Skip to Main Content





Война белых и темных гроссмейстеров

20/12/2017

Текущий год показал, что перед лицом хакерских атак уязвимы все компании без исключений. Борьба отрасли кибербезопасности с темным интернетом становится бесконечной.

Сегодня ни одна отрасль не выпадает из поля зрения киберпреступников, отметили участники круглого стола «Ландшафт безопасного бизнеса. Технологии защиты», проведенного РБК Петербург в декабре. Но поскольку конечной целью хакеров, как правило, является кража денег, то на первой линии огня сейчас находятся финансовые организации и компании, управляющие критически важной для экономики инфраструктурой.

Фундаментальные уязвимости, или Соблюдайте цифровую гигиену
«Повышенный интерес к критической инфраструктуре связан не с деньгами, а, скорее, с политической нестабильностью в мире, с появлением или даже с увеличением количества стран-изгоев, — уверен Кирилл Керценбаум, директор по развитию бизнеса Group-IB. — Если раньше это была только Северная Корея, то не так давно появилась сирийская киберармия. Как только в стране появляются очевидные признаки дестабилизации — будь то военные действия или переход к тоталитаризму, то, как правило, происходят две вещи: либо государство начинает активно финансировать прогосударственные хакерские группировки, либо хакеры самоорганизуются, самостоятельно «сбиваясь» в группы, целью которых изначально является кража денeг. Они оттачивают свои технологии на каких-то «прибыльных» проектах, а потом применяют их, когда поступает заказ, и на критической инфраструктуре».

Но это не значит, что если предприятие не работает в сфере финансов или не связано с критической инфраструктурой, то ему ничего не угрожает. Это не так. «Большинство боится, что миллионы организованных киберпреступников будут «ломать» систему именно их компании, забывая о том, что есть и широкомасштабные атаки, под которые может попасть любой», — отмечает Василий Томилин, инженер-консультант Cisco.

Он напомнил случай с одной из крупнейших транспортных компаний мира — датской Maersk, IT-системы которой вышли из строя из-за масштабной кибератаки ‒ вируса NotPetya. В результате Maersk потеряла до $300 млн. К счастью, контейнеровозы, которые в момент начала атаки находились в море, и их персонал не пострадали. «Вряд ли кто-то мог заранее сказать, что будет атака на Maersk— это было очень маловероятно, но компания понесла огромный урон, не сравнимый с потерями большинства из пострадавших от хакеров финансовых учреждений, — добавляет Василий Томилин. — Maersk была поражена потому, что используемые ею системы исторически гетерогенны и не стабильны, а базовые правила цифровой гигиены не соблюдаются: не ставятся патчи, не применяется целостный подход к обеспечению ИБ. А сколько еще таких дыр в наших системах! Фундаментальные уязвимости постоянно вскрываются: только за первые шесть месяцев 2017 года число выявленных уязвимостей в серверных ОС, по нашей статистике, увеличилось на 35%. И этот тренд будет набирать дальнейшие обороты».

Дмитрий Сивоконь, руководитель направления по развитию бизнеса Positive Technologies в регионах России, указывает, что киберпреступники следят за тем, как меняется бизнес. Хайп вокруг первичных размещений ICO привлекает внимание, поэтому злоумышленники сейчас атакуют не только финансовые учреждения, но и блокчейн-площадки с целью завладеть средствами инвесторов: исследования в области актуальных киберугроз показали, что по итогам третьего квартала этого года в зоне повышенного риска оказались криптовалютные кошельки и ICO.

«За последние несколько лет увеличилось число массовых заражений и атак, которые построены на принципе ransomeware-as-a-service, то есть своего рода сервисной модели создания, распространения и использования уязвимостей злоумышленниками. Кто-то из злоумышленников разрабатывает некий эксплойт, и далее он становится доступным всему сообществу даркнета. Таким образом, на одном и том же движке могут быть построены совершенно различные типы атак», ‒ описывает Дмитрий Сивоконь инновации киберпреступников.

Большой бюджет на IT ведет к большим проблемам
Большие бюджеты на IT не всегда означают наличия в компаниях качественной системы безопасности — порой даже наоборот.

«Наиболее подверженными атакам на сегодняшний день являются отрасли, вложившие в предыдущие годы весьма существенные деньги в информатизацию и автоматизацию, — объясняет Андрей Шкурко, руководитель направления «Специализированные решения» компании «Марвел-Дистрибуция». — К сожалению, в большинстве случаев инвестиции в безопасность при этом были несравнимо меньшими, чем инвестиции в IT-инфраструктуру. Либо это делалось по остаточному принципу, либо руководство считало, что в его отрасли киберугрозы — это не сегодняшний и даже не завтрашний день. Именно поэтому сегодня мы сталкиваемся с тем, что уровень защищенности инфраструктуры компаний очень отстает от потенциальных угроз, которые с сумасшедшей скоростью развиваются».

Дополнительные трудности возникают из-за того, что подстраивать под новые реалии приходится системы, которым уже весьма много лет. «Те системы автоматизации технологических процессов, которые были внедрены 10 и 20 лет назад, работают и сейчас, — отмечает Илья Веретенников, ведущий эксперт отдела информационной безопасности МРСК Северо-Запад. — Их модернизация идет очень медленно, а угрозы растут очень быстро. И если раньше АСУТП были более-менее изолированы и на их защиту можно было уделять меньше внимания, то сейчас, когда внедряются новые IT-решения, риски очень возрастают. А безопасность все еще финансируется по остаточному принципу».

«Одной из проблем является существенное удорожание стоимости ИТ-проекта при условии соблюдения требований по его реализации в защищенном исполнении с учетом всех требований по информационной безопасности», — говорит Сергей Старченко, главный специалист по защите информации Управления по информационной безопасности ГУП «Водоканал Санкт-Петербурга».

Периметров безопасности больше нет
Еще несколько лет назад эксперты начали говорить о том, что понятие «периметр безопасности» организации размывается. Сейчас об этом речи просто не идет: рост проникновения гаджетов, а также подключенных устройств с выходом в Интернет, приводит к тому, что закрытого пространства компании уже не существует. Беда в том, что опыт, полученный в частной жизни, сотрудники часто пытаются перенести в свое профессиональное пространство.

«К сожалению, по моему прошлому опыту работы в российских компаниях, не только рядовые сотрудники, но нередко и руководители показывали себя настолько малограмотными в области информационных технологий, что не понимали, что они делали. Многие люди привыкли пользоваться гаджетами, компьютерами и им кажется, что добиться такой же автоматизации на работе так же просто, как и дома. Приходится им объяснять, что это невозможно, потому что мы пока не можем гарантировать безопасность», — рассказывает Александр Костин, руководитель отдела экспертов дирекции ИТ компании «Воздушные Ворота Северной Столицы».

«В последнее время роль человеческого фактора только усиливается. К примеру, есть в компании служба IT, она занимается защитой компании, знает, какое количество серверов установлено, а потом сотрудник приносит умный чайник, подключает его в общую сеть и создает дыру в периметре предприятия. Айтишники об этом даже не думали. Получается, что в процесс вовлекается все больше и больше посторонних людей, и это огромный риск, — объясняет Андрей Христофоров, коммерческий директор ITV AxxonSoft. — В нашей отрасли последние случаи построения ботнетов на камерах известных брендов были связаны исключительно с тем, что люди не меняли дефолтные пароли». Также эксперты вспомнили много случаев, когда к утечке информации приводили чекины, фото в соцсетях и другие подобные действия, которые специалистами по безопасности просто не учитывались.

«Когда нас будут возить не водители, а беспилотники, которые будут безусловно выполнять все регламенты, будет немного проще, — уверен Андрей Шкурко. — Сейчас уже идет процесс масштабной роботизации. Вполне возможно, большое количество задач, которые нельзя решить из-за человеческого фактора, просто исчезнут, так как многие процессы уйдут в роботизацию. Однако, что делать с человеческим фактором в оставшихся процессах — пока большой вопрос. Для всех людей сложно придумать единые правила, которыми можно будет обеспечить абсолютную защиту».

«Уровень connectivity в мире сильно вырос, и технически смартфон содержит больше моих персональных данных, чем любая система вокруг. Это меняет и отношение к безопасности. Раньше было достаточно обеспечить безопасность сертификата, сейчас можно иметь абсолютно безопасный сертификат, двухфакторную идентификацию, но тем не менее методом социальной инженерии злоумышленники уведут все данные. И это никогда не кончится», — спрогнозировал Александр Поздняков, генеральный директор First Line Software.

При этом он заметил, что для него как разработчика ПО, которое «садится сверху» на инфраструктуру и должно соответствовать требованиям безопасности предприятия, утверждения о том, что с внутренним периметром безопасности далеко не все в порядке, сродни восприятию ребенком заявлений о том, что Деда Мороза не существует. «Мы работаем на прикладном уровне, и наша задача — не испортить тот уровень безопасности, который существует на физическом, инфраструктурном уровне. И мне всегда казалось, что там, внутри периметра, все хорошо, и главное — не привнести туда что-то лишнее. Вы мне показали, что это не так», — отметил Александр Поздняков.

Каждому свои угрозы
Стопроцентной защиты не сможет дать ни одно решение. И это связано не только с человеческим фактором. Причина в том, что киберпреступники так же технологичны, как и разработчики средств защиты, а может быть, даже более. Поэтому ставку делать надо на комплексность.

«Информационная безопасность — это совокупность мер и инструментов, начиная от регламентов, которые люди должны выполнять, чтобы снизить влияние человеческого фактора, и заканчивая техническим средствами, грамотно подобранными, стоящими своих денег. И если предложить клиенту избыточную систему, то он не будет тратить деньги вообще», — уверен Андрей Христофоров.

Например, если страховка на один банкомат будет обходиться дешевле, чем затраты на обеспечение его безопасности в онлайн— и оффлайн-среде, то банк вряд ли посчитает целесообразным эту систему внедрять и пойдет по пути наименьшего сопротивления. Правда, в данной схеме не учитывается урон имиджу организации, у клиентов которой пропадут деньги из-за отсутствия системы защиты.

Он также рассказал, что у ретейлеров наблюдается интересный тренд. Они считают единственным надежным способом снижения потерь как от оффлайн-, так и от онлайн-угроз, обеспечение техническими и административными мерами исполнения тех регламентов, которые выпускает служба безопасности. Ретейлеры убедились на опыте, что, добившись этого от каждого сотрудника — от уборщицы до директора, они минимизируют потери.

Есть и другие варианты выстраивания системы защиты. «Говорить о стопроцентных гарантиях защиты нельзя — ни сегодня, ни в будущем. Так, к примеру, наш исследовательский центр безопасности ежегодно обнаруживает порядка 200 уязвимостей нулевого дня ‒ тех уязвимостей, которые до обнаружения не были известны и проэксплуатированы, ‒ поясняет Дмитрий Сивоконь. ‒ Мир меняется, мы идем по своеобразному пути гонки вооружений. Поэтому важно действовать в соответствии с моделью угроз, которую каждое предприятие должно выработать для себя индивидуально, и те мероприятия, которые оно применяет, должны быть этой модели адекватны. И, конечно же, модель необходимо пересматривать в зависимости от роста автоматизации, изменения ландшафта ИТ-инфраструктуры, запуска новых бизнес-процессов, появления новых угроз и прочего».

Игра светлых и темных гроссмейстеров
В будущем, уверены эксперты, ждать серьезного улучшения ситуации не стоит. Поэтому для противодействия киберпреступности усилия надо консолидировать, а регуляторам, вендорам и пользователям необходимо учиться говорить на одном языке.

«Киберпреступность — это тоже бизнес, — уверен Яков Волкинд, директор Северо-Западного представительства ITV AxxonSoft. — И как в любом бизнесе, в нем есть свои лидеры. Данная отрасль очень технологична — в этом отношении не уступает нашей. Я считаю, что все бизнесы будут продолжать жить, и киберпреступность не исключение. По сути, мы и киберпреступники ведем конкурентную борьбу, которая может длиться бесконечно».

«В будущем нас ждет усложнение задач и, соответственно, усложнение решений; будет востребована все более высокая экспертиза, и эти тренды приведут к уходу технологий информационной безопасности в крупные структуры, которые будут предлагать ее как сервис — возможно, даже облачный., — прогнозирует Андрей Шкурко. — Укрупнение и переход в сервисы должны решить проблему сложности: мы переходим к игре гроссмейстеров друг с другом».

Отсутствие в России конкурентоспособной электроники угрожает национальной безопасности

Константин Цивин, вице-президент по маркетингу и развитию бизнеса компании АстроСофт:
«С ростом цифровизации возрастает как число и масштаб угроз, так и количество возможностей и точек роста экономики и уровня жизни. И этому влиянию подвержены все отрасли экономики без исключения. Цифровизация – это не только и не столько распространение компьютеров или смартфонов во все сферы жизни. Это цифровизация абсолютно всех устройств, оборудования и процессов, которые нас окружают.

Вся современная бытовая электроника: холодильники и телевизоры, кондиционеры, стиральные машинки и электросчетчики, даже пульт управления или датчик дыма в квартире – создаются на базе микроконтроллеров. Это миниатюрный компьютер со своим процессором, памятью, устройствами взаимодействия с внешним миром, выполненный на одной интегральной микросхеме.

Микроконтроллеры используются в современных автомобилях – не только в мультимедиа, но и в жизненно важных системах: управления тормозами и ABS, зажигания, управления светом фар, зеркалами, трансмиссией, подушками безопасности. Уже появились серийные системы помощи водителю и недалеко до полноценных коммерческих автопилотов. Даже бортовые системы самолётов работают «на цифре». Автоматизируются и сборочные линии заводов – в том числе по производству продуктов питания и лекарств.

При таком уровне цифровизации сбои или целенаправленные атаки могут привести не просто к финансовым потерям, но и к человеческим жертвам. Поэтому чрезвычайно важно грамотно выстраивать концепцию предупреждения и защиты от угроз на всех этапах производства и функционирования устройства – от микроэлектронной базы до работы в безопасной доверенной среде. Вот почему «АстроСофт» участвует в работе таких объединений, как рабочая группа SafeNet, которая разрабатывает и реализует такую концепцию.

В России практически нет конкурентоспособной электроники. Производителей интегральных микросхем можно пересчитать по пальцам. При разработке устройств и оборудования используются преимущественно зарубежные операционные системы для микроконтроллеров. Это создает опасность не только для отдельных производств или отраслей, но и угрожает национальной безопасности.

«АстроСофт» разработал собственную безопасную операционную систему «МАКС» для устройств Интернета вещей. При этом мы тесно работаем с производителем микроэлектроники ПКК «Миландр», и это можно считать уникальной ситуацией для российского рынка. В партнерстве нам удается предложить производителям безопасную среду разработки устройства от микросхемы до операционной системы – полный цикл.

И среда разработки, и компилятор, и используемая операционная система безопасны, сертифицированы и надежны. В этом случае удается как сократить число случайных ошибок, которыми могут воспользоваться злоумышленники, так и предупредить появление в конечном устройстве недекларированных возможностей, которые приведут к краже данных или несанкционированному доступу к управлению».

Источник: РБК