Тема кибервойн не сходит с первых полос газет. Дня не проходит без новостей о взломах и утечках. С точки зрения обывателя, ущерб от таких действий существенный: говорят, хакеры способны даже выбирать президентов государств. Однако пока это в основном разглашение информации, которую бы предпочитали сохранить в тайне, нарушение тайны деловой, политической и частной жизни. Иными словами, идет война без человеческих жертв.
Кибертерроризм
Среди потерь пока фигурируют в основном разрушенные карьеры и судьбы, но ранений и гибели людей в результате кибератак еще не было – это означает, в частности, что интересы «воюющих» сторон лежат в области политики и экономики, а не реальных «военных действий». Но способы вызвать человеческие жертвы с помощью кибератак теоретически уже просчитаны: получение контроля над критической инфраструктурой – транспортом, объектом энергетики, опасным производством. Почему эта угроза стала актуальной именно сейчас?
Долгое время системы управления технологическими процессами были замкнутыми в рамках одного предприятия и базировались на своих уникальных для каждой отрасли, а порой и для каждого типа оборудования, протоколах. Это позволяло считать такие системы малоуязвимыми для вторжения извне, хотя и оставляло возможность воздействия на систему изнутри, с использованием социальной инженерии, внедрения шпиона или вербовки диверсанта из числа сотрудников. Есть примеры успешных операций по заражению информационной системы на закрытом от внешних угроз контуре, но подобные операции под силу только самым мощным спецслужбам планеты, поэтому с такими угрозами боролись прежде всего контрразведывательными мероприятиями, организационными и другими мерами, ориентированными в первую очередь на сотрудников, а не на информационную систему.
Однако технический прогресс пришел и в такую сравнительно консервативную среду, как автоматизированные системы управления производством. Конкуренция, глобализация, укрупнение предприятий и сокращение издержек на фоне мирового финансового кризиса потребовали использования стандартных технологий, объединения управляющих систем с учетными и торговыми. Унификация протоколов управления системами производства, применение для доступа и контроля стандартных протоколов IP действительно экономят предприятиям миллиарды долларов за счет того, что позволяют использовать при проектировании систем компоненты разных производителей, объединять информационные и управляющие системы различных предприятий при создании вертикально интегрированных компаний. Однако все это не только сокращает затраты, но и создает новые риски.
Критические информационные системы устроены так, что для того, чтобы провести на них террористический акт и поставить под угрозу жизни людей, не нужно проносить на территорию оружие и взрывчатку – достаточно с помощью управляющей системы создать нештатный режим функционирования промышленного объекта. Например, на транспорте нештатная ситуация – неправильное включение светофоров, разрешающих одновременное движение в перпендикулярных направлениях. Или перевод стрелок на встречное движение. Или неверное указание высоты самолету. На опасных производствах терактом станет отклонение от штатного режима реакции – повышение давления или температуры, несвоевременное добавление катализатора и другие нарушения технологии. Причем опасными являются не только химические производства, но и обычные промышленные: завод по производству холодильников имеет на своей территории емкости с хладагентом. Даже на пивном комбинате хранятся и используются опасные химикаты, так что авария здесь может представлять опасность для людей на заводе и за его пределами. Что же тогда говорить про объекты атомной промышленности и военные объекты?
Нападение электронным образом на объекты, при определенных условиях представляющие собой «бомбу», – важный элемент стратегии войны в современных условиях. К тому же в отличие от нападения на эти предприятия с помощью реального оружия – бомб или ракет – при кибернападении источник атаки не так легко вычислить, поэтому на такое нападение невозможно сразу ответить. Не зря так называемый Таллиннский протокол НАТО приравнивает компьютерные атаки на инфраструктуру к акту войны и позволяет отвечать на них настоящим оружием. Сочетание масштаба последствий от техногенной аварии и трудности в детектировании исполнителей атаки, а также возможность осуществлять подобные действия в мирное время делают такие предприятия заманчивой целью не только для армий противника, но и для различных кибертеррористов.
Подзаг//Варианты защиты
Понятно, что на промышленных объектах и транспорте используют многократное резервирование, механические или не поддающиеся влиянию извне электронные предохранители, срабатывающие при нарушении штатного режима функционирования. Однако сбрасывать со счетов угрозы воздействия на объекты, способные привести к человеческим жертвам, уже нельзя.
Поскольку дело касается жизней людей, государство не может остаться в стороне и отдать решение этой задачи на усмотрение самих предприятий промышленности и транспорта, пусть и находящихся в частных руках. Государство способно влиять на частные предприятия несколькими способами. Чаще всего как инструмент влияния оно использует «кнут, а не пряник» – вводит жесткое регулирование и контролирует его исполнение. Вводятся федеральные, территориальные и отраслевые нормы и регламенты, которые контролируются соответствующими органами. В условиях конкуренции и рецессии частные предприятия, ориентированные на выживание и прибыль, воспринимают подобное регулирование как дополнительный налог и, как любой налог, пытаются всеми законными способами его минимизировать. Таким образом, эффект любого государственного регулирования в области информационной безопасности – это приведение минимального уровня защищенности к некоторому базовому, чего явно недостаточно, если компании противостоит другое государство или хорошо финансируемые террористические группы.
Поэтому в случае защиты критической инфраструктуры российское государство не ограничилось «кнутом», а предложило свою помощь. Кроме методических рекомендаций оно намерено создать государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Это здравое начинание: атаки становятся все более изощренными, и для эффективного их отражения нужно концентрировать экспертизу. Сделать это силами одной защищающейся компании нереально, поскольку нанимать и поддерживать команду специалистов в области киберзащиты весьма непросто и, честно говоря, дороговато, особенно если в качестве возможных угроз выступают хорошо оплачиваемые террористы и разведки других стран. Чтобы распределить нагрузку, компании часто обращаются к внешним, тоже недешевым ресурсам.
С пассивной частью все более или менее понятно. Существуют коммерческие и отраслевые центры обнаружения и информирования об атаках (CERT). Их задачи: постоянно исследовать различные виды программного и аппаратного, а также различных протоколов на предмет наличия в них уязвимостей; изучать типы проведенных и потенциальных атак; информировать своих подписчиков о способах атак и имеющихся уязвимостях; раздавать рекомендации по закрытию уязвимостей и отражению атак. Такие центры есть и в России – отраслевые (например, финансовый FinCERT) и коммерческие. Создание государственного центра, сфокусированного на предприятиях критической инфраструктуры, можно только приветствовать.
Предполагается, что центральным элементом ГосСОПКА будет Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации (GovCERT), который поддерживается ФСБ. С ним будут взаимодействовать отраслевые центры реагирования, которые будут частью ГосСОПКА. Их планируется создать в 13 отраслях, правда, в финансовой сфере такой центр уже есть –FinCERT, и он уже эффективно работает. Аналогичный отраслевой центр в ОПК создает корпорация «Ростех» на базе «РТ-Информ». Таким образом, ГосСОПКА постепенно строится и формируется, хотя вопросы функционирования отраслевых сегментов отданы на откуп соответствующим ведомствам, и этого слоя нормативных документов еще нет.
Вопросы, как конкретно будет функционировать ГосСОПКА и какого качества эксперты будут ее обслуживать, остаются – зарплаты в государственных организациях традиционно меньше, чем в коммерческих структурах, а конкуренцию в кадровых вопросах никто не отменял. Но тут может помочь опыт Центрального банка России, который широко использует различные способы сотрудничества с коммерческими CERT, исследовательскими лабораториями и другими игроками в области кибербезопасности.
Хуже дела обстоят с активной защитой: предприятия надеются, что им можно будет спрятаться под зонтик государственной защиты и забыть об атаках. Но организовать обмен информацией об атаках и методическими рекомендациями – это одна задача, а создать мощную эшелонированную оборону – совсем другая задача по ресурсам. Деньги на такую систему пока не выделены, госбюджет в реальном выражении все время секвестируется. Конечно, на руководителях предприятий лежит ответственность за киберпреступление, вплоть до уголовной, однако этого стимула может оказаться недостаточно. По оценкам специалистов, в ближайшие пару лет такая система не появится, в лучшем случае можно использовать методические рекомендации государства при разработке собственной защиты.
Так что пока защита от кибертерроризма – частное дело потенциальных объектов террора, разрывающихся между требованиями регулятора и собственной оценкой рисков. Но помощь государства уже на подходе.
