Развитие технологий не поменяло приоритеты в вопросах защиты государства. Как во время второй мировой войны основные тактические удары были нацелены на объекты энергетики, так и сегодня 80% серьезных кибератак приходится на ТЭК, а не на финансовый сектор, как принято считать, глядя на общую статистику инцидентов в сфере информационной безопасности.
В России в конце 2016 – начале 2017 годов было принято 2 ключевых документа в сфере национальной кибербезопасности:
Подобные документы принимаются не только в России. Государства создают законодательную базу для обеспечения своей технологичной безопасности. Но что конкретно собираются защищать? В основном слышны подобные формулировки: «Национальные интересы сосредоточены на том, чтобы обеспечить бесперебойную работу критической информационной инфраструктуры и единой сети электросвязи в мирное время, в период агрессии и военное время» (руководитель Федерального агентства связи Олег Духовницкий).
Экспертный анализ общей статистики
Алексей Мальнев, заместитель директора департамента информационной безопасности «АМТ-Груп» представил результаты сводного анализа по открытым источникам информации. Его трактовка событий заставляет пересмотреть расхожее мнение о том, что большинство киберугроз направлено на финансовый сектор. Банковская инфраструктура притягивает криминал и атакуется с целью наживы. Однако можно ли финансовый сегмент назвать критичным? Далеко не всегда.
Второй момент – качество инцидентов, их деструктивные последствия. И тут анализ открытых данных показывает, что киберпреступность в виде частного черного рынка несет гораздо меньшее зло по сравнению с действиями правительственных киберармий. «С организационной точки зрения хактивисты не являются движущей силой в атаках на объекты критичной инфраструктуры. Основная сила – это специализированные подразделения, созданные, чтобы атаковать объекты критичной инфраструктуры противника», – говорит Алексей Мальнев. К таковым он относит и задачи промышленного шпионажа.
Сегментация направленности киберинцидентов в мире в 2016 году
Источник: «АМТ Груп», 2017
Из диаграммы видно, что только 18% инцидентов организуются специализированными правительственными киберподразделениями и группами промышленного шпионажа. Казалось бы, небольшая цифра. Однако надо понимать, что доля целевых атак на объекты критичной информационной инфраструктуры тоже не очень велика. Сопоставим: ФСБ России сообщило о 70 млн кибератак на информационные объекты страны за 2015 год. По данным ICS-CERT, в том же году зафиксировано всего 295 подтвержденных кибератак на критичные объекты России. В 2016 году ICS-CERT декларировал 290 таких кибератак. И 80% инцидентов в области критичной инфраструктуры организовано государственными кибервойсками и группами промышленного шпионажа.
Интересно посмотреть разбивку кибератак на объекты критичной информационной инфраструктуры по их отраслевой направленности. На графике ниже видно, что основной целью являются предприятия ТЭК. «И даже если атаки идут на другие объекты, то все равно конечной целью обычно оказывается объект энергетики», – уточняет Алексей Мальнев.
Цели кибератак в критичной инфраструктуре
Источник: «АМТ Груп», 2017
Остается вопрос, почему анализ открытой информации дает такие разные результаты и, соответственно, выводы. Во-первых, только специализированShutterstockные знания в области информационной безопасности позволяют провести глубокий анализ кибератак. Во-вторых, «большая часть статистики, опубликованной в открытых источниках, некорректна или ангажирована», объясняет Алексей Мальнев.
Крупные кибератаки на объекты ТЭК:
- в 2016 году – на АЭС «Гундремминген» в Германии. Заражение не представляло угрозы безопасности атомной электростанции, поскольку управляющие системами АЭС компьютеры не подключены к интернету. Использованы вирусы W32.Ramnit и Conficker;
- в 2016 году – на 3 областных энергетический компании Украины, подача энергии была прервана на несколько часов. Использован вирус BlackEnergy;
- в 2010 году – на строящуюся АЭС «Бушер» в Иране. Кибератака отбросила ядерную программу страны на два года. Использован вирус Stuxnet;
- в 2003 году – на АЭС в штате Огайо, США. На восстановление работоспособности систем ушло 6 часов. Использован вирус Slammer.
Неприглядная сторона
Возможно, не все так плохо. Или не так хорошо – как посмотреть. По мнению Дмитрия Ярушевского, руководителя отдела кибербезопасности компании «ДиалогНаука», зачастую кибератаки на объекты ТЭКа успешны по весьма прозаичными причинам. К примеру, не обновляется программное обеспечение, и нанести урон можно даже устаревшим вирусом. Или антивирусы не установлены вообще. Другая распространенная брешь – неправильное распределение прав доступа, которое зачастую сочетается с неменяющимися годами непростительно простыми логинами и паролями.
«»Лаборатория Касперского» ежегодно проводит соревнования по взлому виртуальных энергетических объектов. В 2015 году победила команда, которая всего лишь за 2 дня до соревнований услышала, что такое контроллеры в энергосетях и зачем они нужны, – рассказывает Дмитрий Ярушевский. – Для успешной кибератаки сегодня необязательно быть опытным хакером, иметь поддержку государства или входить в киберподраздение. Большинство угроз остаются простыми».
К этому нужно добавить, что на черном рынке за несколько тысяч долларов можно купить готовый «пакет хакера» с подробными инструкциями по применению с учетом конкретной версии ПО АСУ ТП (автоматизированная система управления технологическим процессом), установленного на потенциальном объекте. Второй путь – веерное заражение. В случае ТЭК, даже если из 100 объектов уязвимым окажется только один.
Закон о критической инфраструктуре – один из этапов, необходимых для создания защиты этой самой инфраструктуры. Подразумевается, что в приложение к нему необходимо принять «… закон, который разграничит права и обязанности госструктур, владельцев объектов критической инфраструктуры и других участников эксплуатации объектов критической инфраструктуры», – пояснил Николай Мурашов, заместитель начальника центра ФСБ России. Не приходится сомневаться, что кроме прав и обязанностей, будет пересмотрена ответственность. И по отношению к критической инфраструктуре – наверняка вплоть до уголовной. Что ж, будем ждать конкретики.