Компания Positive Technologies в середине мая в восьмой раз провела свой PHDays (Positive Hack Days), в рамках которого организуются различные конкурсы для хакеров и обсуждаются ключевые темы российской индустрии кибербезопасности. В этом году мероприятие получило подзаголовок «Цифровая изнанка» (видимо, для цифровой экономики). Посетителям была предоставлена возможность понаблюдать за перехватом радиоэфира сотового оператора, взломом банкомата, накруткой «умного» электросчетчика, взломом ICO школьной столовой, атаками на контроллеры ядерных объектов и десятками других активностей. Всего в мероприятии приняли участие 5200 человек.
Центральным объектом на PHDays 8 был стенд, имитирующий городскую инфраструктуру. В нем были и системы «умного города», и несколько офисов, и система АСУ ТП, управляющая транспортом, нефтеналивным терминалом, гидроэлектростанцией и другими объектами. В этом году в качестве поставщика оборудования для АСУ ТП использовались промышленные устройства компаний Moxa и Advantech, хотя без Siemens также не обошлось. Офисы были практически незащищенными, поэтому с их взломом все команды справились успешно, а вот с АСУ ТП пришлось повозиться. Только к концу второго дня атакующим удалось осуществить DDoS-атаку на контроллер и организовать разлив нефти, а команда True0xA3 уже на последних минутах конкурса устроила блэкаут в городе. Досталось и железной дороге: неизвестные хакеры смогли получить доступ к управлению локомотивом.
Традиционно на PHDays организаторы обнародовали результаты анализа защищенности информационных систем своих заказчиков. В этом году таких было 22, из них девять финансовых организаций, восемь – промышленных, две ИT-компании и по одной из розницы, транспорта и образования. По доле участия видно, что финансовая и промышленная сферы проявляют высокую заинтересованность в аудите безопасности принадлежащих им информационных систем. Это можно объяснить законодательными требованиями в указанных сферах. Причем, по словам Алексея Новикова, руководителя экспертного центра безопасности Positive Technologies, компании в 2017 г. еще не приступали к выполнению требований ФЗ №187 «О КИИ», поскольку не все подзаконные акты для реализации данного закона сформированы.
В то же время на круглом столе, где обсуждали процесс реализации требований упомянутого закона, обнаружилось, что крупные компании, такие как «Интер РАО», ПАО «Мегафон» и «Газпромбанк», уже приступили к категоризации своих объектов. Как минимум, у них подписан приказ о создании комиссии по категоризации и сформирован план дальнейших действий. В частности, по словам Дмитрия Васильева, начальника Управления информационной безопасности ООО «Интер РАО – ИТ», для энергетической отрасли разработаны методические рекомендации по реализации требований закона. К концу текущего года «Интер РАО» должна подготовить перечень критических объектов, а на конец 2019 г. запланировано завершение процедуры категоризации.
У операторов мобильной связи ситуация более сложная, поскольку они обеспечивают инфраструктуру доступа в Интернет – объектов у них много, и даже организовать категоризацию объектов достаточно сложно. «К счастью, большинство объектов типовые, что позволяет выработать стандартные процедуры и выполнить их не всей инфраструктуре, – пояснил Дмитрий Афанасьев, CISO столичного «МегаФона». – Совместно с другими операторами мы планируем к концу лета выработать стандарты для категоризации объектов инфраструктуры мобильной связи, а осенью приступить к процедуре категоризации». Это при том, что приказ о создании комиссии по категоризации в компании уже подписан.
Алексей Новиков, руководитель НКЦКИ – ядра ГосСОПКА, отметил, что сейчас все подзаконные акты, реализующие Федеральный закон №187 и относящиеся к компетенции ФСБ, прошли публичное обсуждение и в большинстве своем находятся на регистрации в Минюсте. Сама ГосСОПКА работает уже несколько лет – сейчас к ней подключено 1500 компаний. В прошедшем году НКЦКИ было зафиксировано около 300 серьезных инцидентов. По результатам расследования было закрыто примерно 3 тыс. вредоносных ресурсов. Система уже работает и обеспечивает защиту российских компаний и государственных органов, а также дает информацию для расследования инцидентов.
Валерий Коржов