Записи

Риски электронных расчетов

image_pdfimage_print

Одно из первых ограблений крупного банка, выполненное с помощью компьютеров и  подчеркнувшее глобальный характер киберпреступности, произошло в 1994 году, когда российский хакер Владимир Левин взломал автоматизированную банковскую систему (АБС) Ситибанка и перекачал 10 млн. долл.  на свои счета. Все похищенное, за исключением 400 тысяч долларов, было восстановлено. В 1995 году Левин был арестован и в 1997 году выдан в США. В 1998 году он был признан виновным в компьютерном мошенничестве и приговорен к трем годам лишения свободы и штрафу в 240 тысяч долларов.

Наглядную иллюстрацию информационных рисков, которым изо дня в день подвергается практически каждая организация являет случай с таинственным уводом денег со счетов Уральского банка.

Со счетов «Уральского бюро экспертизы и оценки», обслуживавшихся через систему интернет-банкинга в Уральском банке реконструкции и развития «исчезло» 1,5 млн. руб. Эта сумма составляла почти весь оборотный капитал фирмы. На сайте, где он обслуживался, сообщается, что «обнаружен вирус, похищающий секретные ключи клиентов».

Это только один из многочисленных примеров тех рисков, которые возникают при электронных расчетах. В таких случаях очень сложно что-либо доказать. Как правило, Банк не несет никакой ответственности и не компенсирует убытки в том случае, если электронная подпись на платежном поручении принадлежит организации. Наша практика показывает, что многие компании адекватно не оценивают рисков, связанных с использованием систем Клиент-Банк, без всяких на то оснований полагаясь в этом вопросе на банки, и не принимают необходимых защитных мер, а ведь в данном случае возможный ущерб – это прямые финансовые потери организации в размере остатков на ее расчетных счетах.

По сообщению Интерфакс в 2007 году:
В управление обратились официальные представители полиции США. Они сообщили российским коллегам, что с карточных банковских счетов граждан США регулярно похищаются крупные суммы денег. По информации американских коллег, эти деньги снимались наличными через банкоматы в Москве. При этом сами хозяева банковских карт Россию никогда не посещали.

В ходе проверки информации удалось установить, что все наличные средства снимались через десять московских банкоматов. Все эти банкоматы имели встроенную скрытую видеокамеру. Получив у служб безопасности банков, которым принадлежали банкоматы, видеосъемку, оперативники УБЭП выяснили, что деньги похищали четыре жителя Москвы – двое бывших банковских служащих, а также двое студентов.

За ними было установлено скрытое наблюдение. Вскоре выяснилось, что молодые люди через Интернет вошли в сговор с преступными группами в США, Канаде и Франции. За вознаграждение они получили от этих партнеров данные о тысячах карточных счетов в американских банках. Молодые люди арендовали квартиру, где наладили производство поддельных банковских карт. Затем по ночам при помощи таких карт они снимали деньги через банкоматы.

Оперативники управления по борьбе с экономическими преступлениями задержали мошенников с поличным в момент, когда они получали по поддельной карте через банкомат 2,5 тыс. долларов. Во время задержания у них изъяли еще 12 поддельных банковских карт с PIN-кодами.

Всего, по данным ГУВД, мошенники за время своей деятельности похитили у граждан США более 500 тыс. долларов. Все четверо арестованы, им предъявлено обвинение в мошенничестве.

Россия догнала Европу по уровню преступности в карточном бизнесе. Ежегодный ущерб от хищения денежных средств клиента с помощью платежных карт в международных платежных системах достигает сотен миллионов долларов. Эксперты прогнозируют, что принимаемые странами Европы энергичные меры по укреплению безопасности карточного оборота могут в самые ближайшие годы – в результате миграции этого вида преступности – привести к еще большему росту хищений в России. Это делает актуальным внедрение в российских банках новых технологий защиты.

В 2005 году в Москве ликвидирована группа мошенников, занимавшихся хищением денег с банковских карт. Как сообщил начальник пресс-группы УБЭП ГУВД Москвы Филипп Золотницкий, группа мошенников состояла в основном из студентов.

По данным следствия, метод работы мошенников был отработан до мелочей. Студенты связывались через Интернет с преступными группами в странах Западной Европы и получали от них данные кредитных банковских карт западноевропейских граждан с PIN-кодами. Используя эту информацию, мошенники изготовляли поддельные карты, с помощью которых снимали наличные средства в банкоматах Москвы.

До момента задержания преступная группа успела снять в общей сложности более 60 тыс. долл. При обыске у мошенников были обнаружены данные банковских карт и поддельные кредитные карты, по которым был возможен доступ к счетам на общую сумму более полумиллиона долларов.

Крупное мошенничество подобного рода было совершено в 2003 году, когда в Москве была задержана очередная группа вечно голодных студентов, похитивших с банковских счетов более 700 тыс. долларов. Группировка мошенников состояла из студентов технических вузов столицы.

Недоучившиеся инженеры разработали собственную систему обмана банков. Они устанавливали на банкоматах миниатюрные видеокамеры, которые фиксировали PIN-код владельца, а на отверстие для карточки монтировали специальную рамку, которая считывала параметры карточки и сумму, оставшуюся на счете.

Когда эта книга уже готовилась к печати, СМИ сообщили о появлении «трояна» в банкоматах ряда российских банков, перехватывающего информацию с банковских карт. Банкоматы и раньше подвергались вирусным атакам, однако в худшем случае они могли привести к некорректной работе данных устройств. Появившийся недавно вирус действует иначе и способен нанести серьезный ущерб клиентам российских банков, которые используют банкоматы.

В марте 2009 года в СМИ появились сообщения о появлении новой угрозы в закрытых сетях банкоматов некоторых российских банков. Уникальность обнаруженного вируса состоит в его способности перехватывать данные о банковских картах пользователей, которые ранее пользовались зараженным банкоматом. Тем самым с помощью полученной информации злоумышленники получают возможность уводить со счетов людей все деньги, которыми они располагают. Троян Trojan.Skimer собирает информацию о кредитных картах и PIN-кодах к ним. Единственное, что требуется злоумышленникам, использующим данный вирус, – подойти к банкомату, ввести код и получить на чеке распечатку с данными потенциальных жертв мошенничества.

В связи с тем, что, как правило, сети банкоматов не связаны с сетью Интернет, единственный способ проникновения на них подобной вредоносной программы – участие в этом людей, тесно связанных с банком или являющихся их сотрудниками. Об этом также говорит тот факт, что на банкоматах устанавливается специальное ПО, поставляемое непосредственно их производителем. Соответственно, велика вероятность того, что создавали данный вирус люди, близко знакомые с логикой работы данного ПО и структурой его кода.

Как уже было отмечено, количество преступлений в данной сфере продолжает расти несмотря на то, что банки и правоохранительные органы пытаются совместно разрабатывать системы защиты.

На этом мы остановимся в живописании глобальных информационных рисков. Этой теме можно было бы посвятить несколько увесистых томов, однако и приведенных фактов вполне достаточно для того, чтобы осознать насколько серьезны и разнообразны информационные риски, которым подвергается современное общество, часто даже об этом не подозревая.

Точка зрения правоохранительных органов на киберугрозы

image_pdfimage_print

С точки зрения правоохранительных органов наибольшая угроза со стороны Интернет заключается в предоставляемых ею возможностях глобальных коммуникаций, отслеживать которые чрезвычайно сложно. С целью осуществления перехвата переговоров террористов, осуществляемых с использованием сети Интернет, спецслужбы в настоящее время продолжают расширять штат своих высококвалифицированных ИТ специалистов.
Так, по словам Дона Кавендера, специального агента и инструктора Центра Компьютерного Обучения ФБР, их беспокоит не столько угроза кибертерроризма, сколько использование террористами Интернет для планирования и подготовки физических террористических актов.

Не оставляют равнодушными правоохранительные органы также материалы экстремистского и порнографического характера, используемые, в том числе, и в качестве предлога для установления жесткого контроля над сетью Интернет. Этот контроль у нас в стране воплощается в виде внедрения у Интернет-провайдеров элементов системы проведения оперативно-розыскных мероприятий СОРМ-2, а также в предложениях по разграничению доступа между российским сегментом Интернет (Рунетом) и остальным миром посредством создания системы защищенных шлюзов для фильтрации сетевого трафика.

_________________________________________
Поставить шлюз между Рунетом и остальной Сетью (Интернет) предлагает отечественная ассоциация разработчиков ПО. Шлюз, через который будет открываться доступ к зарубежным ресурсам, обойдется в несколько сотен миллионов долларов, а его возведение займет около 10 лет. Авторы идеи полагают, что если шлюз будет создан, то совсем не обязательно, что он будет использован для ущемления свобод в интернете. Должны быть выработаны международные правила и стандарты отнесения источников информации к опасным для общества и организовано управление национальной сетью на основе диалога государства и сообщества пользователей. При построении отечественного шлюза будет полезен опыт государств, которые уже реализовали такие проекты либо собираются сделать это в ближайшее время, например, Китая, Японии и Сингапура.
________________________________________________
Один из самых знаменитых технических ограничителей доступа к глобальным информационным ресурсам реализован в Китае. По сообщению газеты The Epoch Times, «Золотой щит», известный также как «Великий китайский фаерволл» (Great Firewall of China), обошелся стране в $800 млн. (6,4 миллиардов юаней). Близкое к Министерству общественной безопасности Китая издание China News Service полагает, что «Великий китайский фаерволл» включает в себя 640 тыс. серверов.

_______________________________________
Китайское правительство последовательно воплощает в жизнь систему тотального контроля интернет-трафика, как входящего, так и исходящего из страны. Эта система, охватывающая всех китайских интернет-провайдеров, получила название «Великий китайский межсетевой экран» или, на мандаринском наречии, «Золотой щит». Многие сайты блокируются этой системой.

«Золотой щит» может обеспечить китайцам значительное преимущество в случае кибервойны в отношении стран с развитой демократией, не допускающей подобного рода цензуры. При необходимости, китайцы могут «перекрыть клапан», полностью изолировав китайский сегмент Интернет от остального мира. По мнению специалистов, для осуществления сетевых атак вероятные противники Китая могли бы в этом случае использовать ботнеты, созданные на компьютерах внутри страны.
__________________________________________
На сайте http://www.greatfirewallofchina.org/ можно проверить, числится ли конкретный сайт в списке запрещенных. Например, наш информационный портал www.iso27000.ru почему-то оказался заблокированным. Видимо, китайский «Золотой щит» работает по принципу минимизации привилегий, по умолчанию блокируя все, что явным образом не разрешено.

Риски утечки информации

image_pdfimage_print

Для иллюстрации кибер-угроз в предыдущих раздел использовались инциденты, происходившие в последние годы в США. Однако все сказанное относится и к России, которая, в отличие от США, в меньшей степени подвержена кибер-угрозам, благодаря значительно меньшей степени интеграции в кибер-пространство.

Зато одной из серьезнейших проблем нашего государства, с которой по объективным причинам очень сложно бороться, является утечка конфиденциальной информации. Служебная, банковская тайна, персональные данные граждан во многих случаях становятся общедоступной информацией. Банковские проводки из расчетных центров, базы данных налоговой инспекции, ГИБДД, абонентов сетей сотовой и фиксированной связи, а также многое другое можно найти в широкой продаже по доступным ценам. Продажа украденных через Интернет номеров кредитных карт является активно развивающимся криминальным бизнесом. Такая ситуация помимо того, что приводит к катастрофическим последствиям для отдельных организаций и граждан, оказывает очень плохое влияние на развитие в стране экономической, правоохранительной и налоговой систем, повышает уровень террористической угрозы, снижает уровень защищенности общества в целом.

Несмотря на то что раскрытие информации является во многих случаях административно и уголовно наказуемым деянием, в условиях, когда информационное законодательство еще не полностью сформировано и существенно отстает от уровня развития информационных технологий, возникают существенные трудности с защитой интересов собственника информации.

Если не брать административной и уголовной ответственности отдельных граждан за разглашение персональных данных или коммерческой тайны (такая практика в нашей стране еще только начинает складываться), утечка информации часто приводит к косвенному ущербу, такому как потеря конкурентных преимуществ или упущенная выгода, не поддающемуся точной финансовой оценке. Например, разглашение стратегических планов компании или определенных финансовых показателей. Это напоминает ущерб от скрытой болезни человека, глубоко сидящей в организме и с трудом поддающейся диагностированию и лечению. Эта болезнь постепенно подтачивает здоровье и приводит к снижению эффективности деятельности. Иногда случаются обострения, как в случае с компанием Victoria Secrets, которая была оштрафована в США на $50000 за то, что не обеспечила надлежащей защиты своего Web-сайта электронной коммерции, в результате чего пострадали 560 клиентов, счета которых оказались скомпрометированными.

Раскрытие внутренней информации о планируемых кадровых перестановках или уровне заработной платы работников может привести к ухудшению морального климата в коллективе, поэтому многие компании охраняют такую информацию, как самую большую тайну, за разглашение которой следует немедленное увольнение.

_______________________________

Отрывок из статьи Джон Кейс «Когда зарплата уже не секрет»:

Никто в компании не думал, что уволившаяся Триси способна на козни… В тот день, когда она должна была покинуть компанию, девица взломала базу данных службы по работе с персоналом и разослала по внутренней сети сведения о размере зарплаты всех сотрудников. Теперь каждый сотрудник знает, какая зарплата у всех остальных, и в компании царит настоящий хаос. Часть сотрудников в ярости оттого, что получает меньше других, а остальные испытывают неловкость, что получают намного больше.

_______________________________

Не вдаваясь в дискуссию относительно достоинств и недостатков закрытых систем оплаты труда, следует признать, что такие системы и связанная с ними угроза раскрытия конфиденциальной информации о зарплатах сотрудников являются реальностью для многих организаций. Не менее значимой реальностью является незащищенность персональных данных.

________________________________

2005: Разгром ChoicePoint

ChoicePoint, один из крупнейших накопителей данных и реселлеров в США, объявил, что мошенники смогли получить доступ к базе данных, содержащей информацию о 145000 потребителей. Компания была не в состоянии полностью идентифицировать частные лица и организации, купившие эту информацию, включая личные дела и номера социального страхования.

___________________________________

Инцидент с ChoicePoint стал главным событием, которое переместило акцент с хакерства на опасные бизнес-процессы и привело к увеличению регулирования в области защиты данных потребителя. В то время Калифорния была единственным штатом, в котором существовал закон об уведомлении о нарушении безопасности данных SB 1386, который заслужил всеобщее внимание после инцидента с ChoicePoint. Это событие дало толчок почти всем современным требованиям в области шифрования. На сегодняшний день 38 штатов в США имеют законы по раскрытию данных для общественности. Это также побудило федеральную комиссию по торговле наложить наибольший на тот момент штраф – ChoicePoint был обязан выплатить 15 миллионов долларов по обвинению в том, что компаниянарушила права на частную жизнь и была не в состоянии защитить информацию о клиентах.

В 2007 году произошла крупнейшая утечка данных в финансовой сфере. Американский розничный гигант TJXобъявил, что данные около 100 млн. его клиентов были похищены. Хакеры проникли в беспроводную сеть компании и получили доступ к данным, передаваемым между переносными наладонными устройствами, считывающими цену, компьютерами магазина и кассовыми аппаратами. TJX критиковали за сбор избыточной информации, ее слишком необосновано долгое хранение, и за то, что он был не в состоянии улучшить безопасность своей беспроводной сети, перейдя от WEP-протокола шифрования (старый стандарт) к WPA (который намного более надежен). TJX также подвергся нападкам, за то, что слишком долго скрывал информацию о данном инциденте и не обеспечил несоответствие стандартам безопасности данных индустрии платежных карт (PCI DSS). По оценкам некоторых экспертов, убытки TJXв результате данного инцидента составили более $1 млрд.

Спустя год в Великобритании произошла еще одна крупная утечка персональных данных. Почти половина населения этой страны оказалась «засвеченной» по вине налоговиков.

____________________________________

В 2008 году председатель департамента налоговых и таможенных сборов Великобритании Пол Грей покинул свой пост после того, как его служащими были потеряны диски, содержащие информацию о 7,5 миллионах семей (25 миллионов человек), подавших заявления на получение детских льгот. Потерянные данные включалив себя имена, адреса, банковскую информацию, номера страховых полисов и другую персональную информацию. Речь идет почти о половине 60-миллионного населения Великобритании. Насколько нам известно, потерянные данные не были зашифрованы.

______________________________________

Упомянутые выше инциденты – только верхушка айсберга. Ежедневно в СМИ публикуются десятки сообщений о крупных утечках. Неужели ничего не делается для защиты информации? Если глубже разбираться в описанных ситуациях, то выясняется, что защитные меры обычно принимаются, стандартам организации следуют, деньги на безопасность тратятся. Непонятно только одно – кто и каким образом оценивает риски утечки информации. В результате получается, что либо какие-то угрозы недооценили, либо вообще защищали не те данные и не от тех угроз.

Риски промышленных систем

image_pdfimage_print

Автоматизированные системы управления (АСУ и АСУТП) в настоящее время используются в большинстве отраслей промышленности, в нефте- и газодобыче, на электростанциях и железных дорогах, на пивоварнях и лыжных курортах. В мире эксплуатируются миллионы промышленных систем, стоимость каждой из которых измеряется десятками тысяч и миллионами долларов. Степень зависимости критической инфраструктуры государства от таких систем неуклонно возрастает, и вопросы обеспечения их информационной безопасности приобретают первостепенное значение.

В отличие от других видов автоматизированных информационных систем, промышленные системы, особенно те, которые используются для управления критической инфраструктурой, имеют ряд особенностей, обусловленных их особым назначением, условиями эксплуатации, спецификой обрабатываемой в них информации и требованиями, предъявляемыми к функционированию. Главной же особенностью этих систем является то, что с их помощью в автоматическом, либо полуавтоматическом, режиме в реальном времени осуществляется управление физическими процессами и системами, от которых непосредственным образом зависит наша безопасность и жизнедеятельность: электричество, связь, транспорт, финансы, системы жизнеобеспечения, атомное и химическое производство и т.п.

Промышленные системы эволюционировали от экзотических программных и аппаратных средств в 70-х годах прошлого века до вполне современных систем, в которых используются стандартные IBM-совместимые ПК, операционные системы семейства Microsoft Windows, сетевые протоколы TCP/IP, Web-браузеры и Интернет-подключения. Благодаря такой стандартизации, а также распространенной практике подключения промышленных систем к локальным сетям (ЛВС) предприятий и использованию в них технологий беспроводного доступа, множество угроз в отношении этих систем значительно расширилось.

Угрозы в отношении промышленных систем, в зависимости от того, кто выступает в качестве «агента угрозы», можно разделить на следующие основные группы:

  1. Вредоносное ПО.Промышленные системы, так же как и любые другие ИТ системы, потенциально подвержены угрозам со стороны компьютерных вирусов, сетевых червей, троянских программ и программ шпионов.
  2. Инсайдеры.Недовольные внутренние пользователи, хорошо знающие систему изнутри, как показывает практика, представляют собой одну из основных угроз. Инсайдер может умышленно повредить оборудование или программное обеспечение. Администраторы и инженеры, обслуживающие систему, могут также неумышленно нанести вред ее функционированию, допустив ошибку в настройках системы или нарушение определенных правил безопасности.
  3. Хакеры.Аутсайдеры могут быть заинтересованы в исследовании возможности получения доступа и контроля над системой, мониторинге трафика и реализации атак на отказ в обслуживании.
  4. Террористы.Это наиболее серьезная угроза, создающая основные различия между системами, относящимися к критической инфраструктуре и обычными ИТ системами. Террористы заинтересованы в том, чтобы вывести систему из строя, нарушить процессы мониторинга и управления либо получить контроль над системой и нанести как можно больший вред.

____________________________

В Афганистане были получены доказательства того, что террористическая организация Аль Кайда проявляет повышенный интерес к промышленным системам. Можно также предположить, что среди членов Аль Кайды имеются квалифицированные специалисты (например, арестованный Халид Шейх Мухамед, их главный распорядитель, обучался на инженера в Северной Каролине, а позже работал в водной промышленности на Среднем Востоке).

По сообщению газеты Вашингтон Пост в Афганистане был найден ноутбук, принадлежащий людям Аль Кайды. Было установлено, что с этого ноутбука многократно посещался французский Интернет-сайт, принадлежащий некому Анонимному Обществу (Societe Anonyme). На этом сайте размещено «Руководство по саботажу», содержащее такие разделы, как «планирование нападения», «методы ухода от наблюдения» и т.п. Имеются также свидетельства, подтверждающие, что с компьютеров, принадлежащих террористам, осуществлялся поиск в Интернет программных средств для взлома сетей.

Следователи из США зафиксировали посещения людьми из Аль Кайды сайтов, предоставляющих ПО и инструкции по программированию цифровых переключателей, используемых в энергетических, водных, транспортных и коммуникационных сетях. На некоторых допросах, люди Аль Кайды в общих словах выражали намерения использовать эти инструменты.

Еще совсем недавно в качестве основных источников угроз для безопасности киберпространства США рассматривались Китай, Россия и другие страны. Считалось, что люди Аль Кайды «менее квалифицированы в области использования сетевых технологий», чем многие рядовые хакеры, и поэтому не представляют здесь серьезной угрозы. В связи с указанными фактами разведслужбы США изменили свое мнение относительно возможности использования киберпространства террористами.

________________________________

К счастью, в критичных отраслях, преимущественно использующих промышленные системы, отсутствуют два основных мотивирующих фактора для киберпреступности. Это экономические стимулы, к которым относятся кредитные карты и электронные счета, лежащие в основе многих компьютерных преступлений, и коммерческие тайны, являющиеся основной целью промышленного шпионажа.

Существует большое количество зарегистрированных инцидентов безопасности, затрагивающих системы управления критической инфраструктурой. В ряде научно-исследовательских институтов, ФБР и других организациях ведется соответствующая статистика. Согласно этой статистике в США на промышленные системы осуществляется не менее 100 кибератак в год и существует тенденция к непрерывному увеличению их числа. Зафиксированы все категории кибератак, за исключением кибертерроризма.

Справедливости ради следует признать, что, хотя теоретически и существует возможность электронных вторжений в критичные системы управления, создающих серьезные, в том числе и физические, угрозы безопасности, получение контроля над такими системами извне является крайне маловероятным событием. В настоящее время реальность такова, что было бы проще и дешевле разбомбить цель, чем поразить ее путем взлома компьютерной системы.

Кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей, массовыми разрушениями и другими катастрофами. В худшем случае, хорошо спланированная массированная кибератака может временно вывести из строя системы телекоммуникаций в густонаселенных районах. (Описание наихудших возможных сценариев кибер-атак приведено в Приложении №3).

______________________________

Ядерный завод в штате Агайо функционировал в автономном режиме в течение года после того, как сетевой червь SQL Slammer привел к отключению Системы Отображения Периметра Безопасности на пять часов и заводского компьютера, используемого для мониторинга производственного процесса, на шесть часов. Для обеих систем были предусмотрены дублирующие аналоговые системы, которые не пострадали. Заводская производственная сеть была непосредственно подключена к корпоративной сети, в которую «червь» проник по удаленному каналу из партнерской сети.

Примером хакерской атаки на критическую инфраструктуру США может служить удаленный взлом в 2001 году компьютерной сети Независимого Системного Оператора Калифорнии, управляющего электросетью штата. Хотя тогда хакерам не удалось получить доступ к действующей системе управления электросетью, они имели доступ к корпоративной сети в течение 17 дней. Намерения хакеров и их происхождение так и остались невыясненными.

_____________________________

На начальном этапе развития в промышленных системах использовалось малоизвестное специализированное оборудование и программное обеспечение, а их сетевое взаимодействие с внешним миром было сильно ограничено. Круг возможных угроз был слишком узок, поэтому внимания вопросам информационной безопасности со стороны разработчиков и владельцев таких систем практически не уделялось. Со временем разработчики переходят на стандартные ИТ платформы, а владельцы промышленных систем, с целью повышения эффективности управления, подключают их к смежным системам. Существующая тенденция к повышению открытости и стандартизации промышленных систем повышает их уязвимость к кибератакам, однако среди экспертов не существует единого мнения относительно того, насколько сложной для аутсайдера задачей является получение доступа к промышленной системе. Большинство из них признает тот факт, что кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей.

Эксперты из американской компании Riptech, известного поставщика услуг в области информационной безопасности, на основании своего опыта по обследованию большого количества крупнейших американских промышленных предприятий делают однозначный вывод об уязвимости критичных для американской экономики SCADA-систем в отношении кибератак. По их мнению, среди менеджеров подобных систем существует три общих заблуждения, препятствующих достижению адекватного уровня защищенности:

  • Заблуждение №1: «SCADA-система размещается в физически изолированной сети».
  • Заблуждение №2: «Существующие соединения между SCADA-системой и корпоративной сетью надежно защищены при помощи средств контроля межсетевого доступа».
  • Заблуждение №3: «Для управления SCADA-системой требуются узкоспециализированные знания, что делает задачу получения удаленного контроля над подобной системой для хакера чрезвычайно сложной».   

SCADA-системы действительно изначально создаются на базе физически изолированных компьютерных сетей и их системы защиты строятся исходя из этого предположения. Однако на практике для повышения эффективности управления подобными системами и оперативности принятия решений создаются соединения между SCADA-системой и корпоративной сетью. В результате большинство SCADA-систем оказываются опосредованно подключенными к сети Интернет.

В большинстве SCADA-систем существуют точки входа из корпоративной сети, незащищенные межсетевыми экранами (МЭ) и системами предотвращения атак (IPS), а некоторые из них могут быть вообще никак не защищены.

Третье заблуждение основано на предположении о том, что у атакующих отсутствует «инсайдерская» информация об архитектуре и средствах управления SCADA-системой. Однако если в качестве источника угроз рассматриваются организованные террористические группы, то это предположение вряд ли можно считать корректным. Кроме того, стремление к стандартизации подталкивает разработчиков SCADA-систем делать информацию об их архитектуре, интерфейсах и протоколах взаимодействия, а также о средствах управления общедоступной.

Джон Дубиэл, консультант из компании Gartner, принимавший участие в проведении атак на электросети во время военных учений, установил, что SCADA-системы могут быть атакованы путем создания избыточной нагрузки (разновидность атаки на отказ в обслуживании). Это может привести к сбою или неправильному функционированию системы, что, в свою очередь, может привести к сбоям в работе других элементов системы управления, входящих в состав компьютерной сети предприятия, – эффект «цепной реакции».

Так, в 1996 году вдоль всего Западного Побережья США на протяжении 9 часов было отключено электричество. Это случилось из-за падения дерева на линии электропередачи, что, в комбинации с некоторыми другими факторами, привело к каскадному отключению других элементов электросети. В 1990 году похожее событие происходило с коммутатором компании AT&T, сбой которого вызвал цепную реакцию, повлекшую выход из строя телекоммуникационной сети по всей территории США. К аналогичным последствиям могла бы привести и успешная хакерская атака.

_________________________________________

26–27 сентября 2007 года CNN и Associated Press обнародовали видеоролик, отснятый Департаментом Национальной Безопасности США (DHS), на котором запечатлен результат специально смоделированной кибератаки, направленной против электростанции.

Фильм демонстрирует перегрев турбины электростанции и ее разрушение. Этот тест был проведен Национальной Лабораторией Идахо. В ходе теста использовалась уязвимость в АСУТП, контролирующей турбину. Эта конкретная уязвимость была немедленно устранена, однако наверняка существуют и другие, поскольку при разработке подобных систем вопросы информационной безопасности серьезно не прорабатывались.

__________________________________________

Многие предприятия имеют подключения к сети Интернет с управляющих терминалов SCADA-систем, что не могло не привести к серьезным инцидентам.

В ноябре 2001 года 49-летний Вайтек Боуден был осужден на два года лишения свободы за использование Интернет, беспроводного доступа и похищенного управляющего ПО для осуществления слива загрязненной воды в реку у побережья Маручидора в Квинсленде (Австралия). Ранее Боуден работал консультантом в водном проекте. Он пошел на это преступление после того, как правительством Маручи ему было отказано вработе на полную ставку. Он пытался получить доступ к системе водоочистки 45 раз, прежде чем ему удалось осуществить спуск отравленной воды.

__________________________________________

Показательным примером кибератаки со стороны инсайдера может послужить дело Вайтека Бодена, приговоренного к двум годам лишения свободы за причинение умышленного ущерба канализационной системе Совета Австралийского Графства Маручи. Боден работал контролером в компании, которая устанавливала данную систему, включавшую 150 насосных станций. Станции обменивались данными между собой и с центральным компьютером при помощи локальных процессоров. Когда проект был завершен, Боден уволился из компании и попытался устроиться на работу к бывшему заказчику, но получил отказ. После этого начались проблемы на насосных станциях. Постепенно стало ясно, что причина заключается не в системных сбоях. Система сигнализации отключалась, связь неожиданно обрывалась, насосы не включались в нужное время, – в результате происходил выброс нечистот. Боден проделывал все это из собственного автомобиля при помощи ноутбука, радиопередатчика и локального процессора, позаимствованного у бывшего работодателя.

____________________________________________

«Весь подводный мир у побережья был уничтожен, прибрежные воды окрасились в черный цвет, и вонь порой становилась невыносимой для местных жителей», – рассказывает Джанель Брайент, руководитель исследовательской группы Австралийского Агентства Защиты Окружающей Среды.

Тот факт, что злоумышленник оставался незамеченным на протяжении всех своих 44 попыток получения доступа к системе, красноречиво свидетельствует о неудовлетворительном состоянии информационной безопасности на общественных предприятиях. Проверка 50 предприятий, проведенная в 1997 году, установила, что на 40% водных предприятий операторам систем управления был разрешен прямой доступ к сети Интернет, а к 60% SCADA-систем можно получить доступ при помощи модема! Факты, прямо скажем, настораживающие. Однако одних этих фактов еще недостаточно для того, чтобы судить об уязвимости предприятий в отношении кибератак.

Как утверждает Элен Вэнко, представитель Североамериканского совета по обеспечению безопасности электроэнергетического комплекса, наличие подключения к сети Интернет или модемного подключения не следует во всех случаях рассматривать как уязвимость. «Все предприятия электроэнергетики подключены к Интернет тем или иным способом, однако это не означает, что наши системы управления доступны из Интернет».

Тем не менее подключение к Интернет открывает дополнительные возможности проникновения злоумышленников в компьютерные системы. «При анализе безопасности сетевой инфраструктуры эксперты прежде всего обращают внимание на подключения к Интернет» – говорит Крис Висопал, директор исследований и разработок компании @Stake.

Подключение систем управления к сети Интернет всегда таит в себе серьезную опасность. МЭ и другие средства сетевой защиты никогда не обеспечивают стопроцентной защищенности. В 1989 году хакерская группа «The Legion of Doom», получила контроль над телефонной сетью компании BellSouth, включая возможность прослушивания телефонных каналов связи, маршрутизацию вызовов, маскировку под технический персонал станции и даже вывод из строя системы 911. Компания BellSouth задействовала 42 сотрудника, которые трудились в течение 24 часов над восстановлением контроля над системой.

Уязвимость SCADA-систем признается многими экспертами. Так, президент и технический директор компании Foundstone, известного игрока на рынке информационной безопасности, Стюарт МакКлу дает на вопрос об уязвимости SCADA-систем однозначно положительный ответ. Более того, он оценивает сложность осуществления подобной атаки весьма невысоко: на 4–5 баллов по 10-балльной шкале. Происходит это потому, что, при отсутствии соответствующего регулирования со стороны государства, частные компании предпочитают экономить на безопасности. Кроме того, многие SCADA-системы функционируют в реальном времени, и требования безопасности идут вразрез с требованиями производительности.

После террористического акта 11 сентября 2001 года многие концепции обеспечения безопасности как на государственном, так и на частном уровне, подверглись пересмотру, и безопасность SCADA-систем была провозглашена в качестве одной из основных целей Национальной Стратегии Обеспечения Безопасности Киберпространства (The National Strategy to Secure Cyberspace) США, разработанной по инициативе американского Президента в конце 2002 года.

Однако пока даже самые серьезные кибератаки по своим последствиям далеки от сценариев массовых разрушений. Инцидент с заражением воды в Квинсленде, к примеру, не создал угрозы человеческим жизням и стоил примерно 13 тысяч долларов, затраченных на очистку воды, которая оперативно была произведена штатными сотрудниками.

Многие эксперты по безопасности признают, что широкомасштабное разрушение информационной инфраструктуры является чрезвычайно труднореализуемой задачей. Даже если злоумышленнику удастся проникнуть во внутреннюю сеть, для получения контроля над системой управления ему обязательно потребуется «инсайдерская» информация и очень глубокие знания этой системы.

Во время эксперимента по сценарию «Перл Харбор» аналитики из компании Gartner подтвердили это мнение. Очень сложно атаковать что-то, о чем ты не обладаешь специфичными знаниями, признает аналитик Дэвид Фрэйли, который имитировал атаки на системы телекоммуникаций.

Даже во время успешной атаки на столичную электростанцию, многие критичные системы, такие как госпитали, продолжали функционировать, т.к. они перешли на автономные генераторы. Все предприятия резервируют критичные элементы своей информационной инфраструктуры для того, чтобы продолжать нормальное функционирование даже в случае сбоя системы управления.

Даже если хакеру, к примеру, удастся увеличить уровень хлора в водных резервуарах на станции водоочистки, отравленная вода не попадет в водопроводы, т.к. она проходит пятикратное тестирование. Агентство по защите окружающей среды требует от предприятий исследовать воду на наличие в ней более 90 видов отравляющих веществ. Более простой и опасной атакой является непосредственное физическое добавление террористами отравляющих веществ в водные резервуары.

Компьютерная сеть железнодорожной промышленности является одной из крупнейших в США и контролирует более 500 железных дорог. Поэтому федеральные власти США всегда уделяли повышенное внимание вопросам защиты информации в этой сети. Периодически там действительно возникают инциденты с сетевыми атаками, однако, по словам Нэнси Вильсона, вице-президента Ассоциации Американских Железных Дорог, они никогда всерьез не воспринимались, т.к. железнодорожные компании и компании других отраслей предпринимают серьезные меры по резервированию данных и оборудования, которые в большинстве случаев обеспечивают адекватный уровень защищенности.

Кибертерроризм

image_pdfimage_print

«Рассмотрим следующий сценарий… В один прекрасный день террористическая организация заявляет о том, что они отключат Тихоокеанскую Северо-западную электрическую сеть на 6 часов, начиная с 16.00. Затем они выполняют обещанное. Эта же группа затем заявляет, что они отключат основную телекоммуникационную магистральную линию связи между Восточным и Западным побережьем США на полдня. Затем они выполняют обещанное, несмотря на все наши усилия этому помешать. Затем они угрожают вывести из строя систему управления воздушным трафиком города Нью-Йорк, заставляя приземляться все самолеты, отводя в сторону входящий трафик, и выполняют обещанное. Далее следуют другие угрозы, которые тоже успешно приводятся в исполнение, демонстрируя возможности наших врагов успешно атаковать критичную сетевую инфраструктуру. Наконец террористы угрожают парализовать сервисы электронной коммерции и кредитных карт на неделю путем использования нескольких сотен тысяч похищенных идентификационных номеров в миллионах поддельных транзакций в случае, если их требования не будут удовлетворены. Вообразите, какую панику и всеобщий хаос это вызовет».

Отрывок из письма к Президенту США от лица 50 ученых, компьютерных экспертов и представителей американских разведслужб

Что делает этот сценарий интересным и волнующим, так это то, что все упомянутые события уже происходили ранее, хотя и не в одно и то же время и не все по злому умыслу. Все это происходило как изолированные события, распределенные во времени. Некоторые – в результате технических неполадок, другие были результатом неудачных экспериментов, а некоторые из них – в результате осуществления реальных кибератак. Важен тот факт, что все эти события могут быть осуществлены в результате кибератак.

Цитируемое письмо было написано уже много лет назад, когда кибератаки еще не были столь массовым явлением как сейчас. В наши дни средства массовой информации ежедневно публикуют информацию о десятках и сотнях  компьютерных инцидентов, начиная с крупных утечек данных и заканчивая ограблениями банков через Интернет. В России ежегодно совершаются десятки тысяч компьютерных преступлений, а многие «некомпьютерные» преступления также не обходятся без использования компьютеров и реализации информационных угроз. Кибер-преступность ежегодно наносит ущерб государствам и бизнесу по всему миру на миллиарды долларов и имеет тенденцию к значительному росту.

В таком потоке информации недолго утонуть, поэтому позволим себе сделать небольшой экскурс в историю, чтобы читатель смог получить более структурированное представление о ландшафте современных кибер-угроз. Подробная антология кибератак приведена в Приложении № 2.

Официальный отсчет истории кибер-преступности начинается в начале 70-хх годов. В 1971 году телефонный фрикер Джон Дрейпер обнаружил, что забавный свист, упакованных в коробки зерновых хлопьев мог быть изменен, для генерации тонального звука с частотой в 2600 герц. Она совпадала с частотой, используемой телефонными компаниями, для указания того, что магистральная линия была доступна для маршрутизации нового запроса. Направление свиста в приемник телефонной трубки разъединяло один конец магистрали, позволяя войти в режим оператора (полезная функция для обслуживающего персонала, а также для фрикеров).

Коробка с хлопьями, положившая начало кибер-преступности

«Проблема состояла в том, что телекоммуникационные компании позволяли таким сигналам попадать в полосу частот линии связи, благодаря чему пользователи могли создавать, а также «передавать» эти сигналы. Хотя большинство из этого было перемещено вне полосы передачи сигналов, проблема все еще существует для многих старых коммутаторов, как в некоторых штатах США, так и в ряде мест за границей», — говорит Маддж, хакер, переквалифицировавшийся в компьютерного исследователя в BBN Технологиях. В результате фрикер получает возможность осуществлять бесплатные телефонные звонки и другие противозаконные действия.

Данный эпизод считается прародителем компьютерного хакинга. Дрейпер продолжал создавать «синие коробки», способные к репродуцированию других тонов, используемых телефонной компанией и позволяющих их пользователям делать бесплатные междугородные звонки. Деятельность Дрейпера была освящена в статье журнала «Эсквайр» в 1971 году, которая возбудила интерес творческого дуэта по имени Стив Джобс и Стив Возняк, который самостоятельно начал выпускать «синие коробки». Позднее они основали компанию Apple.

В 1988 году Роберт Т. Моррис, 23-летний студент Корнельского университета, написал некий программный код как часть научно-исследовательской работы, нацеленной на определение размера Интернет. Код предназначался для заражения компьютеров, но только с той целью, чтобы увидеть, сколько существовало подключений в Интернет. Однако, из-за ошибок, допущенных при программировании, все это закончилось использованием уязвимости в ОС Unix и быстрым распространением с многократным заражением множества хостов и выводом их из строя.

Робер Моррис – создатель первого сетевого червя

Этот случай рассматривается как момент появления первого компьютернго червя, распространяющегося через Интернет, и положившего начало эпохе вредоносного программного обеспечения. Червь Морриса также был первым кибер-инцидентом,  получившим заметное внимание со стороны СМИ и судебной системы. В 1990 Моррис был приговорен американским окружным судом к трем годам условного заключения, 400 часам общественных работ и штрафу в размере 10 050 долларов.

В 1995 году начал отбывать свой пятилетний срок Кевин Митник, являющийся волей судьбы, пожалуй, самым знаменитым хакером в истории. В течение двух с половиной лет он взламывал компьютерные системы и крал конфиденциальную информацию у крупных американских корпораций, включая Motorola и Sun Microsystems.

Книга Кевина Митника «Искусство взлома»

Этот случай впервые поместил хакера в центр общественного внимания. Действия Митника наглядно проиллюстрировали концепцию социального инжиниринга — использование манипуляции и обмана вместо технических подходов для получения несанкционированного доступа к компьютерным системам.

Освободившись из мест заключения Кевин Митник встал на путь исправления. Сейчас он руководит собственной компанией и консультирует организации по всему миру по вопросам обеспечения информационной безопасности. Его книга «Искусство взлома» в увлекательной манере повествует о том, каким образом осуществляются атаки и взламываются компьютерные системы.

2004: Остроумный Червь (Witty Worm)
Этот компьютерный червь атаковал брандмауэр и другие продукты безопасности компании ISS. Согласно Брюсу Шнеиру, старшему менеджеру по технологиям компании «Бритиш Телеком», после объявления об уязвимости распространение червя пошло очень быстро, заражая 12 000 компьютеров за 45 минут. По сравнению с предыдущими червями этот червь также инфицировал меньшие и более устойчивые к заражению хосты.

Остроумный Червь – первое значительное по воздействию вредоносное ПО, использовавшее в своих интересах уязвимость в определенном наборе продуктов безопасности – BlackICE ISS и RealSecure. Это был один из первых червей, которые используют предварительно загруженный список целевых систем. Этот вирус был нацелен на системы обеспечения сетевой безопасности, и ходили слухи, что он был создан сотрудником конкурирующей компании.

2005: Титановый дождь (Titan Rain)
Кодовое название, данное правительством США ряду хакерских атак, инициированных из Китая в 2003 году. Целями служили вычислительные сети в Министерстве обороны и других правительственных агентств США.

Титановый дождь – первый инцидент кибер-шпионажа национального масштаба. Однако подробности Титанового дождя спорны. Некоторые полагают, что в этом замешано китайское правительство, другие считают, что нападения были работой хакеров, использующих китайские веб-сайты просто для того, чтобы скрыть свои следы.

Наиболее уязвимой в отношении кибератак является инфраструктура самой сети Интернет. Достаточно привести пример сетевого червя Nimda, нанесшего подключенным к Интернет организациям совокупный ущерб, оцениваемый в 3 млрд. долларов.

Некоторые уязвимости Интернет могут приводить к серьезным последствиям и в отсутствии кибератак. Показательным является пример, когда в 1997 году инженер одного из Интернет-провайдеров изменил две строчки кода в конфигурации маршрутизатора, что на три часа привело к останову почты всей глобальной сети. Тем не менее, несмотря на всю серьезность происшедшего, катастрофичным данный инцидент назвать нельзя, хотя совокупный ущерб оказался очень большим за счет того, что урон, хоть и незначительный, был нанесен слишком большому количеству компаний одновременно.

В октябре 2002 года была предпринята беспрецедентная в истории Интернет атака против всей инфраструктуры всемирной сети. Тринадцать корневых DNS-серверов Интернет подверглись распределенной атаке на отказ в обслуживании (DDoS). По словам председателя Консорциума Программного Обеспечения Интернет (Internet Software Consortium Inc.) Пола Викси только четверым из них удалось устоять. Большой уровень избыточности, присущий структуре Интернет, позволил избежать задержек при прохождении трафика, несмотря на выход из строя 2/3 корневых элементов инфраструктуры сети.

Угроза кибертерроризма уже не первый год широко обсуждается в современном обществе на самых разных уровнях, порождая множество споров, мифов и спекуляций. Неадекватная оценка рисков, связанных с осуществлением этой угрозы, приводит как к недооценке, так и к переоценке ее серьезности. В результате, наряду с «устрашающими» описаниями глобальных катастроф, нередко встречается и полное игнорирование этой проблемы. Понятие кибертерроризма часто используется для политических спекуляций и «запудривания мозгов» непосвященным.

Подключение к сети Интернет открывает дополнительные возможности проникновения злоумышленников в компьютерные системы, однако сам факт наличия такого подключения не следует во всех случаях рассматривать как уязвимость. Серьезные меры по резервированию данных и оборудования, предпринимаемые предприятиями различных отраслей, в большинстве случаев обеспечивают адекватный уровень защищенности, даже при успешном осуществлении кибератаки.

К таким выводам автор пришел в 2003 году, когда писал статью под названием «Реалии и мифы кибертерроризма». За прошедшие шесть лет риски киберпространства существенно возросли. Возможно, в ближайшем будущем нашу оценку этих рисков придется пересмотреть в большую сторону.

Информационные риски киберпространства

image_pdfimage_print

«Скоро останутся лишь две группы работников: те, кто контролирует компьютеры, и те, кого контролируют компьютеры. Постарайтесь попасть в первую».

Льюис Д. Эйген, американский специалист по менеджменту

Риски информационной безопасности, связанные с повсеместной «интернетизацией» и интеграцией информационных систем никто сейчас адекватно не оценивает. Кто-то считает, что жизненно важные системы не имеют Интернет-подключений. Кто-то будет рассказывать сказки про надежный саморегулируемый Интернет. Кто-то будет утверждать, что ущерб от реализации киберугроз не может быть столь масштабным. Кто-то искренне верит в то, что электронные банковские системы, АСУТП или военные системы уж точно надежно защищены. Те же, кому известна реальная картина, почему-то предпочитают помалкивать. А затем вдруг, в один прекрасный день, выясняется, что это все было заблуждением, т.к. реальных рисков никто не оценивал.

В результате может наступить информационный коллапс. В одночасье могут оказаться заблокированными или выведенными из строя не только финансовые системы, но и системы связи, системы жизнеобеспечения, промышленные предприятия и даже военные объекты. Другими словами – встанет все и сразу. А произойти этот ни с чем не сравнимый кризис, представляющийся сейчас многим не более чем научной фантастикой либо досужими домыслами, может уже в ближайшее десятилетие.

На фоне огромного количества информационных угроз, которым подвержены экономические системы, государства, организации и отдельные граждане, особое место занимают различные формы кибертерроризма, способные нарушить функционирование жизненно важных объектов инфраструктуры, мошеннические операции в системах электронных расчетов и угрозы утечки конфиденциальной информации. Рассмотрим эти классы угроз более подробно, т.к. каждая из них, а в особенности их объединение, может спровоцировать невиданный доселе мировой информационный кризис.

Риски, породившие мировой финансовый кризис

image_pdfimage_print

Я занимал пост председателя совета директоров «Росгосстраха», ко мне в 2002 году приезжали немецкие регуляторы и учили, как строить систему контроля в компании, диверсифицировать резервы и т.п. Через полгода вся страховая система Германии рухнула: выяснилось, что две трети компаний – банкроты, так как неправильно считали все риски».

Рубен Варданян, глава «Тройки-Диалог»

Неправильная оценка рисков является фундаментальной причиной глобальных и локальных кризисов. Без надлежащего управления рисками любая «правильная» система рано или поздно обрушивается. Мы живем сейчас во времена глобального финансового кризиса. Пока точно не известно, с какими потерями наша страна из него выйдет, но уже очевидно – потери эти будут весьма значительными.

Сейчас на первом плане финансовые риски. Однако не так сложно предположить, что в перспективе на смену финансовым кризисам придет кризис информационный, который будет еще опасней.

США «профукали» финансовый кризис из-за того, что не умели (да и не очень хотели) оценивать новые финансовые риски. Обуреваемые жадностью финансисты соорудили самую высокую в истории финансовую пирамиду. Высота этой пирамиды оценивается в десятки квадриллионов несуществующих долларов. Многие специалисты видели эту пирамиду, но, как это обычно бывает, надеялись вовремя «соскочить» до того, как начнется процесс обрушения.

Экс-глава ФРС Алан Гринспен назвал нынешний финансовый кризис самым тяжелым с момента окончания второй мировой войны. По данным американского инвестиционного банка «Голдман Сакс», прямые потери мирового финансового рынка от нынешнего кредитного кризиса составят 1,2 триллиона долларов.

В качестве основной причины нынешнего финансового кризиса эксперты называют: неправильную оценку рисков новых производных финансовых инструментов (деривативов) банками, финансовыми институтами, страховыми компаниями и рейтинговыми агентствами.

По мнению экспертов, во всем виновата секьюритизация – это способ привлечения финансирования, связанный с выпуском ценных бумаг, обеспеченных активами, генерирующими стабильные денежные потоки, например, портфель ипотечных кредитов, автокредитов, лизинговые активы, коммерческая недвижимость, генерирующая стабильный рентный доход и т.д. В последнее время секьюритизация активов приобретает все большую популярность среди инновационных схем привлечения финансирования и на российском рынке.

Рейтинговые агентства, опираясь на свои безупречные репутации, выпускали рейтинги, как будто деривативы – это простые долговые обязательства, выпущенные одним предприятием, но это было неверно. Также были и другие новации, когда первый, начальный пул средств был некредитным, а доходы по траншам были секьюритизованными доходами. В данной ситуации рейтинговые агентства строили более сложную схему рейтингования, но и эти схемы оказались далеки от истины.

В результате осуществления рисков, связанных с деривативами, произошла цепная реакция по всему миру и началась полная переоценка ценностей в финансовом мире. Сейчас никто не верит никаким рейтингам. Все, что считалось надежным вчера, сегодня выглядит крайне рискованным.

Можно с уверенностью утверждать, что подавляющее большинство людей не обладают достаточным объемом информации и квалификацией для того, чтобы предвидеть подобные финансовые кризисы или осознать их причины. Еще значительно меньшее число людей способны осознать возможные причины, механизмы и последствия информационного кризиса, способного в будущем по своим масштабам многократно превзойти нынешний финансовый кризис.

В результате эволюции человечество создало мощнейшую сетевую информационную инфраструктуру на базе открытых стандартов, объединяющую системы связи, обработки информации и управления жизненно важными объектами. После чего начался стремительно набирающий обороты процесс интеграции финансовых, торговых, промышленных систем, систем жизнеобеспечения, средств массовой информации и т.п. в эту единую сетевую инфраструктуру, получившую название «киберпространство». Киберпростанство – это не только Интернет. Оно объединяет также банковские, частные и ведомственные сети во всех их взаимосвязях. Информационно-техническая революция происходит столь стремительно, что даже специалисты не в состоянии осознать всех рисков, которые несет за собой такая интеграция.

Если бы не новые возможности, предоставляемые киберпространством, нынешний финансовый кризис был бы невозможен. Финансовые рынки одними из первых интегрировались в единое информационное пространство, что позволило миллионам инвесторов свободно и за считанные секунды перемещать любое количество виртуальных активов (денег, ценных бумаг и производных финансовых инструментов) между странами и торговыми площадками. Благодаря современным информационным технологиям стало возможным осуществлять торговлю любыми производными инструментами, что довольно скоро привело к возникновению рынка таких инструментов, образовавших гигантскую финансовую пирамиду, которая рассыпается на наших глазах как карточный домик, погребая под своими обломками экономики целых стран.

Финансовый кризис произошел потому, что никто не знал, как управлять новыми рисками в новых условиях. Благодаря киберпространству возникли новые финансовые риски. В данном случае киберпространство явилось лишь необходимым условием для кризиса. Ситуация может быть еще опасней, когда будут осуществляться риски самого киберпространства. В этом случае пострадают не только финансовые системы, но и все прочие, включая объекты жизнеобеспечения и в ряде случаев военные объекты.

Глава 1. Предпосылки для управления информационными рисками

image_pdfimage_print

«Обязанность ученых – очищать мировоззрение современников от заблуждений».

Н.К. Кольцов, известный генетик

_______________________________________

  • Риски, породившие мировой финансовый кризис
  • Информационные риски киберпространства
  • Обилие стандартов, требований, средств и технологий защиты не уменьшает риски
  • Государственное регулирование только создает дополнительные риски
  • Оценка рисков как основа корпоративного управления
  • Как оценивают риски наши соотечественники

________________________________________

Возможно, для кого-то это и будет новостью, однако анализ ситуации в стране и в мире показывает, что без управления рисками уже невозможно обеспечить стабильность и избежать глобальных кризисов. В этой вступительной главе мы попытаемся осознать важность управления рисками, а также те проблемы, которые решаются путем оценки риска.

Из дальнейшего изложения следует, что уже в наши дни многим организациям управлять рисками совершенно необходимо не только для получения конкурентных преимуществ, но и для выживания. Однако у читателя может возникнуть резонный вопрос: «Раз это столь важно, тогда каким же образом многие организации до сих пор обходились и обходятся без систематического управления рисками?» На наш взгляд, все дело в том, что времена очень быстро меняются. Раньше управление рисками действительно было не столь актуально из-за незначительного количества информационных угроз, а также ограниченности существовавших тогда технологий и стандартов. Выбирать контрмеры было особенно не из чего, да и защищаться тоже было не от чего.

Сейчас же мир стремительно меняется. Для нового информационного века характерны немыслимые ранее угрозы и кризисы. Количество вредоносных кодов сейчас исчисляется миллионами, а количество известных интернет-уязвимостей, уязвимостей системного и прикладного ПО – десятками тысяч. Ежедневно регистрируется огромное количество сетевых атак и внутренних инцидентов информационной безопасности. Сложность атак, изощренность способов их реализации и степень опасности возрастает в геометрической прогрессии.

Все это могло бы быть не более чем забавно, если бы столь же стремительно не увеличивалась зависимость критичной для жизнедеятельности людей инфраструктуры и бизнеса от информационных технологий. Взлом очередного веб-сайта может послужить развлекательной новостью и темой для обсуждения в узком кругу посвященных, DDoS-атака (распределенная атака на отказ в обслуживании) против сайтов крупного информационного агентства – это уже новость, получающая более широкий резонанс. Скоординированные атаки на объекты инфраструктуры: электростанции, телекоммуникационные узлы, системы водо-, тепло- и газоснабжения – могут стать причиной глобальной катастрофы, последствия которой даже трудно себе представить.

Общая структура изложения материала

image_pdfimage_print

Эта книга помимо предисловия, введения, библиографии, ссылок и приложений включает в себя семь глав.

_________________________________

Структура книги:

  • Глава 1. Предпосылки для управления информационными рисками
  • Глава 2. Основные элементы управления информационными рисками
  • Глава 3. Система управления информационными рисками
  • Глава 4. Оценка рисков информационной безопасности
  • Глава 5. Обработка рисков информационной безопасности
  • Глава 6. Инструментальные средства для управления информационными рисками
  • Глава 7. Практические рекомендации по внедрению системы управления информационными рисками
  • Библиография
  • Полезные ссылки
  • Приложения

_____________________________________

Первая глава отвечает на вопрос первостепенной важности, без утвердительного ответа на который, возможно, и не стоило бы писать эту книгу: «Почему в наше время крайне важно управлять информационными рисками, а в недалеком будущем по причине недооценки информационных рисков человечество ожидают информационные кризисы, пострашнее нынешнего мирового финансового кризиса?» В первой главе книги мы попытаемся проложить дорогу между настоящим и будущим, показывая, почему уже сейчас многие организации не могут обойтись без систематического управления рисками, почему сегодня нельзя относиться к управлению рисками, руководствуясь вчерашними представлениями, и почему завтра ситуация с информационными рисками может измениться кардинальным образом, что станет неожиданностью для многих людей, не успевших адаптироваться к стремительно изменяющимся обстоятельствам.

Во второй главе, опираясь на международные стандарты, мы дадим несколько равнозначных определений понятию «информационный риск», рассмотрим основные составляющие этого непростого понятия, факторы (элементы) риска, рассмотрим, чем обусловлено различие подходов к оценке рисков, применяемых в организациях. Мы также коснемся количественных и качественных способов определения величины риска, а заодно развеем распространенное заблуждение и покажем, что, несмотря на разнообразие способов вычисления рисков, не существует самодостаточных количественных или качественных подходов к оценке рисков, которые могли бы иметь прикладное значение, а в сущности, на практике имеет место комбинированный подход.

Как показывает опыт внедрения систем управления информационной безопасностью (СУИБ) в российских организациях и опыт их сертификации по требованиям международного стандарта ISO 27001, главной точкой преткновения обычно становится система управления рисками. В третьей главе мы рассмотрим эту систему, служащую базисом для СУИБ, в комплексе, опираясь на определяемую стандартами процессную модель. Если взглянуть на проблему широко, то мы увидим, что она не сводится лишь к двум ключевым процессам оценки и обработки риска. Для того чтобы система управления рисками оставалась жизнеспособной и могла адаптироваться к изменяющимся условиям, она должна включать в себя еще целый ряд процессов, обеспечивающих непрерывный контроль и совершенствование этой системы и теснейшим образом интегрированных со всеми остальными процессами СУИБ.

Четвертая глава является ключевой с точки зрения понимания используемой нами методологии оценки рисков. В ней шаг за шагом рассматриваются все стадии этого процесса, начиная с инвентаризации активов и заканчивая формированием реестра информационных рисков. При этом мы не раскрываем каких-то секретов и в сущности не сообщаем каких-то сведений, которые сами по себе уже не были бы известны специалистам и не были бы описаны в стандартах. Мы склонны видеть свою заслугу, если мы вообще вправе на это претендовать, не в передаче некоего тайного знания, а скорее, в систематизации накопленного опыта и знаний профессионального сообщества, а также в переводе вопросов, которые обычно вызывают серьезные затруднения у многих специалистов, в практическую плоскость, разрешая их просто, сообразно сложившимся обстоятельствам и без излишнего теоретизирования.

Не так важно, какой подход к оценке рисков вы используете, а мы отнюдь не считаем, что наш подход является единственно возможным, главное – насколько адекватные и экономически оправданные решения по обработке рисков вы в конечном счете принимаете. В пятой главе книги мы рассмотрим возможные способы обработки рисков, механизмы планирования защитных мер и принятия решений по рискам, а также вопросы оценки возврата инвестиций в информационную безопасность. Основным результатом данных мероприятий служит разработка двух ключевых для СУИБ документов: Декларации о применимости механизмов контроля и Плана обработки рисков.

Шестая глава посвящена обзору наиболее популярных инструментальных средств управления рисками. Помимо этого мы рассмотрим проблему выбора специализированного программного инструментария для оценки рисков с различных точек зрения, а также плюсы и минусы, связанные с его использованием. Вопрос практической целесообразности применения подобного инструментария в конкретной ситуации мы оставим на усмотрение читателя.

В седьмой главе приводится ряд практических советов по внедрению системы управления информационными рисками, начиная с необходимых предпосылок для управления рисками, разработки документации, формирования организационной структуры, проведения пилотного проекта и заканчивая полной оценкой рисков и поддержкой жизненного цикла процессов управления рисками.

В конце каждой главы приведен список несложных вопросов, над которыми рекомендуется самостоятельно поразмыслить, прежде чем переходить к чтению следующей. По ходу изложения материала предусмотрено также несколько практических заданий, которые мы выполняем на мастер-классе по управлению рисками, чтобы сохранить бодрость ума для лучшего восприятия материала и закрепить полученные знания. Читателю мы предлагаем не лениться и последовать нашему примеру, т.к., несмотря на все усилия автора, материал книги местами достаточно абстрактен и требует для своего восприятия свежего и подготовленного ума.

Информация справочного характера вынесена в Приложения.

Для кого написана эта книга?

image_pdfimage_print

Эта книга рассчитана на широкую аудиторию просвещенных людей, интересующихся вопросами управления информационными рисками в стремительно меняющемся информационном веке, в котором не действуют привычные стереотипы, не работают старые правила, подвергаются пересмотру экономические законы, принципы ведения бизнеса и человеческие ценности, а информация превращается в один из главных и наиболее уязвимых активов.

Безусловно, в первую очередь данный материал должен заинтересовать специалистов по информационной безопасности, включая менеджеров, аудиторов, экспертов, аналитиков, инженеров, а также всех тех, кто:

  • принимает решения по информационной безопасности и ее финансированию;
  • имеет отношение к оценке и управлению информационными рисками в организации;
  • участвует в планировании и проведении аудитов информационной безопасности;
  • осуществляет планирование мероприятий по информационной безопасности и расставляет приоритеты;
  • формирует и обосновывает бюджет на информационную безопасность;
  • оценивает экономическую эффективность и целесообразность реализации защитных мероприятий;
  • внедряет системы управления информационной безопасностью и/или готовит организацию к сертификации по требованиям международного стандарта ISO 27001.

Автор также надеется, что эта книга окажется интересной и полезной для значительно более широкой аудитории, включая специалистов в области информационных технологий различных профилей, руководителей бизнеса, риск-менеджеров, а также для всех тех, кто желает:

  • взять под контроль риски информационной безопасности во всех сферах деятельности;
  • расширить и углубить свое понимание сущности процессов обеспечения информационной безопасности;
  • перейти от общих рассуждений о связи бизнеса, информационных технологий и безопасности к реальным действиям по управлению этими взаимосвязями;
  • взглянуть на проблемы безопасности с точки зрения бизнеса и, наоборот, оценить надежность и жизнеспособность бизнеса с точки зрения защищенности его информационных активов.