Дан Чимпеан: Румынии и Азербайджану нужен обмен разведданными для противостояния киберугрозам в энергосекторе - ИНТЕРВЬЮ

Румыния, являясь важным транзитным звеном для поставок азербайджанской нефти и газа в Европу, в последние годы уделяет повышенное внимание вопросам устойчивости энергетической инфраструктуры. Развитие цифровых технологий и рост взаимосвязанности энергетических систем усиливают значимость кибербезопасности как одного из ключевых факторов надежности трансграничных поставок.

О текущих вызовах в сфере кибербезопасности, национальных приоритетах и практиках институционального взаимодействия, а также о возможных направлениях международного сотрудничества в интервью Report рассказал директор Румынского национального директората кибербезопасности Дан Чимпеан (Dan Cîmpean).

Представляем интервью читателям:

- С какими вызовами столкнулась Румыния в последние годы с учетом ее роли важного транзитного узла энергоресурсов?

- Энергетический сектор, безусловно, является одним из критически важных для Румынии. С точки зрения кибербезопасности мы отмечаем, что два крупнейших инцидента за последние три года произошли именно в энергетике: один - в нефтегазовом секторе, другой - в электроэнергетике.

При этом мы наблюдаем четкую конвергенцию киберинцидентов и кибератак с различными гибридными формами воздействия, включая попытки саботажа, иностранного вмешательства, манипуляций и дезинформации. Такие атаки редко носят изолированный характер и все чаще становятся частью комплексных операций.

Именно поэтому мы уделяем особое внимание всем актуальным угрозам и инцидентам, затрагивающим энергетическую экосистему в широком смысле - от добычи и транспортировки до управления и распределения.

Основываясь на технических данных, которыми располагает Румынское управление кибербезопасности, могу сказать, что в большинстве подобных случаев мы имеем дело с акторами, которые поощряются, спонсируются или управляются Российской Федерацией. Эти структуры целенаправленно атакуют национальную киберинфраструктуру Румынии, особенно когда речь идет об энергетическом секторе, как одном из наиболее чувствительных и стратегически значимых.

- Как Румыния развивает интегрированные стратегии защиты, которые охватывают как физические, так и киберугрозы критической энергетической инфраструктуре? Какие уроки из вашего опыта могут быть полезны для защиты многонациональных трубопроводных систем?

- В первую очередь отмечу, что у нас уже несколько лет действует обновленная национальная стратегия кибербезопасности, которая уделяет особое внимание энергетическому сектору, а также транспорту и ряду других отраслей, и подчеркивает взаимозависимость, то, насколько наша энергетическая инфраструктура и поставки энергии зависят от стран региона, а также от ключевых партнеров, бизнес-партнеров, союзников и друзей.

С этой точки зрения совершенно очевидно, что мы должны подходить к этому комплексно. Нам необходимо развивать общие возможности реагирования на инциденты совместно с другими странами. И нам также необходимо уделять большое внимание обмену разведданными об угрозах, как техническими, так и нетехническими. Это, на мой взгляд, единственный способ повысить устойчивость сектора, укрепить устойчивость между странами и успешно противостоять крупным кибератакам, которые, особенно в энергетическом секторе, как правило, носят трансграничный или как минимум региональный характер.

- Вы упомянули о регионе. Румыния сталкивается с уникальными кибервызовами в сфере безопасности, учитывая ее положение на Черном море и близость к продолжающимся конфликтам, если думать о России и Украине. Какие модели киберугроз вы наблюдаете в регионе, и насколько они могут быть актуальны для таких стран, как Азербайджан, учитывая схожие геополитические условия?

- Факт заключается в том, что агрессивная война против Украины имеет побочные эффекты в киберпространстве, и важно отметить, что техники, тактики и протоколы, используемые атакующими, группами, вовлеченными в операции в киберпространстве, напрямую связанными с этой войной, значительно эволюционировали за последние два-три года.

И это вызывает серьезную обеспокоенность всех стран региона. В частности, мы отмечаем, что в Румынии за любым политическим событием, любым политическим заявлением, любой крупной правительственной, регуляторной или национальной инициативой немедленно следует волна кибератак, большинство из которых имеют политическую мотивацию или связаны с войной между Украиной и Россией. Такого рода атаки оказывают систематическое воздействие на страны региона.

Это крайне сложное явление, которое уже давно не ограничивается техническими аспектами. Оно требует тщательной координации и анализа. Мы также отметили в Румынии, и буквально некоторое время назад в Молдове, что политический процесс также подвержен влиянию или подвергается кибероперациям любого рода, формы и вида.

В целом, очень сложный технический ландшафт угроз, который необходимо учитывать, и нам нужно адаптировать методы работы к новой реальности.

- Какие наиболее сложные кибертехники атак наблюдала Румыния, нацеленные на критическую национальную инфраструктуру, и как ваше управление развивает защитные стратегии в ответ на все более сложные угрозы?

- Наиболее сложными атаками, которые нам известны, особенно в энергетическом секторе, откровенно говоря, были атаки с использованием вымогательских программ (ransomware). Они эксплуатировали уязвимости в цепочке поставок операторов в энергетическом секторе. То есть изначально атаковали поставщиков, затем осуществлялось "боковое перемещение" (lateral movement) к другим элементам инфраструктуры, и злоумышленникам удавалось зашифровать сотни элементов инфраструктуры, главным образом серверы, как в облаке, так и на объектах.

Несомненно, ransomware - худший тип атак, и в большинстве случаев они использовали традиционные уязвимости, особенно связанные с привилегированными пользователями - администраторами, системными операторами и т.д. Мы пока не видели масштабных кибератак, нацеленных на операционные технологии (OT), но ожидаем, что такие инциденты будут чаще, поскольку все больше устаревших технологий выводятся из эксплуатации и заменяются интеллектуальными устройствами, промышленными системами управления и прочим OT, подключенным к интернету.

Большинство из них действительно сложные, но хорошо известные инженерам, а не специалистам по кибербезопасности или IT.

- Румыния и Азербайджан, помимо киберопераций, сталкиваются с координированными кампаниями дезинформации. Как ваше управление координирует действия с другими агентствами для противодействия таким гибридным угрозам, и какие организационные модели оказались наиболее эффективными?

- Исходя из нашего опыта в Румынии, могу сказать, что тесное межведомственное взаимодействие, координация и синхронная коммуникация между государственными структурами имеют фундаментальное значение. Мы особенно остро осознали это в прошлом году во время избирательного процесса, когда ряд выборов - впервые в истории страны - был отменен, а затем проведен повторно.

Этот опыт показал, насколько важно устранять бюрократические разрывы и выстраивать совместную работу правоохранительных органов, гражданских ведомств, разведывательного сообщества, а также всех государственных структур, вовлеченных в обеспечение демократических процедур.

Для нас это стало одним из ключевых уроков. Мы увидели, что именно те страны, которым удалось эффективно противостоять кибератакам, сопряженным с враждебным иностранным вмешательством, дезинформацией и манипуляциями, добились успеха благодаря такому комплексному подходу. Речь идет о более глубокой координации внутри государства, а также об активном диалоге с международными партнерами, обмене опытом, наработанными решениями и инструментами.

В то же время все более важным и необходимым становится тесное взаимодействие с платформами социальных сетей, которые играют ключевую роль в распространении информации и, соответственно, в противодействии дезинформационным кампаниям.

- Как Румыния построила эффективное партнерство между государственными структурами кибербезопасности и частным сектором, особенно телекоммуникационными и технологическими компаниями? Какие стимулы или регуляторные подходы оказались наиболее эффективными для обмена информацией и совместной обороны?

- В первую очередь, в диалоге с частным сектором было важно признать, что, с одной стороны, кибербезопасность - это затраты. И значительные затраты, если говорить прямо. Но, с другой стороны, это огромная возможность на национальном или международном уровне для создания прочного, прибыльного, устойчивого бизнеса с перспективой роста в ближайшие годы. Поэтому на момент, когда государственные органы и частные компании сидят за одним столом и признают, что ситуация взаимовыгодная, - с одной стороны, на национальном уровне обеспечивается устойчивость, решаются ключевые проблемы, снижается число инцидентов, а с другой - компании, инвестирующие в кибербезопасность, разрабатывающие решения и успешно выводящие их на рынок, могут вести прибыльный и устойчивый бизнес, - тогда это действительно выигрышный сценарий.

И, по крайней мере в Румынии, это наш подход. Мы рекомендуем такой подход и другим странам - больше открытости, более содержательный диалог. И, честно говоря, я очень рад, что здесь, в Эр-Рияде, на Глобальном форуме по кибербезопасности, это одна из ключевых платформ, где я увидел глубокое и открытое обсуждение поставщиков решений с государственными структурами как вызовов, так и больших возможностей, которые открываются, если мы сосредоточимся на этой сфере.