Морская кибербезопасность — ситуация, проблемы и риски

Комитет по безопасности на море Международной морской организации (ИМО) в июне 2017 г. принял резолюцию MSC.428(98) — Управление морскими киберрисками в системах управления безопасностью. Резолюция призывает администрации обеспечить учет киберрисков в системах управления безопасностью судов после 1 января 2021 г.

Несмотря на то, что Россия, являясь членом Международной морской организации, участвовала в обсуждении и приеме ее документов о морской кибербезопасности, каких-либо действий как правительство-член или администрация флага Россия не предпринимала и не предпринимает.

Обращаю внимание на то, что циркуляром ИМО, в принятии которого участвовала и Россия, рекомендуется «Рамочная структура для улучшения кибербезопасности критически важной инфраструктуры» Национального института стандартов и технологий США. «Руководство по кибербезопасности на борту судов» также разработано при участии Национального института стандартов и технологий США и Береговой охраны США.

Не исключено, что морская отрасль России, включая суда под Государственным флагом Российской Федерации в части, касающейся морской кибербезопасности, будет руководствоваться рекомендациями государственных структур США.

К специальному законодательству по противодействию киберугрозам, принятому Российской Федерацией, можно отнести институт права, сформированный Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» (от 26.07.2017 № 187-ФЗ). Однако для данного закона не имеет существенного значения, в какой отрасли, на каком объекте используются вышеуказанные сети и системы. Закон рассматривает в качестве объектов защиты именно сами сети и системы, а не объекты, которыми они эксплуатируются. Международный же подход нацелен на защиту именно судна или портового средства. В этом, наверно, главное отличие международного подхода от российского.

Другим отличием является то, что для российского законодательства ключевое значение имеет значимость защищаемого объекта, которая рассматривается как основание для защиты. Объекты, не относящиеся к значимым объектам критической информационной инфраструктуры, вообще выпадают из правового регулирования ФЗ-187. Международные же рекомендации распространяются на все суда и портовые средства, но реализуются в части, их касающейся.

С 1 января 2021 г. морские администрации ряда стран начнут проверки заходящих в их порты судов на предмет выполнения рекомендаций ИМО по кибербезопасности. У судов под Государственным флагом Российской Федерации в иностранных портах, начиная с 1 января 2021 г., могут возникнуть риски санкций за невыполнение рекомендаций ИМО по кибербезопасности. Невыполнение рекомендаций по кибербезопасности может послужить причиной отказа российскому судну в коммерческом контракте со стороны фрахтователя. Тарифные ставки страхования морских грузов, вероятно, будут отличаться для судов, выполняющих и не выполняющих рекомендации по кибербезопасности, что может снизить конкурентную способность российского флота.

С 2021 г. киберинциденты на интерфейсе судно/порт будут рассматриваться через призму рекомендаций по кибербезопасности. В результате наши порты могут признаваться небезопасными с точки зрения кибербезопасности (аналогия с перечнем небезопасных с точки зрения охраны портов) и судам, заходящим в такие порты России или побывавшим в них, будут рекомендоваться повышенные меры кибербезопасности. Соответственно, это повлияет на экономическую привлекательность портов и стоимость перевозок из и в них. Кроме того, невыполнение РФ международных норм может служить поводом для санкций как в отношении РФ — члена ИМО, так и портов РФ.

Случаи кибератак на судовые системы через интерфейс судно/порт могут послужить поводом для как финансовых претензий, так и политических.

О состоянии информационной безопасности даже в ведущих российских портах ничего не известно. А ведь успешная кибератака на порт сразу ведет к многомиллионным убыткам.

Киберинциденты могут негативно влиять не только на имидж конкретного российского порта или компании, но и на имидж России как государства — члена ИМО.

За рубежом наблюдается консенсус об отношении оценки кибербезопасности и плана кибербезопасности к другим документам. План кибербезопасности для судна должен являться приложением к плану охраны судна. У иностранных специалистов есть консенсус и в отношении того, что роль должностного лица, ответственного за охрану, должна эволюционировать так, чтобы охватить вопросы кибербезопасности. К вышеперечисленным рискам необходимо отнестись серьезно. Лучше заранее принять меры по их предупреждению, чем дожидаться стимула в виде кибератаки или санкций.