Блог | Стратегические объекты под прицелом кибератак
В марте 2016 года президент Петр Порошенко, наконец, сделал первый шаг на пути к комплексной киберзащите государства. Он утвердил стратегию кибербезопасности Украины. Теперь Кабмин и силовые органы Украины обязаны экстренно, в течение двух месяцев, подготовить план мероприятий по защите державы от хакерских атак.
Сдвиг с мертвой точки
Указ президента появился только после того, как стало очевидно: отечественная инфраструктура критически беззащитна перед атаками хакеров. В декабре 2015 года группа злоумышленников оставила без света 220 тысяч украинских потребителей электроэнергии. Сразу три облэнерго (в Прикарпатье, Киевской и Черновицкой областях) пострадали от вредоносного софта типа BlackEnergy. В их информационных системах хакерами был активирован вирус, который обесточил на несколько часов электросети - школы, больницы, сети связи…
Позже оказалось, что это было еще не самой страшной новостью. В ходе расследования инцидентов на облэнерго выяснилось, что их IT-системы, с большой вероятностью были заражены годом ранее. Тогда хакеры из группировки Sandworm рассылали электронные письма с вирусами на десятки украинских предприятий. До сих пор точно не известно, сколько еще объектов инфраструктуры поражено вирусом, и какой еще ущерб может быть нанесен экономике страны в 2016 году.
Читайте: Хочешь мира — крепи кибероборону
Реакция постфактум
В связи с тем, что в Украине депутаты и профильные госорганы так и не удосужились доработать основополагающий закон о кибербезопасности, уже давно зарегистрированный в Раде, нормативных актов и инструментов, которые позволили бы адекватно отреагировать на надвигающуюся угрозу и системно противодействовать подобным вызовам у нас нет. Действующая система госконтроля была создана для защиты информации безнадежно устарела, поскольку рассчитана на компьютерные сети, но совсем не на защиту объектов инфраструктуры. Кроме этого, ее нормативная база рассчитана на государственные ресурсы, а не сети, находящиеся в частных руках. Также, при Госслужбе специальной связи и защиты информации есть команда реагирования на компьютерные чрезвычайные происшествия (CERT-UA). И кроме нее, недавно появился аналогичный частный центр CYS-Centrum, созданные выходцам из той же государственной школы. Вот, пожалуй, и все.
В утвержденной президентом стратегии указывается на то, что уровень защищенности критической информационной инфраструктуры недостаточный. А меры защиты – бессистемные. Что в принципе знают специалисты и подтверждают случаи на практике. Помимо атак на облэнерго, не стоит забывать и об еще одном случае кибератаки, который произошел не так давно. Выборы в 2014 году, на которых избрали президентом Петра Порошенко, могли быть информационно дискредитированы. Хакеры взломали IT-систему оглашения результатов выборов и попытались подменить все данные об избирательном процессе. CERT-UA чудом удалось избежать серьезных последствий.
Читайте: Кибервойна: Россия открывает новый фронт против Украины
Если идею первой киберстратегии страны удастся реализовать на практике, то, скорее всего, количество таких случаев будет уменьшаться. В первую очередь, потому, что она предполагает определить, какие именно объекты стоит относить к критической инфраструктуре. А на Госспецсвязи будет возложена функция проведения регулярного аудита этих объектов на предмет уязвимости. Более того, сами собственники таких объектов обязаны будут создать специальные подразделения киберзащиты, в которых будут работать специалисты только определенной квалификации. Отдельные требования по защите объектов финансовой инфраструктуры напишет и Нацбанк.
А что за границей?
Какие же именно предприятия и учреждения могут попасть в список критических? Ответ на этот вопрос дает мировая практика. Например, Департамент национальной безопасности США выделил в общей сложности 16 таких секторов. К ним относятся, в том числе ядерные реакторы и химзаводы, транспортная и финансовая инфраструктура, энергетика, службы экстренного реагирования, госучреждения, дамбы, заводы оборонного значения, критического производства и так далее. Немало внимания уделяет киберзащите и Великобритания. Их центр правительственной связи мониторит степень защищенности от хакерских атак 450 главных оборонных, энергетических и водораспределительных предприятий.
Согласно последнему отчету IT-компании Symantec о наиболее уязвимых секторах государства, наиболее рискованной сферой является добывающая промышленность. Причем за 2014 год уровень риска вырос с 37% до 43% (определяется в зависимости от частоты атак за отчетный период). Компания относит к добывающей индустрии не только традиционный горно-металлургический комплекс, но и генерацию электроэнергии. В Украине металлургическая промышленность обеспечивает значительную часть экспортной валютной выручки. А около 70% электроэнергии генерируют ядерные реакторы.
О чем это заставляет задуматься? Серия хакерских атак на объекты промышленности, теоретически, может поставить под угрозу объекты транспорта, связи, атомные и гидроэлектростанции, платежные системы, электронные СМИ - телевидение и узлы доступа к Интернет.
Даже деньги не спасли
Развитые страны тратят на кибербезопасность критических объектов немыслимые по нашим меркам деньги. Например, бюджет антихакерских спецслужб Великобритании уже сейчас составляет около $1,5 млрд в год. И это не предел. Министр финансов Объединенного Королевства Джордж Осборн недавно заявил, что собирается удвоить эту цифру к 2020 году. Кроме того, в ближайшее время Британия сформирует специальные кибервойска. Пытаясь обезопасить себя от ударов исламских террористов, которые, по словам Осборна, в последнее время только накапливают необходимые ресурсы, страна мобилизует все ресурсы и укрепляет все секторы безопасности.
Бюджет кибербезопасности США вообще огромен. В 2015 году он составлял $14 млрд. Чуть меньше половины денег получил Пентагон. Еще около $230 млн планируется потратить в этом году на строительство центра Cyber Campus возле Вашингтона. Он будет заниматься наблюдением за гражданскими промышленными объектами и отражением кибератак на них. Но и на этом американцы не останавливаются. Уже в 2017 году президент США Барак Обама запланировал рост затрат на кибероборону до $19 млрд. Это, на минуточку, одна четвертая часть всего украинского ВВП за 2015 год.
Несмотря на просто космические суммы, которые выделяют западные страны на безопасность информационных ресурсов и критических объектов, можно сказать, киберзащита у них до сих пор очень часто и очень сильно прихрамывает.
Подтверждением тому могут стать несколько показательных случаев. Совсем недавно, в конце марта, группа хакеров (предположительно иранских) получила доступ к IT-системе дамбы, расположенной вблизи Нью-Йорка. От катастрофы "большое яблоко" спасло только то, что плотина по техническим причинам не была подключена к системе. В противном случае хакеры смогли бы удаленно изменить уровень воды и скорость ее потока, что привело бы к необратимым последствиям.
Еще один случай произошел летом прошлого года. В ходе атаки хакеры украли у агентства по управлению персоналом правительства США конфиденциальные данные о почти 22 млн гражданах (7% жителей США). Теперь злоумышленники обладают огромным массивом информации об этих людях – от финансовой истории до состояния здоровья. И еще не ясно, как они собираются использовать эти данные.
Украине сейчас тоже следует задуматься о возможных прогнозируемых угрозах. По информации CyS Centrum, когда в 2014 году хакеры заражали украинские обэнерго, вирус рассылался также и на объекты транспортной инфраструктуры (все шесть железных дорог "Укрзалізниці"). Также могут быть атакованы системы аэропорта Борисполь и Международных авиалиний Украины, где тоже были обнаружены признаки вируса BlackEnergy. О такой же атаке сообщали телеканалы из ТОП-5 Украины в октябре прошлого года.
На данный момент, Украина использует инструментарий киберзащиты, законы и нормативную базу, отвечающую идеологии прошлого века. Проект закона, призванный изменить ситуацию в этой сфере, покоится под куполом Рады почти год. Таким образом, у нас не существует не только конкретного перечня объектов критической инфраструктуры, а даже не определен порядок его формирования. В то же время политики, пришедшие из сферы ІТ, и чиновники из Администрации Президента весь последний год исправно выполняют свою роль - остро критикуют существующую систему защиты информационных ресурсов, фактически, не предлагая ничего взамен. Главной предлагаемой альтернативой является безоговорочное использование всего иностранного - от иностранной криптографии и облачных дата-центров, до международного стандарта ISO 27001 как панацею от всех бед. Конечно, использование защищенных центров обработки и хранения информации, в виду отсутствия собственных – необходимость, а не каприз. Но рассматривать их как единый инструмент защиты информации, было бы равносильно отказу от национальной валюты и переходу на иностранную - свободно конвертированную.
Не менее критическим вопросом является и плачевное в течение последних лет финансирование киберзащиты. Волонтеры уже покупали средства защиты, кормили и обеспечивал армию. Не хотелось бы собирать с миру по нитке еще и на сетевые фильтры, средства резервного хранения данных и на зарплату квалифицированным специалистам-айтишникам.
Не редкие факты успешных кибератак и состояние системы киберзащиты говорит об одном. Стратегия кибербезопасности – это пока еще только декларативный шаг. Она должна как можно быстрее воплотиться в работающие нормативные акты, комплексные системы защиты и подготовленных к атакам любой сложности кадры. В противном случае мы продолжим сидеть и болтать ногами на "пороховой бочке", осознавая при этом, что фитиль уже горит.
