Олег Демидов - Глобальное управление Интернетом и безопасность в сфере использования ИКТ: Ключевые вызовы для мирового сообщества
Безусловно, в последние годы ситуация меняется очень быстро, но к такому темпу изменений готовы не все и не во всех странах. Как Россия, так и ее зарубежные партнеры все острее сталкиваются с дефицитом интеллектуальных ресурсов, готовых специалистов по ИБ АСУ ТП, а также с частичным регуляторным вакуумом, который проявляется в нехватке существующих стандартов, технических рекомендаций и нормативов в этой области. Как итог, международное сотрудничество в этой области пока не в полной мере обеспечено ресурсами и подкреплено осознанными стратегиями своих участников, чтобы активно и продуктивно развиваться.
Вторая причина связана с особым режимом безопасности объектов КИИ. Соображения национальной безопасности и режимы ограничения доступа к информации об объектах КИИ действуют практически во всех странах. Вследствие этого международное сотрудничество в полноценном понимании этого термина требует качественно иного уровня доверия между его сторонами и потому в обозримой перспективе сильно ограничено по своему потенциалу. Речь может идти о формировании на международном уровне общего понимания ИКТ-угроз КИИ и организации доступа к лучшим мировым практикам и внешним ресурсам для противодействия им. Контуры и задачи участников такого взаимодействия должны отражать актуальную картину угроз в этой сфере.
Наконец, обострение отношений России с рядом стран Запада, а также приостановка ряда механизмов обмена информацией и сотрудничества в сфере безопасности, включая вопросы ИКТ, едва ли будет способствовать конструктивной выработке механизмов международного взаимодействия в области безопасности КИИ.
Позитивной возможностью даже в отсутствие условий для выработки норм, укрепляющих международное сотрудничество, видится развитие взаимодействия и обмена информацией между Центрами реагирования на компьютерные инциденты (CERT/CSIRT). В России существует уже несколько таких центров – как государственных (RU-CERT, GOV–CERT), так и частных. Одним из примеров частных центров реагирования на компьютерные инциденты является GIB-CERT, созданный компанией Group-IB и до последнего времени остававшийся единственным российским CERT, обеспечивающим круглосуточное и полнофункциональное взаимодействие по реагированию на киберинциденты как российских, так и международных клиентов. В 2015 г. GIB-CERT оказался единственным российским Центром реагирования на киберинциденты, который получил аккредитацию как член FIRST – крупнейшего международного сообщества центров реагирования на инциденты кибербезопасности. Кроме того, GIB-CERT является участником альянса ИМПАКТ-МСЭ, а также аккредитованным членом сообщества Trusted Introducer, объединяющего европейские центры реагирования на киберинциденты. Глубокая интеграция в структуры международного взаимодействия и обмена данными по киберинцидентам, в том числе и в отношении КВО и объектов КИИ, существенно расширяет возможности GIB-CERT. Кроме того, пример центра GIB подчеркивает огромную роль частного сектора в защите объектов КИИ и реализации государственной политики в этой сфере. Даже при том, что Россия далека от США по показателю доли частного сектора среди владельцев и операторов объектов КВО (в США – более 80 %), компетенции бизнеса, частного сектора незаменимы и необходимы для построения эффективного механизма защиты критической инфраструктуры от ИКТ-угроз.
Также стоит отметить, что в последнее время в России наметилась еще одна тенденция, уже получившая глубокое развитие в США, ряде стран Европы и Юго-Восточной Азии: создание специализированных «отраслевых» центров реагирования на киберинциденты. Такие структуры уже есть не только в США, где существуют собственные центры реагирования на компьютерные инциденты крупных банков (например, CIRT Bank of America) и специализированные отраслевые структуры (Financial Services Information Sharing and Analysis Center, FS-ISAC), но и во многих других странах. Лишь в списке участников FIRST (международный Форум команд обеспечения безопасности и реагирования на киберинциденты), к примеру, присутствуют CIRT 17 банков, в том числе Canadian Imperial Bank of Commerce, Commerzbank (ФРГ), Европейского Центрального банка, First National Bank (ЮАР), Deutsche Bank, Handelsbanken (Швеция), Национального банка Австралии.
Естественно, специализированный подход важен прежде всего в контексте защиты КИИ, поскольку позволяет регуляторам, государственным и частным структурам сфокусировать свои усилия на предотвращении и реагировании на компьютерные инциденты в том или ином конкретном секторе критической инфраструктуры. С 1 июля 2015 г. при Центральном Банке РФ начал работу Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FINCERT). Одна из главных задач Центра состоит в накоплении информации об инцидентах в банковском секторе и потенциальных угрозах и ее распространении среди организаций российского банковского сектора. Ключевые объекты финансовой и банковской инфраструктуры в большинстве стран мира, безусловно, относятся к числу КВО, и угрозы кибербезопасности в этой нише носят постоянный и системный характер. Важно, чтобы методика работы и круг задач FINCERT по мере развития и накопления его компетенций включали в себя приоритет международного взаимодействия с другими центрами, занимающимися реагированием и предупреждением инцидентов в финансово-кредитном секторе. Теоретически мало что мешает организовать схему обмена данными об инцидентах и даже аномалиях трафика в банковских сетях в международном масштабе – технические вопросы сводятся к стандартизации формата и выбору каналов обмена данными (например, таких как используемый FS-ISAC Traffic Light Protocol (TLP)).
Наконец, запуск FINCERT представляет собой позитивный пример, запрос на воспроизведение которого может быть и в других секторах и отраслях национальной экономики и управления, опирающихся на КВО и объекты КИИ: транспортно-логистическом секторе, авиаперевозках, электроэнергетике, медицине и проч.
Информационные угрозы объектам КИИ: основные тенденции развития
В целом перечень угроз промышленным системам управления, в том числе АСУ ТП объектов КИ, раскрывается в разработанном Организацией по безопасности и сотрудничеству в Европе Руководстве по передовой практике защиты важнейших объектов неядерной энергетической инфраструктуры от террористических актов в связи с угрозами, исходящими от киберпространства.
Согласно этому руководству основными угрозами системам контроля технологических процессов (ICS) на объектах критической инфраструктуры вследствие преднамеренных неправомерных действий являются:
• Несанкционированное использование точек доступа дистанционного технического обслуживания (специальные внешние входы в сеть ICS, которые могут быть недостаточно защищены).
• Сетевые атаки через корпоративную сеть.
• Атаки на стандартные компоненты, используемые в сети системами контроля технологических процессов (ICS) (в частности, могут эксплуатироваться уязвимости системного программного обеспечения, сервер приложений или баз данных).
• (D)DoS-атаки (возможны при наличии подключения ICS к Интернету).
• Саботаж со стороны внутренних и внешних нарушителей (в данном случае речь не идет о саботаже средствами специального ПО).
• Запуск вредоносного ПО через съемные носители и внешние устройства (Stuxnet).
• Чтение и запись записей в сети промышленных систем контроля (АСУ ТП).
• Несанкционированный доступ к ресурсам.
• Атаки на компоненты сети (атака типа «незаконный посредник» (MITM), упрощение анализа трафика и проч.).
В основных параметрах динамика ИКТ-угроз объектам КИИ сегодня может быть описана в рамках нескольких тенденций:
• Рост числа и масштабов инцидентов, связанных с ИКТ-угрозами АСУ ТП КВО.
• Внедрение интеллектуальных систем энергоснабжения (программа Smart Grid) и неуклонное повышение зависимости функционирования КВО от АСУ ТП в целом информационных систем, в том числе подключенных к различным сетям, в том числе и Интернету.
• Тенденция к увеличению числа инцидентов, предположительно отражающих стратегические мотивы нарушителей, в том числе и в пользу отдельных государств.
• Стратегия сочетания инструментов кибершпионажа и агрессии при осуществлении недружественного воздействия на АСУ ТП КВО.
Отдельного внимания заслуживает резкий рост количества и размаха кампаний кибершпионажа и целевых атак в отношении объектов КИИ (см. рис. 5).
На рисунке 5 приведены далеко не все примеры кампаний кибершпионажа и организации атак с использованием ИКТ на объекты КИИ.
Тем не менее, несмотря на глобальный масштаб кибершпионажа в отношении объектов КИИ, еще бóльшую и прямую угрозу может представлять использование различных вредоносных программ для вмешательства в работу информационных систем объектов КИ, в том числе саботажа функционирования таких объектов.
