О том, как выглядят современные кибератаки, на что они направлены и насколько успешны, в интервью Digit.ru рассказал Сергей Гордейчик, заместитель генерального директора компании Positive Technologies. В современном мире каждый масштабный конфликт сопровождается битвами в киберпространстве. Но какая часть таких войн остаётся невидимой? Насколько серьезное оружие идёт в ход, и какие критически важные объекты могут пострадать? Об этом в интервью Digit.ru рассказал Сергей Гордейчик, заместитель генерального директора компании Positive Technologies. — В политических событиях последних лет активно участвуют «сетевые партизаны» — свободно организованные группы хакеров. Насколько подобные «анонимусы» опасны? — В настоящее время «бесхозных» хактивистов практически не осталось. Мы расследовали атаки Anonymous и в ходе революции в Тунисе, и когда обеспечивали кибербезопасность зимних Олимпийский игр в Сочи. По результатам можно утверждать, что за ширмой дилетантского «кибершума» скрываются серьезно подготовленные кибератаки, требующие значительных ресурсов. А публичная активность «анонимусов», хвастовство в «Твиттере» — это лишь прикрытие для спланированных операций. Более того, если проанализировать математическими методами деятельность 50 наиболее активных «хакерских группировок», можно говорить о реальном существовании не более десятка профессиональных команд. А всё остальное — различные бренды, адаптируемые под задачи. Есть конфликт в Сирии? Появляется «Сирийская киберармия» и так далее. — Можно ли показать сочетание кибератак и информационной войны на примере Украины? — Сетевая активность вокруг Украины является типичной операцией по информационной поддержке «цветных революций», которые даже называли «твиттерными революциями». Однако использование социальных сетей для пропаганды — это информационная война. А кибербезопасность концентрируется на защите устройств и каналов связи, операционных систем и приложений. Пример — перехват телефонного разговора политиков, в котором обсуждалась связь снайперов с лидерами Майдана. Здесь уже возникают вопросы кибербезопасности — кто и каким методом осуществил эту атаку? Использовались ли легальные схемы, специальные «импланты» на мобильных телефонах, или это были атаки на сигнальные сети операторов связи и протокол SS7? — После утечки в СМИ эта запись стала использоваться для воздействия на общественное мнение. Получается, что кибератаки всё равно сводятся к борьбе за умы? — Отнюдь нет. Степень эффективности кибератак во много зависит от того, насколько глубоко информационные технологии проникли в ту или иную сферу человеческой деятельности. И эту глубину мы не всегда осознаем. В ходе нашего недавнего исследования «Безопасность промышленных систем в цифрах» было выявлено более 68 тысяч узлов для контроля и управления производственными процессами, напрямую подключенных к интернету и работающих со стандартными настройками, включая пароли. Это реальные заводы, электростанции, транспортные системы, «умные здания». Атака на такие системы может принести серьезный ущерб в реальном мире. Более того, подобные критически важные объекты уже сейчас рассматриваются как цели. Цитируя бывшего сотрудника АНБ Дики Джорджа (Dickie George): «Больше не будет войн, в которых критическая инфраструктура не будет целью кибератак». — Много ли в России подключенных к интернету промышленных систем? — На порядок меньше, чем в США, и в 4-5 раз меньше по сравнению, например, с Германией. Это обусловлено не только деиндустриализацией некоторых отечественных отраслей. Во-первых, в России широко распространены промышленные системы отечественных производителей, которые не вошли в исследование. Кроме того, результаты исследований мы передаем в государственные центры реагирования на компьютерные инциденты (CERT) и международные организации, такие как IMPACT, которые помогают нам связаться с владельцем системы и устранить опасность. Поскольку Positive Technologies проводит подобные исследования с 2012 года, значительное число проблем было устранено. Конечно, при этом постоянно возникают и новые вызовы. — Что входит в понятие «критически важные инфраструктуры»? — Согласно определению Совета Безопасности РФ, это не только АСУ ТП (SCADA) — это все системы, нарушение работы которых может стать причиной наступления тяжких последствий. Сюда входят информационные системы ключевых компаний и организаций энергетики, нефтегазовой отрасли, транспорта, операторов связи, финансовой сферы, продовольствия, коммунального хозяйства, здравоохранения, силовых органов, правительства, средств массовой информации. — СМИ? — Конечно. Мы же об этом говорили: многие кибератаки проводятся для осуществления информационных атак. А СМИ — идеальный плацдарм для этого. Вспомните недавние ложные новости о банкротстве United Airlines, об аресте Романа Абрамовича и взрывах в Белом Доме. — Можно оценить, насколько сейчас защищены в России «критически важные объекты»? — По нашим исследованиям — плохо защищены. Крупнейшие компании России зачастую может взломать не особенно квалифицированный киберпреступник. И я сейчас говорю не о компаниях из 100-200 человек, а о гигантских государственных организациях и коммерческих компаниях — банках, телекомах, промышленных предприятиях, торговых сетях. Попавшие в наш отчет корпоративные системы насчитывают тысячи узлов, сотни филиалов — и такой размах не улучшает их безопасность. При этом многие системы АСУ ТП, управляющие серьезнейшими производственными процессами, транспортом, водоснабжением, энергоресурсами, можно запросто найти в интернете с помощью Google. — Есть ли разница между отраслями по уровню защищенности? — Банковские и финансовые институты демонстрируют наиболее высокий уровень защиты. Причин несколько. Первая — прямая связь между информационными технологиями и основным бизнесом: ведь значительная часть денег сейчас существует в виде электронного «безнала». Вторая причина — плотное внимание регулирующих организаций. В России действуют и международные требования по безопасности, такие как PCI DSS, и локальные нормативные акты и отраслевые стандарты, включая законодательство в области национальной платежной системы и СТО БР ИББС. В-третьих, это очень конкурентная отрасль: клиенты могут легко сменить банк, если его часто «ломают». С другой стороны, традиционно низкий уровень защиты демонстрируют государственные органы. Причем ситуация характерна не только для России. Так, в ходе расследования инцидента в системе электронного правительства одной из стран Азиатско-Тихоокеанского региона мы выявили целых 6 троянских программ, которые прекрасно уживались. При этом качество «паразитов» варьировалось от явных школьных поделок до вполне промышленных экземпляров, которые можно называть «кибероружием». — Вы цитировали свои исследования. Кто их проводит, где можно ознакомиться с самыми свежими? — У нас функционирует один из крупнейших в мире исследовательских центров — Positive Research Centre, где работают более 150 экспертов. Мы расследуем инциденты, проводим анализ угроз и уязвимостей. Уже не раз помогали находить и устранять недостатки в продуктах и сервисах таких компаний, как Google, Siemens, Microsoft, Oracle, SAP, Яндекс, Apple и множества других. Самые интересные результаты исследований — и не только наших, но и многих других экспертов по безопасности — будут представлены на ежегодном международном форуме Positive Hack Days (www.phdays.ru), который пройдёт 21-22 мая в Москве в техно-центре Digital October. Кстати, мы много говорили об атаках, но зачастую злоумышленникам не обязательно что-то «взламывать»: многие компании сами оставляют «открытые двери» в своих системах. Один из докладов на Positive Hack Day так и называется — «Отдайте мне свои данные!». В ходе эксперимента будет продемонстрировано, как безалаберно хранятся критически важные данные. Обычный сетевой принтер может рассказать о вас очень многое, и к нему не обязательно иметь прямой доступ. 18.03.2014 http://digit.ru/internet/20140318/413777937.html