Виртуальный мир все больше обрастает атрибутами мира реального, и даже на уровне государства формируются киберкомандования для противостояния новым вызовам. О реальных и мнимых угрозах в киберпространстве, способах защиты от них и, конечно, о нашумевшем «вмешательстве русских хакеров» в американские выборы аналитический портал RuBaltic.Ru побеседовал с экспертом в сфере кибербезопасности, консультантом ПИР-Центра Олегом ДЕМИДОВЫМ.
— Г-н Демидов, киберугрозы в современном мире — реальная или мнимая проблема в сфере международных отношений?
— Конечно, такая проблема реальна. Она действует по многим направлениям сразу. Во-первых, это большой сегмент угроз, связанный с компьютерной преступностью, где более всего представлены финансовая киберпреступность, финансовое мошенничество, похищение активов, денег со счетов, причем как с электронных кошельков граждан, так и со счетов банков.
В последние несколько лет проблема с банками вышла на глобальный уровень в плане инфраструктуры. Начиналось все с атак на банки в 1990-е годы, потом основной фокус сообщества компьютерных финансовых преступников переключился на хищение средств со счетов граждан. Но в последнее время появляются все более частые и в ряде случаев все более успешные попытки компьютерных атак на межбанковские системы проведения электронных транзакций, в том числе на глобальную систему SWIFT.
Несколько лет назад, например, при помощи успешной атаки на эту систему было похищено порядка 80 миллионов долларов со счетов Центрального банка государства Бангладеш.
Сейчас уже можно говорить, что финансовая киберпреступность достигла такого масштаба и уровня компетенций технологического совершенства, что хакеры могут совершать атаки на структуры не только коммерческих, но и национальных банков. И что самое важное, они могут совершать атаки на глобальные системы межбанковских транзакций системы SWIFT.
Это вполне реальная проблема, ущерб от финансовой киберпреступности во всем мире ежегодно растет. Суммы называются разные, существует большой разброс по данным исследований различных компаний. Этот диапазон составляет порядка нескольких сотен миллиардов долларов.
Во-вторых, еще одной самой крупной нишей компьютерной преступности является воровство и похищение активов интеллектуальной собственности, хранящихся в электронной форме. Один из ярких примеров последних лет — осуществление в 2014 году атаки на компанию подразделения Sony, которое занималось производством фильмов в Голливуде. Ущерб составил огромные суммы, так как были похищены материалы сценариев, съемок фильмов. Сценарный материал является дорогостоящим объектом коммерческой интеллектуальной собственности.
Есть угрозы другого характера: так называемые государственные киберугрозы, когда объектом нападения является деятельность государств либо структур, органов, организаций. Здесь наблюдается рост масштабов, изощренности, технологического совершенства и опасности.
Одна из таких ниш — это проведение целевых компьютерных операций на международном уровне, которые могут преследовать цели как компьютерного шпионажа, то есть сбора данных, так и компьютерного саботажа, то есть выведения из строя каких-либо объектов.
Есть такой хрестоматийный пример, который уже много лет остается самым показательным и ярким кейсом подобного рода: компьютерная операция «Олимпийские игры». В экспертном сообществе считается, что ее проводило Агентство национальной безопасности США во взаимодействии с Центральным разведывательным управлением США и спецслужбами Израиля против ядерной инфраструктуры Ирана. В ходе операции в объекты информационной системы иранских научных и исследовательских учреждений, производственных площадок, а также в устройства отдельных ученых, связанных с программой ядерной энергетики, было внедрено шпионское программное обеспечение. Оно позволило собрать большой массив данных об иранской ядерной программе, о ее объектах, которые были созданы для реализации этой программы.
В финальной стадии этой шпионской операции было внедрено средство компьютерного саботажа с целью диверсии на производственном объекте по обогащению урана, который был размещен в иранском городе Нетенз. Объект довольно сильно пострадал, потому что вредоносное программное обеспечение несколько месяцев функционировало и нарушало технологический процесс в информационных системах предприятия обогатительного комбината. В результате были физически выведены из строя центрифуги по обогащению урана, на некоторое время удалось остановить около тысячи центрифуг. Это, по различным оценкам, затормозило развитие иранской ядерной программы на период от нескольких месяцев до года и более. И такие случаи не единичны.
К сожалению, в последние годы все чаще регистрируются инциденты, когда есть основания предполагать, что за компьютерной атакой стоят не просто какие-то преступные группировки, а спецслужбы какого-либо государства или же преступные группировки, но действующие по заказу каких-либо государственных органов. Более того, такие группировки ведут деятельность на постоянной основе.
Это постоянная, практически штатная структура, которая проводит мониторинг уязвимости объектов, внедряет какие-либо элементы вредоносного программного обеспечения для последующей эксплуатации уязвимостей, планирует и проводит целевые компьютерные атаки.
Такие группировки называются APT. В последние годы на их совести целый ряд инцидентов, в том числе атака на системы энергоснабжения на западе Украины в 2015 году. Тогда две области Украины остались без света. Также фиксировались случаи подобных атак на энергетическую инфраструктуру Германии. Отдельно можно упомянуть случай, когда была проведена успешная компьютерная атака на инфраструктуру сталеплавильного завода в Германии. В результате был нарушен технологический процесс доменной печи, промышленный объект получил очень серьезный ущерб. Технологический процесс пришлось восстанавливать очень долго, и это дорого обошлось, так как он должен быть непрерывным.
Это всего лишь ряд примеров, капля в море. В последнее время такие инциденты регистрируются все чаще как в сегменте финансовой преступности, так и в сегменте хищения интеллектуальной собственности, что также зачастую происходит не по коммерческим, а по государственным мотивам.
Долгое время, к примеру, США обвиняли Китай в том, что хакеры Поднебесной, связанные со своим правительством, проводят операции по похищению интеллектуальной виртуальной собственности у американских компаний, включая и те, которые связаны со стратегическими отраслями (оборонного и аэрокосмического секторов).
— В США популярна тема влияния «русских хакеров» на исход президентских выборов. Насколько это вообще реально?
— По-хорошему, этот вопрос нужно разбить на два. Могла ли быть нарушена информационная инфраструктура американских политиков, участвовавших в предвыборной кампании, и штабов Республиканской и Демократической партий? Да, безусловно, она могла быть нарушена. То, что, по мнению американской стороны, случилось, не требует какой-то выдающейся сложности. Это не пример какой-нибудь продвинутой операции, с технической точки зрения это довольно тривиальные действия. Тогда были банально взломаны почтовые серверы ряда участников штаба Демократической партии, и через доступ к их почтовым ящикам, аккаунтам были похищены переписки, документы о финансировании избирательной кампании, данные социологических опросов и т.д.
Взломать почтовый сервер не то чтобы очень сложно. Это не является чем-то выдающимся. С точки зрения технической возможности это абсолютно реально. Те примеры операций против промышленных и стратегических объектов, о которых я упоминал ранее, несравнимо более сложные.
Вторая составляющая вопроса — насколько такое вмешательство могло изменить исход выборов. Это уже не к эксперту в сфере кибербезопасности; это тема для американистов, социологов, политологов, специалистов по электоральному процессу. Я это оценить не могу.
— Какие меры защиты могут противостоять кибератакам? Может ли рядовой гражданин не беспокоиться, например, о своем вкладе в банке?
— В действительности не все так грустно. Угрозы есть, но и развитие технологий безопасности тоже происходит, и это классический пример гонки брони и снаряда. Если говорить о банках, то России второй или третий год удается более или менее сдерживать общий рост ущерба от компьютерных атак на банковскую инфраструктуру. Развитие атак все равно происходит, они с каждым годом становятся более изощренными, совершенными, дерзкими и амбициозными. Но за счет того, что на различных уровнях принимаются защитные меры, на российском рынке удается вытягивать ситуацию в ноль.
За счет чего это происходит? Центральный банк у нас стал довольно активно играть как регулятор именно в этой плоскости, то есть в области обеспечения и постановки требований к банкам по компьютерной и информационной безопасности. Это не только требования, но и инструменты, которые банки могут использовать.
Так, в 2015 году в Центральном банке РФ был создан Центр реагирования на компьютерные инциденты, который называется FinCERT. К нему подключено большинство банков России. Этот механизм себя оправдал, но ему еще есть куда развиваться, потому что уже предлагается создать параллельный механизм, который был бы еще более оперативным по взаимодействию и отражению компьютерных угроз в банковском секторе.
В ряде отраслей российской промышленности существуют объекты критической информационной инфраструктуры. В последний год, может быть, полтора года происходят большие подвижки с обеспечением их безопасности. Это происходит, потому что в прошлом году был принят Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». С этого года он вступил в силу и предполагает комплексную политику в отношении обеспечения безопасности. Там есть два регулятора, которые за это отвечают: служба по техническому и экспортному контролю и ФСБ. Также есть довольно обширный ряд требований к операторам таких объектов.
В рамках закона создается общегосударственная национальная система «ГосСОПКА» (государственная система обнаружения и предупреждения компьютерных атак). Ее создание было инициировано в соответствии с указом Президента РФ от 15 января 2013 года. «ГосСОПКА» — централизованная система; ее технические средства устанавливаются на объекты критической информационной инфраструктуры, они обнаруживают и регистрируют признаки компьютерных атак и позволяют с этими атаками бороться. Кроме того, информация о компьютерной атаке, зарегистрированная на каком-то объекте, передается в аналитический центр.
