В инновационном центре «Сколково» прошли выставка и конференция под названием «Skolkovo Cyberday 2015», на котором инвесторы и стартапы обсуждали проблемы инновационной деятельности в России на рынке информационной безопасности. С одной стороны, в ИБ наметился определенный кризис новых идей – существующие решения уже довольно давно работают у заказчиков, и злоумышленники научились их обходить. С другой – инновации в этой области достаточно сложные и требуют значительных ресурсов для доведения их до стадии коммерческого продукта. К тому же и экономическая, и политическая ситуация не способствует вложению средств в крупные проекты.
Подробно ситуацию описал Микко Хуппонен, директор по исследованиям F-Secure. Он выделил пять категорий участников рынка: исследователи («Белые шляпы»), которые стараются сделать информационные технологии более безопасными; хактивисты, протестующие против действий правительства; криминал, занимающийся получением денег преступным путем; кибервойска, защищающие интересы тех или иных государств; кибертеррористы, ведущие свою подрывную деятельность. Все классы уже взаимодействуют друг с другом: кибервойска противостоят террористам и криминалу, но сами являются мишенью для хактивистов. При этом только одна группа сфокусирована на получении денег – криминал, остальными движет та или иная идея, поэтому защититься от них с помощью финансовых принципов, когда защита должна стоить дешевле защищаемого актива, уже не получится. Микко Хуппонен, в частности, привел случай со взломом сайта знакомств Ashley Madison, который взломали не с целью получения денег, а чтобы он прекратил свою работу.
Ключевой проблемой, которая возникает при «внеэкономическом» взломе, является безопасность IoT и промышленных систем АСУ ТП. Микко Хуппонен привел в пример тендер, который организовало правительство Канады на взлом центрального процессора автомобилей Toyota, – якобы их очень любят исламские террористы. При этом IoT-устройства не просто сами являются уязвимыми, но могут создавать проблемы для сети, к которой подключены. Например, чайник с управлением по Wi-Fi сам по себе не интересен для взлома – максимум, что можно с ним сделать – вывести из строя. Но будучи подключенным к корпоративной сети, он представляет угрозу для остальных устройств – злоумышленник может извне по Wi-Fi взломать чайник и через него атаковать другие компьютеры и устройства корпоративной сети. Для защиты от таких атак F-Secure предлагает устройство, которое контролирует Wi-Fi-сеть и фильтрует попытки атак через беспроводной сегмент, в том числе с использованием IoT-протоколов.
Андрей Духвалов, главный архитектор по стратегическому развитию «Лаборатории Касперского», отметил, что взлом систем АСУ ТП в России также вполне возможен. Его компания провела конкурс по взлому оборудования, аналог которого используется в подстанциях на 220 Квт. Исследователи, которые принимали участие в конкурсе, смогли за 3 часа взломать это оборудование и организовать на нем короткое замыкание. Причем им не было заранее известно, какое именно оборудование они должны будут взламывать. Впрочем, как отметил Андрей Духвалов, в России ситуация еще достаточно хорошая по сравнению с другими странами.
Как пояснил Роман Попов, начальник отдела информационной безопасности E.ONRussia, который занимается безопасностью в системах АСУ ТП, связано это с тем, что на критических предприятиях дисциплина полувоенная. «Если инженерам запретили вставлять USB-накопители с вирусами в устройства АСУ ТП, то они и не делают этого, – пояснил Роман Попов. – При подозрении на вирус они предварительно проверяют накопитель на специально для этого оборудованной машине – такое поведение им предписывает инструкция. В результате за год было только два подозрения на инцидент, которые к тому же и не подтвердились. Однако долго так продолжаться не может».
Важным является вопрос о том, кто именно должен отвечать за безопасность устройств АСУ ТП: производители, пользователи, государство или разработчики средств защиты. Микко Хуппонен считает: «Безопасностью устройств должны заниматься производители, а государство должно требовать от них соблюдения правил информационной безопасности. В то же время сами пользователи также должны мониторить ситуацию с безопасностью на своих объектах с помощью инструментов мониторинга, представленных разработчиками средств защиты».
Валерий Коржов