Хакеры железной дороге на низовом уровне не страшны

– Борис Федорович, в последние дни как никогда остро стоят вопросы безопасности на железнодорожной сети. Защищена ли железная дорога – рельсы и шпалы – от кибератак?

– Впервые о кибербезопасности в России заговорили в 2013 году. За десять лет приняты нормативные акты и 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Чего удалось достигнуть за эти 10 лет? Безопасность движения поездов на железнодорожной сети гарантируют системы железнодорожной автоматики и телемеханики, основными из которых являются системы автоблокировки на перегонах и централизации стрелок и сигналов на станциях. Если они функционируют в штатном режиме, то гарантируют безопасное следование поездов, то есть перевозку пассажиров и грузов по перегонам и станциям (как большим, так и малым). При этом они также передают информацию на борт локомотива – можно ли вообще ехать и с какой скоростью. Другими словами, системы низового уровня фактически обеспечивают в автоматическом или полуавтоматическим режимах безопасность перевозочного процесса. Поэтому их отнесли к классу АСУ ТП (Автоматические системы управления технологическими процессами). Низовые АСУ ТП работают на нижнем уровне, то есть на уровне стрелок, светофоров и остальной железнодорожной инфраструктуры.

Поэтому если на железной дороге и может быть нанесен ущерб, то только через низовые системы и только путем нарушения их штатного функционирования, то есть добиваясь их отказов, которые бывают трех типов: опасные (потенциально допускающие крушение поездов); защитные (вводимые специально для предотвращения опасных отказов в нештатных ситуациях) и обычные отказы в работе технических средств (вызываемые либо поломками, либо ошибками персонала). Отказ первого из указанных трех типов может привести к аварии с ощутимым ущербом, а отказы остальных двух типов вызывают задержки в движении поездов, что также наносит ущерб участникам перевозочного процесса. Другими словами, для низовых АСУ ТП на железнодорожном транспорте существуют всего три нежелательных события: первый – это опасный отказ, вызывающий крушение; второй – защитный отказ, в который система уходит, чтобы не реализовался опасный отказ; и третий – обычный отказ в обслуживании, который приводит к задержкам поездов. Четвертого события не существует.

Отказ работы АСУ ТП – это всегда форс-мажор и нежелательное событие, ущерб от которого снизить невозможно, но уменьшить вероятность его наступления и можно, и нужно! Это касается и кибератак.

Кибератака – это попытка дестабилизировать штатное функционирование с применением вычислительных средств и программного обеспечения, а также каналов передачи данных. Другими словами, упрощенно можно сказать, что это – компьютерная атака, направленная на нарушение штатного функционирования АСУ ТП. Следует понимать, что информационная атака, направленная на изъятие или искажение информации, в том числе с целью ее дальнейшего использования, и кибератака – это две большие разницы. Потому что цель и средства меняются местами, причина и следствие – тоже.

– Но может ли оператор с клавиатуры ввести информацию, которая приведет к сбою в работе железнодорожной сети?

– Нет! Операторы есть только на станциях. Задаваемая ими информация и их действия постоянно подвергаются автоматическому логическому контролю на согласованность и допустимость. Более того, на многих АРМах даже нет клавиатуры. Только мышки и экраны. Оператор выбирает пункт из меню. И если он – вдруг – сделает неправильный выбор, то система либо предложит исправить ошибку, либо (в худшем случае) просто отключится, но не позволит сделать опасный отказ, который может привести к крушению на сети.

Упрощенно это выглядит так: поезд подходит к станции, машинист связывается с диспетчером и сообщает о прибытии. Диспетчер в соответствии с направлением следования поезда дает задание системе сформировать маршрут его следования по станции. Далее система запускает проверку свободности всех стрелок, всех путей на сформированном маршруте. То есть логический контроль проводит не человек, а автоматизированная система, и когда логистический контроль пройден, то она позволяет диспетчеру дать машинисту разрешение на начало движения по маршруту. При этом все стрелки переводятся одновременно, после чего на входе загорается зеленый сигнал.

– Очень много говорят о криптографии, которая, по заявлению, повышает уровень защиты информации. Используете ли ее?

– В классическом виде нет, так как циркулирующая в низовых системах информация не конфиденциальна, время ее актуальности ограничено временем проследования составом конкретного перегона или конкретной станции (как правило, это – секунды), после которого ее использовать невозможно и бессмысленно. При этом средства шифрования и криптографии, как правило, снижают как скорость обработки данных, так и надежность системы, а главное – не повышают уровень безопасности движения поездов и перевозочного процесса в целом, так как безопасное функционирование низовых систем, обеспечивающих безопасность движения поездов, гарантируется их безопасным построением, обеспечивающим их функциональную безопасность, которая подлежит обязательной сертификации в РФ. Помимо расчетного доказательства безопасности, низовые системы проходят целый цикл испытаний с целью такого доказательства.

– Много говорят о внедрении квантовых технологий на РЖД…

– Что такое квантовые технологии? Это технологии быстрых вычислений, которые, как правило, используются при решении задач, предусматривающих полный перебор большого числа расчетных вариантов, обсчет каждого из который сам по себе требует значительных вычислительных затрат. В области криптографии такие технологии позволяют зашифровать с высокой степенью защиты большие объемы данных. Я скептически отношусь к внедрению квантовых технологий на РЖД, потому что на железной дороге нет задач для квантовых вычислений. Даже в системах автоматики применяются процессоры, производительность которых задействована процентов на 30-40, а то и того менее.

Я за решения на микросхемах с жесткой логикой, в крайнем случае ПЛИС/ППЛИС (программируемые/перепрограммируемые логические интегральные схемы) или классические микропроцессоры с программой на ПЗУ. Атаковать АСУ ТП, логика которой построена на таких микросхемах, бесполезно и невозможно. Надо заново изготовить печатную плату. Таким системам на низовом уровне хакеры не страшны!

Сейчас примерно 30% всех станций железнодорожной инфраструктуры России переведены на процессорные системы управления стрелками и сигналами, а на остальных – релейные системы. Предвосхищаю ваш вопрос – и ей хакеры не страшны, только природные явления. Релейные системы на станциях, бывает, принимают на себя удар стихии, если, например, в рельс ударила молния.

Беседовала Алена Алешина