Доверенная Платформа на панельной сессии «Дронификация» Тульской области и соседних регионов

Андрей Тихонов, Президент Ассоциации "Доверенная платформа" принял участие в панельной сессии, посвященной межрегиональному проекту «Дронификация» Тульской, Калужской и Рязанской областей и Московского региона которая состоялась 16 сентября в Национальном центре «Россия» в рамках Дней Тульской области на выставке «Регион-2030. Платформа будущего». Представители профильных федеральных и региональных органов власти и институтов поддержки, эксперты в сфере развития беспилотной авиации, разработчики технологических и программных решений и ведущие производители обсудили развитие беспилотных авиационных систем, меры обеспечения их безопасной эксплуатации и другие отраслевые вопросы. Открыл сессию первый заместитель Губернатора Тульской области, председатель Правительства региона Михаил Пантелеев.

В своем выступлении Андрей Тихонов раскрыл тему рисков, связанных с кибербезопасностью применительно к теме "Дронификации". Он отметил:

"Хотелось бы подробнее остановиться на теме рисков, связанных с кибербезом. Потому что совершенно очевидно, что обсуждаемая здесь инфраструктура является инфраструктурой повышенной опасности, как множества возможностей, так и множества рисков. Про риски и угрозы сказано достаточно много. Все крупные предприятия постоянно испытывают на себе огромное внимание кибертеррористов, кибермошенников, киберпреступников.

Опишу три тренда, про которые надо знать, и их надо иметь в голове.

Первое. Вся эта инфраструктура является приоритетной целью для киберпреступников. И особым делом чести для них является использование инфраструктуры государства против него самого. Поэтому все, что связано с беспилотниками, с авиацией и т.д., будет использоваться против нас.

Второе. Опосредованный ущерб может в разы превышать прямой в случае с киберпреступниками. То есть взломанная инфраструктура может использоваться для очень большой атаки. В эту инфраструктуру могут проникать достаточно долго, не торопясь и использовать ее против нас.

Наконец, еще один момент. У нас существенно увеличился процент случаев атак с целью уничтожения инфраструктуры и нанесения ущерба. То есть, если раньше это, в основном, было посвящено извлечению выгоды, то теперь это нанесение ущерба.

И надо сказать, что современные технологии, в первую очередь технологии искусственного интеллекта, позволяют эти целевые атаки формировать заранее. Искусственный интеллект масштабирует подготовку за счет того, что он узнает все о предприятии, он позволяет за счет социального инжиниринга зомбировать людей и искать внутренних нарушителей, он позволяет отлить серебряную пулю ровно по размеру замочной скважины, чтобы она прилетела, и он существенным образом может ускорить подготовку атаки. То есть у вас, к примеру, есть где-то уязвимость, ее выявили. Для того, чтобы эту уязвимость закрыть соответствующим патчем, нормальной организации потребуется где-то полгода на ее контролирование и полгода на закрытие дырок. А для того, чтобы провести атаку, требуется всего день.

Отмечу, что система противодействия тоже откатана, сформирована. Именно для этого существует 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". В этом году была очень существенная его перезагрузка, вышел Федеральный закон № 58-ФЗ от 7 апреля 2025 года (вступил в силу с 1 сентября 2025 года), который обеспечивает «федерализацию» 187-ФЗ и вносит существенные изменения в регулирование безопасности критической информационной инфраструктуры, расширяя полномочия Правительства РФ по утверждению типовых объектов КИИ и отраслевых особенностей их категорирования, а также закрепляя усиленные меры ответственности за нарушения. Если раньше категорирование объектов КИИ было отдано на откуп субъектам критической информационной инфраструктуры, то есть они делали это на свой страх и риск, или не делали этого, то теперь обязанности по категорированию объектов КИИ возложены на ФОИВы, в нашем случае это будет Минтранс.

А основой в этой части, особенно в контексте к уже запущенному постановлению по единой системе идентификации беспилотных средств, является то, что называется в терминологии Минпромторга доверенным программно-аппаратным комплексом. Соответственно, к этим комплексам применяются как положения 187-ФЗ, где регулятором является ФСТЭК, так и положения под криптографией, где регулятор ФСБ, и все положения, связанные с понятием доверия. Недавно вышел Указ Президента по основам государственной политики в области технологической независимости КИИ, и в нем тоже достаточно четко все сказано. В частности, тема идентификации, а точнее обеспечения жизненного цикла объектов КИИ в том числе криптографическими методами. Это не значит то, что все должно быть зашифровано, это значит активное применение цифровой подписи с целью идентификации всех объектов. И здесь я хотел бы сказать следующее, что тот факт, что мы эти системы разрабатываем, то что наши программисты над этим трудятся, это, на самом деле, очень хороший факт, но, к сожалению, нам также внутри потребуется защита от дурака, потому что у нас нет никаких гарантий, что эти люди не оставят бэкдоров, что они не сделают соответствующих закладок, или не сделают ошибок, а кто-то ими воспользуется. Кроме этого, они могут использовать неправильные библиотеки, они могут оставить дополнительные интерфейсы и т.д.

Поэтому, первая область, которую мы должны в этом смысле блюсти свято, и она также регулируется - это безопасная разработка. Надо отметить, что у нас уже сформирован очень хороший отечественный задел в части операционных систем для авионики, соответствующий стандарт DO-178, который мы должны обязательно использовать.

Второе, мы должны проектировать системы в соответствии с условиями безопасности, требованиями и т.д. Недавно вышел стандарт по конструктивной информационной безопасности, еще ряд стандартов находятся в стадии разработки. Работа в этом направлении активно ведется. Естественно, что мы при создании наших программно-аппаратных комплексов будем обязательно использовать как наши компоненты, так и не наши компоненты. В этом смысле мы должны при проектировании этих комплексов и при их реализации опираться на то, что наши доведенные элементы должны иметь бОльший приоритет, чем недоверенные.

Третье – это использование криптографических методов для обеспечения гарантии целостности объектов КИИ.

От себя хочу сказать следующее, у нас, а я являюсь руководителем рабочей группы «Сейфнет» Национальной технологической инициативы, сформирована дорожный карта, которая в настоящий момент проходит режим согласования. В ней мы поставили цель создать такие условия, чтобы людям было удобно получить максимальное количество безопасности при максимальной гибкости в дизайне, то есть использовать отечественные и зарубежные данные таким образом, чтобы обеспечить минимальные риски, угрозы и уязвимости. Комплекс мероприятий, заложенных в ДК «Сейфнет» применительно к рассматриваемой теме, поможет уменьшить уязвимости, полученные в ходе пентеста по системе международного рейтинга от 7 – 10 (применяя, допустим, Arduino) до 2-3, а это уже не критично и не опасно. А что такое дрон вышедший из-под контроля, или целая система БАС вышедшая из-под контроля, или перешедшая под чей-то другой контроль, вы прекрасно понимаете. Поэтому вся инженерная культура с соответствующими стандартами должна в первую очередь быть направлена на нормативку. Вот так я, со своей стороны, прокомментировал бы видение 187- ФЗ.

В заключении я хочу отметить, что у нас великолепная школа кибербезопасности, известная во всём мире, у нас есть международная компания, которая конкурирует во всём мире и является лидером в этой области, у нас есть передовые стандарты, которые мы разработали, они не усложняют жизнь разработчика, а при правильном использовании они позволят нам создавать системы, которые являются изначально безопасными, есть безопасный слой Secure by Design, о котором мы в своё время рассказывали на высоком уровне, и благодаря которому появился стандарт Конструктивной безопасности. Это ноу-хау лежит в основе наших разработок, и мы, со своей стороны, готовы предоставить его в адрес наших производственных центров.

Я хотел бы поблагодарить Вас за приглашение, мы готовы оказать содействие для того, чтобы помочь нашим разработчикам создавать системы, которые будут безопасны с самого начала. Большое спасибо".