Хотите узнать больше о деятельности МАГАТЭ? Подпишитесь на нашу ежемесячную электронную рассылку, чтобы быть в курсе самых важных новостей, получать аудио- и видеоматериалы и многое другое.
Не только физическая защита
Как международные консультационные услуги по физической защите способствуют повышению уровня компьютерной безопасности
Vasiliki Tafili
На протяжении уже почти тридцати лет МАГАТЭ предоставляет странам международные консультационные услуги по физической защите (ИППАС), в рамках которых выносятся рекомендации по обеспечению физической защиты всех типов объектов, на которых используются ядерные и другие радиоактивные материалы, включая атомные электростанции и радиотерапевтические установки в больницах. Однако технический прогресс не стоит на месте, и сегодня цифровые системы играют в работе этих объектов важнейшую роль. Это вызвало множество новых проблем в области физической ядерной безопасности.
В ответ на реальную угрозу кибератак на объекты, включая ядерные установки, в 2012 году в сферу компетенции ИППАС была включена информационная и компьютерная безопасность для физической защиты. С тех пор страны все чаще запрашивают этот модуль в рамках ИППАС, стремясь поддержать свою работу по противодействию угрозам в области кибербезопасности.
ИППАС — ключевой компонент программы МАГАТЭ по физической ядерной безопасности, который помогает странам в проведении анализа существующей практики с точки зрения соответствующих международных документов и руководящих материалов МАГАТЭ по физической ядерной безопасности. Эксперты, участвующие в миссиях ИППАС, помогают странам, обратившимся с такой просьбой, в совершенствовании национальных режимов, систем и мер физической ядерной безопасности, предоставляя консультации по осуществлению положений международно-правовых документов.
«После первой миссии ИППАС прошло 27 лет, и за это время услуги эволюционировали с учетом актуальных задач и потребностей, — говорит Хизер Луни, руководитель Секции физической ядерной безопасности материалов и установок Отдела физической ядерной безопасности МАГАТЭ. — Физическая защита от кражи, саботажа и несанкционированного использования ядерных и других радиоактивных материалов не может быть обеспечена без мер кибербезопасности. Пригласив миссию ИППАС, страны могут получить рекомендации о том, что и как можно усовершенствовать».
Миссии ИППАС включают пять модулей, в рамках которых проводится анализ следующих аспектов: национального режима физической ядерной безопасности ядерного материала и ядерных установок; систем и мер физической безопасности, принимаемых на ядерных объектах; физической безопасности перевозки материалов; физической безопасности радиоактивного материала, связанных с ним объектов и деятельности; информационной и компьютерной безопасности. В общей сложности после первой миссии ИППАС, проведенной в 1996 году, на сегодняшний день было организовано 97 миссий, и 22 страны обратились с просьбой включить модуль информационной и компьютерной безопасности в услуги ИППАС.
“ Физическая защита от кражи, саботажа и несанкционированного использования ядерных и других радиоактивных материалов не может быть обеспечена без мер кибербезопасности. Пригласив миссию ИППАС, страны могут получить рекомендации о том, что и как можно усовершенствовать.
Чего следует ожидать стране в ходе оценки информационной и компьютерной безопасности?
На первом этапе группа международных экспертов по физической ядерной безопасности в составе миссии ИППАС изучает, как разрабатывались и осуществлялись национальные стратегии, связанные с программами информационной и компьютерной безопасности. Затем группа рассмотрит законодательную и нормативную базу, сопоставив действующие в стране процедуры и сложившуюся практику с обязательствами, предусмотренными Конвенцией о физической защите ядерного материала и поправкой к ней 2005 года, а также с руководящими указаниями, содержащимися в соответствующих публикациях Серии изданий МАГАТЭ по физической ядерной безопасности. Таким образом они установят, имеются ли в стране необходимые стратегии и процедуры для обеспечения должного уровня кибербезопасности на критически важных ядерных и радиологических установках.
На уровне установки в ходе проверки компьютерной безопасности будут проанализированы такие аспекты, как управление компьютерной безопасностью, программа компьютерной безопасности, механизмы контроля доступа, защитная архитектура компьютерной безопасности, а также обнаружение событий, связанных с компьютерной безопасностью, и реагирование на них. Группа может также провести оценку в смежных областях, таких как управление рисками, дифференцированные подходы, культура физической ядерной безопасности и управление людскими ресурсами.
Япония приняла миссию ИППАС в 2015 году, а повторную миссию ИППАС — в 2018 году. «Для Японии опыт проведения анализа текущего положения дел в области компьютерной безопасности и содействия совершенствованию в этой сфере на основе предложений рецензентов оказался весьма ценным, — считает Хироюки Сугавара, директор по международным проблемам физической ядерной безопасности Отдела физической ядерной безопасности Управления ядерного регулирования (УЯР) Японии. — Реагируя на выводы ИППАС, мы решили усилить меры компьютерной безопасности и увеличить число инспекторов с опытом работы в этой области. Кроме того, УЯР включила угрозы компьютерной безопасности в свою национальную оценку угроз и потребовала от лицензиатов принимать надежные меры компьютерной безопасности, а также доработать свои планы компьютерной безопасности, включив в них меры противодействия кибератакам».
Во Франции по итогам организованной в 2018 году миссии ИППАС в национальной системе физической ядерной безопасности была повышена значимость компьютерной безопасности. «Миссия ИППАС потребовала от различных заинтересованных сторон значительных усилий и открыла возможности для укрепления во Франции режима физической ядерной безопасности, а также стимулировала принятие конкретных мер в этой области, — отмечает Фредерик Боен, руководитель проектов по компьютерной безопасности в Отделе физической ядерной безопасности Департамента обороны и безопасности Министерства экологии Франции. — Был увеличен штат сотрудников, занимающихся вопросами компьютерной безопасности, также были разработаны нормативные документы, соответствующие международным нормам и руководящим материалам МАГАТЭ по физической ядерной безопасности».
МАГАТЭ делится результатами таких миссий с международным сообществом специалистов по физической ядерной безопасности и в этих целях с 2016 года ведет базу данных по передовой практике ИППАС — это позволяет усилить отдачу от помощи, которую Агентство оказывает странам по всему миру. «Ведение этой базы данных и обмен информацией о примерах оптимальной практики позволяет извлекать пользу из миссий ИППАС не только принимающей стране, но и всему международному сообществу по ядерной безопасности и усиливает положительный эффект помощи, которую МАГАТЭ оказывает своим государствам-членам», — убеждена г-жа Луни.
Большинство примеров передовой практики на уровне государства относятся к управлению физической ядерной безопасностью, которое обеспечивает основу для кибербезопасности и координации. Кроме того, существует 40 примеров передовой практики, относящихся к компьютерной безопасности как на уровне государства, так и на уровне установки, информацию о которых государства — члены МАГАТЭ могут получить в назначенных пунктах связи.
МАГАТЭ продолжает оказывать странам содействие в укреплении национального режима физической ядерной безопасности; интерес стран к проведению в 2023 и 2024 годах миссий ИППАС остается высоким.