ზოგადი მიმოხილვა
მასაჩუსეტსის ტექნოლოგიური ინსტიტუტის ინტერნეტ პოლისების კვლევების ინიციატივისა (MIT Internet Policy Research Initiative) და საერთაშორისო კვლევების ცენტრის (MIT Center for International Studies) ერთობლივი მუშაობით 2015-2016 წლებში ჩატარდა კრიტიკული ინფრასტრუქტურის სუბიექტების კიბერუსაფრთხოების გამოწვევების ვორქშოპი. მასში მონაწილეობას იღებდნენ ამერიკის, კანადის, იაპონიისა და ევროპის საკვანძო ინდუსტრიული ფირმების წარმომადგენლები; ასევე სამთავრობო სექტორის, მასაჩუსეტსის ტექნოლოგიური ინსტიტუტისა და კარნეგი-მელონის უნივერსიტეტის წარმომადგენლები.
კრიტიკულ ინფრასტრუქტურად მიიჩნევა ქვეყნისთვის უმნიშვნელოვანესი ისეთი სისტემები და აქტივები (როგორც ფიზიკური ისე ვირტუალური), რომელთა მწყობრიდან გამოყვანა ან განადგურება არსებითად შეასუსტებს ქვეყნის უსაფრთხოებას, ეკონომიკას ან ჯანდაცვას. აშშ-ს საპრეზიდენტო დირექტივა ნომერი 21-ის მიხედვით (PPD-21) ასეთი სულ თექვსმეტია, რომელთა ნახვაც შემდეგ მისამართზე შეგიძლიათ: https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidential-policy-directive-critical-infrastructure-security-and-resil
დიდი მოცულობისა და მცირე დროის გამო, მკვლევარებმა მათი აზრით ყველაზე უფრო კრიტიკული ოთხი სექტორი შეარჩიეს: ენერგო სისტემა, ფინანსური სისტემა, კომუნიკაციების სფერო და ნავთობისა და ბუნებრივი აირის სისტემა.
თითოეულ ვორქშოპზე მონაწილეთა რაოდენობა გარკვეული მიზეზებით შეზღუდული იყო 20-მდე და ამასთან, არ მოითხოვებოდა წინასწარ მომზადებული პრეზენტაციების წარდგენა. ამის მაგივრად, მონაწილეებს უნდა:
- დაეფიქსირებინათ მათთვის ყველაზე უფრო დიდი გამოწვევები სისტემური პრობლემების კუთხით.
- აღეწერათ შედარებით უსაფრთხო გარემოსთვის აუცილებელი მახასიათებლები როგორც ინტერნეტ ტექნოლოგიებში, ისე მასთან დაკავშირებულ ოპერაციულ ტექნოლოგიებში (IT and OT).
- მოეხდინათ იმ ტექნიკურ, პოლიტიკურ და ეკონომიკურ დაბრკოლებათა ერთობლიობის იდენტიფიცირება, რომლებიც ზემოაღნიშნულ მახასიათებლების პრაქტიკაში გატარებას უშლის ხელს.
დისკუსიის ჩარჩოების არარსებობის გამო, ვორქშოპი მაღალი დინამიკით გამოირჩეოდა და პრობლემების დადგენისა და მათი მოგვარების გზების დასახვისკენ იყო მიმართული. კამათის პროცესში გამოიკვეთა, ერთი არსებითი მომენტიც, რომელიც გარკვეულწილად თავად არის პრობლემა: ინდუსტრიის წარმომადგენლებს უჭირდათ სტრატეგიული თვალსაზრისების ჩამოყალიბება თეორიულად, მაშინ როდესაც აკადემიურ წარმომადგენლებს პრობლემები ჰქონდათ ისეთი თეორიების ჩამოყალიბებაზე, რომლებიც შეესაბამებოდა ინდუსტრიის წარმომადგენელთა პრაქტიკულ ინტერესებს. უფრო მარტივად რომ ვთქვათ, აკადემიკოსთა თეორია ვერ ერგებოდა ინდუსტრიის წარმომადგენელთა პრაქტიკას და პირიქით.
სწორედ ამიტომ, პროცესები საინტერესოდ წარიმართა და საბოლოოდ ჩამოყალიბდა შეთანხმებათა ორი წყვილი: თითოეული სექტორის ყველაზე მნიშვნელოვანი რისკების ჩამონათვალი და უდიდესი გამოწვევების ჩამონათვალი სექტორების მიხედვით.
ელექტრობა თანამედროვე ოპერაციული სტრუქტურების საბაზო კომპონენტია – თითქმის ყველა სოციალური და ეკონომიკური აქტივობა ხომ მას ეყრდნობა. ამიტომ, გასაკვირი არ არის, რომ ყველაზე სახიფათო რისკად ელექტრო სერვისების შეფერხება დაფიქსირდა. ამ რისკის კარგი მაგალითია უკრაინულ ელექტრო სადგურებზე განხორციელებული კიბერ შეტევა 2016 წლის დასაწყისში.
ენერგო სექტორში არსებული ყველაზე დიდი რისკების ჩამონათვალი შემდეგნაირად გადანაწილდა:
- მოძველებული ოპერაციული სისტემები, რომლებიც მოდერნიზებულია და თანამედროვე ციფრული კონტროლერებით იმართება. თავის დროზე, ეს მოწყობილობები გათვლილი იყო ფიზიკურად ჩაკეტილ სისტემაზე, ისე რომ მასზე გარედან წვდომა არ ყოფილიყო შესაძლებელი. მოდიფიცირებისა და ციფრული კონტროლების დაყენების შემდეგ, განსაკუთრებით, სისტემაში არსებული სისუსტეების არ ცოდნისა თუ გაუთვალისწინებლობის გამო, ეს მოწყობილობები ქვეყნისთვის მნიშვნელოვანი საფრთხის შემცველად იქცნენ.
- სისტემაზე წვდომის მოპოვება მესამე პირების მხრიდან. ვენდორებისა და სხვა კონტრაქტორებისთვის დამატებითი პრივილეგიების მინიჭება ყველამ ერთხმად აღიარა სერიოზულ რისკად. შემოთავაზებული იყო 2-დონიანი აუთენთიფიკაციისა და ქსელში მუდმივად VPN კავშირის გამოყენებაც, მაგრამ თუ სისუსტე ვენდორის სიტემაში არსებობს, ეს მეთოდები არაეფექტურია. ენერგეტიკის სისტემების მიერ გამოყენებული მონაცემთა ცენტრები და IoT მოწყობილობები ასევე ქმნიან მესამე პირთა შეღწევის დიდ რისკებს.
- რისკი, რომელსაც ქმნის შესაბამისობაზე (compliance) ორიენტირება, რეალურ უსაფრთხოებაზე ორიენტირების მაგივრად. სტანდარტებთან შესაბამისობისა და რეალური უსაფრთხოების დაპირისპირების საკითხმა აზრთა სხვადასხვაობა გამოიწვია აღმასრულებლებს შორის. ეს საკითხი მხოლოდ ამ სექტორში არ იყო მწვავე კამათის მიზეზი. შედარებისთვის, მსგავსი შეუთანხმებლობა არ არსებობს უსაფრთხოების პროფესიონალებს შორის. მათ კარგად ესმით, რომ სტანდარტებთან შესაბამისობის სერტიფიკატის ქონა საჭირო შეიძლება იყოს, მაგრამ არასაკმარისია, რადგან უსაფრთხოების რისკები მუდმივად იცვლება, სტანდარტები კი 5 წელში ერთხელ. შესაბამისობა კონკრეტულ check-list-ზეა ორიენტირებული და უსაფრთხოების მცდარ განცდას იძლევა.
ენერგო სექტორის უდიდესი გამოწვევების მნიშვნელოვანი ნაწილი უფრო მეტად ეკონომიკურ, კომერციულ და იურიდიულ ასპექტებს წარმოადგენს ვიდრე ტექნიკურს. თუმცა, თითქმის ყველა შემთხვევაში საჭიროა დიდი ძალისხმევა, თუნდაც ისეთ ელემენტარულ საკითხში, როგორიცაა ანალიტიკური სამუშაოსთვის საჭირო მონაცემების შეგროვება. როგორც გაირკვა, მონაცემების დამატებითი რისკების წარმოშობის გარეშე მოპოვებაც პრობლემაა. გამოწვევების ასე გამოიყურება:
- რისკების გაზომვა კორპორაციულ, სექტორულ და მაკროეკონომიკურ დონეებზე. ვორქშოპზე ყველა იმ აზრზე იყო, რომ რისკების განსაზღვრა აუცილებელ, მაგრამ ამავდროულად რთულ საკითხს წარმოადგენს. როგორც ერთმა მონაწილემ აღნიშნა, მისი კომპანიის მმართველი საბჭოსთვის ხეების მოჭრაზე დახარჯული თითოეული დოლარი უფრო ღირებულად მიიჩნეოდა ვიდრე კიბერუსაფრთხოებაზე დახარჯული ფული, რადგან ხეებზე დახარჯული ფულის ეფექტი შეიძლება გაიზომოს, ქსელიდან მომდინარე რისკებზე დახარჯული ფულის ეფექტი კი – არა. მეორე მონაწილის განცხადებით კი, კომუნალურ გადასახადების მონაცემები ხშირად არ ეკუთვნით ამ კომპანიებს, რაც შეუძლებელს ხდის რისკების ანალიზს.
- შიდა-სექტორული და სხვა სექტორებთან კავშირის სისუსტეების დადგენა, განსაზღვრა და შემცირება სიმულაციური სავარჯიშოებით. გამოიკვეთა IT/OT რისკებისა და თავდაცვის კოორდინირების არარსებობა. დამსწრეთა უმრავლესობა შეთანხმდა აზრზე, რომ ამ საკითხში ენერგო სექტორი მნიშვნელოვნად ჩამორჩება ფინანსურ სექტორს, მიუხედავად იმისა, რომ ისინი ერთმანეთზე არიან გადაჯაჭვულნი. ამიტომ საჭიროა სიმულაციური სავარჯიშოების ჩატარება, როგორც ენერგო სისტემის წარმომადგენელ კომპანიებს შორის, ისე სხვა სექტორებთან ერთად.
- ისეთი რეგულაციური სქემის მოდელის შექმნა, რომელიც კაპიტალდაბანდებას უსაფრთხოების რისკებთან თანაფარდობაში მოიყვანს. გაბატონებული რეგულაციები მოითხოვენ თანამედროვე პროგრამული უზრუნველყოფის არსებობას, მაგრამ მათი უსაფრთხოების უზრუნველყოფისთვის არ არსებობს შესაბამისი დონის მოთხოვნები. ამ პრობლემის გადაჭრისთვის შემოთავაზებული იყო:
- ფარდობითი ანალიზების ჩატარება სხვადასხვა ენერგო კომპანიების მონაცემების გამოყენებით.
- მონაცემთა მთლიანობის საზომების (data integrity measures) შედარება ენერგო და ფინანსურ სექტორს შორის.
- ბირთვული ელექტრო რეგულაციების შესწავლა არაბირთვული ელექტრო რეგულაციების უსაფრთხოების გაუმჯობესებისთვის.
- ადამიანური ცოდნის გაუმჯობესება ენერგო სისტემების ქსელის მენეჯმენტში. უნდა მოხდეს ელექტრო სექტორისთვის საჭირო სპეციფიკური უნარების განსაზღვრა და სათანადო კადრების მომზადება.
- ინფორმაციული ტექნოლოგიებისა (IT) და ოპერაციული ტექნოლოგიების (OT) მენეჯმენტის ინტეგრაცია. ამისთვის, საჭიროა უსაფრთხოების ფუნქციების უნიფიცირება. უნდა არსებობდეს ერთი პიროვნება, რომელსაც წარმოდგენა ექნება უსაფრთხოების ზოგად სურათზე მთელ კომპანიაში და პასუხისმგებელი იქნება მხოლოდ მმართველი საბჭოს წინაშე. ასევე, უნდა გამოსწორდეს დარღვეული თანაფარდობა ოპერაციული ტექნოლოგიების წლოვანებასა (20-25 წლის წინანდელი) და ინფორმაციული ტექნოლოგიების წლოვანებას (3-5 წლის წინანდელი) შორის.
იმედი გვაქვს, დაგაინტერესათ ჩვენს მიერ შემოთავაზებულმა განხილვამ. მოცემულ საკითხზე ქართული მასალის სიმწირის გამო გადავწყვიტეთ, სტატია ორ ნაწილად გაგვეყო და მეორე ნაწილში შემოგთავაზებთ – ფინანსური, კომუნიკაციების, ნავთობისა და ბუნებრივი აირის სექტორების რისკებსა და კიბერ გამოწვევებს.