Все для киберфронта, все для победы

Статьи

09.03.2017   Автор: Николай НОСОВ

За инцидентами в информационном пространстве сегодня порой стоят не только отдельные хакеры и преступные организации, но целые государства. Ответом на эти угрозы стало принятие новой Доктрины информационной безопасности.  
 
Прошлогодний взрыв интереса к проблемам информационной безо­пасности был вызван множеством причин. Саммит НАТО объявил киберпространство театром военных действий. Скандалы со взломом серверов Демократической партии связали с результатами президентских выборов в США. Хакерская атака на Центральный банк Бангладеш привела к бесследному исчезновению $81 млн через систему SWIFT. Прошли успешные атаки на российские банки. Не остался в стороне даже спорт – хакерская группа Fancy Bears взломала базы данных Всемирного антидопингового агентства.
 
Количество инцидентов информационной безопасности растет, преступники объединяются, идет процесс специализации и разделения труда, позволяющий совершать противоправные действия даже людям, плохо разбирающимся в ИТ. Киберпреступления стали предоставляться как сервис.
 
Позиция государства – приоритет национальным интересам
 
Россия отреагировала на новые угрозы на самом высоком уровне. В декабре 2016 г. Президент РФ подписал новую Доктрину информационной безопасности. В фокусе доктрины – информационно-психо­ло­гические и информационно-технологические аспекты инфобезопасности. Основа нового подхода – изложение угроз и направлений деятельности с учетом стратегических национальных приоритетов, включая защиту конституционных прав и свобод граждан в отношении распространения информации.
 

Д. Грибков. В доктрине введено новое понятие «информационная сфера»Из новой редакции исчезла формулировка «цензура запрещается», но, как объяснил на «Инфо­фо­­руме-2017» референт аппарата Совета Безопасности РФ Дмитрий Грибков, это было сделано, чтобы не дублировать соответствующие положения Конституции. Он подчеркнул важность доведения до населения правдивой информации о деятельности государственных органов власти, что отмечалось и в утратившей силу Доктрине информационной безопасности, действовавшей с 2000 г.

 
По сравнению со Стратегией национальной безопасности РФ, принятой в 2009 г., в доктрине сокращено с девяти до пяти количество стратегических национальных приоритетов. Нет таких приоритетов, как повышение качества жизни российских граждан, здравоохранение, экология и культура. «Это не потому, что мы их считаем незначимыми, просто они не ложатся в те стратегические направления, которые здесь присутствуют», – пояснил Дмитрий Грибков. Зато более подробно изложены приоритеты, связанные с национальной обороной, государственной и общественной безопасностью, образованием и наукой, стратегической стабильностью, с обеспечением безопасности в экономической сфере.
 
Основные информационные угрозы
 
В доктрине подчеркивается, что практика внедрения информационных технологий без увязки с обеспечением информационной безо­пасности существенно повышает вероятность проявления информационных угроз.
 
Таких угроз в доктрине обозначено много. Ряд зарубежных стран наращивает возможности информационно-технического воздействия на информационную инфраструктуру в военных целях. Усиливается деятельность организаций, осуществляющих техническую разведку в России. Спецслужбы отдельных государств пытаются дестабилизировать внутриполитическую и социальную ситуацию в различных регионах мира с целью подрыва суверенитета и нарушения территориальной целостности государств. В зарубежных СМИ растет объем материалов, содержащих предвзятую оценку государственной политики России. Российским журналистам за рубежом создаются препятствия, российские СМИ подвергаются дискриминации. Террористические и экстремистские группировки нагнетают межнациональную и социальную напряженность, занимаются пропагандой, привлекая новых сторонников.
 
В доктрине отмечается рост масштабов компьютерной преступности, прежде всего в кредитно-финансовой сфере, увеличение числа преступлений, связанных с нарушением конституционных прав и свобод человека, неприкосновенности частной жизни, законодательства о защите персональных данных.
 
Также в качестве угроз рассматриваются высокий уровень зависимости отечественной промышленности от зарубежных информационных технологий (электронная компонентная база, программное обеспечение, вычислительная техника, средства связи) и низкий уровень эффективности российских научных исследований, направленных на создание перспективных информационных технологий. Отечественные разработки плохо внедряются, кадровый потенциал в этой области низкий.
 
Безопасность критической информационной инфраструктуры
 
В доктрине отмечен рост компьютерных атак на объекты критической информационной инфраструктуры. Их источником могут быть иностранные государства, террористы и криминальные элементы. Масштабы и сложность таких атак растут.
 
В декабре прошлого года Пра­ви­тельство РФ внесло в Госдуму пакет законопроектов о критической информационной инфраструктуре страны. Документы предусматривают, в частности, создание реестра значимых объектов этой инфраструктуры и введение уголовной ответственности за кибератаки на них.
 
К объектам критической информационной инфраструктуры, согласно законопроектам, относятся информационные системы, телекоммуникационные сети и автоматизированные системы управления технологическими процессами, которые используются государственными органами и частными организациями, работающими в сферах обороны, здравоохранения, транспорта, связи, финансов, энергетики и в различных отраслях промышленности.
 

А. Лукацкий: «Критическая информационная инфраструктура требует от компаний вложений, на которые многие не готовы»Пакет законопроектов уже принят Госдумой в первом чтении. Однако, как отметил на CSF-2017 бизнес-консультант по безопасности Cisco Алексей Лукацкий, 90% критической информационной инфраструктуры России принадлежит частному бизнесу и такие законопроекты должны с ним согласовываться. Простой перенос на частный бизнес требований, применявшихся раньше к государственным организациям, которые работают с содержащей гостайну информацией, может его разрушить. Нужно не диктовать бизнесу, что ему следует делать, а осуществлять государственно-частное партнерство.

 
В целом существует тренд на усиление роли государства в вопросах обеспечения ИБ информационной сферы страны. Ужесточены требования по безопасности к государственным информационным системам в изменениях в ФЗ «Об информации, информационных технологиях и о защите информации», принятых летом прошлого года. На рабочих комиссиях в Госдуме РФ обсуждаются вопросы безопасности мобильных приложений. Выступивший на форуме БИТ-2017 член АРСИБ Александр Першин отметил, что широкое использование мобильной связи в работе сотрудников органов государственной власти требует дальнейшего развития законодательства и разработки закона о национальной мобильной платформе, обеспечивающего цифровой суверенитет государства в области мобильных технологий.
 

А. Першин: «Сегодня все понимают, что доверять распространенным мобильным технологиям в полной мере нельзя»Активные исследования в области информационной безопасности проводит ФСТЭК. Появились «Требования к межсетевым экранам», которые были утверждены приказом ФСТЭК России от 9 февраля 2016 г. № 9 и вступили в силу 1 декабря 2016 г. Разработаны методические документы, содержащие профили защиты межсетевых экранов, и проведена их типизация. Утверждены требования к операционным системам, которые вступают в силу в июне 2017 г. Ведутся работы над проектом требований по защите информации, обрабатываемой при помощи облачных технологий, которые планируется завершить к концу года.

Криминал как сервис
 
Во всем мире продолжается рост числа компьютерных преступлений, причем вклад «русских хакеров» в этот процесс очень весом. Как отметил Сергей Золотухин, менеджер по развитию бизнеса Group-IB, к созданию 16 из 19 троянов для ПК, наиболее активно использующихся для хищений по всему миру, причастны русскоязычные программисты.
Особенно значителен прирост хищений с мобильных устройств на платформе Android. Взрывной рост обеспечили новые схемы хищений через SMS и поддельный мобильный банкинг. При этом используются более совершенные трояны, веб-фейки – поддельные веб-страницы, выглядящие как оригинал, но созданные для передачи вводимых паролей злоумышленнику, и веб-инжекты, изменяющие содержимое веб-страницы на стороне клиента с добавлением туда своего контента (например, запрашивающего кодовое слово).
 

Д. Фролов: «Страна у нас большая, а специалистов по компьютерной криминалистике явно недостаточно»Трендом стало использование программ-вымогателей, требующих плату за отмену изменений (шифрование данных на диске, блокирование доступа к устройству), которые были произведены троянской программой в компьютере жертвы. Как правило, под атаку попадают компании с критичными бизнес-процессами, не допускающими длительного простоя на восстановление. В прошлом году под такие атаки попадали организации из сферы здравоохранения, в этом году высоки риски атак на банковские системы и на системы управления водными, энергетическими ресурсами и коммуникациями.

 
Особенно опасны целевые атаки, ориентированные на компьютерные системы конкретных организаций. При их проведении для отвлечения внимания стали использоваться не только DDoS-атаки, но и программы-вымогатели. И это тоже новые вызовы нашего времени.
Другой тренд – разделение труда в мире киберпреступности и появление узкой специализации. Одни пишут зловредный код, другие осуществляют проникновение в систему, третьи выводят деньги, которые потом обналичиваются четвертыми. Группы предоставляют свои услуги по сервисной модели, что делает возможным организацию атак широким кругом злоумышленников, не имеющих высокой квалификации в области компьютерных технологий.
 
По данным Дмитрия Фролова, начальника FinCert Банка России, в 2016 г. было совершено 24 атаки на платежные сегменты коммерческих организаций, около 2,9 млрд руб. пытались похитить и около 1,3 млрд руб. удалось вывести. Новой тенденцией стали атаки на АРМ КБР банков. Все это требует повышения требований к обеспечению инфобезопасности в кредитно-финансовой сфере.
 
Новые технологии несут новые риски
 
и открывают новые возможности по обеспечению безопасности граждан. Так, на «Инфо­фо­руме-2017» была представлена геоинформационная система, в которой все объекты, датчики, устройства и даже видеоизображения привязаны к географическим координатам и времени – этакий виртуальный 3D-мир с объективной реальностью. Как рассказал Андрей Бураков, вице-президент разработавшего систему консорциума «Интегра-С», она дает пользователю возможность выбрать точку на карте, после чего автоматически подключает все камеры, с которых эта точка просматривается, и транслирует изображение на экран. На базе такого решения может быть создана система безопасности даже в масштабе государства.
 
Проект «Безопасный город» на этой интеграционной платформе уже реализован в Новомосковске и выглядит очень перспективным для использования в Москве, где с мая 2016 г. идет тестирование сервиса распознавания лиц на видео, которые снимают городские камеры. Эта система никому не оставит возможности перемещаться незамеченным. Даже если человек не имеет мобильного телефона, его передвижения будет несложно отследить по изображениям с городских видеокамер, установленных в Москве практически везде. Распознавание лиц в связке с анализом полученных изображений в соцсетях и данными видеонаблюдений дает широкие возможности для контроля преступности в городе.
 
Технологии Big Data и Machine Learning позволяют обрабатывать огромные объемы информации, что уже используется службами безопасности. Спектр применения очень широкий – от проверки кандидатов на трудоустройство в компанию до конкурентной разведки, включающей мониторинг информационного поля, выявление источника атаки и активное ей противодействие.
 
Новые технологии несут новые риски. Новый тренд – рост атак на IoT. Например, в октябре 2016 г. прошла DDoS-атака на крупного DNS-провайдера Dyn с задействованием устройств интернета вещей: камер наблюдения, видеорегистраторов и роутеров. Для множества пользователей, в том числе российских, оказались недоступны социальные сети, новостные сайты, стриминговые сервисы, с перебоями работали Twitter, Amazon, PayPal, Pinterest, GitHub, Wix. Как подчеркивает ведущий разработчик Технического центра интернет Дмитрий Белявский, эта атака показала возможности использования злоумышленниками IoT и выявила серьезную проблему: производители массовых устройств в погоне за снижением цены пренебрегают безопасностью. Да и рекомендациям по обеспечению инфобезопасности IoT уделяют мало внимания. «По состоянию на 2016 г. существуют более 250 стандартов по IoT, из них только пять – по защите информации. IETF, который и занимается выработкой стандартов, на сегодняшний день крайне слабо участвует в этом процессе», – констатирует Д. Белявский.
 
Другая проблема – использование в устройствах IoT паролей по умолчанию, причем в некоторых устройствах пользователь даже не имеет возможности их поменять. Кроме того, пользователи редко обновляют прошивки устройств, закрывающих выявленные уязвимости. От момента обнаружения ошибки до ее исправления может пройти несколько лет. Так, исправления ошибки Heartbleed, позволяющей несанкционированно читать память, появились еще в 2014 г. Но и сейчас в Сети работают 200 тыс. устройств, подверженных этой уязвимости.
 
В сфере безопасности облачных технологий больше внимания стали уделять гибридным облакам и атакам на уровне гипервизора. В поле зрения российских специалистов по информационной безопасности попали технологии блокчейн.
 
* * *
 
Борьба «брони» и «снаряда» продолжается. Пред­прия­тиям и организациям придется задуматься о необходимости более полного контроля за инфраструктурой, о создании многоуровневых систем защиты, включающих интеллектуальные системы, которые способны отслеживать и автоматически реагировать на происходящие в сети изменения. А службы ИБ должны еще и еще раз разъяснять, что информационная безопасность – это не разовая акция и не покупка продукта, решающего все проблемы, а сложный рабочий процесс, включающий усилия широкого круга специалистов .