Британский Королевский институт международных отношений Chatham Houseопубликовал«дорожную карту» для гражданских организаций в сфере атомной энергетики. В документе «Киберстрахование для гражданских атомных электростанций: Риски и возможности» представлены рекомендации по оценке киберрисков и поиску способов их устранения.
В частности, авторы документа рекомендуют использовать на предприятиях атомной энергетики физически изолированные от интернета компьютеры. Однако специалисты также отмечают, что данная мера не является достаточной для защиты от киберугроз.
«Как показывают годы практики, данной меры зачастую не достаточно (в основном из-за экономических стимулов, вынуждающих пользователей оставлять инфраструктуру подключенной к интернету). Так, даже при наличии физической изоляции взломы все равно происходят», – сообщается в документе.
«Слабым звеном» также являются подрядчики и партнеры, недостаточно защищенные от киберугроз.
«Даже если сотрудники той или иной организации хорошо обучены и способны справиться с технологическим инцидентом, хакерской атакой или внутренним саботажем, организации по-прежнему приходится иметь дело с другими организациями, не предпринявшими ключевые меры кибербезопасности», – отмечается в «дорожной карте».
Независимо от того, покупает ли организация страховку у страховой компании или закладывает средства на покрытие ущерба от киберинцидента в бюджете, подход к оценке рисков должен быть одинаков. Прежде всего, должны учитываться средства на предотвращение инцидентов безопасности. Однако также нужно заранее закладывать ресурсы на случай, если меры по предотвращению инцидента не сработают.
По мнению экспертов Chatham House, гражданские атомные электростанции должны в обязательном порядке учредить группы реагирования на инциденты безопасности (CSIR).
«Наличие CSIR будет обязательным условием для любого предприятия, желающего приобрести киберстраховку в сфере гражданской атомной энергетики», – говорится в документе.
Организациям также рекомендуется проводить обучение персонала с целью предотвращенияфишинговыхатак и заражения компьютеров вымогательским ПО. «Отработка необходимых задач в ходе практических учений существенно снижает вероятность возникновения разногласий и ошибок в случае возникновения экстренной ситуации», – уверены авторы документа.