Михаил Емельянников
управляющий партнёр консалтингового агентства «Емельянников, Попова и партнёры»
Неучебная тревога
За последние три года были зафиксированы атаки на системы связи и веб-сайты железных дорог разных стран
Происходящие в мире изменения, связанные с тотальной компьютеризацией, переводом в глобальные сети систем создания и использования знаний, управления производством и технологическими процессами, наконец, появление электронной коммерции сказываются на всех без исключения сферах деятельности. Не обошли они стороной и область транспортных перевозок, в том числе железнодорожных.
Цифровой мир
Невиданные ранее возможности по организации управления железнодорожным транспортом, логистикой грузовых перевозок, по предоставлению пассажирам интернет-сервисов бронирования и приобретения билетов, безусловно, создают принципиально новые перспективы развития бизнеса. Однако при этом они таят в себе неизвестные ранее опасности, связанные с нарушением деятельности транспортных компаний в результате реализации киберугроз и злонамеренного воздействия на информационную инфраструктуру. Значительно осложняется в современном цифровом мире и задача обеспечения транспортной безопасности как в связи с расширением возможности воздействия на инфраструктуру, так и за счёт получения неправомерного доступа к информации. Усугубляется проблема существенным отставанием законодательного и нормативного регулирования в сфере информационной безопасности, которое по понятным причинам не может успевать за технологическим развитием.
Составляя важнейший элемент транспортной инфраструктуры, железные дороги являются объектом постоянного внимания со стороны спецслужб иностранных государств, а также преступных сообществ, действующих в киберпространстве, и одной из наиболее вероятных целей для совершения атак из глобальной информационной сети. Официальное признание такими странами, как США, Великобритания, Китай, фактов создания в составе вооружённых сил спецподразделений по ведению боевых действий в информационном пространстве и возможности применения в нём наступательного кибероружия говорит об особой значимости темы. Всё это требует тщательного осмысления и анализа, создания стратегии управления рисками в данной сфере и принятия мер, снижающих вероятность неправомерного воздействия на транспортную инфраструктуру.
Можно отдельно выделить аспекты обеспечения безопасности в информационной сфере, связанные с деятельностью железных дорог. Это обеспечение безопасности автоматизированных систем управления технологическими процессами (АСУ ТП), выполнение законодательства в области персональных данных при работе со сведениями о пассажирах и защита исключительных прав на информацию, составляющую коммерческую тайну ОАО «РЖД», его дочерних и зависимых фирм.
Нетривиальная задача
После успешной атаки компьютерного суперчервя Stuxnet на иранские объекты по обогащению урана в Натанзе, приведшей к физическому разрушению центрифуг в результате создания нештатного режима, тема безопасности автоматизированных систем (в том числе типа SCADA) оказалась в центре внимания. Следом за Stuxnet’ом был выявлен ещё один червь подобного класса, Duqu, собиравший и передававший по заданному адресу в сети Интернет сведения о работе систем управления и саморазрушавшийся после выполнения шпионской функции.
Самое тревожное в этих сообщениях то, что объектом атаки Stuxnet’а была АСУ ТП под управлением программного обеспечения компании Siemens, хорошо известной российским железнодорожникам. А для атаки были использованы технические особенности именно этого продукта и, соответственно, работающих с ним программируемых логических контроллеров.
Между тем использование Интернета в качестве транспортной среды в системах АСУ ТП становится довольно распространённым, в том числе и по требованиям компаний-разработчиков, которым необходим доступ к информационной инфраструктуре для оперативного решения проблем, возникающих в ходе промышленной эксплуатации систем управления.
Но угрозы информационной безопасности не ограничиваются только этим. За последние три года были зафиксированы атаки (ответственность за многие из них взяла на себя международная хакерская группа Anonymous) на системы связи и веб-сайты железных дорог разных стран. В том числе угрозе подверглись компании из Австралии, Швеции (в ходе противостояния по делу основателя Wikileaks Джулиана Ассанджа, выдачи которого требовала эта страна), Нидерландов.
Также под прицелом оказалась относительно небольшая железная дорога Bay Area Rapid Transit в Калифорнии, на платформе которой полицией был застрелен мужчина. Это не исчерпывающий перечень инцидентов, а только примеры некоторых из них.
Очевидно, что проблема информационной безопасности в телекоммуникационных и автоматизированных системах железных дорог нуждается в самом пристальном внимании и эффективных усилиях по её обеспечению. Не случайно в США целый ряд правительственных и неправительственных организаций и учреждений более 10 лет назад, после терактов 11 сентября 2001 года, разработали и постоянно актуализируют программы обеспечения информационной безопасности железных дорог.
Борьба с утечками
Принятый ещё в 2006 году в России закон «О персональных данных» определил достаточно жёсткие требования к обеспечению безопасности сведений, касающихся личной и частной жизни граждан. Важнейший элемент – наличие правовых оснований обработки персональных данных, соответствие их состава заранее предопределённым целям. В этих условиях утечка (то есть получение возможности доступа к информации неопределённого круга лиц) рассматривается как прямое нарушение требований закона. Влечёт как минимум административную ответственность в соответствии со ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», а при определённых условиях и уголовную ответственность – ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».
Между тем проблемы, связанные с сохранностью персональных данных пассажиров, уже возникали.
Летом 2011 года «Аргументы и факты» и РИА «Новости» сообщили о том, что в открытый доступ попала информация о пассажирах, которые приобретали железнодорожные билеты через интернет-сайт RailwayTicket.ru (poezd.ru), принадлежащий компании «Трэвелмарт сервис». Как оказалось, в ходе создания программного кода были допущены ошибки, связанные с возможностью индексации хранящейся информации поисковыми системами. В итоге при формировании определённого запроса поисковик «Яндекса» выдавал ссылки с данными о заказанных билетах (в том числе можно было увидеть часть цифр паспорта пассажира). И хотя владелец указанного сайта не относится к ОАО «РЖД», определённые репутационные потери понесла именно железнодорожная компания.
Однако можно добавить, что в свете настойчиво лоббируемого ужесточения ответственности за нарушения в сфере персональных данных и увеличения штрафов в 50–70 раз (а соответствующий законопроект уже прошёл оценку регулирующего воздействия в Минэкономразвития России) проблема соответствия требованиям закона может перейти из репутационной области в финансовую.
Буква закона
Хотя ОАО «РЖД» по отдельным сегментам деятельности и не испытывает пока чрезвычайно жёсткого конкурентного давления, обеспечение сохранности коммерчески значимой информации и защиты исключительного права на результаты интеллектуальной деятельности, безусловно, важно и для него.
Основная проблема – при рассмотрении трудовых и арбитражных споров в суде, связанных с информацией, составляющей коммерческую тайну, значимым для принятия решения фактором является полнота выполнения мероприятий, предусмотренных статьями 10 и 11 федерального закона «О коммерческой тайне». Отсутствие предусмотренных данным актом защитных мер приводит к отказу в защите прав обладателей информации, к отказу в привлечении к ответственности лиц, виновных в неправомерном обращении с коммерческими секретами, в восстановлении в должности и выплате компенсации работникам, уволенным за разглашение секретов производства.
Так, арбитражный суд Волго-Вятского округа в 2008 году посчитал правомерным вывод предыдущих судов о непринятии ОАО «Уралвагонзавод» всех необходимых мер для охраны конфиденциальной информации и отказавших на этом основании предприятию в защите исключительного права на технологию производства вагонных сцепок, зафиксированную в документации. Причина в том, что на носители этих сведений (чертежи) вопреки требованиям закона не был нанесён гриф «Коммерческая тайна» с указанием обладателя данной информации. Соответственно, судом не было вынесено решение о восстановлении права и прекращении незаконной деятельности конкурирующих предприятий, использующих технологии ОАО «Уралвагонзавод».
При выполнении же всех предусмотренных законом условий суды, как правило, становятся на сторону обладателя информации. К примеру, Московский городской суд в декабре 2011 года при рассмотрении надзорной жалобы на решение Гагаринского районного суда и определение судебной коллегии по гражданским делам Московского городского суда признал правомерным увольнение работника ООО «Независимая Транспортная Компания» за разглашение коммерческой тайны. Суд учёл, что перечень информации, составляющей коммерческую тайну, а также порядок обращения с такой информацией и ответственность за её разглашение были определены в ООО соответствующим положением. Предприятие предоставило доказательство того, что разглашённая информация отнесена к коммерческой тайне, работник был под роспись ознакомлен с её перечнем и содержанием режимных мер.
Таким образом, реализация режима коммерческой тайны требует точного и скрупулёзного выполнения всех предусмотренных законом мер по установлению и поддержанию коммерческой тайны, постоянного анализа судебной практики по делам, связанным с оборотом информации, составляющей коммерческую тайну, и эффективного контроля за соблюдением требований к режиму конфиденциальности.
Вместе с тем не будем забывать, что практически вся информация, составляющая коммерческую тайну, хранится, обрабатывается и передаётся в информационных системах и требует принятия эффективных мер по обеспечению компьютерной безопасности.
Досье локомотивов
Олег Харин, директор Центра технологических информационных систем ВНИИЖТа,
Цифровые технологические платформы как основной инструмент цифровизации РЖД
Рубрики: IT-технологии
Развязать узел
Александр Борейко, генеральный директор ООО «Интеллектуальные транспортные технологии»,
Сергей Кокин, генеральный директор АО «Арктический транспортно-промышленный узел»,
Марина Крекова, заведующая кафедрой «Управление персоналом» ФГБОУ ВО «Московский политехнический университет» (Политех),
Цифровой подход: актуальные проблемы и современные технологии для их решения
Рубрики: IT-технологии