Быстро меняющееся регулирование в разных странах не успевает за длительными циклами разработки и эксплуатации спутниковых систем
Космические операторы всё чаще оказываются в условиях регулирования кибербезопасности. Хотя важность защиты цифровых систем в отрасли не вызывает сомнений, международно согласованных требований до сих пор не существует, а долгосрочные правила соответствия остаются неопределёнными на фоне появления новых национальных и региональных режимов.
Проблема особенно остра для космического сектора из-за длительных сроков разработки и эксплуатации техники. Проектирование спутников начинается за три–пять лет до запуска, а срок их работы на орбите может превышать 15 лет. Решения о стандартах шифрования, аутентификации и архитектуре систем принимаются на ранних этапах, когда будущие регуляторные требования ещё не определены.
Дополнительные риски создают цепочки поставок. Выбор производителей компонентов или операторов наземной инфраструктуры, соответствующий текущим правилам, может вступить в противоречие с будущими требованиями сертификации. Это грозит дорогостоящими доработками систем или ограничениями их эксплуатации уже после вывода спутников на орбиту.
Регуляторы всё чаще выделяют космическую отрасль как критически важную. В ЕС это закреплено в директиве NIS2, в Австралии — в Законе о безопасности критической инфраструктуры 2018 года, а в США действуют специализированные рекомендации по кибербезопасности для космического сектора. Одновременно операторы могут подпадать под более общие режимы, такие как британский NIS или сингапурский Закон о кибербезопасности, применимые к спутниковой связи и наземным станциям.
Регуляторная среда продолжает расширяться. В ЕС уже опубликован проект Европейского закона о космосе, который предполагает создание единого режима кибербезопасности для космической деятельности и потенциально заменит NIS2 для космических операторов. Помимо этого, в разработке находятся и другие нормативные акты, способные повлиять на отрасль в ближайшие годы.
В результате операторам приходится одновременно выполнять действующие требования, готовиться к ближайшим изменениям и учитывать будущие рамки регулирования. При этом соблюдение кибербезопасности всё чаще рассматривается не только как мера снижения рисков, но и как коммерческий фактор. Для заказчиков и инвесторов кибербезопасность всё чаще становится обязательным условием при выборе поставщиков. В этих условиях операторы, которые заранее выстраивают гибкие и адаптируемые системы соответствия, оказываются лучше подготовлены к дальнейшему ужесточению правил.
