Positive Technologies: "Анонимусы" — прикрытие для серьезных операций

Positive Technologies: "Анонимусы" — прикрытие для серьезных операций

В современном мире каждый масштабный конфликт сопровождается битвами в киберпространстве. Но какая часть таких войн остаётся невидимой? Насколько серьезное оружие идёт в ход, и какие критически важные объекты могут пострадать? Об этом в интервью Digit.ru рассказал Сергей Гордейчик, заместитель генерального директора компании Positive Technologies.

 В политических событиях последних лет активно участвуют "сетевые партизаны" — свободно организованные группы хакеров. Насколько подобные "анонимусы" опасны?

— В настоящее время "бесхозных" хактивистов практически не осталось. Мы расследовали атаки Anonymous и в ходе революции в Тунисе, и когда обеспечивали кибербезопасность зимних Олимпийский игр в Сочи. По результатам можно утверждать, что за ширмой дилетантского "кибершума" скрываются серьезно подготовленные кибератаки, требующие значительных ресурсов. А публичная активность "анонимусов", хвастовство в "Твиттере" — это лишь прикрытие для спланированных операций.

Более того, если проанализировать математическими методами деятельность 50 наиболее активных "хакерских группировок", можно говорить о реальном существовании не более десятка профессиональных команд. А всё остальное — различные бренды, адаптируемые под задачи. Есть конфликт в Сирии? Появляется "Сирийская киберармия" и так далее.

Можно ли показать сочетание кибератак и информационной войны на примере Украины?

— Сетевая активность вокруг Украины является типичной операцией по информационной поддержке "цветных революций", которые даже называли "твиттерными революциями". Однако использование социальных сетей для пропаганды — это информационная война.

А кибербезопасность концентрируется на защите устройств и каналов связи, операционных систем и приложений. Пример — перехват телефонного разговора политиков, в котором обсуждалась связь снайперов с лидерами Майдана. Здесь уже возникают вопросы кибербезопасности — кто и каким методом осуществил эту атаку? Использовались ли легальные схемы, специальные "импланты" на мобильных телефонах, или это были атаки на сигнальные сети операторов связи и протокол SS7?

 После утечки в СМИ эта запись стала использоваться для воздействия на общественное мнение. Получается, что кибератаки всё равно сводятся к борьбе за умы?

— Отнюдь нет. Степень эффективности кибератак во много зависит от того, насколько глубоко информационные технологии проникли в ту или иную сферу человеческой деятельности. И эту глубину мы не всегда осознаем. В ходе нашего недавнего исследования "Безопасность промышленных систем в цифрах" было выявлено более 68 тысяч узлов для контроля и управления производственными процессами, напрямую подключенных к интернету и работающих со стандартными настройками, включая пароли. Это реальные заводы, электростанции, транспортные системы, "умные здания".

Атака на такие системы может принести серьезный ущерб в реальном мире. Более того, подобные критически важные объекты уже сейчас рассматриваются как цели. Цитируя бывшего сотрудника АНБ Дики Джорджа (Dickie George): "Больше не будет войн, в которых критическая инфраструктура не будет целью кибератак".

Много ли в России подключенных к интернету промышленных систем?

Компоненты для контроля и управления производственными процессами (АСУ ТП (SCADA), напрямую подключенные к интернету

— На порядок меньше, чем в США, и в 4-5 раз меньше по сравнению, например, с Германией. Это обусловлено не только деиндустриализацией некоторых отечественных отраслей. Во-первых, в России широко распространены промышленные системы отечественных производителей, которые не вошли в исследование. Кроме того, результаты исследований мы передаем в государственные центры реагирования на компьютерные инциденты (CERT) и международные организации, такие как IMPACT, которые помогают нам связаться с владельцем системы и устранить опасность. Поскольку Positive Technologies проводит подобные исследования с 2012 года, значительное число проблем было устранено. Конечно, при этом постоянно возникают и новые вызовы.

Что входит в понятие "критически важные инфраструктуры"?

— Согласно определению Совета Безопасности РФ, это не только АСУ ТП (SCADA) — это все системы, нарушение работы которых может стать причиной наступления тяжких последствий. Сюда входят информационные системы ключевых компаний и организаций энергетики, нефтегазовой отрасли, транспорта, операторов связи, финансовой сферы, продовольствия, коммунального хозяйства, здравоохранения, силовых органов, правительства, средств массовой информации.

 СМИ?

— Конечно. Мы же об этом говорили: многие кибератаки проводятся для осуществления информационных атак. А СМИ — идеальный плацдарм для этого. Вспомните недавние ложные новости о банкротстве United Airlines, об аресте Романа Абрамовича и взрывах в Белом Доме.

Можно оценить, насколько сейчас защищены в России "критически важные объекты"?

— По нашим исследованиям — плохо защищены. Крупнейшие компании России зачастую может взломать не особенно квалифицированный киберпреступник. И я сейчас говорю не о компаниях из 100-200 человек, а о гигантских государственных организациях и коммерческих компаниях — банках, телекомах, промышленных предприятиях, торговых сетях. Попавшие в наш отчет корпоративные системы насчитывают тысячи узлов, сотни филиалов — и такой размах не улучшает их безопасность. При этом многие системы АСУ ТП, управляющие серьезнейшими производственными процессами, транспортом, водоснабжением, энергоресурсами, можно запросто найти в интернете с помощью Google.

 Есть ли разница между отраслями по уровню защищенности?

— Банковские и финансовые институты демонстрируют наиболее высокий уровень защиты. Причин несколько. Первая — прямая связь между информационными технологиями и основным бизнесом: ведь значительная часть денег сейчас существует в виде электронного "безнала".

Вторая причина — плотное внимание регулирующих организаций. В России действуют и международные требования по безопасности, такие как PCI DSS, и локальные нормативные акты и отраслевые стандарты, включая законодательство в области национальной платежной системы и СТО БР ИББС. В-третьих, это очень конкурентная отрасль: клиенты могут легко сменить банк, если его часто "ломают".

С другой стороны, традиционно низкий уровень защиты демонстрируют государственные органы. Причем ситуация характерна не только для России. Так, в ходе расследования инцидента в системе электронного правительства одной из стран Азиатско-Тихоокеанского региона мы выявили целых 6 троянских программ, которые прекрасно уживались. При этом качество "паразитов" варьировалось от явных школьных поделок до вполне промышленных экземпляров, которые можно называть "кибероружием".

 Вы цитировали свои исследования. Кто их проводит, где можно ознакомиться с самыми свежими?

— У нас функционирует один из крупнейших в мире исследовательских центров — Positive Research, где работают более 150 экспертов. Мы расследуем инциденты, проводим анализ угроз и уязвимостей. Уже не раз помогали находить и устранять недостатки в продуктах и сервисах таких компаний, как Google, Siemens, Microsoft, Oracle, SAP, Яндекс, Apple и множества других.

Самые интересные результаты исследований — и не только наших, но и многих других экспертов по безопасности — будут представлены на ежегодном международном форуме Positive Hack Days, который пройдёт 21-22 мая в Москве в техно-центре Digital October.

Кстати, мы много говорили об атаках, но зачастую злоумышленникам не обязательно что-то "взламывать": многие компании сами оставляют "открытые двери" в своих системах. Один из докладов на Positive Hack Day так и называется — "Отдайте мне свои данные!". В ходе эксперимента будет продемонстрировано, как безалаберно хранятся критически важные данные. Обычный сетевой принтер может рассказать о вас очень многое, и к нему не обязательно иметь прямой доступ.

Источник:
digit.ru