутствию рекламы, кроме рекламы коммерческих партнеров на некоторых типах объектов Москвы, потребовали пересмотреть решения об уровне значимости информации, отображаемой на рекламных мониторах. А штрафные санкции FIFA за подобные нарушения значительно повысили стоимость инцидентов ИБ на таких объектах.

Акцентировалось внимание представителей объектов на необходимости защиты от компьютерных атак автоматизированных средств управления системами жизнедеятельности (кондиционирования, водоснабжения, вентиляции, освещения) и технологических систем (автоматический полив газонов, лифты).

Загруженности объектов иными проверками

Отдельной и существенной проблемой для организации аудита информационной безопасности являлось огромное количество проверок, осуществляемых государственными надзорными органами (ФСБ, МВД, МЧС, Роспотребнадзор, Ростехнадзор, транспортный надзор и т.д.) на объектах в этот же период. 

Сжатые сроки проведения проверок

Фактор, существенно влияющий на требования к профессиональному кругозору и креативности мышления аудиторов. Проблемой для аудитора являлось не только большое количество объектов, которые было необходимо проверить в условиях ограниченного времени, но и отсутствие возможности исправить недочеты, допущенные при проведении аудита. Так как целью всех мероприятий по обеспечению ИБ в период подготовки к проведению чемпионата мира по футболу являлось отсутствие инцидентов информационной безопасности, которые могли повлиять на проведение чемпионата мира по футболу и/или привести к репутационным потерям для Москвы и страны, то главным критерием оценки деятельности аудитора при проведении проверок стал показатель количества угроз ИБ, выявленных и нейтрализованных до окончания аудита.

Ораниченные ресурсы команды аудиторов

Проверки выполнялись штатным подразделением информационной безопасности ДИТ города Москвы, не рассчитанным на такой объем дополнительной работы. Проверка готовности объектов Москвы к чемпионату мира по футболу являлась приоритетной задачей подразделения, но не единственной. Обеспечивалась также ИБ объектов Москвы, задействованных в выборах президента России в марте 2018 г.

Отсутствие полномочий у аудитора

ДИТ города Москвы не наделен функциями государственного контроля в области ИБ на городских объектах. Этот фактор негативно влиял на оперативность внедрения на объектах Москвы компенсирующих мер по нейтрализации угроз ИБ, выявленных в ходе аудита.

Продолжение читайте в журнале Information Security № 5/2018.

12 февраля в рамках деловой программы Форума "Технологии Безопасности" 2019 состоится конференция "Безопасность массовых мероприятий", где будут подводиться итоги ЧМ мира и обсуждаться полученный опыт по обеспечению безопасности мероприятия. 

Сюжеты: День эксперта