Научная статья на тему 'Информационная безопасность в цифровой экономике'

Информационная безопасность в цифровой экономике Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
5755
728
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЦИФРОВАЯ ЭКОНОМИКА / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / КИБЕРФИЗИЧЕСКИЕ СИСТЕМЫ / ИНТЕРНЕТ ВЕЩЕЙ / DIGITAL ECONOMY / INFORMATION SECURITY / CYBERPHYSICAL SYSTEMS / CPS / IOT. NOT

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Минзов Анатолий Степанович, Невский Александр Юрьевич, Баронов Олег Юрьевич

В статье рассматриваются особенности создания систем информационной безопасности в цифровой экономике для киберфизических систем. На основе анализа стандартов NIST исследуются различные условия применения примитивов киберфизических систем их свойства и возможные угрозы. Анализируется содержание программы «информационная безопасность» в цифровой экономике.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Минзов Анатолий Степанович, Невский Александр Юрьевич, Баронов Олег Юрьевич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Information security in the digital economy

In the article features of creation of information security systems in digital economy for cyberphysical systems are considered. Based on the analysis of NIST standards, various conditions for the application of primitives of cyberphysical systems to their properties and possible threats are explored. The content of the program "information security" in the digital economy is analyzed.

Текст научной работы на тему «Информационная безопасность в цифровой экономике»

Field telemechanics controller based on national made hardware components for application on the objects of oil and gas industry

Aleshin Sergey, Harware engineer, EZAN

Barkov Valeriy, Head of process controls ystems Deaprtment, Technokrat Berner Leonid, Dr. Sci., Prof., General director, ATGS Gorbunov Vladimir, Design engineer, EZAN Roshchin Alexey, first deputy director general, ATGS

The work presents the development actuality of the domestic field controller for telemechanics applications. The main technical requirements putted forward by the oil and gas industrial automation branch are given. A detailed description of the key features of the equipment and its competitive advantages are presented.

Keywords: Field controller, telemechanics, industrial-control system, localization.

УДК 004.056.53, 338.1

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В ЦИФРОВОЙ ЭКОНОМИКЕ

Анатолий Степанович Минзов, д-р тех. наук, проф. каф. информационной и экономической безопасности E-mail: MinzovAS@mpei.ru, Александр Юрьевич Невский, канд. техн. наук, зав. каф. информационной и экономической безопасности E-mail: NevskyAU@mpei.ru Олег Юрьевич Баронов, канд.техн. наук, проф. каф. информационной и экономической безопасности E-mail: BaronovOR@mpei.ru, НИУ «МЭИ» http://mpei.ru

В статье рассматриваются особенности создания систем информационной безопасности в цифровой экономике для киберфизических систем. На основе анализа стандартов NIST исследуются различные условия применения примитивов киберфизических систем их свойства и возможные угрозы. Анализируется содержание программы «информационная безопасность» в цифровой экономике.

Ключевые слова: цифровая экономика, информационная безопасность, киберфи-зические системы, интернет вещей.

Введение

В соответствие с Указом Президента Российской Федерации [1] в Правительстве была разработана Программа "Цифровая экономика Российской Федерации" [2], направленная на создание условий для развития общества знаний в РФ, повышение благосостояния и качества жизни граждан нашей страны путем повышения доступности и качества товаров и услуг, произведенных в цифровой экономике с использованием современных цифровых технологий, повышения степени информированности и цифровой грамотности населения, улучшения доступности и качества государственных услуг для граждан, а также безопасности как внутри страны, так и за ее пределами. Сегодня практически ни у кого не вызывает сомнение тезис о том, что цифровая экономика современного государства должна строится на платформах с высокоразвитой инфраструктурой информационных

технологий, связи, коммуникаций и киберфизических систем (IoT)1. Однако, следует отметить, что понятие «цифровая экономика», введенная в употребление более 20 лет назад, остаётся и сегодня достаточно расплывчатым и не имеет четкого определения даже в научных кругах. Сформулированные в программе [2] условия достижения конечных целей (повышение благосостояния и качества жизни граждан) не имеют четких критериев внедрения цифровых технологий в нашу жизнь и не связаны напрямую с экономикой. Мы уже прошли этапы автоматизации и они, в большей части, не приносили экономической эффектов. Следовательно, главным критерием внедрения цифровых технологий в цифровой экономике является либо снижение себестоимости, либо создание добавленной ценности2.

В качестве примера реализации цифровой экономики приведем следующий. При обмене мнениями с коллегами на Международной научной школе в СПИИРАН РАН по безопасности КФС3 был приведен пример внедрения новых информационных технологий в медицину в Норвегии. Для людей с повышенным риском инфарктов и инсультов в Норвегии разработан браслет, способный контролировать состояние человека и при критичных значениях параметров передавать их и показатели геолокации больного по беспроводной системе связи в центр обработки данных (ЦОД). В ЦОД прогнозируется состояние больного и при необходимости его срочной госпитализации автоматически формируется сообщение на мобильный телефон с указанием ближайшего пункта госпитализации. Если больной способен самостоятельно прибыть в медицинское учреждение, то туда поступает сообщение и все данные о больном. Это позволяет заранее начать подготовку к его приему. Если пациент не отвечает, то к нему высылается транспорт скорой помощи. Такой подход позволяет во много раз сократить риски от смертельных случаев от инфарктов и инсультов. Средняя продолжительность человека в такой системе мониторинга увеличивается. Это и есть добавленная ценность. Кстати, средняя продолжительность жизни в Норвегии составляет 81 год (14 место в рейтинге), а в России 71,4 (127 место в рейтинге)4. Из этого примера следует, что в основе приведенного решения лежит комплексная программа по разработке прибора с большим количеством датчиков (сенсоров), программного обеспечения с использованием искусственного интеллекта (диагностика состояния пациента), развитая защищенная от воздействия и надежная телекоммуникационная беспроводная сеть, инфраструктура технического сопровождения системы и обучения персонала соответствующим компетенциям, а также решение организационных, нормативно-правовых и финансовых вопросов в масштабе государства. Эти направления и определяют содержание программы развития цифровой экономики в нашей стране.

1. Киберфизические системы и интернет вещей в цифровой экономике

В основе технических решений в цифровой экономике положены понятия «киберфизические системы» и «Интернет вещей». Разберемся в них более детально. Стандарты института NIST (National Institute of Standards and Technology, США) разделяют понятие Интернет вещей на два [3]: IoT и NoT (Интернет вещей и Сеть вещей)), которые одинаковы по структуре, но отличаются способом подключения к телекоммуникационным каналам связи: во втором случае (NoT) сенсоры находятся внутри локальной сети,

1 IoT - сокращение от Internet of Things (Интернет вещей). Этот термин неудачный, четко не определен и используется, в основном, в СМИ. Сегодня в официальных документах и научном мире используется термин КФС (киберфизические системы). КФС - информационно-технологическая концепция, подразумевающая интеграцию в различные физические процессы или объекты сенсоров, контроллеров, средств подключения к каналам связи и механизмам управления процессами (авт.).

2 Добавленная ценность — это дополнительные услуги и/или сервис.

3 Международная научная школа «Управление инцидентами и противодействие целевым кибер-физи-ческим атакам в распределенных крупномасштабных критически важных системах» (IM&CTCPA 2017).

4 Life expectancy at birth, total (years), https://data.worldbank.org/

а в первом случае (IoT) они подключены к Интернет. Это различие в терминологии облегчает разделение вариантов использования IoT по разным сферам применения (например, транспорт, медицина, финансы, сельское хозяйство и т.д.). В стандарте также вводится понятие «примитив». Примитивы являются строительными блоками, которые дают возможность ответить на вышеупомянутые вопросы и утверждения, позволяя проводить сравнения между NoT [4]. Термин примитив используется для представления меньших элементов, из которых могут быть построены более крупные блоки или системы (рис.1).

Датчик (Sensor) - это электронное устройство, которое измеряет физические свойства объекта, такие как температура, ускорение, вес, звук, освещенность, контакт, геопозицию, наличие, идентичность, химический состав и т.д. Все датчики используют механические, электрические, химические, оптические или другие эф-time snapshots фекты на интерфейсе

Рис.1.Примитив NoT в концепции стандарта контролируемого про-

цесса или открытой

среды. Датчики различаются по своим свойствам, способам передачи информации, возможностью программной обработки сигналов, погрешностями их измерений, способностью к идентификации и аутентификации. Датчики типа Sensor+ имеют расширенные возможности по подключению к другим или нескольким сетям.

Агрегатор (Aggregator). В этом примитиве выполняется роль устройства (контроллера) по обработке поступающей информации от кластера сенсоров. Уровень обработки данных может быть различным от простейшей до более сложной обработки с выработкой управляющего решения. Их программная реализация, основанная на использовании математических функций, которые преобразует группы исходных данных в промежуточные, агрегированные данные. Агрегаторы помогают управлять большими данными, делая промежуточные преобразования.

Рассмотренные в стандарте свойства датчиков не используют криптографию при создании потоков данных от сенсоров и контроля целостности ПО Сенсоров и Агрегато-ров, хотя в телеметрических сетях энергетики современные датчики потребления энергии обладают такими возможностями. Системы защиты информации в примитивах NoT не представляют большой сложности, так как могут быть организованы как замкнутые системы, в которых риски информационной безопасности могут быть значительно ограничены. Во всех примитивах, определяемых этим стандартом [3] кластеры исполнительных механизмов не рассматриваются и не анализируются. Такой подход не позволяет создавать единый механизм применения КФС и обеспечения их информационной безопасности. Безусловно, что в замкнутых системах КФС типа NoT построить систему защиты информации не представляет большой сложности. Но даже в этом случае возникает несколько угроз, которые требуют определенной реакции:

1. Подмена значений сенсоров или включение в сеть новых.

2. «Уход» показаний сенсоров за пределы допустимой погрешности.

3. Блокирование доступа к элементам сети.

4. Изменение целостности программного обеспечения агрегаторов.

5. Отказ элементов сети, что приводит к прерыванию управляемых бизнес-процессов.

Эти угрозы требуют организационных и технических решений по обеспечению физической безопасности КФС, создания механизмов обеспечения целостности элементов

ГН Aggregator Sensor Cluster

Communication channel

Щ Sensor +

сети, дублирования отдельных их элементов и диагностику их состояния. Все это приведет в конечном счете к повышению стоимости КФС за счет создания защитных мер.

В более сложных случаях применения киберфизических систем (IoT) появляются и более сложные решения, например, на рис.25.

В этой схеме, включен весь цикл управления КФС:

1. Данные от кластеров датчиков Ci, С2, Сз передаются на два внешних устройства (eU2 и eU3), где подвергаются обработке.

2. Обработанные данные передаются на терминал оператора, для контроля состояния процессов и на сервер (каналы Х и Y), где проводится их обработка в технологии BigData.

3. Человек (eUi) в этой модели КФС классифицируется как внешнее устройство (eUtility) и может действовать в роли датчика, вручную передавая информацию в поток данных. В стандарте NIST человек может быть также определен в роли принимающего решения «решающий триггер» (Decision trigger), но в киберфизических системах основная роль человека отводится к контролирующим функциям. Решения в рассматриваемой модели КФС (рис.2) принимаются на уровне экспертной системы D = f (x, y).

4. Результаты принятого решения передаются по каналу Х на исполнительные механизмы в двух кластерах Mi и М2.

(J Humar

Control Channel ЦЦ Aggregator

Sensor Cluster

Communication channel

eUtility

Decision trigger

^ Actuating mechanism

9

Server

if fix, y) > 200, set wing flaps to 10 degrees

Рис.2.КФС, реализующий сложные процессы управления с использованием системы искусственного интеллекта, больших данных и в критичных ситуациях управляемый человеком

5 В рис.2 были использованы фрагменты сложного решения, в котором отсутствуют механизмы управления на основе решающего триггера. Эти механизмы и связи с ними добавлены авт.

Очевидно, что подобное решение (1оТ) требует другого подхода к созданию системы информационной безопасности. Перечень угроз, кроме перечисленных выше для примитива (рис.1), включает следующие:

1. Атака на каналы передачи данных (X, У) и исполнительные механизмы (кластеры М1 и М2).

2. Атака на программное обеспечение сервера: операционную систему, информационные технологии BigData и систему искусственного интеллекта принятия решений

3. В = /{х, у).

4. Атака на программное обеспечение механизмов управления (М1, М2).

5. Атака на протоколы обмена информацией между сервером и внешними устройствами.

Рассмотренные угрозы гораздо более серьёзные и требуют разработки устойчивых к атакам протоколов обмена информацией с упрощенной криптографией для создания доверенной среды, между сенсорами, внешними устройствами и решающими триггерами с постоянной системой их контроля.

2. О программе «цифровая экономика российской федерации»

Но вернемся к программе цифровой экономики (ЦЭ). Концепция этой программы [2] предусматривает, что развитие цифровой экономики в период до 2024 года будет обеспечено путем достижения целей, о которых мы говорили ранее, в следующих важных направлениях:

1. Нормативное регулирование.

2. Кадры и образование.

3. Формирование исследовательских компетенций и технических заделов.

4. Информационная инфраструктура.

5. Информационная безопасность.

По всем этим базовым направлениям предусматривается более 500 разных по уровню сложности и срокам реализации задач (вех по тексту программы). Весьма важным фактом является условия выполнения этих задач:

• Применение сквозных передовых технологий,

• Создание центров компетенций для трансфера {передачи) новых знаний в сферы практической реализации решенных задач {вех) в базовых направлениях.

Основными сквозными цифровыми технологиями, которые входят в рамки Программы, являются:

1. Большие данные;

2. Нейротехнологии и искусственный интеллект;

3. Системы распределенного реестра {блокчейн);

4. Квантовые технологии {квантовая информатика, квантовые компьютеры и квантовая криптография);

5. Новые производственные технологии;

6. Промышленный интернет;

7. Компоненты робототехники и сенсорика;

8. Технологии беспроводной связи;

9. Технологии виртуальной и дополненной реальностей.

Предложенный набор сквозных технологий, к сожалению, не достаточно обоснован. Например, применение систем распределенного реестра имеет весьма ограниченное применение и не может быть рекомендовано для всех базовых направлений. В тоже время, из-за отсутствия практических результатов в сфере квантовых технологий, весьма трудно представить практическое внедрение в обозримом будущем квантовых технологий, квантовой криптографии, технологии создания доверенных сред и других технологий этого направления.

В целом, программа является достаточно прогрессивной, хотя на наш взгляд, слишком детализирована. Это может привести к дополнительным рискам при её реализации. При стратегическом планировании достаточно выделить в рамках каждого из определенных 5 направлений несколько стратегических задач, определить результаты, принципы, условия, механизмы, исполнителей и сроки их реализации. Кроме того, сегодня существует и ряд других весьма близких по содержанию проектов в сфере национальных технологических инициатив (НИТ), но непонятно какое отношение они имеют к проекту цифровой экономики или эти два проекта будут выполняться одновременно и раздельно.

Несколько слов об исполнителях программ. Это, как правило, государственные структуры, крупный бизнес, инновационный центр «Сколково» и другие организации на конкурсной основе.

Программой определены следующие центры компетенций:

1. Центром компетенции по направлению «Нормативное регулирование» стал фонд «Сколково». Главой центра компетенций стал председатель правления фонда «Сколково» Игорь Дроздов.

2. Центром компетенции по направлению «Кадры и образование» стало АНО «Агентство стратегических инициатив» (АСИ). Руководителем Центра компетенций назначен директор департамента «Молодые профессионалы» АСИ Дмитрий Песков.

3. Центром компетенции по направлению «Формирование исследовательских компетенций и технологических заделов» стали «Ростех» и «Росатом». Руководителем рабочей группы по направлению «Формирование исследовательских компетенций и технологических заделов» стал генеральный директор, председатель правления АО «РВК» Александр Повалко.

4. Центром компетенции по направлению "Информационная инфраструктура" стал "Ростелеком". Главой этого центра компетенций стал вице-президент "Ростелекома" по стратегическим инициативам Борис Глазков.

5. Центр компетенций по направлению «Информационная безопасность» программы стал Сбербанк РФ, а руководителем Центра назначен Станислав Кузнецов (заместитель председателя правления ПАО "Сбербанк"). Руководителем рабочей группы по направлению «Информационная безопасность» стала президент Группы компаний Infowatch Наталья Касперская.

Не все решения по назначению Центров компетенций поддаются логическому пониманию и обоснованию. Значительное количество вопросов возникает по Центру компетенций «Нормативное регулирование» («Сколково») и Центр компетенций «Информационная безопасность» (Сбербанк РФ). Для решения задач цифровой безопасности практически не привлекается ведущие институты РАН РФ и ведущие образовательные учреждения России. Возможно ли без них совершить трансфер новых знаний? В любом случае, на наш взгляд, вузовская наука должна быть сопричастна как к генерации новых знаний, так и передаче этих новых компетенций на основе этих знаний.

3. Направление «информационная безопасность» в цифровой экономике»

Остановимся на направлении информационной безопасности. Целью этого направления является достижение состояния защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет и устойчивое социально-экономическое развитие Российской Федерации в условиях цифровой экономики [5]. Для реализации этой цели в программе выделено 14 задач и 175 вех. Принципиально их можно разделить на следующие направления:

1. Обеспечить технологическую независимость и безопасность функционирования аппаратных средств и инфраструктуры обработки данных (пп.5.1 и 5.2 программы).

2. Обеспечить безопасность функционирования российского сегмента сети Интернет.

3. Разработать нормативно-правовые механизмы функционирования КФС в условиях цифровой экономики (пп.5.5-5.8, 5.10-5.12).

4. Создать основы для построения доверенной среды функционирования КФС.

5. Обеспечить устойчивость и безопасность функционирования информационных систем и технологий (п.5.4 программы).

6. Обеспечить международное взаимодействие по вопросам информационной безопасности в цифровой экономике.

Наиболее сложной стратегической задачей является первая, направленная на создание технологической независимости отечественного производства аппаратных средств в сфере защиты информации. По существу, здесь должен быть реализован инновационный технологический прорыв, так как существующие наши возможности на фоне других стран малозаметны. Обычные методы импортозамещения потребуют капиталоёмких вложений и десятков лет при условии поставок современного технологического оборудования, которое к тому времени может морально устареть. В условиях санкций это практически невозможно, поэтому наиболее эффективные решения этой стратегической задачи в короткие сроки возможны только при использовании принципиально новых подходов к обработке информации и её защите.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Заключение

В настоящее время вопросам внедрения цифровой экономики уделяется самое широкое внимание. Этому направлению посвящены научные конференции и семинары, проводится широкое обсуждения программных решений в СМИ и Интернет. Однако, остаётся нерешенным главный вопрос: как на современной технологической платформе построить не просто цифровую, а эффективную цифровую экономику?

Наиболее простой путь решения этой задачи - это массовое внедрение ИТ во все процессы. Сегодня именно такой подход излагается в СМИ журналистами, политиками и учеными. Но наш практический опыт показывает, что большинство внедряемых ИТ только увеличивают конечную стоимость продукции. Значит необходимы другие решения. Исходя из конечных целей создания цифровой экономики целью разработки, внедрения и сопровождения ИТ является создание добавочной ценности продукта (услуги) и/или снижение его себестоимости путем использования современных информационных технологических платформ и киберфизических систем. Такой подход потребует разработки новых концепций проектирования систем информационной безопасности, интерфейсов и протоколов взаимодействия между элементами КФС, которые будут в значительной степени встроенными в информационные технологии управления КФС.

Литература

1. Указ Президента РФ Российской Федерации от 9 мая 2017 г. № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы"

2. Программа «Цифровая экономика Российской Федерации». Распоряжение Правительства РФ от 28 июля 2017 г. № 1632-р.

3. Jeffrey Voas. Networks of 'Things'. NIST Special Publication 800-183. July 2016

4. Куприяновский В.П., Шнепс-Шнеппе М.А., Намиот Д.Е., Селезнев С.П., Синягов С.А., Куприяновская Ю.В. Веб Вещей и Интернет Вещей в цифровой экономике // International Journal of Open Information Technologies. 2017. № 5. URL: http://cyberleninka.ru/article/n/veb-veschey-i-internet-veschey-v-tsifrovoy-ekonomike (дата обращения: 27.10.2017).

5. План мероприятий по направлению «Информационная безопасность» программы «Цифровая экономика Российской Федерации» УТВЕРЖДЕН Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности (протокол от 18 декабря 2017 г. № 2)

INFORMATION SECURITY IN THE DIGITAL ECONOMY

Minzov Anatoly, full professor, professor of the department of information and economic security, of National Research University MPEI

Nevsky Alexander, professor, chif of the department of information and economic security, of National Research University MPEI

Baronov Oleg, professor of the department of information and economic security, of National Research University MPEI

In the article features of creation of information security systems in digital economy for cyberphysical systems are considered. Based on the analysis of NIST standards, various conditions for the application ofprimitives of cyberphysical systems to their properties and possible threats are explored. The content of the program "information security" in the digital economy is analyzed. Keywords: digital economy, information security, cyberphysical systems, CPS, IoT. NoT

УДК 004.056.5

РАСПРЕДЕЛЕНИЕ РИСКОВ ИТ-СЕРВИСА ПО СТАДИЯМ ЖИЗНЕННОГО ЦИКЛА НА ОСНОВЕ АНАЛИЗА ИЗВЕСТНЫХ СПОСОБОВ КЛАССИФИКАЦИИ

Тамара Васильевна Киселева, д-р техн. наук, проф. каф. прикладных информационных

технологий и программирования E-mail: kis@siu.sibsiu.ru ФГБОУВО «СибГИУ» www.sibsiu.ru

Елена Владимировна Маслова, вед. программист отдела информации E-mail: elenamaslova1805@yandex.ru ФКУ «ГБ МСЭ по Кемеровской области» Минтруда России

www.mse42.ru

Рассмотрен процесс управления рисками ИТ-сервиса, для обобщения опыта в этой области проведен обзор известных программных средств для оценки рисков, а также представлена разработанная классификация возможных рисков ИТ-сервиса в привязке к стадиям его жизненного цикла.

Ключевые слова: информационный риск, управление рисками, ИТ-сервис, классификация рисков, оценка рисков, анализ рисков.

Ситуации, с которыми сталкивается любой человек в своей профессиональной деятельности, сложные, часто процесс принятия решений проводится в условиях неопределенности, а также связан с большой вероятностью возникновения рисков в ходе работы. Для того, чтобы уменьшить ущерб, который могут принести реализовавшиеся риски, а также для снижения самой вероятности возникновения рисков, Киселёва т.в. | все чаще проводят предварительный ана- маслова е.в.

лиз и оценку возможных рисков, после чего вырабатываются различные защитные меры. Весь этот процесс от описания предметной области до проверки целесообразности внедрения тех или иных контрмер называется управлением рисками или риск-менеджментом. Это циклический процесс, состоящий из следующих этапов [1, с. 76]:

1. Выбор анализируемых объектов и уровня детализации их рассмотрения;

i Надоели баннеры? Вы всегда можете отключить рекламу.