Вопросы к размышлению

Прежде чем перейти к следующему разделу, постарайтесь ответить на следующие вопросы:

  • Какой подход к оценке рисков используется в вашей организации?
  • Какие категории информационных рисков охватывает используемый вами подход?
  • Какие сотрудники вашей организации участвуют в процессах управления рисками и как распределяются между ними роли?
  • Кто и на основании какой информации принимает решения по обработке рисков?
  • К какой категории специалистов, с точки зрения отношения к оценке рисков, вы сами относитесь?
  • Какие информационные риски представляют наибольшую опасность для вашей организации?

Как оценивают риски наши соотечественники?

Среди специалистов нет единодушия в вопросах управления рисками. Нередко можно услышать довольно бессмысленные, как будет показано далее, споры и сопоставления количественных и качественных методов оценки рисков и даже отрицание целесообразности и самой возможности адекватно оценивать риски. Кто-то обвиняет руководство организации в недостаточном осознании важности вопросов безопасности или жалуется на трудности, связанные с получением объективной оценки ценности определенных нематериальных активов, таких, например, как репутация организации. Другие, не видя возможности обосновать расходы на безопасность, предлагают относиться к этому как к некой гигиенической процедуре и тратить на эту процедуру столько денег, сколько не жалко либо сколько осталось в бюджете.

По данным опроса, проводимого на портале ISO27000.ru среди менеджеров информационной безопасности российских компаний, всего 34% менеджеров ИБ пытаются использовать какой-либо систематический подход к оценке рисков, остальные 66% даже не пытаются этого делать, оценивая риски «на глазок» либо вовсе не делая этого. Из них 15%, похоже, даже не понимают существа обсуждаемого вопроса, считая оценку рисков занятием бессмысленным. Еще примерно в 15% организаций для управления информационными рисками используется специализированный программный инструментарий.

Источник: ISO27000.ru


Из общения с экспертами, отвечающими за информационную безопасность в организациях, можно сделать определенные выводы относительно того, с какими трудностями сталкиваются их попытки управлять рисками. По отношению к данному вопросу все специалисты подразделяются на четыре характерные группы.

Математики
Специалисты, имеющие техническое образование и владеющие определенным математическим аппаратом, склонны задействовать этот аппарат для оценки информационных рисков. Подход, в основе которого лежит стремление получить количественные оценки рисков с использованием математических формул и моделей, быстро заводит в тупик наших коллег, которым пока еще не удалось окончательно забыть школьные и университетские курсы точных наук и, видимо, в глубине души немного жаль понапрасну проведенное за партой время, затраченное на изучение вещей, которые не удается приложить к реальной жизни. Углубляясь в математическую статистику, теорию вероятностей, байесовские распределения, теорию нечетких множеств и прочие математические теории, адепты количественного подхода теряют связь с реальной жизнью и бизнес-контекстом, получая ни к чему не приложимые уравнения со множеством неизвестных.

Технари
Технические специалисты, имеющие профильное образование в области ИБ или ИТ, хорошо представляют себе уязвимости, которым подвержены информационные системы и технологии, а также какие меры необходимо предпринимать для их устранения. Однако эти специалисты имеют весьма туманное представление об информационных активах, их ценности и бизнес-процессах организации. Они склонны измерять риск величиной соответствующей уязвимости без учета остальных факторов. Рассуждают эти спецы о рисках на своем птичьем языке, который не доступен для понимания руководству организации и представителям бизнеса. Если технарей попросить оценить риски, то они, скорее всего, представят в качестве отчета о рисках отчет об уязвимостях, полученный при помощи сканера безопасности. Технари идут снизу вверх, концентрируясь на технических деталях реализации тех или иных угроз и совершенно упуская из виду цели бизнеса, для достижения которых необходимо управлять рисками. Им сложно бывает определить, какие угрозы и с какой степенью детализации надо анализировать для принятия решения по рискам.

Аналитики
Аналитики, как правило, владеют подходами и инструментами для управления рисками, но им не хватает практических навыков как в технической сфере, так и в сфере бизнеса. Для адекватной оценки рисков им необходимы как технари с их знанием технологий и сценариев реализации инцидентов, так и представители бизнеса с их знанием бизнес-процессов и способностью выносить суждения относительно ценности тех или иных активов. Для того чтобы сколотить дееспособную команду из столь разнородных и разнонаправленно мыслящих людей, требуется организационный талант и очень сильная заинтересованность со стороны первых лиц организации.

Скептики
Скептики обычно знают обо всем понемногу и не склонны к глубокому анализу. Они считают оценку рисков задачей неосуществимой, в связи с чем для принятия решений в отношении обеспечения безопасности предпочитают опираться исключительно на собственный опыт, здравый смысл, рекомендации стандартов и нормативных документов. Скептиков, как правило, разочаровывает невозможность точной количественной оценки информационных рисков, а также тот факт, что приходится опираться на субъективные мнения экспертов. К их числу относятся многие руководители служб информационной безопасности, с готовностью рассуждающие о преимуществах системного подхода, однако сами предпочитающие руководствоваться при принятии решений в основном интуицией и устоявшимися представлениями.

Оценка рисков как основа корпоративного управления

Риск-ориентированный подход лежит в основе современного корпоративного управления. Оценка рисков позволяет принимать осознанные решения, правильно выбирая механизмы защиты и расставляя приоритеты. Базирующаяся на анализе рисков оценка возврата инвестиций от внедрения механизмов контроля позволяет менеджеру ИБ формировать бюджеты на безопасность и обосновывать планы по обеспечению безопасности с точки зрения экономической целесообразности, а не путем запугивания руководства организации чрезвычайными происшествиями или санкциями со стороны регулирующих органов. Оценка рисков позволяет избегать многих кризисных ситуаций. После кризиса остаются те, кто правильно управлял рисками (а также те, кому просто посчастливилось).

_____________________________
 
Оценка рисков позволяет:

  • из миллиона требований и средств защиты выбрать те, которые необходимы организации;
  • принимать осознанные и своевременные решения относительно применения защитных мер;
  • правильно расставлять приоритеты, формировать планы и бюджеты на безопасность;
  • получить экономическое обоснование целесообразности применения защитных мер;
  • оценить экономическую эффективность мер информационной безопасности;
  • избежать кризисных ситуаций.

______________________________________
 
Все современные стандарты и руководства в области корпоративного управления, включая стандарты на интегрированные системы управления (PAS 99), стандарты СУИБ (ISO 27001), банковские стандарты (СТО БР ИББС и Basel II), а также нормативные требования, предъявляемые к публичным компаниям (Turnbull и SoX), базируются на оценке рисков.

_____________________________
 
Все современные стандарты корпоративного управления базируются на оценке рисков:

  • ISO 27001 (ГОСТ Р 27001);
  • PAS 99;
  • СТО БР ИББС;
  • BaselII;
  • UKCombined Code of Corporate Governance Turnbull Guidance (июль2003 г.);
  • Sarbanes-Oxley Act of 2002 (SOX);
  • COSO ERM-Integrated Framework.

______________________________

COSO – организация, разрабатывающая стандарты внутреннего контроля  для публичных компаний с целью обеспечения соответствия требованиям SoX и Turnbull, делает это на базе интегрированной структуры управления рисками предприятия. Систему управления информационными рисками (СУИР) следует рассматривать не как некую внутреннюю методику, используемую службой ИБ, как это часто бывает, а скорее, как часть интегрированной системы управления рисками (ERM).

В соответствии с Принципами Корпоративного Управления Организации Экономического Сотрудничества и Развития (OECD), хорошее корпоративное управление «…должно предоставлять надлежащие стимулы для правления и руководства к достижению целей компании и ее владельцев и должно способствовать эффективному мониторингу», а эффективный мониторинг бизнес-процессов зависит от эффективности измерения рисков информационной безопасности. Эта директива непосредственно адресована крупным публичным компаниям, но очевидно, что оценка и управление информационными рисками входит в область интересов любого бизнеса.

В том время как корпоративное управление озабочено, главным образом, гарантиями прав акционеров и/или заинтересованных сторон в публичной компании, принципы корпоративного управления применимы к любой организации, особенно к тем, которые формируют часть цепочки поставок для публичной компании и в особенности, если какая-либо часть их бизнеса осуществляется в он-лайне. Способность организации гарантировать всем бизнес-партнерам, что принадлежащая им информация надежно защищена, является частью поддержки таких принципов управления, как открытость и прозрачность. Реализация этих принципов требует, в том числе, чтобы заинтересованным сторонам была доступна информация о существующих факторах риска.

Таким образом, эффективность организации, корпоративное управление, управление операционными рисками, а также законодательная и нормативная среда – все это служит побудительными причинами внедрения эффективной СУИР, которая так же важна для функционирования организации, как и эффективные информационные и телекоммуникационные системы.

Государственное регулирование только создает дополнительные риски

«Бизнес – это не более чем работа. Спекуляция готовыми товарами – это не бизнес, это более или менее пристойная разновидность воровства. Но законом ее не запретишь. Законы вообще мало на что годятся. Они не несут в себе ничего конструктивного… Пока мы будем рассчитывать на то, что законодательство избавит нас от бедности или запретит особые права и привилегии, до тех пор нищета будет распространяться, а привилегии расти».

Генри Форд, один из самых честных предпринимателей, «Моя жизнь, мои достижения»

Указ Президента РФ № 351 от 17 марта 2008 года фактически разрешил подключение систем, содержащих государственную и служебную тайны, к сети Интернет. Единственным необходимым условием для такого подключения служит использование сертифицированных средств защиты информации (СЗИ).

Может ли государственная система сертификации СЗИ предоставить необходимые гарантии защищенности от интернет-угроз – вопрос риторический. Сертификацию даже нельзя рассматривать в качестве защитной меры. Это, скорее, официальная процедура подтверждения заявленных производителем свойств продукта и соответствия установленным требованиям.

Не говоря уже о том, что сертификация СЗИ в общем случае достаточно длительная и дорогостоящая процедура, которая далеко не всегда экономически оправдана, особенно когда речь идет о современных динамически изменяющихся информационных системах с непрерывным циклом установки программных коррекций, обновлений баз данных, внедрения новых приложений и т.п. Цикл разработки новых версий ПО зачастую короче цикла его сертификации. В то же время стоимость сертификации и аттестации может быть сопоставима со стоимостью самой ИС. Оправдано ли такое удорожание?

Сертификация в области ИБ преследует две цели: предоставление гарантий отсутствия в средствах обработки информации недекларированных возможностей и подтверждение качества (эффективности) продуктов.

Первая цель достигается только в том случае, если анализу на недекларированные возможности подвергаются все программные (и аппаратные) компоненты ИС, что достижимо только для особой категории критичных систем.

Для достижения второй цели требуются четко определенные критерии оценки, коими должны служить в данном случае профили защиты, которые сегодня в дефиците, т.к. практическое внедрение международного стандарта ISO 15408 «Общие критерии оценки безопасности информационных технологий» затянулось в России на неопределенно долгий срок.

Если же нет возможности анализа всех компонентов системы, а глубоко проработанные и согласованные критерии сертификации отсутствуют, как это в основном происходит на практике, то желаемого эффекта не достигается и сертификация превращается в формальную разрешительную процедуру. Таковой она и воспринимается всеми участниками рынка. В результате средства, которые необходимо было бы потратить на реализацию практических мер по защите информации, расходуются на бюрократические бумажные процедуры.

Вопрос даже не в том, правильно или неправильно подключать критичные государственные информационные системы к Интернет. Вспомним, что отмененный Указ Президента № 611 от 2004 г. явным образом запрещал «осуществлять включение ИС, сетей связи и автономных ПК, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения в Интернет». Дебаты вокруг этого Указа не утихали. Предлагались различные трактовки понятия «включения в состав сети», обыгрывались словосочетания «логическое и физическое, прямое и опосредованное включение», появлялись даже сертифицированные СЗИ, предназначенные для подключения государственных организаций к Интернет с соблюдением требований Указа № 611 (явным образом запрещавшего такое подключение). Жизнь все равно, как говорится, шла вперед.

Похожая ситуация существует и вокруг Указа Президента № 334 от 1995 года, который запретил использование государственными организациями шифровальных средств, не имеющих сертификата ФАПСИ, а также ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ. Криптографические средства в настоящее время входят в состав операционных систем, телекоммуникационного оборудования, повсеместно используемых приложений, СЗИ, как отечественных, так и импортных, поэтому выполнение запрета на их использование представляется фактически невыполнимым условием. Примерно в то же время (середина девяностых) до России «дошел» Интернет. И вопрос ввоза чего-либо программного через таможенные границы фактически отпал, т.к. у пользователя сети с тех пор всегда есть под рукой практически любые криптосредства, которые ниоткуда привозить не требуется. Поэтому вопрос ввоза импортных шифровальных средств перешел в риторическую плоскость и под запрет, явным образом попадают лишь специализированные аппаратные криптографические модули.

В 2007 году в Постановлении Правительства РФ N 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами» были сделаны уточнения, позволяющие распространять лицензирование не на все в подряд криптографические средства, тем не менее, вопросы, связанные с применением криптографических средств остаются достаточно сложными с правовой точки зрения.

Мы уже много раз видели на примере не только России, но и других стран, что государственное регулирование в области защиты информации проблемы зачастую не решает, а, напротив, создает дополнительные трудности для бизнеса.

Требования по защите информации в этом случае определяются не на основе оценки рисков, а «спускаются сверху», что не способствует их осмысленному применению. При этом многие риски безопасности игнорируются. Реальная деятельность по защите информации заменяется «бумажной работой». Соответствующим образом оформленные лицензии, сертификаты и аттестаты соответствия нормативным требованиям означают с точки зрения государства, что у вас все хорошо. У вас же не остается ничего, кроме впустую истраченного бюджета на информационную безопасность и ложного чувства защищенности.

_______________________________

Негативные последствия государственного регулирования в сфере информационной безопасности:

  • Деньги тратятся на «бумажную» безопасность.
  • Возникает ложное чувство защищенности.
  • Возникают дополнительные юридические риски для бизнеса.
  • Запретительные меры препятствуют осуществлению деятельности.
  • Реальные риски игнорируются.

____________________________________

Разрешительно-запретительные меры – это фактически единственный доступный государству способ регулирования чего-либо. Запретить подключение к Интернет, запретить использование шифровальных средств, запретить установку несертифицированных средств, запретить деятельность без лицензии и т.п. Польза от таких мер не всегда очевидна, а для бизнеса это всегда создает дополнительные барьеры и юридические риски.

Все эти рассуждения касаются не только России. В отчете американского Офиса Менеджмента и Бюджета Конгрессу о реализации Федерального Акта по управлению информационной безопасностью 2002 г. с гордостью сообщается о том, что 85% ИТ систем федеральных агентств были сертифицированы и аккредитованы, что на целых 19% больше по сравнению с предыдущим годом. Количество систем с протестированными планами обеспечения непрерывности бизнеса увеличилось с 57% до 61%. Департамент по делам ветеранов сообщил о том, что все 585 принадлежащий ему ИТ систем были сертифицированы и аккредитованы. Однако проверка отчетов о сертификации, проведенная одним из агентств, показала, что все испытания выполнялись поверхностно. Многие компании, проводившие сертификации, признаются, что их отчеты и заключения даже не читались заказчиком, а в этом случае вряд ли можно говорить о каких-либо улучшениях. Количество выданных лицензий и сертификатов стремительно увеличивается, а безопасность остается на прежнем уровне. Миллиарды долларов американских налогоплательщиков были истрачены на бесполезную бумажную работу. Подтверждением тому служит нашумевшее в США «дело ветеранов».

________________________________

В 2006 году данные о 26,5 млн. ветеранов и членов действующего резерва национальной гвардии и резервных войск США были украдены у служащего агентства, который отнес свой ноутбук домой. Незашифрованные данные, включавшие номера социального страхования и прочую информацию о ветеранах и их супругах, были скомпрометированы.

____________________________________

«Дело ветеранов» – крупнейшая утечка данных в истории США и ярчайший пример, который выдвинул на первый план потребность в тщательном рассмотрении вопросов информационной безопасности в правительстве США. Хотя, насколько нам известно, положение дел с безопасностью там заметно не улучшилось, а законы и нормативная база после того случая особо не изменились.

Как говорил выдающийся предприниматель Генри Форд, один из тех, кто в свое время вытащил Америку из «великой депрессии», «законы мало на что годятся… в них нет ничего конструктивного». Вопрос не в том, правильно или нет запрещать либо разрешать подключение к Интернет, использование несертифицированных СЗИ, импортные СКЗИ и т.п. Действительно важный вопрос заключается в том, кто и каким образом оценивает риски в каждом конкретном случае, какие возникают риски и что с ними делать. На этот главный вопрос вам не смогут дать ответ ни законодатели ни регуляторы. Этот ответ каждой организации приходится искать самостоятельно.

Обилие стандартов, требований, средств и технологий защиты не уменьшает риски

Оценка рисков сама по себе – сложная аналитическая работа. Для управления рисками, помимо всего прочего, требуется должным образом выстроенная система управления организацией, обеспечивающая обмен информацией между руководством, сотрудниками организации и консультантами, а также эффективная система принятия решений. Для того чтобы упростить эту задачу, во многих организациях используется так называемый смешанный подход, предполагающий проведение оценки и обработки рисков только для наиболее критичных информационных активов и систем. Во всех остальных случаях используется существующий передовой опыт и распространенные подходы к защите информации, описанные в стандартах и нормативных документах. Такой подход позволяет обеспечить некоторый базовый уровень защиты для большинства активов и систем организации, за исключением тех, которые являются особенно критичными и посему требующими повышенного внимания.
 
Использование базового уровня, на первый взгляд, выглядит наиболее рациональным, т.к. это позволяет сконцентрироваться на наиболее важных областях, сэкономив тем самым значительные ресурсы путем существенного упрощения одной из наиболее трудоемких управленческих задач. Такой подход, в частности, реализован в одной из наиболее известных методологий управления рисками CRAMM. В этой методологии для определения степени критичности систем и требуемой глубины последующего анализа используется простейший базовый опросник (см. Приложение № 4), в котором перечисляются различные виды возможного ущерба, такие как прямой или косвенный финансовый ущерб, ущерб репутации, дезорганизация бизнес-процессов, нарушение контрактных обязательств и т.п. Система признается критичной, если нарушение ее безопасности, по мнению владельцев или пользователей этой системы, может привести к сколь-нибудь значительному ущербу хотя бы в одной из этих областей. Далее для критичных систем проводится оценка и обработка рисков, а для некритичных систем формулируются базовые требования безопасности на основе британского стандарта BS 7799.

Введение понятия «базового уровня» защиты для наименее критичных систем (также как и «повышенного уровня» защиты для критичных систем или «максимального уровня» – для особенно критичных систем), особенно если соответствующие этим уровням механизмы защиты описаны с достаточной степенью подробности и закреплены внутренними стандартами организации, предусматривающими детализацию вплоть до определения значений параметров настройки конкретных систем, является удобным способом для первоначальной расстановки приоритетов и дифференциации подходов к защите различных категорий информационных активов. Однако это нисколько не упрощает задачи оценки рисков, поскольку и в отношении «некритичных» активов остаются те же самые вопросы определения разумного баланса между рисками и расходами на защиту, выбора экономически целесообразных и эффективных мер по защите «некритичных» активов, а также вопросы интерпретации требований «базового уровня» с целью их применения к конкретным системам организации. Не говоря уже о том, что сама задача определения «базового уровня» защиты может быть решена только в рамках конкретной организации и только на основании оценки и обработки рисков этой организации, т.к. никакого универсального «базового уровня», применимого к любой организации, не существует и не может существовать. Вместо этого в мире существует более 500 стандартов и нормативных документов по информационной безопасности, с разной степенью детализации описывающих требования безопасности, технологии и механизмы защиты для различных сфер деятельности, типов информационных систем, областей контроля и т.п. Эти документы сложно даже перечислить, не говоря уже о том, чтобы с ними ознакомиться и осмысленно применять. Одних международных стандартов в сфере информационной безопасности в настоящее время насчитывается более 100. Кроме этого в России действует более 40 ГОСТов и около 70 нормативных документов в сфере ИБ и еще примерно столько же находится в разработке.

Даже разработчики ISO 27002 – одного из наиболее востребованных международных стандартов ИБ, содержащего наиболее полное высокоуровневое описание всех областей контроля информационной безопасности, – никогда не претендовали на то, чтобы их стандарт определял некий «базовый уровень» защиты для организаций. ISO 27002 скорее рассматривается его разработчиками как сборник лучших практик, описывающий типовые механизмы контроля, применяемые в большинстве организаций для защиты своих информационных активов. Однако решение о целесообразности применения любого из описанных в этом стандарте механизмов контроля, а также о способах его применения и требуемом уровне защиты отдается на откуп пользователям стандарта и принимается только на основе оценки рисков конкретной организации.

Требования законодательной и нормативной базы в области ИБ отличаются от требований и механизмов, описанных в стандартах, прежде всего тем, что они носят обязательный характер для определенной категории организаций и граждан. Здесь стоит вопрос не о целесообразности, а об обязательности применения тех или иных требований. Однако и обязательные требования не могут заменить оценки рисков, т.к. формулируются они в еще более общем виде, нежели требования стандартов, и определить, каким образом эти требования должны быть реализованы в конкретной организации, обычно также не представляется возможным без оценки рисков.

Оценка рисков позволяет не только уточнить и конретизировать требования нормативной базы применительно к конкретной организации, но также определить экономически обоснованные механизмы их реализации и дополнительные требования безопасности, специфичные для организации и не нашедшие отражения в нормативных документах.

_________________________________
 
Стандарты и нормативная база информационной безопасности:

  • ISO 2700x, 290xx, 13335, 15408, 18044, 18028, 15947, 15443, … всего более 100;
  • X.800-816, X.830-835, X.736, X.740, X.1121, X.1051, … всего более 40;
  • COBIT, ISM3, BSI-ITBPM, MITS, ISF-SoGP, SAS 70, TruSecure, SysTrust, WebTrust, BBBOnline, TRUSTe, … более40;
  • NIST SP 800-x, FIPS 140-201, … всего более 100;
  • ГОСТ Р 51188, 51583, 51624, 52448, 52447, 51901, 51275, … всего более 40;
  • РД ФСТЭК, РД ФСБ, СТР-К, Указы Президента, Федеральные законы, Постановления правительства, … всего более 70.

_________________________________

Нет никакого недостатка в требованиях информационной безопасности, а также в стандартах или в технологиях защиты. За последние пару десятков лет создано уже достаточно большое количество инструментов для решения проблемы защиты информации. Являясь лишь инструментами, они сами по себе не уменьшают риски. Основная задача заключается в том, чтобы выбрать нужные инструменты и разобраться с тем, как их правильно применять в конкретных условиях с учетом существующих рисков и нашего отношения к этим рискам.

Стандарты безопасности одной организации могут быть не применимы либо недостаточны для другой организации. Требования одной организации могут быть слишком жесткими либо, наоборот, слишком мягкими для другой. Одним и тем же рискам и связанным с ними аспектам защиты в разных организациях может уделяться совершенно разное внимание в зависимости от отношения к риску руководителей и собственников этих организаций, специфики бизнеса и конкретных обстоятельств. Поэтому без оценки рисков невозможно сформировать какого-либо осмысленного набора требований либо механизмов защиты, пригодного для конкретной организации, а именно этим в основном и занимаются как в государственных, так и в частных компаниях. Такая ситуация, как будет показано далее, создает определенную неразбериху с нормативными требованиями в области информационной безопасности и с их выполнением.

Риски электронных расчетов

Одно из первых ограблений крупного банка, выполненное с помощью компьютеров и  подчеркнувшее глобальный характер киберпреступности, произошло в 1994 году, когда российский хакер Владимир Левин взломал автоматизированную банковскую систему (АБС) Ситибанка и перекачал 10 млн. долл.  на свои счета. Все похищенное, за исключением 400 тысяч долларов, было восстановлено. В 1995 году Левин был арестован и в 1997 году выдан в США. В 1998 году он был признан виновным в компьютерном мошенничестве и приговорен к трем годам лишения свободы и штрафу в 240 тысяч долларов.

Наглядную иллюстрацию информационных рисков, которым изо дня в день подвергается практически каждая организация являет случай с таинственным уводом денег со счетов Уральского банка.

Со счетов «Уральского бюро экспертизы и оценки», обслуживавшихся через систему интернет-банкинга в Уральском банке реконструкции и развития «исчезло» 1,5 млн. руб. Эта сумма составляла почти весь оборотный капитал фирмы. На сайте, где он обслуживался, сообщается, что «обнаружен вирус, похищающий секретные ключи клиентов».

Это только один из многочисленных примеров тех рисков, которые возникают при электронных расчетах. В таких случаях очень сложно что-либо доказать. Как правило, Банк не несет никакой ответственности и не компенсирует убытки в том случае, если электронная подпись на платежном поручении принадлежит организации. Наша практика показывает, что многие компании адекватно не оценивают рисков, связанных с использованием систем Клиент-Банк, без всяких на то оснований полагаясь в этом вопросе на банки, и не принимают необходимых защитных мер, а ведь в данном случае возможный ущерб – это прямые финансовые потери организации в размере остатков на ее расчетных счетах.

По сообщению Интерфакс в 2007 году:
В управление обратились официальные представители полиции США. Они сообщили российским коллегам, что с карточных банковских счетов граждан США регулярно похищаются крупные суммы денег. По информации американских коллег, эти деньги снимались наличными через банкоматы в Москве. При этом сами хозяева банковских карт Россию никогда не посещали.

В ходе проверки информации удалось установить, что все наличные средства снимались через десять московских банкоматов. Все эти банкоматы имели встроенную скрытую видеокамеру. Получив у служб безопасности банков, которым принадлежали банкоматы, видеосъемку, оперативники УБЭП выяснили, что деньги похищали четыре жителя Москвы – двое бывших банковских служащих, а также двое студентов.

За ними было установлено скрытое наблюдение. Вскоре выяснилось, что молодые люди через Интернет вошли в сговор с преступными группами в США, Канаде и Франции. За вознаграждение они получили от этих партнеров данные о тысячах карточных счетов в американских банках. Молодые люди арендовали квартиру, где наладили производство поддельных банковских карт. Затем по ночам при помощи таких карт они снимали деньги через банкоматы.

Оперативники управления по борьбе с экономическими преступлениями задержали мошенников с поличным в момент, когда они получали по поддельной карте через банкомат 2,5 тыс. долларов. Во время задержания у них изъяли еще 12 поддельных банковских карт с PIN-кодами.

Всего, по данным ГУВД, мошенники за время своей деятельности похитили у граждан США более 500 тыс. долларов. Все четверо арестованы, им предъявлено обвинение в мошенничестве.

Россия догнала Европу по уровню преступности в карточном бизнесе. Ежегодный ущерб от хищения денежных средств клиента с помощью платежных карт в международных платежных системах достигает сотен миллионов долларов. Эксперты прогнозируют, что принимаемые странами Европы энергичные меры по укреплению безопасности карточного оборота могут в самые ближайшие годы – в результате миграции этого вида преступности – привести к еще большему росту хищений в России. Это делает актуальным внедрение в российских банках новых технологий защиты.

В 2005 году в Москве ликвидирована группа мошенников, занимавшихся хищением денег с банковских карт. Как сообщил начальник пресс-группы УБЭП ГУВД Москвы Филипп Золотницкий, группа мошенников состояла в основном из студентов.

По данным следствия, метод работы мошенников был отработан до мелочей. Студенты связывались через Интернет с преступными группами в странах Западной Европы и получали от них данные кредитных банковских карт западноевропейских граждан с PIN-кодами. Используя эту информацию, мошенники изготовляли поддельные карты, с помощью которых снимали наличные средства в банкоматах Москвы.

До момента задержания преступная группа успела снять в общей сложности более 60 тыс. долл. При обыске у мошенников были обнаружены данные банковских карт и поддельные кредитные карты, по которым был возможен доступ к счетам на общую сумму более полумиллиона долларов.

Крупное мошенничество подобного рода было совершено в 2003 году, когда в Москве была задержана очередная группа вечно голодных студентов, похитивших с банковских счетов более 700 тыс. долларов. Группировка мошенников состояла из студентов технических вузов столицы.

Недоучившиеся инженеры разработали собственную систему обмана банков. Они устанавливали на банкоматах миниатюрные видеокамеры, которые фиксировали PIN-код владельца, а на отверстие для карточки монтировали специальную рамку, которая считывала параметры карточки и сумму, оставшуюся на счете.

Когда эта книга уже готовилась к печати, СМИ сообщили о появлении «трояна» в банкоматах ряда российских банков, перехватывающего информацию с банковских карт. Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

В марте 2009 года в СМИ появились сообщения о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают. Троян Trojan.Skimer собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, – подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с сетью Интернет, единственный способ проникновения на них подобной вредоносной программы – участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Как уже было отмечено, количество преступлений в данной сфере продолжает расти несмотря на то, что банки и правоохранительные органы пытаются совместно разрабатывать системы защиты.

На этом мы остановимся в живописании глобальных информационных рисков. Этой теме можно было бы посвятить несколько увесистых томов, однако и приведенных фактов вполне достаточно для того, чтобы осознать насколько серьезны и разнообразны информационные риски, которым подвергается современное общество, часто даже об этом не подозревая.

Точка зрения правоохранительных органов на киберугрозы

С точки зрения правоохранительных органов наибольшая угроза со стороны Интернет заключается в предоставляемых ею возможностях глобальных коммуникаций, отслеживать которые чрезвычайно сложно. С целью осуществления перехвата переговоров террористов, осуществляемых с использованием сети Интернет, спецслужбы в настоящее время продолжают расширять штат своих высококвалифицированных ИТ специалистов.
Так, по словам Дона Кавендера, специального агента и инструктора Центра Компьютерного Обучения ФБР, их беспокоит не столько угроза кибертерроризма, сколько использование террористами Интернет для планирования и подготовки физических террористических актов.

Не оставляют равнодушными правоохранительные органы также материалы экстремистского и порнографического характера, используемые, в том числе, и в качестве предлога для установления жесткого контроля над сетью Интернет. Этот контроль у нас в стране воплощается в виде внедрения у Интернет-провайдеров элементов системы проведения оперативно-розыскных мероприятий СОРМ-2, а также в предложениях по разграничению доступа между российским сегментом Интернет (Рунетом) и остальным миром посредством создания системы защищенных шлюзов для фильтрации сетевого трафика.

_________________________________________
Поставить шлюз между Рунетом и остальной Сетью (Интернет) предлагает отечественная ассоциация разработчиков ПО. Шлюз, через который будет открываться доступ к зарубежным ресурсам, обойдется в несколько сотен миллионов долларов, а его возведение займет около 10 лет. Авторы идеи полагают, что если шлюз будет создан, то совсем не обязательно, что он будет использован для ущемления свобод в интернете. Должны быть выработаны международные правила и стандарты отнесения источников информации к опасным для общества и организовано управление национальной сетью на основе диалога государства и сообщества пользователей. При построении отечественного шлюза будет полезен опыт государств, которые уже реализовали такие проекты либо собираются сделать это в ближайшее время, например, Китая, Японии и Сингапура.
________________________________________________
Один из самых знаменитых технических ограничителей доступа к глобальным информационным ресурсам реализован в Китае. По сообщению газеты The Epoch Times, «Золотой щит», известный также как «Великий китайский фаерволл» (Great Firewall of China), обошелся стране в $800 млн. (6,4 миллиардов юаней). Близкое к Министерству общественной безопасности Китая издание China News Service полагает, что «Великий китайский фаерволл» включает в себя 640 тыс. серверов.

_______________________________________
Китайское правительство последовательно воплощает в жизнь систему тотального контроля интернет-трафика, как входящего, так и исходящего из страны. Эта система, охватывающая всех китайских интернет-провайдеров, получила название «Великий китайский межсетевой экран» или, на мандаринском наречии, «Золотой щит». Многие сайты блокируются этой системой.

«Золотой щит» может обеспечить китайцам значительное преимущество в случае кибервойны в отношении стран с развитой демократией, не допускающей подобного рода цензуры. При необходимости, китайцы могут «перекрыть клапан», полностью изолировав китайский сегмент Интернет от остального мира. По мнению специалистов, для осуществления сетевых атак вероятные противники Китая могли бы в этом случае использовать ботнеты, созданные на компьютерах внутри страны.
__________________________________________
На сайте http://www.greatfirewallofchina.org/ можно проверить, числится ли конкретный сайт в списке запрещенных. Например, наш информационный портал www.iso27000.ru почему-то оказался заблокированным. Видимо, китайский «Золотой щит» работает по принципу минимизации привилегий, по умолчанию блокируя все, что явным образом не разрешено.

Риски утечки информации

Для иллюстрации кибер-угроз в предыдущих раздел использовались инциденты, происходившие в последние годы в США. Однако все сказанное относится и к России, которая, в отличие от США, в меньшей степени подвержена кибер-угрозам, благодаря значительно меньшей степени интеграции в кибер-пространство.

Зато одной из серьезнейших проблем нашего государства, с которой по объективным причинам очень сложно бороться, является утечка конфиденциальной информации. Служебная, банковская тайна, персональные данные граждан во многих случаях становятся общедоступной информацией. Банковские проводки из расчетных центров, базы данных налоговой инспекции, ГИБДД, абонентов сетей сотовой и фиксированной связи, а также многое другое можно найти в широкой продаже по доступным ценам. Продажа украденных через Интернет номеров кредитных карт является активно развивающимся криминальным бизнесом. Такая ситуация помимо того, что приводит к катастрофическим последствиям для отдельных организаций и граждан, оказывает очень плохое влияние на развитие в стране экономической, правоохранительной и налоговой систем, повышает уровень террористической угрозы, снижает уровень защищенности общества в целом.

Несмотря на то что раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство еще не полностью сформировано и существенно отстает от уровня развития информационных технологий, возникают существенные трудности с защитой интересов собственника информации.

Если не брать административной и уголовной ответственности отдельных граждан за разглашение персональных данных или коммерческой тайны (такая практика в нашей стране еще только начинает складываться), утечка информации часто приводит к косвенному ущербу, такому как потеря конкурентных преимуществ или упущенная выгода, не поддающемуся точной финансовой оценке. Например, разглашение стратегических планов компании или определенных финансовых показателей. Это напоминает ущерб от скрытой болезни человека, глубоко сидящей в организме и с трудом поддающейся диагностированию и лечению. Эта болезнь постепенно подтачивает здоровье и приводит к снижению эффективности деятельности. Иногда случаются обострения, как в случае с компанием Victoria Secrets, которая была оштрафована в США на $50000 за то, что не обеспечила надлежащей защиты своего Web-сайта электронной коммерции, в результате чего пострадали 560 клиентов, счета которых оказались скомпрометированными.

Раскрытие внутренней информации о планируемых кадровых перестановках или уровне заработной платы работников может привести к ухудшению морального климата в коллективе, поэтому многие компании охраняют такую информацию, как самую большую тайну, за разглашение которой следует немедленное увольнение.

_______________________________

Отрывок из статьи Джон Кейс «Когда зарплата уже не секрет»:

Никто в компании не думал, что уволившаяся Триси способна на козни… В тот день, когда она должна была покинуть компанию, девица взломала базу данных службы по работе с персоналом и разослала по внутренней сети сведения о размере зарплаты всех сотрудников. Теперь каждый сотрудник знает, какая зарплата у всех остальных, и в компании царит настоящий хаос. Часть сотрудников в ярости оттого, что получает меньше других, а остальные испытывают неловкость, что получают намного больше.

_______________________________

Не вдаваясь в дискуссию относительно достоинств и недостатков закрытых систем оплаты труда, следует признать, что такие системы и связанная с ними угроза раскрытия конфиденциальной информации о зарплатах сотрудников являются реальностью для многих организаций. Не менее значимой реальностью является незащищенность персональных данных.

________________________________

2005: Разгром ChoicePoint

ChoicePoint, один из крупнейших накопителей данных и реселлеров в США, объявил, что мошенники смогли получить доступ к базе данных, содержащей информацию о 145000 потребителей. Компания была не в состоянии полностью идентифицировать частные лица и организации, купившие эту информацию, включая личные дела и номера социального страхования.

___________________________________

Инцидент с ChoicePoint стал главным событием, которое переместило акцент с хакерства на опасные бизнес-процессы и привело к увеличению регулирования в области защиты данных потребителя. В то время Калифорния была единственным штатом, в котором существовал закон об уведомлении о нарушении безопасности данных SB 1386, который заслужил всеобщее внимание после инцидента с ChoicePoint. Это событие дало толчок почти всем современным требованиям в области шифрования. На сегодняшний день 38 штатов в США имеют законы по раскрытию данных для общественности. Это также побудило федеральную комиссию по торговле наложить наибольший на тот момент штраф – ChoicePoint был обязан выплатить 15 миллионов долларов по обвинению в том, что компаниянарушила права на частную жизнь и была не в состоянии защитить информацию о клиентах.

В 2007 году произошла крупнейшая утечка данных в финансовой сфере. Американский розничный гигант TJXобъявил, что данные около 100 млн. его клиентов были похищены. Хакеры проникли в беспроводную сеть компании и получили доступ к данным, передаваемым между переносными наладонными устройствами, считывающими цену, компьютерами магазина и кассовыми аппаратами. TJX критиковали за сбор избыточной информации, ее слишком необосновано долгое хранение, и за то, что он был не в состоянии улучшить безопасность своей беспроводной сети, перейдя от WEP-протокола шифрования (старый стандарт) к WPA (который намного более надежен). TJX также подвергся нападкам, за то, что слишком долго скрывал информацию о данном инциденте и не обеспечил несоответствие стандартам безопасности данных индустрии платежных карт (PCI DSS). По оценкам некоторых экспертов, убытки TJXв результате данного инцидента составили более $1 млрд.

Спустя год в Великобритании произошла еще одна крупная утечка персональных данных. Почти половина населения этой страны оказалась «засвеченной» по вине налоговиков.

____________________________________

В 2008 году председатель департамента налоговых и таможенных сборов Великобритании Пол Грей покинул свой пост после того, как его служащими были потеряны диски, содержащие информацию о 7,5 миллионах семей (25 миллионов человек), подавших заявления на получение детских льгот. Потерянные данные включалив себя имена, адреса, банковскую информацию, номера страховых полисов и другую персональную информацию. Речь идет почти о половине 60-миллионного населения Великобритании. Насколько нам известно, потерянные данные не были зашифрованы.

______________________________________

Упомянутые выше инциденты – только верхушка айсберга. Ежедневно в СМИ публикуются десятки сообщений о крупных утечках. Неужели ничего не делается для защиты информации? Если глубже разбираться в описанных ситуациях, то выясняется, что защитные меры обычно принимаются, стандартам организации следуют, деньги на безопасность тратятся. Непонятно только одно – кто и каким образом оценивает риски утечки информации. В результате получается, что либо какие-то угрозы недооценили, либо вообще защищали не те данные и не от тех угроз.

Риски промышленных систем

Автоматизированные системы управления (АСУ и АСУТП) в настоящее время используются в большинстве отраслей промышленности, в нефте- и газодобыче, на электростанциях и железных дорогах, на пивоварнях и лыжных курортах. В мире эксплуатируются миллионы промышленных систем, стоимость каждой из которых измеряется десятками тысяч и миллионами долларов. Степень зависимости критической инфраструктуры государства от таких систем неуклонно возрастает, и вопросы обеспечения их информационной безопасности приобретают первостепенное значение.

В отличие от других видов автоматизированных информационных систем, промышленные системы, особенно те, которые используются для управления критической инфраструктурой, имеют ряд особенностей, обусловленных их особым назначением, условиями эксплуатации, спецификой обрабатываемой в них информации и требованиями, предъявляемыми к функционированию. Главной же особенностью этих систем является то, что с их помощью в автоматическом, либо полуавтоматическом, режиме в реальном времени осуществляется управление физическими процессами и системами, от которых непосредственным образом зависит наша безопасность и жизнедеятельность: электричество, связь, транспорт, финансы, системы жизнеобеспечения, атомное и химическое производство и т.п.

Промышленные системы эволюционировали от экзотических программных и аппаратных средств в 70-х годах прошлого века до вполне современных систем, в которых используются стандартные IBM-совместимые ПК, операционные системы семейства Microsoft Windows, сетевые протоколы TCP/IP, Web-браузеры и Интернет-подключения. Благодаря такой стандартизации, а также распространенной практике подключения промышленных систем к локальным сетям (ЛВС) предприятий и использованию в них технологий беспроводного доступа, множество угроз в отношении этих систем значительно расширилось.

Угрозы в отношении промышленных систем, в зависимости от того, кто выступает в качестве «агента угрозы», можно разделить на следующие основные группы:

  1. Вредоносное ПО.Промышленные системы, так же как и любые другие ИТ системы, потенциально подвержены угрозам со стороны компьютерных вирусов, сетевых червей, троянских программ и программ шпионов.
  2. Инсайдеры.Недовольные внутренние пользователи, хорошо знающие систему изнутри, как показывает практика, представляют собой одну из основных угроз. Инсайдер может умышленно повредить оборудование или программное обеспечение. Администраторы и инженеры, обслуживающие систему, могут также неумышленно нанести вред ее функционированию, допустив ошибку в настройках системы или нарушение определенных правил безопасности.
  3. Хакеры.Аутсайдеры могут быть заинтересованы в исследовании возможности получения доступа и контроля над системой, мониторинге трафика и реализации атак на отказ в обслуживании.
  4. Террористы.Это наиболее серьезная угроза, создающая основные различия между системами, относящимися к критической инфраструктуре и обычными ИТ системами. Террористы заинтересованы в том, чтобы вывести систему из строя, нарушить процессы мониторинга и управления либо получить контроль над системой и нанести как можно больший вред.

____________________________

В Афганистане были получены доказательства того, что террористическая организация Аль Кайда проявляет повышенный интерес к промышленным системам. Можно также предположить, что среди членов Аль Кайды имеются квалифицированные специалисты (например, арестованный Халид Шейх Мухамед, их главный распорядитель, обучался на инженера в Северной Каролине, а позже работал в водной промышленности на Среднем Востоке).

По сообщению газеты Вашингтон Пост в Афганистане был найден ноутбук, принадлежащий людям Аль Кайды. Было установлено, что с этого ноутбука многократно посещался французский Интернет-сайт, принадлежащий некому Анонимному Обществу (Societe Anonyme). На этом сайте размещено «Руководство по саботажу», содержащее такие разделы, как «планирование нападения», «методы ухода от наблюдения» и т.п. Имеются также свидетельства, подтверждающие, что с компьютеров, принадлежащих террористам, осуществлялся поиск в Интернет программных средств для взлома сетей.

Следователи из США зафиксировали посещения людьми из Аль Кайды сайтов, предоставляющих ПО и инструкции по программированию цифровых переключателей, используемых в энергетических, водных, транспортных и коммуникационных сетях. На некоторых допросах, люди Аль Кайды в общих словах выражали намерения использовать эти инструменты.

Еще совсем недавно в качестве основных источников угроз для безопасности киберпространства США рассматривались Китай, Россия и другие страны. Считалось, что люди Аль Кайды «менее квалифицированы в области использования сетевых технологий», чем многие рядовые хакеры, и поэтому не представляют здесь серьезной угрозы. В связи с указанными фактами разведслужбы США изменили свое мнение относительно возможности использования киберпространства террористами.

________________________________

К счастью, в критичных отраслях, преимущественно использующих промышленные системы, отсутствуют два основных мотивирующих фактора для киберпреступности. Это экономические стимулы, к которым относятся кредитные карты и электронные счета, лежащие в основе многих компьютерных преступлений, и коммерческие тайны, являющиеся основной целью промышленного шпионажа.

Существует большое количество зарегистрированных инцидентов безопасности, затрагивающих системы управления критической инфраструктурой. В ряде научно-исследовательских институтов, ФБР и других организациях ведется соответствующая статистика. Согласно этой статистике в США на промышленные системы осуществляется не менее 100 кибератак в год и существует тенденция к непрерывному увеличению их числа. Зафиксированы все категории кибератак, за исключением кибертерроризма.

Справедливости ради следует признать, что, хотя теоретически и существует возможность электронных вторжений в критичные системы управления, создающих серьезные, в том числе и физические, угрозы безопасности, получение контроля над такими системами извне является крайне маловероятным событием. В настоящее время реальность такова, что было бы проще и дешевле разбомбить цель, чем поразить ее путем взлома компьютерной системы.

Кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей, массовыми разрушениями и другими катастрофами. В худшем случае, хорошо спланированная массированная кибератака может временно вывести из строя системы телекоммуникаций в густонаселенных районах. (Описание наихудших возможных сценариев кибер-атак приведено в Приложении №3).

______________________________

Ядерный завод в штате Агайо функционировал в автономном режиме в течение года после того, как сетевой червь SQL Slammer привел к отключению Системы Отображения Периметра Безопасности на пять часов и заводского компьютера, используемого для мониторинга производственного процесса, на шесть часов. Для обеих систем были предусмотрены дублирующие аналоговые системы, которые не пострадали. Заводская производственная сеть была непосредственно подключена к корпоративной сети, в которую «червь» проник по удаленному каналу из партнерской сети.

Примером хакерской атаки на критическую инфраструктуру США может служить удаленный взлом в 2001 году компьютерной сети Независимого Системного Оператора Калифорнии, управляющего электросетью штата. Хотя тогда хакерам не удалось получить доступ к действующей системе управления электросетью, они имели доступ к корпоративной сети в течение 17 дней. Намерения хакеров и их происхождение так и остались невыясненными.

_____________________________

На начальном этапе развития в промышленных системах использовалось малоизвестное специализированное оборудование и программное обеспечение, а их сетевое взаимодействие с внешним миром было сильно ограничено. Круг возможных угроз был слишком узок, поэтому внимания вопросам информационной безопасности со стороны разработчиков и владельцев таких систем практически не уделялось. Со временем разработчики переходят на стандартные ИТ платформы, а владельцы промышленных систем, с целью повышения эффективности управления, подключают их к смежным системам. Существующая тенденция к повышению открытости и стандартизации промышленных систем повышает их уязвимость к кибератакам, однако среди экспертов не существует единого мнения относительно того, насколько сложной для аутсайдера задачей является получение доступа к промышленной системе. Большинство из них признает тот факт, что кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей.

Эксперты из американской компании Riptech, известного поставщика услуг в области информационной безопасности, на основании своего опыта по обследованию большого количества крупнейших американских промышленных предприятий делают однозначный вывод об уязвимости критичных для американской экономики SCADA-систем в отношении кибератак. По их мнению, среди менеджеров подобных систем существует три общих заблуждения, препятствующих достижению адекватного уровня защищенности:

  • Заблуждение №1: «SCADA-система размещается в физически изолированной сети».
  • Заблуждение №2: «Существующие соединения между SCADA-системой и корпоративной сетью надежно защищены при помощи средств контроля межсетевого доступа».
  • Заблуждение №3: «Для управления SCADA-системой требуются узкоспециализированные знания, что делает задачу получения удаленного контроля над подобной системой для хакера чрезвычайно сложной».   

SCADA-системы действительно изначально создаются на базе физически изолированных компьютерных сетей и их системы защиты строятся исходя из этого предположения. Однако на практике для повышения эффективности управления подобными системами и оперативности принятия решений создаются соединения между SCADA-системой и корпоративной сетью. В результате большинство SCADA-систем оказываются опосредованно подключенными к сети Интернет.

В большинстве SCADA-систем существуют точки входа из корпоративной сети, незащищенные межсетевыми экранами (МЭ) и системами предотвращения атак (IPS), а некоторые из них могут быть вообще никак не защищены.

Третье заблуждение основано на предположении о том, что у атакующих отсутствует «инсайдерская» информация об архитектуре и средствах управления SCADA-системой. Однако если в качестве источника угроз рассматриваются организованные террористические группы, то это предположение вряд ли можно считать корректным. Кроме того, стремление к стандартизации подталкивает разработчиков SCADA-систем делать информацию об их архитектуре, интерфейсах и протоколах взаимодействия, а также о средствах управления общедоступной.

Джон Дубиэл, консультант из компании Gartner, принимавший участие в проведении атак на электросети во время военных учений, установил, что SCADA-системы могут быть атакованы путем создания избыточной нагрузки (разновидность атаки на отказ в обслуживании). Это может привести к сбою или неправильному функционированию системы, что, в свою очередь, может привести к сбоям в работе других элементов системы управления, входящих в состав компьютерной сети предприятия, – эффект «цепной реакции».

Так, в 1996 году вдоль всего Западного Побережья США на протяжении 9 часов было отключено электричество. Это случилось из-за падения дерева на линии электропередачи, что, в комбинации с некоторыми другими факторами, привело к каскадному отключению других элементов электросети. В 1990 году похожее событие происходило с коммутатором компании AT&T, сбой которого вызвал цепную реакцию, повлекшую выход из строя телекоммуникационной сети по всей территории США. К аналогичным последствиям могла бы привести и успешная хакерская атака.

_________________________________________

26–27 сентября 2007 года CNN и Associated Press обнародовали видеоролик, отснятый Департаментом Национальной Безопасности США (DHS), на котором запечатлен результат специально смоделированной кибератаки, направленной против электростанции.

Фильм демонстрирует перегрев турбины электростанции и ее разрушение. Этот тест был проведен Национальной Лабораторией Идахо. В ходе теста использовалась уязвимость в АСУТП, контролирующей турбину. Эта конкретная уязвимость была немедленно устранена, однако наверняка существуют и другие, поскольку при разработке подобных систем вопросы информационной безопасности серьезно не прорабатывались.

__________________________________________

Многие предприятия имеют подключения к сети Интернет с управляющих терминалов SCADA-систем, что не могло не привести к серьезным инцидентам.

В ноябре 2001 года 49-летний Вайтек Боуден был осужден на два года лишения свободы за использование Интернет, беспроводного доступа и похищенного управляющего ПО для осуществления слива загрязненной воды в реку у побережья Маручидора в Квинсленде (Австралия). Ранее Боуден работал консультантом в водном проекте. Он пошел на это преступление после того, как правительством Маручи ему было отказано вработе на полную ставку. Он пытался получить доступ к системе водоочистки 45 раз, прежде чем ему удалось осуществить спуск отравленной воды.

__________________________________________

Показательным примером кибератаки со стороны инсайдера может послужить дело Вайтека Бодена, приговоренного к двум годам лишения свободы за причинение умышленного ущерба канализационной системе Совета Австралийского Графства Маручи. Боден работал контролером в компании, которая устанавливала данную систему, включавшую 150 насосных станций. Станции обменивались данными между собой и с центральным компьютером при помощи локальных процессоров. Когда проект был завершен, Боден уволился из компании и попытался устроиться на работу к бывшему заказчику, но получил отказ. После этого начались проблемы на насосных станциях. Постепенно стало ясно, что причина заключается не в системных сбоях. Система сигнализации отключалась, связь неожиданно обрывалась, насосы не включались в нужное время, – в результате происходил выброс нечистот. Боден проделывал все это из собственного автомобиля при помощи ноутбука, радиопередатчика и локального процессора, позаимствованного у бывшего работодателя.

____________________________________________

«Весь подводный мир у побережья был уничтожен, прибрежные воды окрасились в черный цвет, и вонь порой становилась невыносимой для местных жителей», – рассказывает Джанель Брайент, руководитель исследовательской группы Австралийского Агентства Защиты Окружающей Среды.

Тот факт, что злоумышленник оставался незамеченным на протяжении всех своих 44 попыток получения доступа к системе, красноречиво свидетельствует о неудовлетворительном состоянии информационной безопасности на общественных предприятиях. Проверка 50 предприятий, проведенная в 1997 году, установила, что на 40% водных предприятий операторам систем управления был разрешен прямой доступ к сети Интернет, а к 60% SCADA-систем можно получить доступ при помощи модема! Факты, прямо скажем, настораживающие. Однако одних этих фактов еще недостаточно для того, чтобы судить об уязвимости предприятий в отношении кибератак.

Как утверждает Элен Вэнко, представитель Североамериканского совета по обеспечению безопасности электроэнергетического комплекса, наличие подключения к сети Интернет или модемного подключения не следует во всех случаях рассматривать как уязвимость. «Все предприятия электроэнергетики подключены к Интернет тем или иным способом, однако это не означает, что наши системы управления доступны из Интернет».

Тем не менее подключение к Интернет открывает дополнительные возможности проникновения злоумышленников в компьютерные системы. «При анализе безопасности сетевой инфраструктуры эксперты прежде всего обращают внимание на подключения к Интернет» – говорит Крис Висопал, директор исследований и разработок компании @Stake.

Подключение систем управления к сети Интернет всегда таит в себе серьезную опасность. МЭ и другие средства сетевой защиты никогда не обеспечивают стопроцентной защищенности. В 1989 году хакерская группа «The Legion of Doom», получила контроль над телефонной сетью компании BellSouth, включая возможность прослушивания телефонных каналов связи, маршрутизацию вызовов, маскировку под технический персонал станции и даже вывод из строя системы 911. Компания BellSouth задействовала 42 сотрудника, которые трудились в течение 24 часов над восстановлением контроля над системой.

Уязвимость SCADA-систем признается многими экспертами. Так, президент и технический директор компании Foundstone, известного игрока на рынке информационной безопасности, Стюарт МакКлу дает на вопрос об уязвимости SCADA-систем однозначно положительный ответ. Более того, он оценивает сложность осуществления подобной атаки весьма невысоко: на 4–5 баллов по 10-балльной шкале. Происходит это потому, что, при отсутствии соответствующего регулирования со стороны государства, частные компании предпочитают экономить на безопасности. Кроме того, многие SCADA-системы функционируют в реальном времени, и требования безопасности идут вразрез с требованиями производительности.

После террористического акта 11 сентября 2001 года многие концепции обеспечения безопасности как на государственном, так и на частном уровне, подверглись пересмотру, и безопасность SCADA-систем была провозглашена в качестве одной из основных целей Национальной Стратегии Обеспечения Безопасности Киберпространства (The National Strategy to Secure Cyberspace) США, разработанной по инициативе американского Президента в конце 2002 года.

Однако пока даже самые серьезные кибератаки по своим последствиям далеки от сценариев массовых разрушений. Инцидент с заражением воды в Квинсленде, к примеру, не создал угрозы человеческим жизням и стоил примерно 13 тысяч долларов, затраченных на очистку воды, которая оперативно была произведена штатными сотрудниками.

Многие эксперты по безопасности признают, что широкомасштабное разрушение информационной инфраструктуры является чрезвычайно труднореализуемой задачей. Даже если злоумышленнику удастся проникнуть во внутреннюю сеть, для получения контроля над системой управления ему обязательно потребуется «инсайдерская» информация и очень глубокие знания этой системы.

Во время эксперимента по сценарию «Перл Харбор» аналитики из компании Gartner подтвердили это мнение. Очень сложно атаковать что-то, о чем ты не обладаешь специфичными знаниями, признает аналитик Дэвид Фрэйли, который имитировал атаки на системы телекоммуникаций.

Даже во время успешной атаки на столичную электростанцию, многие критичные системы, такие как госпитали, продолжали функционировать, т.к. они перешли на автономные генераторы. Все предприятия резервируют критичные элементы своей информационной инфраструктуры для того, чтобы продолжать нормальное функционирование даже в случае сбоя системы управления.

Даже если хакеру, к примеру, удастся увеличить уровень хлора в водных резервуарах на станции водоочистки, отравленная вода не попадет в водопроводы, т.к. она проходит пятикратное тестирование. Агентство по защите окружающей среды требует от предприятий исследовать воду на наличие в ней более 90 видов отравляющих веществ. Более простой и опасной атакой является непосредственное физическое добавление террористами отравляющих веществ в водные резервуары.

Компьютерная сеть железнодорожной промышленности является одной из крупнейших в США и контролирует более 500 железных дорог. Поэтому федеральные власти США всегда уделяли повышенное внимание вопросам защиты информации в этой сети. Периодически там действительно возникают инциденты с сетевыми атаками, однако, по словам Нэнси Вильсона, вице-президента Ассоциации Американских Железных Дорог, они никогда всерьез не воспринимались, т.к. железнодорожные компании и компании других отраслей предпринимают серьезные меры по резервированию данных и оборудования, которые в большинстве случаев обеспечивают адекватный уровень защищенности.

Кибертерроризм

«Рассмотрим следующий сценарий… В один прекрасный день террористическая организация заявляет о том, что они отключат Тихоокеанскую Северо-западную электрическую сеть на 6 часов, начиная с 16.00. Затем они выполняют обещанное. Эта же группа затем заявляет, что они отключат основную телекоммуникационную магистральную линию связи между Восточным и Западным побережьем США на полдня. Затем они выполняют обещанное, несмотря на все наши усилия этому помешать. Затем они угрожают вывести из строя систему управления воздушным трафиком города Нью-Йорк, заставляя приземляться все самолеты, отводя в сторону входящий трафик, и выполняют обещанное. Далее следуют другие угрозы, которые тоже успешно приводятся в исполнение, демонстрируя возможности наших врагов успешно атаковать критичную сетевую инфраструктуру. Наконец террористы угрожают парализовать сервисы электронной коммерции и кредитных карт на неделю путем использования нескольких сотен тысяч похищенных идентификационных номеров в миллионах поддельных транзакций в случае, если их требования не будут удовлетворены. Вообразите, какую панику и всеобщий хаос это вызовет».

Отрывок из письма к Президенту США от лица 50 ученых, компьютерных экспертов и представителей американских разведслужб

Что делает этот сценарий интересным и волнующим, так это то, что все упомянутые события уже происходили ранее, хотя и не в одно и то же время и не все по злому умыслу. Все это происходило как изолированные события, распределенные во времени. Некоторые – в результате технических неполадок, другие были результатом неудачных экспериментов, а некоторые из них – в результате осуществления реальных кибератак. Важен тот факт, что все эти события могут быть осуществлены в результате кибератак.

Цитируемое письмо было написано уже много лет назад, когда кибератаки еще не были столь массовым явлением как сейчас. В наши дни средства массовой информации ежедневно публикуют информацию о десятках и сотнях  компьютерных инцидентов, начиная с крупных утечек данных и заканчивая ограблениями банков через Интернет. В России ежегодно совершаются десятки тысяч компьютерных преступлений, а многие «некомпьютерные» преступления также не обходятся без использования компьютеров и реализации информационных угроз. Кибер-преступность ежегодно наносит ущерб государствам и бизнесу по всему миру на миллиарды долларов и имеет тенденцию к значительному росту.

В таком потоке информации недолго утонуть, поэтому позволим себе сделать небольшой экскурс в историю, чтобы читатель смог получить более структурированное представление о ландшафте современных кибер-угроз. Подробная антология кибератак приведена в Приложении № 2.

Официальный отсчет истории кибер-преступности начинается в начале 70-хх годов. В 1971 году телефонный фрикер Джон Дрейпер обнаружил, что забавный свист, упакованных в коробки зерновых хлопьев мог быть изменен, для генерации тонального звука с частотой в 2600 герц. Она совпадала с частотой, используемой телефонными компаниями, для указания того, что магистральная линия была доступна для маршрутизации нового запроса. Направление свиста в приемник телефонной трубки разъединяло один конец магистрали, позволяя войти в режим оператора (полезная функция для обслуживающего персонала, а также для фрикеров).

Коробка с хлопьями, положившая начало кибер-преступности

«Проблема состояла в том, что телекоммуникационные компании позволяли таким сигналам попадать в полосу частот линии связи, благодаря чему пользователи могли создавать, а также «передавать» эти сигналы. Хотя большинство из этого было перемещено вне полосы передачи сигналов, проблема все еще существует для многих старых коммутаторов, как в некоторых штатах США, так и в ряде мест за границей», — говорит Маддж, хакер, переквалифицировавшийся в компьютерного исследователя в BBN Технологиях. В результате фрикер получает возможность осуществлять бесплатные телефонные звонки и другие противозаконные действия.

Данный эпизод считается прародителем компьютерного хакинга. Дрейпер продолжал создавать «синие коробки», способные к репродуцированию других тонов, используемых телефонной компанией и позволяющих их пользователям делать бесплатные междугородные звонки. Деятельность Дрейпера была освящена в статье журнала «Эсквайр» в 1971 году, которая возбудила интерес творческого дуэта по имени Стив Джобс и Стив Возняк, который самостоятельно начал выпускать «синие коробки». Позднее они основали компанию Apple.

В 1988 году Роберт Т. Моррис, 23-летний студент Корнельского университета, написал некий программный код как часть научно-исследовательской работы, нацеленной на определение размера Интернет. Код предназначался для заражения компьютеров, но только с той целью, чтобы увидеть, сколько существовало подключений в Интернет. Однако, из-за ошибок, допущенных при программировании, все это закончилось использованием уязвимости в ОС Unix и быстрым распространением с многократным заражением множества хостов и выводом их из строя.

Робер Моррис – создатель первого сетевого червя

Этот случай рассматривается как момент появления первого компьютернго червя, распространяющегося через Интернет, и положившего начало эпохе вредоносного программного обеспечения. Червь Морриса также был первым кибер-инцидентом,  получившим заметное внимание со стороны СМИ и судебной системы. В 1990 Моррис был приговорен американским окружным судом к трем годам условного заключения, 400 часам общественных работ и штрафу в размере 10 050 долларов.

В 1995 году начал отбывать свой пятилетний срок Кевин Митник, являющийся волей судьбы, пожалуй, самым знаменитым хакером в истории. В течение двух с половиной лет он взламывал компьютерные системы и крал конфиденциальную информацию у крупных американских корпораций, включая Motorola и Sun Microsystems.

Книга Кевина Митника «Искусство взлома»

Этот случай впервые поместил хакера в центр общественного внимания. Действия Митника наглядно проиллюстрировали концепцию социального инжиниринга — использование манипуляции и обмана вместо технических подходов для получения несанкционированного доступа к компьютерным системам.

Освободившись из мест заключения Кевин Митник встал на путь исправления. Сейчас он руководит собственной компанией и консультирует организации по всему миру по вопросам обеспечения информационной безопасности. Его книга «Искусство взлома» в увлекательной манере повествует о том, каким образом осуществляются атаки и взламываются компьютерные системы.

2004: Остроумный Червь (Witty Worm)
Этот компьютерный червь атаковал брандмауэр и другие продукты безопасности компании ISS. Согласно Брюсу Шнеиру, старшему менеджеру по технологиям компании «Бритиш Телеком», после объявления об уязвимости распространение червя пошло очень быстро, заражая 12 000 компьютеров за 45 минут. По сравнению с предыдущими червями этот червь также инфицировал меньшие и более устойчивые к заражению хосты.

Остроумный Червь – первое значительное по воздействию вредоносное ПО, использовавшее в своих интересах уязвимость в определенном наборе продуктов безопасности – BlackICE ISS и RealSecure. Это был один из первых червей, которые используют предварительно загруженный список целевых систем. Этот вирус был нацелен на системы обеспечения сетевой безопасности, и ходили слухи, что он был создан сотрудником конкурирующей компании.

2005: Титановый дождь (Titan Rain)
Кодовое название, данное правительством США ряду хакерских атак, инициированных из Китая в 2003 году. Целями служили вычислительные сети в Министерстве обороны и других правительственных агентств США.

Титановый дождь – первый инцидент кибер-шпионажа национального масштаба. Однако подробности Титанового дождя спорны. Некоторые полагают, что в этом замешано китайское правительство, другие считают, что нападения были работой хакеров, использующих китайские веб-сайты просто для того, чтобы скрыть свои следы.

Наиболее уязвимой в отношении кибератак является инфраструктура самой сети Интернет. Достаточно привести пример сетевого червя Nimda, нанесшего подключенным к Интернет организациям совокупный ущерб, оцениваемый в 3 млрд. долларов.

Некоторые уязвимости Интернет могут приводить к серьезным последствиям и в отсутствии кибератак. Показательным является пример, когда в 1997 году инженер одного из Интернет-провайдеров изменил две строчки кода в конфигурации маршрутизатора, что на три часа привело к останову почты всей глобальной сети. Тем не менее, несмотря на всю серьезность происшедшего, катастрофичным данный инцидент назвать нельзя, хотя совокупный ущерб оказался очень большим за счет того, что урон, хоть и незначительный, был нанесен слишком большому количеству компаний одновременно.

В октябре 2002 года была предпринята беспрецедентная в истории Интернет атака против всей инфраструктуры всемирной сети. Тринадцать корневых DNS-серверов Интернет подверглись распределенной атаке на отказ в обслуживании (DDoS). По словам председателя Консорциума Программного Обеспечения Интернет (Internet Software Consortium Inc.) Пола Викси только четверым из них удалось устоять. Большой уровень избыточности, присущий структуре Интернет, позволил избежать задержек при прохождении трафика, несмотря на выход из строя 2/3 корневых элементов инфраструктуры сети.

Угроза кибертерроризма уже не первый год широко обсуждается в современном обществе на самых разных уровнях, порождая множество споров, мифов и спекуляций. Неадекватная оценка рисков, связанных с осуществлением этой угрозы, приводит как к недооценке, так и к переоценке ее серьезности. В результате, наряду с «устрашающими» описаниями глобальных катастроф, нередко встречается и полное игнорирование этой проблемы. Понятие кибертерроризма часто используется для политических спекуляций и «запудривания мозгов» непосвященным.

Подключение к сети Интернет открывает дополнительные возможности проникновения злоумышленников в компьютерные системы, однако сам факт наличия такого подключения не следует во всех случаях рассматривать как уязвимость. Серьезные меры по резервированию данных и оборудования, предпринимаемые предприятиями различных отраслей, в большинстве случаев обеспечивают адекватный уровень защищенности, даже при успешном осуществлении кибератаки.

К таким выводам автор пришел в 2003 году, когда писал статью под названием «Реалии и мифы кибертерроризма». За прошедшие шесть лет риски киберпространства существенно возросли. Возможно, в ближайшем будущем нашу оценку этих рисков придется пересмотреть в большую сторону.