МЕТОДОЛОГИЧЕСКИЕ ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТИ СОЦИАЛЬНО ВАЖНЫХ ОБЪЕКТОВ ТЕРРОРИСТИЧЕСКИМ УГРОЗАМ

ФУНДАМЕНТАЛЬНЫЕ ОСНОВЫ ПРОБЛЕМ НАДЕЖНОСТИ И КАЧЕСТВА

FUNDAMENTALS OF RELIABILITY

AND QUALITY ISSUES

УДК 153.14 DOI 10.21685/2307-4205-2020-2-1

Н. А. Северцев, А. В. Бецков, Ю. В. Лончаков

МЕТОДОЛОГИЧЕСКИЕ ПОДХОДЫ К ВЫЯВЛЕНИЮ УЯЗВИМОСТИ СОЦИАЛЬНО ВАЖНЫХ ОБЪЕКТОВ ТЕРРОРИСТИЧЕСКИМ УГРОЗАМ

N. A. Severtsev, A. V. Betskov, Yu. V. Lonchakov

METHODOLOGICAL APPROACHES TO IDENTIFYING THE VULNERABILITY OF SOCIALLY IMPORTANT OBJECTS TO TERRORIST THREATS

Аннотации. Актуальность и цели. С позиции системного анализа представленный в статье подход демонстрирует методологию создания теории безопасности с учетом воздействия субъекта на работу исследуемого объекта внутренних и внешних возмущений, что приводит к деформации параметрической области безопасности при различных возмущениях. Материалы и методы. При этом, на основе информации в качественном виде даны показатели безопасности в пространстве состояний, а также методы построения схем формирования оценки безопасности. Решены две задачи - наличие модифицированной области в пространстве состояний, которая наиболее объективно свидетельствует об удаленности текущего режима работы системы от состояния, угрожающего его целостности, а также определение показателей безопасности, имеющих большую физическую наглядность и меньшую сложность вычислений. Результаты и выводы. Таким образом, показано, что для построения оперативной системы мер по недопущению превращения угроз в катастрофические (аварийные) для системы целесообразно использовать информацию о входных воздействиях со стороны среды и отклонениях параметров системы. С этой целью пригодны показатели управляемости, наблюдаемости и устойчивости, а также энергетические ресур© Северцев Н. А., Бецков А. В., Лончаков Ю. В., 2020

Abstracts. Background. From the point of view of system analysis, the approach presented in the article demonstrates the methodology for creating a safety theory taking into account the subject&s influence on the operation of the studied object of internal and external disturbances, which leads to deformation of the parametric safety region for various disturbances. Materials and methods. Based on the information in a qualitative form, the safety indicators in space are given states, as well as methods for constructing safety assessment formation schemes. Two problems have been solved - the presence of a modified region in the state space, which most objectively indicates the remoteness of the current system operation mode from a state that threatens its integrity, as well as the determination of safety indicators that have greater physical visibility and less computational complexity. Results and conclusions. Thus, it is shown that in order to build an operational system of measures to prevent the transformation of threats into catastrophic (emergency) ones, it is advisable for the system to use information about the input influences from the environment and deviations of the system parameters. For this purpose, indicators of controllability, observability and stability are suitable, as well as energy resources, most of which are quite simply satisfied when designing or preparing the system for work. It was shown that the simplification of

сы, большинство из которых достаточно просто удовлетворяется при проектировании или подготовке системы к работе. Показано, что упрощение моделей рационально проводить путем: выявления критических угроз и/или их объединения в эталонные группы; отказа от непрерывной модели системы и перехода к конечным зависимостям между воздействиями и реакциями системы. Данный подход применим для обоснования методологии безопасности робототех-нических систем и аэромобильных комплексов, в том числе обладающих искусственным интеллектом.

models is rational to carry out by: identifying critical threats and / or combining them into reference groups; abandonment of a continuous model of the system and the transition to the final dependencies between the effects and reactions of the system. This approach is applicable to justify the safety methodology of robotic systems and airborne complexes, including those with artificial intelligence.

Анализ развития множества свершившихся террористических актов позволяет выявить следующие общие тенденции, осознание которых необходимо для осуществляемой математической формализации:

Анализ выявленных тенденций позволил сформулировать цепочку логических зависимостей для оценки риска уязвимости системы1 (рис. 1).

Рис. 1. Цепь логических зависимостей для оценки уязвимости системы

В качестве основных интегральных показателей предлагаются:

- риска для системы оказаться объектом террора (Робъект);

- риска формирования ошибочной оперативной информации, невыявления или несвоевременного выявления подозрительных событий и действий террористов (Рподозр);

- риска ошибочных аналитических выводов из собранной оперативной информации и, как следствие, непринятия вовсе или принятия неадекватных мер противодействия (Рнеадекв);

- риска скрытного внедрения источника террористической опасности в систему (Рвнедр) и преодоления всех технологических преград защиты, препятствующих реализации террористических угроз в задуманном объеме (Рпреод);

Для количественной оценки этих показателей используется множество математических моделей [1, 2] и соответствующих исходных данных для расчетов. Все обозначения исходных данных привязаны к обозначениям моделирующих комплексов для оценки уязвимости системы в условиях террористических угроз (программный комплекс «Уязвимость») и качества функционирования информационных систем (КОК) [2].

Для оценки риска оказаться объектом террора (Робъект) применима «Модель процессов сбора информации от источников» [2]. Исходными данными при этом выступают:

- среднее время между значимыми изменениями состояния системы с точки зрения притяжения внимания террористов (^);

- среднее время выявления террористами интересующей их информации (шг);

- среднее время доведения интересующей информации до аналитического центра террористов (8,), каковым теоретически может оказаться даже террорист-одиночка;

- среднее время принятия решения о привлекательности (приоритетности) системы с точки зрения возможного выбора ее в качестве объекта террора (в);

- дисциплина обновления информации в аналитическом центре террористов (В)

• = В1 означает, что сбор информации в аналитическом центре происходит «сразу по происшествии значимого изменения» состояния системы (например, через штатного информатора террористов или через средства массовой информации);

• В, = В2 означает, что сбор информации происходит вне явной зависимости от изменения состояний системы (например, случайная утечка информации);

- среднее время (дг) между обновлениями информации в аналитическом центре террористов (только для дисциплины В2).

Для количественной оценки риска формирования ошибочной оперативной информации, невыявления или несвоевременного выявления подозрительных событий и действий террористов (Рподозр) применима «Модель процессов анализа информации» [2]. Исходными данными при этом являются:

- объем анализируемой оперативной информации (V);

- относительная часть информации о потенциально подозрительных событиях и действиях (ц);

- скорость анализа информации (V);

- частота ошибок анализа 1-го рода, когда безопасные события и действия воспринимаются как подозрительные (п);

- среднее время наработки на аналитическую ошибку, когда подозрительные события и действия ошибочно игнорируются (Тнар);

- период непрерывной работы оператора (Тнепр);

- задаваемое допустимое время обработки выделенного объема информации (Тзад).

Для количественной оценки риска ошибочных аналитических выводов из собранной оперативной информации и, как следствие, непринятия вовсе или принятия неадекватных мер противодействия (Рнеадекв) применима «Модель процессов анализа информации» [2]. Исходными данными для расчетов выступают:

Fundamentals of reliability issues and quality 5

- объем выявленной информации о подозрительных событиях и действиях (V);

- относительная часть принципиальной информации, объективно имеющей отношение к подготовке террористических актов (ц);

- скорость формирования аналитических выводов и выработки соответствующих мер противодействия (V);

- частота ошибок анализа 1-го рода, когда безопасные события и действия воспринимаются как имеющие отношение к подготовке террористических актов и требующие применения контрмер (п);

- среднее время наработки на аналитическую ошибку, когда ошибочно пропускаются события и действия, имеющие объективное отношение к подготовке террористических актов (Тнар);

- период непрерывной работы аналитика (Тнепр);

- задаваемое допустимое время анализа выделенного объема информации (Тзад).

Для оценки риска скрытного внедрения источника террористической опасности в систему (Рвнедр) и преодоления всех технологических преград защиты, препятствующих реализации террористических угроз в задуманном объеме (Рпреод), предлагаются «Комплекс моделей опасных воздействий на защищаемую систему» и «Комплекс моделей процессов несанкционированного доступа к ресурсам системы» [2]. В рамках одной преграды рассматриваются три технологии обеспечения защищенности от опасных воздействий (подробные описания см. в [3]):

- профилактическая диагностика целостности системы (технология 1);

- многосменный мониторинг безопасности (технология 2);

- мониторинг безопасности с диагностикой целостности системы при каждой смене операторов (технология 3).

В общем случае исходными данными для расчетов выступают:

- частота воздействия на систему, осуществляемого с целью внедрения источника террористической опасности (аг);

- среднее время активизации проникшего в систему источника опасности (в);

- время между окончанием предыдущей и началом очередной диагностики целостности системы (Тмеж);

- длительности диагностики, включая приемлемое время восстановления целостности системы (Тдиаг);

- среднее время наработки оператором службы мониторинга безопасности системы на ошибку (Тнар); _

- доверительные уровни защиты по количеству (т = 1, М) и типам технологических барьеров (в зависимости от возможных сценариев реализации террористических угроз) и соответствующие каждому уровню защиты потенциальные ущербы (Ст);

- среднее возможное время преодоления каждого из технологических барьеров (ит);

- среднее время между сменой значений регулируемых параметров каждого из технологических барьеров (преград) защиты, подлежащих преодолению (/т);

- среднее время наработки на отказ или замену защитных средств каждого из технологических барьеров (для преград с нерегулируемыми параметрами - Тнарт);

- объективная максимально допустимая длительность террористической атаки (к), по истечении которой реализация планов террористов становится невозможной.

В соответствии с предложенной методологией [1, 2] в работе [4] проводятся отдельные оценки уязвимости морских нефтегазодобывающих систем (НГС), позволяющие количественно представить себе масштабы возможного ущерба в результате реализации некоторых из террористических угроз.

Главный вопрос в борьбе с терроризмом заключается в следующем: возможно ли принципиальное решение проблемы своевременного выявления подозрительных событий и действий террористов и безошибочных аналитических выводов из собранной оперативной информации? Попытаемся ответить на этот вопрос в приложении к важным системам и объектам. За основу формирования исходных данных для моделирования возьмем данные, характеризующие работу спецслужб США по борьбе с террористами.

В наши дни каждый час только в США совершается 2 млн телефонных разговоров. В сутки вместе с электронной почтой и факсовыми передачами это десятки миллионов сообщений. Многочисленные сайты в Интернете идеально подходят для передачи условной и зашифрованной информации в любой форме представления. Исходя из этого, положим для расчетов объем информации,

подлежащей первоначальному анализу для выявления подозрительных событий и действий террористов, равным 2 и 8 млн условных объектов. Далее положим, что относительная часть информации о потенциально подозрительных событиях и действиях составляет лишь 0,001 %, и вся рутинная работа при этом осуществляется экспертными системами в автоматическом режиме со скоростью анализа от 2 до 100 млн объектов в сутки. Тем не менее время наработки на ошибку такой системы соизмеримо с возможностями человека, обучающего эти системы, и равно 1 сут (т.е. 1 ошибка в сутки) как для ошибок 1-го, так и 2-го рода. Результаты расчетов показывают, что при скорости обработки от 2 до 8 млн объектов в сутки риск формирования ошибочной оперативной информации, невыявления или несвоевременного выявления подозрительных событий и действий террористов в течение суток составит от 0,38 до 0,86, и лишь при увеличении скорости обработки до 100 млн объектов в сутки за счет уменьшения вероятности ошибок 1-го и 2-го рода этот риск снижается до 0,04-0,15.

Сегодня ФБР создало специальный отдел по работе с общественностью для оперативной реакции на предупреждение о возможных атаках или преступлениях. За шесть месяцев центр получил 400 тыс. сообщений по электронной почте, примерно 85 тыс. были признаны серьезными, и информация была передана другим американским спецслужбам для осуществления адекватных контрмер1. Для проведения расчетов это означает, что объем анализируемой за сутки информации может быть оценен от 2000 до 10 000 сообщений, а относительная часть принципиальной информации, объективно имеющей отношение к подготовке террористических актов, составляет 0,2125 (85 тыс. / 400 тыс.). Перехват сообщений террористов затруднен нерегулярностью связи, краткостью сеансов, неполнотой и иносказательностью сообщений. Так, по признанию американских аналитиков терроризма в администрации США, из 9 тыс. террористических угроз (полученной информации о заговорах, подозрительных действиях, слухах и т.д.) оказалась понятной логика лишь 2,1 % угроз. В остальных случаях спецслужбы терялись в догадках: что же в самом деле затевают террористы? Для расчетов это означает, что при средней скорости анализа 2000 сообщений в сутки среднее суммарное время наработки на ошибку 1-го и 2-го рода будет равно времени анализа 42 сообщений, т.е. около 0,5 часа, аналогичный результат и для скорости 10 000 сообщений в сутки. Как подтверждение этому примечателен такой факт - до 11 сентября агенты ФБР из г. Феникса сообщили о подозрительных арабах, обучающихся в летной школе. Однако эти данные не дошли до сотрудников ФБР в штате Минесотта, которые арестовали Захариуса Муссауи, также обучавшегося в летной школе. Иными словами, не удалось своевременно выявить всех взаимосвязанных подозрительных событий и действий террористов и сделать безошибочные аналитические выводы из собранной оперативной информации.

Анализ результатов расчетов, проведенный на основе вышеприведенных фактических данных, показал, что риск ошибочных аналитических выводов из собранной оперативной информации и, как следствие, непринятия вовсе или принятия неадекватных мер противодействия в течение лишь нескольких часов работы составит выше 0,998 (!), а при увеличении оцениваемого периода до суток и более этот риск практически равен 1. Даже если предположить ошибки в исходных данных на сотни и тысячи процентов, все равно результаты претерпят лишь незначительные изменения. Слишком уж велики объем перерабатываемой информации и частота ошибок 1-го и 2-го рода. Об этом можно было догадываться раньше, но количественные оценки говорят о тщетности надежд на оперативное выявление и предотвращение терактов на самой современной технологической базе. Такое возможно лишь в отдельных случаях удачного стечения обстоятельств.

Результаты расчетов подтверждают, что на нынешнем первоначальном этапе глобального противоборства с терроризмом при несовершенстве механизмов оперативного выявления опасных угроз практически вся тяжесть по снижению уязвимости систем ложится на плечи самих систем. Воистину «спасение утопающих - дело рук самих утопающих». Это на сегодня и ближайшее время - исчерпывающий ответ на поставленный выше вопрос в приложении к важным системам и объектам, чему доказательством служат различные террористические акты, совершаемые террористами в самых неожиданных местах по всему миру.

Таким образом, предупредить превентивно реализацию террористических актов в приложении к любого рода системам и объектам сегодня практически невозможно. Необходима глубоко продуманная целенаправленная работа по коренному снижению рисков.

Анализ показывает, что основным превентивным механизмом снижения рисков является мониторинг обеспечения безопасности в различных вариациях его приложения. Оценим достаточно

часто встречающиеся на практике технологии обеспечения безопасности систем, реализующих указанные меры: технологию 1 (профилактическую диагностику целостности системы), 2 (многосменный мониторинг безопасности), 3 (мониторинг безопасности с диагностикой целостности системы при каждой смене операторов).

Технология 1 основана на профилактической диагностике целостности системы. Диагностика осуществляется периодически. Предполагается, что существуют не только средства диагностики, но и способы восстановления необходимой целостности системы при выявлении проникновения источников опасности в систему или следов негативного воздействия. Выявление проникших источников опасности и нарушений целостности возможно лишь в результате диагностики, после чего сразу осуществляется ее восстановление. Опасные воздействия на систему осуществляются поэтапно: сначала источник опасности проникает (внедряется) в систему, а по прошествии свойственного ему периода активизации начинает воздействовать. До активизации проникшего источника опасности функциональная целостность системы не нарушается. Опасность считается реализованной лишь после реального воздействия проникшего источника опасности. Именно с начала такого воздействия целостность системы полагается нарушенной. Таким образом, если сравнивать защищаемую систему с человеком, технология 1 напоминает периодическую диагностику состояния здоровья человека. Если результаты диагностики свидетельствуют о симптомах нарушения здоровья, человека начинают лечить (ликвидировать источник опасности). Между диагностиками проникшая в организм инфекция при активизации до очередной диагностики переводит человека в болезненное состояние (т.е. в результате опасного воздействия целостность нарушается).

В отличие от предыдущей технология 2 подразумевает, что целостность системы в период между диагностиками отслеживают сменяющие друг друга операторы. При обнаружении проникновения источника опасности полагается, что оператор ликвидирует его, восстанавливая целостность системы (способы для этого полагаются существующими аналогично технологии 1). Проникновение источника опасности в систему возможно только в случае ошибки оператора. Безошибочные действия оператора предусматривают нейтрализацию источника опасности при попытке его внедриться в систему (при моделировании морских НГС в рамках рассматриваемых примеров временем нейтрализации будем пренебрегать, хотя в реальности в некоторых случаях такое пренебрежение может оказаться недопустимым). Проверка целостности системы осуществляется лишь при проведении диагностики. При смене операторов такой проверки не делается. То есть источник опасности, проникший в одну смену, может активизироваться в последующие смены вплоть до очередной диагностики. Таким образом, по аналогии с человеком технология 2 напоминает непрерывное пребывание человека на сохранении в госпитале, когда между редкими комплексными диагностиками он непрерывно находится под наблюдением посменно работающих врачей. Между диагностиками сменяемый врач передает пациента сменяющему врачу под «честное слово», т.е. без гарантированного подтверждения реального состояния его «целостности». Такую гарантию, согласно нашим предположениям, может дать лишь комплексная диагностика. Опасная инфекция может проникнуть лишь по вине одного из врачей, а обнаружена существенно позже - либо в результате обострения скрытого заболевания при дежурстве этого или другого врача, либо в результате очередной диагностики состояния здоровья, т.е. при многосменной работе врачей реального виновника, пропустившего инфекцию, в общем случае объективно определить невозможно. Это явный практический недостаток технологии 2.

Технология 3 является частным случаем технологии 2, когда при каждой смене операторов осуществляется комплексная диагностика. Тем самым каждый заступающий на смену оператор уверен в требуемой целостности системы, сохраненной от проникновения источников опасности либо восстановленной по результатам диагностики. Проникновение источника опасности возможно лишь в результате случайной ошибки оператора, причем опасное воздействие происходит только в случае активизации до следующей диагностики. Иначе неактивизировавшийся источник будет обнаружен при диагностике и обезврежен, т.е. технология 3 лишена недостатка технологии 2.

При моделировании для всех трех технологий важным является предположение о полном выявлении источников опасности и существовании применимых способов восстановления нарушенной целостности системы.

На фоне оправдавших себя мер противодействия источникам аварийной опасности ситуация в борьбе с террористическими угрозами оказывается кардинально отличной в худшую сторону, поскольку проблема эффективной борьбы с терроризмом еще находится в самой начальной стадии.

Библиографический список

References

Северцев Николай Алексеевич

доктор технических наук, профессор, главный научный сотрудник, отдел управления робототехническими устройствами,

Федеральный исследовательский центр «Информатика и управление» Российской академии наук (Вычислительный центр им. А. А. Дородницына РАН) (Россия, г. Москва, ул. Вавилова, 40) E-mail: severs@ccas.ru

Бецков Александр Викторович

доктор технических наук, доцент, заместитель начальника, Академия управления МВД России (Россия, г. Москва,

ул. Зои и Александра Космодемьянских, 8) E-mail: abckov@mail.ru

Лончаков ^Эрий Валентинович

доктор технических наук, лётчик-космонавт, Герой России, помощник руководителя,

Федеральное космическое агентство «Роскосмос» (Россия, ГСП-6, г. Москва, ул. Щепкина, 42) E-mail: info@roscosmos.ru

Severtsev Nikolay Alekseevich

doctor of technical sciences, professor, chief researcher,

department of robotic systems management devices,

Federal research center

«Computer science and control» of RAS

(Dorodnitsyn computer center

of the Russian Academy of Sciences)

(40 Vavilova street, Mosœw, Russia)

Betskov Aleksandr Viktorovich

doctor of technical sciences, associate professor, deputy chief,

Russian Academy of the Interior Ministry (8 Zoi i Aleksandra Kosmodem&yanskikh street, Moscow, Russia)

Lonchakov Yuriy Valentinovich

doctor of technical sciences, space pilot, Hero Of Russia, assistant administrator, Federal Space Agency «Roskosmos» (42 Shchepkina street, Moscow, GSP-6, Russia)

Образец цитирования:

Северцев, Н. А. Методологические подходы к выявлению уязвимости социально важных объектов террористическим угрозам / Н. А. Северцев, А. В. Бецков, Ю. В. Лончаков // Надежность и качество сложных систем. - 2020. - № 2 (30). - С. 3-9. - БО! 10.21685/2307-4205-2020-2-1.