Posted 28 января 2019,, 16:17

Published 28 января 2019,, 16:17

Modified 16 августа 2022,, 21:51

Updated 16 августа 2022,, 21:51

Хакеры в энергетике: любой потенциальный ущерб может быть застрахован

28 января 2019, 16:17
Преподаватель Высшей школы бизнес-информатики ВШЭ Виталий Камалов — о кибератаках на энергосети, выгодоприобретателях таких атак и о «русских хакерах»
Сюжет
АЭС

Не так давно The Wall Street Journal опубликовала материал, в котором содержались сенсационные данные о диверсиях российских хакеров, якобы имевших место в 2016-2017 гг. Издание сообщило, что они проводили целенаправленные атаки на сотни подрядчиков в США, Канаде и Великобритании, подготавливая плацдарм для масштабной диверсии с целью вывода из строя энергетической системы США. Это далеко не первая попытка «скрестить» Россию с киберпреступлениями и энергообъектами Соединенных Штатов. Летом 2017 г. Bloomberg сообщал, что хакеры проникли в компьютерные системы 12 электростанций США, включая ядерный объект The Wolf Greek в Канзасе. Уже тогда агентство со ссылкой на свои источники распространило информацию, что подозрение в связи с потенциальным взломом падает на Россию.

Термин «потенциальный взлом» весьма размыт. Доказать, был ли данный инцидент на самом деле или нет, могут только специалисты, доступ которых на энергообъекты любой страны ограничен. Оправдаться по обвинению в киберпреступлении, как показывает практика, не представляется возможным.

А дивиденды от «потенциальных взломов» могут быть весьма высоки. Воспользоваться ими могут не только политики и спецслужбы, повышающие бюджеты для борьбы с киберугрозами, но и рядовые энергокомпании.

Пожалуется клиент на сбои в системе энергоснабжения, а тут, как нельзя кстати, возникнут «русские хакеры», так что и страховые случаи можно будет списать на кибератаки. И если учесть, что в США который год буксует реформа атомной энергетики, хакеры любой национальности станут просто подарком судьбы.

В России этот опыт еще не прижился, за сбои в энерго- и газоснабжении отвечают отраслевые компании, но, возможно, это дело времени.

Насколько актуальна в мире угроза хакерских атак, в том числе и в энергетике, корреспондент «Нефти и Капитала» расспросила преподавателя Высшей школы бизнес-информатики (ВШБИ) Высшей школы экономики Виталия Камалова.

«НиК»: Что такое хакерство на самом деле — пиар, антипиар или реальная угроза?

— Для начала давайте определим хакерство как деструктивное воздействие на ресурс с помощью программных или программно-аппаратных средств без доступа к ресурсу на законном основании. Мировая статистика ущерба от противоправных действий даже не говорит, а вопиет о том, что хакерство — это реальная и очень опасная угроза.

А уж на этой реальной угрозе кто-то делает пиар, кто-то — антипиар, кто-то — капитал, в том числе политический.

«НиК»: Что дает хакерам взлом систем безопасности не финансовых, а промышленных организаций?

— Всякое деяние имеет мотив. У так называемых киберпреступлений, как и у других преступлений, основные мотивы — это корысть и месть. Нередко — «спортивный интерес», чувство превосходства, жажда славы. К сожалению, все чаще мотивом кибератак становится нетерпимость на почве политических, идеологических, религиозных различий. И тогда цель — не столько извлечь свою выгоду, сколько нанести максимальный ущерб «противнику». Такие действия называют кибертерроризмом. И они уже несут опасность не конкретным субъектам — владельцам ресурсов, а всему обществу.

«НиК»: Когда началась американская «охота на ведьм», или борьба с российскими хакерами? И были ли русские хакеры первыми, кого начали обвинять во всех смертных грехах?

— Реальный интерес к сочетанию слов «хакер» и «Россия», наверно, возник с середины 1990-х гг., с дела американского Citibank и, как его называли в прессе, хакера №1 Владимира Левина. Тогда из Citibank «увели» более $10 млн. Но не надо думать, что вся Америка только и говорит, что о «страшных русских хакерах». Сильные программисты, «сетевики» и, соответственно, хакеры есть и в Америке, и в Индии, Китае, Великобритании, Мексике, в странах Юго-Восточной Азии.

А вообще, если хакер «засветил» страну своего происхождения, то он уже не самый хороший хакер.

И совсем отдельная тема — интернациональные сообщества хакеров.

Также надо сказать и о том, что полноценная результативная атака на серьезный ресурс — это не только написать и запустить программку взлома банка и перевода голимой тучи бабла на свой счет на Мальдивах! Нет, наверно, бывает и так… Но чаще это и социальная инженерия, и маркетинговые исследования, и так называемая деловая разведка, и вербовка инсайдеров, и отвлекающие инциденты, и еще куча мероприятий.

Правда, и беспечность владельцев ресурсов иногда бывает фантастической! В одной стране я решил воспользоваться услугой бесплатного Wi-Fi сети городских туристических автобусов. Телефон обнаружил сеть, показал адрес точки доступа. При обращении по этому адресу и вводе типового (!) логина без пароля (!) попал в управление всей подсетью… Аккуратно вышел и запретил телефону входить в эту сеть. Нет, это была не ловушка! Это была беспечность.

«НиК»: Как эта кампания борьбы с хакерами повлияла на бюджет организаций, занимающихся кибербезопасностью, в США, Канаде, Великобритании, а также в России?

— Мы чуть раньше говорили про пиар и антипиар. Результат грамотного использования того и другого — рост доходов в коммерции и рост бюджетов в госсекторе.

«НиК»: Могут ли энергокомпании США застраховаться от действий «российских хакеров»? Либо речь идет о списании сбоев в работе на хакерский след?

— Страховые компании в США и Европе сейчас страхуют весьма экзотические случаи (от похищения инопланетянами и введения «сухого закона» до повышения цен на бензин и непорочного зачатия). Если найдете такую компанию, заключите договор, в случае хакерской атаки докажете ущерб и принадлежность источника ущерба к страховому случаю… Практика западного страхового дела говорит о том, что практически любой потенциальный ущерб может быть застрахован. Будут хакеры или нет, «это науке неизвестно»… А страховая премия — вот она!

В России, кстати, некоторые банки страхуют владельцев банковских карт от незаконного списания денег с карты, в том числе вследствие хакерских атак.

«НиК»: Можно ли получить страховые выплаты в том случае, если страховщик будет убежден в работе хакеров?

— Не хотелось бы опробовать это на себе.

«НиК»: Насколько вообще актуален вопрос кибербезопасности?

— В самом начале 2019 г. эксперты Всемирного экономического форума в Давосе уже в 14-й раз опубликовали ежегодный доклад о главных угрозах мировому порядку «Глобальные риски». Это результат опроса около 1000 человек — представителей правительств, бизнеса, научного сообщества, общественных организаций.

Уже много лет в тройке-пятерке наиболее вероятных угроз — кибератаки.

Так вот, в 2019 г. эксперты поставили на четвертое и пятое место угрозы «Кибератаки: кража данных или денег» (82%) и «Кибератаки: нарушение операций или работы инфраструктуры» (80%). Эксперты считают кибератаки угрозами такого же масштаба, как «Экономическая конфронтация между ведущими державами» (91%), «Размывание международных торговых правил и соглашений» (88%), а также «Политическая конфронтация между ведущими державами» (85%).

«НиК»: Существует ли некая панацея против хакерства?

— Когда не было компьютеров, не было и хакеров. Правда, были медвежатники и шниферы (разницу посмотрите в «Википедии»)... Слово «панацея» неприменимо к управлению рисками. Есть система управления информационной безопасностью, которая реализует комплекс мер, снижающих до приемлемого уровня риски реализации угроз от хакеров (в широком смысле определения) как части рисков компании вообще.

«НиК»: Информационная безопасность в сфере программного обеспечения — это не только хакеры. Какие вы видите здесь направления деятельности для специалистов?

— Да, есть еще фрикеры, ботеры, фродеры, кардеры, крэкеры (это не печеньки!), крипторы, спамеры и еще куча «замечательных парней». В тройке основных источников угроз — инсайдеры. И в направлениях деятельности для специалистов нет ничего нового! При построении системы управления информационной безопасностью надо использовать оптимальное сочетание контрмер из всего спектра возможных: организационных, административных, правовых, физических, технических, программных, аппаратных (классификации мер различны)...

Например, безусловно, необходимо повышение «дуракоустойчивости» используемых программно-технических средств для снижения числа нарушений по неосторожности (не случайно при стирании файла вас сначала спросят, правда ли его надо стереть, а потом стертый файл все-таки поместят во временное хранилище — «корзину»). Но для снижения рисков тех же неосторожных нарушений также необходимо повышение компетентности и ответственности сотрудников путем систематического технического обучения, наличие программы мотивации, повышение корпоративной культуры и правовой грамотности, а еще нужен запрет доступа к ресурсу для «неподготовленных» лиц, а еще запрет/контроль «втыкаемых» в компьютеры «типа суперзащищенной сети» флэшек, а еще резервное копирование и антивирусы и т.д., и т.п., и пр., и пр., и пр.

Знаете, есть такой анекдот: — Мой друг вчера за пять минут сервер сломал. — Он что, хакер? — Нет, придурок!

«НиК»: Есть мнение, что антивирусные компании сами грешат хакерством. Насколько это верно?

— Если имеется в виду исследовательская работа компании по выявлению (и часто нахождению) уязвимости ресурсов с целью предупреждения ущерба, то это правильная деятельность. Если же цель — выпустить «кракена», чтобы потом его выгодно усмирить… У меня нет подтвержденных данных о таких фактах. И не думаю, что нормальным владельцам компаний такой способ увеличения доходности нравится. Это, конечно, не исключает неконтролируемых самостоятельных действий отдельных сотрудников, обладающих специальной квалификацией. Но, во-первых, это деяние уголовно наказуемо, а во-вторых, повторюсь, на мой взгляд, серьезным антивирусным компаниям такая «слава» только во вред репутации и, как следствие, продажам.

«НиК»: Согласно экспертной оценке, большинство действующих реакторов в США (а их порядка 99) имеют весьма почтенный возраст — не менее 30 лет. Программа реконструкции атомной энергетики США уже столкнулась с рядом сложностей. Прогнозируете ли вы в связи с этим увеличение хакерских атак на данный энергетический сектор?

— Когда-то в советской деревне у детей было развлечение — хакерская атака на энергетическую систему страны: бросить лом на провода! Искры, короткое замыкание (на жаргоне — «коза»), брызги жидкого металла, восторг, автомат отключает линию на подстанции… Результат — отказ в обслуживании. Чем не DoS-атака по току? Увы, сейчас растет число атак, движимых всем спектром мотивов. Статистически просто потому, что растет проникновение информационных (в том числе сетевых) технологий во все сферы жизни и деятельности человека. Могу спрогнозировать, что когда-нибудь (может быть, при нашей жизни) появятся атаки на ПО чипов, вживляемых людям для, например, контроля состояния здоровья, регулирования обмена веществ или управления частями экзоскелета. Ведь были же хакерские атаки на программное обеспечение «умных» японских унитазов!

«НиК»: Может ли Россия или любая другая страна доказать свою непричастность к сбоям в энергосистеме США?

— При таких инцидентах доказать свою непричастность можно, только доказав вину кого-то другого. В крайнем частном случае — пытаться аргументированно опровергать каждый конкретный элемент предъявляемого обвинения. Опять же, что в данном случае подразумевается под словом «Россия» или «страна»? Видимо, имеется в виду ситуация, когда некие лица получают плату (оплату, зарплату или иное поощрение, например избавление от уголовной ответственности за хакерство) от государственных структур (возможно, через посредников) именно за данную деструктивную деятельность, выполняемую именно по заданию этих самых государственных структур, действующих по указанию или с согласия высоких должностных лиц государства. Даже если некий условный «хакер» сидит в российской коммерческой или государственной структуре и по подстрекательству начальника (или друга-маркетолога) ломает сервер западного конкурента, нельзя говорить, что это «виновата Россия».

С другой стороны, в мире, как говорит интернет, есть некоторые практики доказывания причастности тех или иных организованных групп лиц к совершению киберпреступлений. И это, скажем так, не «чисто компьютерные» мероприятия.

«НиК»: Существует ли возможность борьбы с отдельными хакерскими группами, работающими самостоятельно?

— Что значит «борьба»? Средства защиты, по крайней мере организационно-технические, от действий отдельных самостоятельных хакерских групп не сильно отличаются от защиты от «несамостоятельных» хакерских групп, которые делают, в общем-то, наверно, то же самое, только «писанины больше». Если же под борьбой понимается в законном порядке прекращение деятельности преступной хакерской группы и привлечение ее к ответственности, то государству тут все возможности в руки: и флаг, и барабан, и те самые группы «с писаниной»…

«НиК»: Какая отрасль, на ваш взгляд, наиболее подвержена хакерским атакам? И для каких отраслей они наиболее опасны?

— Понимая мотивы хакеров, можно сказать, что рисковыми являются системы и объекты, где:

  • есть что взять (деньги, коммерческие и промышленные секреты, персональные данные и т. д.);
  • ущерб вызовет общественный резонанс и/или «чувство глубокого удовлетворения» у хакера (госорганы, СМИ, объекты жизнеобеспечения и т. д.);
  • сильная защита от атак («Кто молодец? Я молодец!»);
  • слабая защита от атак (так, поучиться и «размяться»);
  • конкретные предприятия в состоянии или после конфликта («Месть, месть, месть!»).

К сожалению, число атакуемых объектов растет постоянно практически во всех категориях.

«НиК»: На работу российских АЭС, а также других важных энергообъектов можно повлиять извне? То есть насколько их программное обеспечение связано с современными глобальными сетями?

— Про ПО на АЭС и иных «ЭС», к счастью, не знаю. АЭС и их сети связи будут внесены (если уже не внесены) в перечень объектов критической информационной инфраструктуры РФ (см. закон от 26 июля 2017 года №187-ФЗ). Но и иное законодательство РФ (например, об атомной энергетике) предусматривает защиту информационных систем генерирующих мощностей.

Теоретически же, если есть сеть (хотя бы между станцией и узлом энергосистемы), то есть и точки входа в нее.

Если в сети есть оборудование, его можно атаковать. Остается надеяться, что оборудование, которое в сети, не имеет отношения к управлению реакторами. Тем более что «сведения о мерах по обеспечению безопасности критической информационной инфраструктуры Российской Федерации и о состоянии ее защищенности от компьютерных атак» составляют государственную тайну.

«НиК»: Ряд западных компаний в последнее время рекламируют так называемые «умные сети», которые благодаря новому программному обеспечению способны более эффективно перераспределять энергонагрузки. Данное оборудование может подвергнуться хакерским атакам?

— Любое оборудование (или комплекс оборудования) может подвергнуться в широком смысле хакерским атакам, если оно доступно извне непосредственно или через инсайдера. Причем чем «умнее» система, тем больше у нее уязвимостей. Посему время предъявляет все более серьезные требования к управлению информационной безопасностью, в том числе в энергетике.

Эти требования нельзя соблюсти только средствами чисто информационной безопасности на уровне только управления информационной безопасностью. В любую систему при проектировании необходимо закладывать возможности обеспечения устойчивости к максимально широкому набору рисков, включая хакерские атаки извне и атаки или некомпетентные действия изнутри. В любую систему при эксплуатации надо закладывать и взаимоувязывать управление рисками по всему спектру угроз, в том числе в области информационной безопасности.

Беседовала Екатерина Дейнего

"