• Современные Инфосистемы

Управление безопасностью «умного города»



«Умный город» — это множество интегрированных между собой кибер-технологий, которые обеспечивают функционирование города и делают комфортной жизнь людей в нём. Кибертехнологии – это информационные и коммуникационные технологии и технологии «интернета вещей», информационные системы школ, библиотек, транспорта, учреждений здравоохранения, электроэнергетики, систем водоснабжения и переработки отходов, правоохранительных органов и других общественных служб. Но эти же системы делают каждого из его жителей чрезвычайно зависимыми от используемых ими технологий. При этом сегодня многие решения «умных городов» реализуются на системах SCADA, которые раньше использовались только в АСУ ТП, и многие из них реализуют промышленные протоколы, в которых нет сертифицированной криптографической защиты, и поэтому они особенно уязвимы.


Городские власти и поставщики услуг, внедряющие интеллектуальные городские решения, должны применять систематичный методический подход к оценке безопасности продуктов и услуг, которые они приобретают для своего города. Установление надлежащих методов обеспечения безопасности, таких как моделирование угроз и формирование критериальных моделей безопасности, является важным шагом к контролю специфических рисков, которые неизбежно появляются в каждой конкретной реализации «умного города». В связи с этим чрезвычайно возрастает роль контроля фундаментальности безопасности всех систем.


В чём суть проблемы фундаментальности безопасности? В том, что нужно контролировать, насколько основательны, качественны, надёжны системы безопасности, а не уязвимы, призрачны и иллюзорны. Причём это нужно контролировать во всём множестве структурных составляющих. А в «умных городах» их будет очень много. И в этом случае в управлении безопасностью могут появиться большие когнитивные искажения.


Проблема когнитивных искажений в обеспечении безопасности далеко не всегда берётся в расчёт, и именно это является причиной серьёзных социально-экономических последствий большинства аварий и катастроф. Ссылки на человеческий фактор при этом являются чуть ли не самым распространённым оправданием. Но зачастую за этой формулировкой скрываются вполне естественные ограничения когнитивных способностей людей, приводящие к когнитивным искажениям.


Когнитивные искажения — это не соответствующие действительности субъективные представления, обусловленные систематическими ошибками в мышлении или шаблонными отклонениями, возникающими из убеждений, внедрённых в когнитивные схемы, и, как правило, являющиеся результатом:

· сбоев в обработке и анализе информации;

· физических ограничений и особенностей строения человеческого мозга;

· получения неполной или искажённой информации;

· слишком больших объёмов информации.


Любая когнитивная, то есть познавательная, деятельность ‑ есть процесс получения и усвоения информации. И когнитивные искажения, приводящие к авариям и катастрофам, ‑ есть результат этих процессов, а также свойств полученной (или не полученной, возможно, проигнорированной) информации и формируемой таким образом неверной картины действительности у лиц, от которых зависит безопасность. И именно поэтому предотвращение когнитивных искажений – это задача информационной безопасности, имеющая особую значимость, когда когнитивные искажения в оценках уязвимостей, угроз и рисков существуют у лиц, от которых зависит безопасность критически важных объектов и критических инфраструктур «умного города».


Методология критериального моделирования и предназначенный для её реализации программный комплекс «РискДетектор» позволяют реализовать системный методологический подход к обеспечению фундаментальности безопасности «умных городов» и не допустить когнитивных искажений, которые могут приводить к авариям и катастрофам.

Критериальное моделирование (КМ) ‑ это новое направление в развитии методов решения задач управления большими системами со сложными иерархическими структурами, с большим количеством распределённых задач, функций и процессов, что в полной мере свойственно «умным городам».


Как правило, любая система безопасности больших систем представляет собой эшелонированную систему со множеством, условно говоря, рубежей защиты. И последним рубежом является выявление и постоянное внимание (бдительность) к недостакам и уязвимостям, которые могут иметь место, например, из-за нехватки средств на их устранение. И если какие-либо из неустранённых недостатков не выявлены или игнорируются, то этот последний рубеж защиты или не создаётся вовсе, или слишком слаб, что и приводит к авариям, рукотворным катастрофам и чрезвычайным ситуациям. Напротив, постоянный контроль (что как раз и обеспечивает применение методологии критериального моделирования) за имеющимися недостками позволяет:

· проявлять особое внимание к имеющимся уязвимостям и контролировать, не реализуются ли через них угрозы безопасности;

· по возможности наращивать потенциалы, снижающие риски реализации угроз через существующие уязвимости, или вообще устранять угрозы.


Суть критериального моделирования состоит в том, чтобы любую систему представить в терминах критериев, отражающих ключевые качества системы, в частности, её защищённость. С каждым критерием связаны атрибуты их веса и значимости, отражающие, насколько несоответствие тому или иному критерию будет влиять на степень несовершенства и уязвимость всей системы. Кроме того, с каждым критерием связаны атрибуты, содержащие оценки фактического соответствия этим критериям контролируемой системы, а так же атрибуты доверия к источникам оценки.


Структурная модель системы ‑ это иерархическая модель, отражающая организационную и функциональную структуру каждой составляющей системы (вплоть до отдельных элементов), по которой могут быть определены критерии, степень соответствия которым будет влиять на стабильность и безопасность функционирования «умного города» в целом.

Критериальная модель системы – это структурная модель с определённым по каждой структурной составляющей множеством критериев, соответствие которым будет характеризовать уровень безопасности и надёжности этой структурной составляющей и влиять на стабильность «умного города».


Под критериями здесь понимаются требования, сформулированные таким образом, что уровень их выполнения оценивается по 100-балльной шкале. Это позволяет расчитывать индикативные оценки рисков по 100-балльным шкалам по всем структурным составляющим, всем технологиям, информационным системам и процессам «умного города» и заблаговременно выявлять слабые звенья.


Важнейший принцип методологии критериального моделирования, соблюдение которого может значительно снизить возможность когнитивных искажений в оценках безопасности ‑ принцип эволюционного прототипирования. Во многом этот принцип связан с когнитивной психологией. Эволюционное прототипирование представляется основным способом разрешения проблемы невозможности одномоментного познания действительности, и лишь иттеративные процессы совершенствования прототипов и моделей, её отражащих, позволяют избегать когнитивных ошибок в её понимании. Принцип исходит из следующих посылок:


1) человеческие возможности познания объективной реальности, как правило, ограничены, и любое знание отражает лишь текущее понимание действительности поэтому любая текущая модель любой системы неидеальна и представляет собой лишь некоторый прототип, а потому для большей адекватности должна улучшаться по мере постижения реалий;

2) объективная реальность и моделируемая система как её часть меняются со временем: так, в частности, могут появляться новые технологии и компоненты, новые угрозы, новые меры их парирования и, соответственно, новые критерии (требования) безопасности, которые должны отображаться в критериальной модели системы;

3) необходимо систематически выявлять и устранять недостаки критериальной модели, неизбежные в силу первых двух посылок.


Таким образом, любая критериральная модель является лишь прототипом объективно существующей, но в общем случае, как правило, недостижимой идеальной системы критериев. Таким образом, чтобы снижать когнитивные искажения, критериальная модель должна постоянно улучшаться с целью приближения к, как правило, меняющейся с течением времени идеальной модели критериев в течение всего жизненного цикла любой кибертехнологии.


Этот принцип также распространяется на используемые алгоритмы индикативной оценки рисков.


Индикативная оценка рисков – это оценка, полученная методами, не гарантирующими абсолютной точности, но позволяющая полностью или по крайней мере существенно снизить когнитивные искажения в оценке уровней защищённости и сравнивать риски, идентифицированные по отдельным структурным составляющим больших систем. Суть индикативной оценки рисков состоит в том, чтобы зафиксировать факт наличия риска и дать по возможности максимально точную оценку его опасности.


Главная задача индикативной оценки рисков, как и всей методологии критериального моделирования, – снизить когнитивные искажения, за счёт контроля за всеми уязвимостями и возможными рисками в больших системах.

При этом принципиально важно выстроить такую систему критериев, чтобы выполнение всех подразумеваемых ими требований обеспечивало неуязвимость контролируемой системы, а невыполнение любого из требований означало наличие уязвимости.


Система критериев может быть неидеальна по следующи причинам:

· если объективно существуют требования, выполнение которых необходимо для парирования угроз, но они не выявлены;

· требования избыточны или неадекватны;

· существуют требования, одновременное выполнение которых невозможно.

Первое часто случается, если не выявлены все возможные угрозы и методы их парирования.

Второе ‑ если требования устарели и не соответствуют используемым технологиям.


Третье говорит о проблемах критериальной системы, и если они не разрешимы, значит, выполнение некоторых требований будет невозможно в принципе и будет требовать особого внимания к реализации последнего рубежа ‑ постоянного внимания к неизбежным уязвимостям на тех объектах, где данная система критерив будет применяться, и особого отношения (протоколов процедур контроля) регуляторов и надзорных органов, которые должны знать о таких коллизиях критериальной системы, не позволяющих выполнять все требования, и не требовать невозможного, а лишь повышенного внимания к существующим проблемам.


Индикативная оценка рисков на критериальных моделях открывает возможности постоянного систематического контроля имеющихся уязвимостей, в том числе тех, которые не могут быть устранены, но возможности устранения или снижения которых могут существовать или появиться в будущем. Всё это возможно благодаря процедурам получения структурированных оценок рисков.

Структурированная оценка риска – это множество оценок рисков, полученное по каждой составляющей структурной модели. Для расчёта структурированной оценки рисков используется сруктурированная оценка соответствия критериям, которая представляет собой множество оценок соответствия по каждому критерию каждой структурной составляющей.

Риски, идентифицируемые с помощью критериального моделирования, называются критериальными рисками.


Выделяются два вида критериальных рисков:

· критериальные риски первого вида – риски несовершенства критериальной модели;

· критериальные риски второго вида – риски, связанные с невыполнением требований по безопасности, то есть наличия несоответствий всем критериям безопасности критериальной модели.


Методы детализированного критериального моделирования и индикативной оценки критериальных рисков, будучи автоматизированы, позволяют существенно облегчить контроль безопасности и стабильности всего множества кибернетических систем и технологий «умных городов», снизить когнитивные искажения в оценке имеющихся уязвимостей и, как следствие, существенно поднять качество управления, о чём свидетельствует опыт использования разработанных на его основе программных комплексов «АванГард» в Банке России и «РискДетектор» в структурах Минтранса России.


Далее на рисунках представлены примеры форм построения критериальных моделей и оценки критериальных рисков.



Рисунок 1 даёт представление о том, что собой представляет критериальная модель. В левой части формы выстраивается и ведётся многоуровневая структурная модель контролируемой системы. В правой части формы по каждому объекту этой системы ведётся иерархическая система критериев, по которым оценивается состояние каждого объекта ‑ с выставлением оценок по каждому критерию.

Результаты такого рода оценки приведены на Рисунке 2. На нём показан пример индикативных оценок критериальных рисков обеспечения кибербезопасности по некоторым службам «умного города».

Заключение

К достоинствам методов критериального моделирования, делающими их незаменимыми в управлении безопасностью «умного города», можно отнести то, что они позволяют:

· обеспечить детализированный контроль рисков во всех системах «умного города»;

· обеспечить контроль основательности (фундаментальности) безопасности «умного города»;

· обеспечить возможность контроля качества критериев, по которым оценивается состояние безопасности «умного города»;

· позволяет значительно сократить сроки инспекционных проверок при его использовании в надзорных органах;

· значительно снизить когнитивные искажения на всех уровнях управления, а так же на уровне исполнителей.

Очевидно, что применение критериального моделирования позволяет заблаговременно выявлять проблемы, своевременно принимать меры к их устранению и реализовать последний рубеж безопасности – обеспечить особое внимание и постоянный контроль для всех неустранимых уязвимостей.









Сведения об авторе

Кононов Александр Анатольевич – кандидат технических наук, ведущий научный сотрудник Института системного анализа РАН Федерального исследовательского центра «Информатика и управление» Российской академии наук.



Электронный адрес: aakononov@mail.ru

Просмотров: 798

© 2020, СIS (Современные Информационные Системы).     info@sovinfosystems.ru     Журнал предназначен для лиц старше 16 лет.