С развитием компьютеров изменился современный мир. Теперь все управляется с помощью компьютера или с его хотя бы минимальным участием. Компьютеры отвечают за работу биржи, за работу электростанций, за движение поездов и самолетов, за работу двигателя автомашины. Компьютеры везде. Они сильно помогли нам избавиться от ошибок людей, ведь компьютер никогда не ошибается. Компьютер делает все по заранее заложенной программе. Если программа верная – то верно ведет себя и компьютер. Если хорошо отработать программу, то компьютер куда надежнее человека справится с управлением, например, атомной станцией, где одновременно надо следить за множеством параметров.
Но почему мир с глобальной компьютеризацией не стал безопаснее? Все просто: чем больше всего контролируют компьютеры, тем могущественнее становятся люди, которые могут подчинить эти компьютеры себе – хакеры.
Проблема сегодняшних руководителей заключается в том, что они мало понимают, что такое компьютерные атаки. Долгое время термин «компьютерная атака» знали только узкие специалисты, защита от вирусов была их задачей. И вдруг за последние десятилетия компьютерная грамотность стала необходима руководителям стран. Почему? Все просто – из программ студентов-любителей, вирусы стали в буквальном смысле настоящим оружием в геополитическом противостоянии стран. Теперь понимание кибер атак – обязательное знание любого руководителя по всему миру. Детали могут остаться на откуп специалистам, но только глобальное понимание этой индустрии и только оно может дать стране безопасность.
Транспортная система – одна из самых уязвимых с точки зрения киберпреступников отраслей хозяйства. Достаточно ли она защищена? Далеко нет. Существует ли угроза атак на такие системы? Безусловно!
И примеры этому есть. В 2016 году хакеры атаковали 22 аэропорта Вьетнама. Громкоговорители в аэропорту вдруг сами по себе стали выкрикивать ругательства в адрес вьетнамцев. Системы информирования вывели оскорбительные ролики про вьетнамский народ. Были похищены гигабайты личных данных пассажиров. Началась паника.
Но главный итог атак все же был не в этом. Транспортная сеть Вьетнама вдруг резко утратила привлекательность для инвестиций. Инвесторы более не верили, что аналогичные атаки не повторятся, что никто в будущем не похитит личные данные пассажиров и не опубликует их.
Представьте атаку на крупный аэропорт в нашей стране. Под ударом окажется не только страна, чей аэропорт взломали. Под атакой будет престиж транспортного узла всего региона.
Железнодорожный транспорт не исключение. Современные поезда, движущиеся на огромных скоростях также напичканы компьютерами. Очевидно, что на огромных скоростях в 300-400 км/час человек не может контролировать сотни параметров, а компьютеру это подсилу. Очевидно, вмешайся вирус в такую систему – получатся ужасные последствия.
Но тут я бы отметил совсем другую угрозу. Мало кто знает, что современные скоростные поезда, а вернее двигатели в этих поездах оснащены GSM-модемами. Зачем? Официально для передачи диагностической информации с них в штаб-квартиры производителей поездов, которые находятся не в нашей стране. Но данные с этих модемов передаются в зашифрованном виде. Очевидно, это сделано в целях безопасности. Но в безопасности ли остаемся мы с вами? Что может еще быть в этих данных? Является ли канал однонаправленным или двунаправленным? Могут ли передаваться управляющие команды извне? Это большой вопрос.
Надо помнить, что кибератака анонимна, она дешевле чем удар военной техникой, мирное население не страдает – отключается только стратегическая инфраструктура. Одни преимущества. На самом деле кибератака – это, пожалуй, самое дешевое и эффективное средства ведение современной войны. Враг может только догадываться (а чаще всего и догадывается), кто нанес удар. Но есть ли доказательства? Почти никогда нет.
Не даром США в своей доктрине приравнивает киберудар к реальному военному удару. Почему так? Чтобы иметь право нанести ответный удар. Это означает только одно – кибератаки – это эффективное и опасное средство.
Многие руководители думают, что защититься от новых методов кибератак и киберпреступлений можно используя самые дорогие методы защиты. Это не так. Злоумышленники взяли на вооружение новые принципы атак, защитники должны поступить также – взять на вооружение принципиально новые методы защиты. Но какие? Ответ на этот вопрос не так прост. Чтобы быть готовым ко все время изменяющимся методам врага нужно быть готовым, быть гибким, нужно изменить свою парадигму.
Координация в области борьбы с кибератаками – крайне важная задача. Делая обзор ситуации в это области могу сказать точно: у нас точно не хватает координации в транспортной области.
В своем докладе, я бы хотел обратиться к задаче создания центра координации в области кибербезопасности. Задачей центра должна стать консолидация усилий для защиты транспортных объектов инфраструктуры от кибер атак. Центр может быть реализован в форме некоммерческой ассоциации, имеющей в управлении основные функциональные единицы.
Каковы должны задачи центра? Они видятся следующими:
Во-первых, необходимо снизить консолидированные издержки на защиту от кибер атак держателей критической инфраструктуры в области транспорта за счет централизации затрат и отсутствия дублирования бюджетов. На сегодня очевидно мы не видим консолидированной связи между игроками в этой области.
На что нужны средства?
Это вторая задача центра — создать единый центр компетенций в области кибербезопасности на транспорте, включая специализированную лабораторию для исследований инцидентов. Это позволит повысить общий уровень защищенности, позволит делиться информацией.
Центр также должен способствовать развитию так называемых сертификационных лабораторий. Что это? Это лаборатория, в которой специалисты знакомятся и тестируют любое обеспечение, которое встанет на наши с вами критически участки в стране.
Любая поставка автоматизированных систем для критической инфраструктуры должна проходить только после того, как оборудование пройдет проверку в специализированных сертифицирующих лабораториях. Ключевым критерием для прохождения на особо важные объекты — будет получение открытого кода для проверок.
Такие лаборатории существенно усложнят жизнь киберпреступникам. Теперь все будет тщательно проверяться. Также сразу же появится желание крупных компаний зарабатывать на поставках в нашу страну. Мы не будем зависеть от чужой воли.
Еще одна важная задача — это координация подготовки собственных кадров по тематическим направлениям, в том числе при взаимодействии с ведушими ВУЗами страны. На сегодня мы все чувствуем острую нехватку специалистов. Но мы совсем не проводим координацию по подготовке кадров в этой области.
Центр должен выполнять работу с парламентариями страны по модернизации нормативной базы, направленной на внесение законодательных инициатив или поправок к существующим законам и подзаконным актам, регулирующими область транспортной кибербезопасности. Центр должен проводить международную коордидацию в области кибербезопасности со странами ОДКБ и ЕвраЗэс, и безусловно более плотное взаимодействие со всеми странами СНГ. Проведение профильных мероприятий в рамках коммитета по безопасности РСПП/МКПП должно стать постоянным.
Ключевую же задачу Центра я оставил на последний пункт. Главной задачей центра должна стать проактивная защита транспортной инфраструктуры.
Хорошая организация всегда справится с последствиями кибератаки. Отличная организация не даст этой атаке случиться. В этом и должен заключаться наш подход к кибербезопасности. Пока большинство стран занимается вопросом защиты своих критических активов от кибератак, мы должны быть на шаг впереди всех. Мы должны понимать, что атака началась или готовится. Мы должны предугадать кто и куда нанесет удар. Как это сделать? Для этого нужно изменить наши подходы к кибербезопасности и сделать акцент на предупреждение атак. Сделать это достаточно просто. В этом и должно заключаться наше преимущество над противником.
Приведу пример. Есть замечательное понятие – honeypot. Можно представить себе этот термин также как бочонок меда (как и переводится это выражение). Это и есть приманка. Технически это выглядит так: мы должны подготовить и расставить приманки для хакеров. Например, в Интернете должны появиться десятки имитаций аэропортов, транспортных узлов.
Соперник будет собирать информацию о наших объектах перед атакой. Атака всегда готовится заранее. Для нее нужно много информации. Противник обязательно обнаружит себя. Honeypots – это только одна из систем накапливания информации о том, что атака может случиться и кто и как и на что ее готовит. Тем не менее согласитесь, это гораздо дешевле чем объяснять прессе киберинцидент, убеждать инвесторов не уходить с нашего рынка или, скажем, восстанавливать взорвавшуюся автоматизированную котельную после того, как вирус взял верх над ее системой компьютерного управления. Мы должны быть на шаг впереди нашего врага.
Кроме техники использования Honeypots есть и другие важные методики. Если на каждом предприятии будет стоять система обнаружения аномалий: изменился траффик, кто-то стал часто интересоваться извне компьютерной архитектурой сети или что-то еще странное происходит с запросами на сервера компании – вся эта информация должна скапливаться на сервер Центра.
Все критические предприятия страны должны установить себе модули, которые будут отправлять информацию на единый центр SOC. Единая сеть, окутавшая всю страну будет эффективной и главное проактивной мерой обнаружения атак на нашу критическую инфраструктуру.
И последний пункт, но как мне видится достаточно важный. Мы должны быть готовы к активным медиа ответам на кибер атаки. Пресса должна знать, а пресс служба Центра уметь реагировать на атаку так, чтобы население видело молниеносную реакцию наших служб противодействия атакам. Для этого мы должны уделить внимание и делать репортажи о наших службах реагирования на компьютерные инциденты заранее. Чтобы в час Х пресса понимала, к кому обращаться и как освещать событие. Иначе давать интервью будут «дружелюбные» специалисты из других стран.
Цель центра
Консолидировать усилия в защите транспортных объектов инфраструктуры Минтранса РФ от кибер-атак.
Задачи центра
1. Снизить нагрузку на издержки по защите от кибер атак с держателей критической инфраструктуры в области транспорта за счет централизации затрат и отсутствия дублирования функций.
2. Создать Единый центр компетенций в области кибер-безопасности на транспорте, включая специализированную лабораторию для исследований инцидентов
3. Координация подготовки собственных кадров по тематическим направлениям, в том числе при взаимодействии с ведущими ВУЗами страны.
4. Проактивная защита транспортной инфраструктуры, подразумевающая анализ не только текущих, но и формирующихся угроз в области транспортной кибербезопасности.
5. Координация кибер-обучения в области транспортной кибер-безопасности для повышения защищенности и уровня подготовки.
6. Участие в модернизации нормативной правовой базы страны с целью повышения уровня защищенности к внешним кибер-ударам, а также работа в области повышения осведомленности в области кибернетической безопасности ключевых компаний и национальных агентств совместно с «Институтом проблем безопасности и устойчивого развития».
7. Выполнение роли Единого Координационного центра безопасности (Security Operation Center) для объектов транспортной инфраструктуры Минтранса РФ.
Cтруктура центра
Центр может быть реализован в форме некоммерческой ассоциации, имеющей в управлении основные функциональные единицы:
Единый центр кибербезопасности транспорта
Центр управления инцидентами, идентификации атак на национальном уровне, а также быстрого принятия решений. Центр представляет из себя комнату со спец.допуском, оснащенную системой мониторов и спец.вывода информации о состоянии защищенности на территории страны. Центр может находиться как на территории компании, так и в зданиях соответствующих Национальных служб.
Системы кибербезопасности и предотвращение атак на территории выделенных объектов
Системы, развернутые на каждом критически важном инфраструктурном транспортном объекте страны, которые позволяют заблокировать атаки злоумышленников, проинформировать о них Единый центр кибербезопасности на транспорте.
Система сбора информации о готовящихся атаках на информационную транспортную инфраструктуру (honeypots) и их расследование (cyber forensics laboratory)
Honeypots — развернутые в виртуальном пространстве имитации киберобъектов транспортной инфраструктуры России для получения данных о планах хакерах по атакам на реальные объекты. В рамках Сyber forensics laboratorу подразумевается создание специализированного стенда для исследования кибервоздействий на объекты транспортной инфраструктуры.
Сертифицирующая лаборатория
Лаборатория для тестирования программного и аппаратно-программного обеспечния, поставляемого на критические объекты транспортной инфраструктуры. Любая поставка на объекты транспортной инфраструктуры должна проходить только после того, как оборудование пройдет проверку в специализированных сертифицирующих лабораториях. Ключевым критерием для прохождения на особо важные объекты будет получение открытого кода для проверок. Лаборатория может получать деньги с заинтересованных поставщиков за предоставление услуг сертификации.
Координационный центр подготовки кадров
Центр выполняет функцию координации подготовки кадров для ключевых транспортных критических объектов инфраструктуры: взаимодействие с ВУЗами, организации целевого заказа на кадры, практик на объектах.
Ключевые функции центра
1. Участие в морденизации нормативные базы страны
Центр должен выполнять работу с парламентариями страны по модернизации нормативной базы, направленной на внесение законодательных инициатив или поправок к существующим законам и подзаконным актам, регулирующими область транспортной кибербезопасности.
2. Координация киберучений в области транспортной кибербезопасности для повышения защищенности и уровня подготовки
В рамках повышения обороноспособности объектов транспортной инфраструктуры Центр выполняет учения, привлекая профильные подразделения служб безопасности транспортной инфраструктуры, федеральные службы, прессу и другие заинтересованные лица. Учения позволят повысить уровень подготовки и уменьшить скорость реакции на киберинциденты.
3. Работа с прессой в области реакции на инциденты на транспортной инфраструктуре
Работа с прессой позволит существенно снижать неправильную реакцию прессы и как следствие возможную последующую панику населения. В работе с прессой важна просветительская функция и повышение уровня понимания журналистами ключевых аспектов кибербезопасности, чего можно достичь за счет серии постоянных семинаров. Также задачей центра будет быстрая реакция прессекретаря для снятия напряженности после и в случае наступления киберинцидента, выпуск официального пресс-релиза после наступления инцидента.