Cover_END 3/21/17 6:27 PM Page Cov1
Издание компании
XIV Международная выставка
19–21 сентября 2017
Спецпроект Защита асу тП
ФАкторы, влияющие НА рост рыНкА IoT что реАльНо угрожАет бизНесу? кАк обосНовАть рАсходы НА иНФормАциоННую безопАсНость
Спецраздел IoT
Андрей Нуйкин
Защита технологических сетей
www.itsec.ru
№ 1, март 2017
TB_Forum 3/21/17 6:27 PM Page cov2
13–15 2018
Preview 3/21/17 6:25 PM Page 1
PREVIEW
Минувший год оказался богат на события в области информационной безопасности. В лидерах опять оказались промышленные и банковские системы. Это не удивительно, учитывая все больший разворот бизнеса к дистанционному управлению. Несмотря на развитие рынка, реального практического опыта по обеспечению защиты АСУ ТП в России крайне мало. Кого мы видим на тематических конференциях или в СМИ? Интеграторы, вендоры, в лучшем случае – регуляторы отрасли, а вот представителей предприятий, относящихся к КВО, готовых делиться своим опытом, мы за спикерской трибуной или на страницах изданий почти и не встретим. Означает ли это отсутствие интереса с их стороны к данной теме? Отнюдь. Тема защиты АСУ ТП по-прежнему не теряет своей актуальности, но вот уведомлять об инцидентах, связанных с работой этой системы, – в России пока такой обязанности нет. Отсюда вытекает еще одна проблема, с которой сталкивается специалист отдела защиты информационных систем, – как доказать руководству, что затраты на информационную безопасность – необходимая статья расхода? Ведь доказательств атак, совершенных на российские промышленные предприятия, нет. Также не теряет своей актуальности и другая тема – Интернет вещей. Регулярно исследовательские центры публикуют аналитические отчеты и прогнозируют, что к 2020 или 2022 г. количество устройств превысит 16, а то и 20 млрд. Однако можно посчитать, сколько существующих бытовых устройств уже имеют доступ к Интернету, или даже предположить, каким образом умные вещи изменят работу каждого из нас. Упростят ли они жизнь? Или только пополнят списки устройств для взлома? Но если в случае с АСУ ТП уже есть целый ряд средств и политик безопасности, то пользователи Интернета вещей этого лишены. Как правило, даже нет интерфейсов, позволяющих понять, что устройство скомпрометировано, или обновить его прошивку. Как бы то ни было, но именно технологии Интернета вещей изменят мир до неузнаваемости, и мы уже становимся свидетелями этой трансформации.
www.itsec.ru
Екатерина Данилина, главный редактор журнала “Информационная безопасность/ Information Security"
Свои вопросы по технологии IoT вы сможете задать экспертам, а также обсудить способы защиты промышленных предприятий на XIV Международной выставке InfoSecurity Russia 2017. Ждем вас в "Крокус Экспо" 19–21 сентября.
И до встречи на страницах журнала "Информационная безопасность/Information Security"!
Бронируйте участие в InfoSecurity Russia'2017 на лучших условиях
• 1
Contents 3/21/17 6:26 PM Page 2
СОДЕРЖАНИЕ ИССЛЕДОВАНИЕ Кибербезопасность 2016–2017: от итогов к прогнозам . . . . . . . . . .4
В ФОКУСЕ стр.
Александр Баранов
10
Проблемы отечественной криптографии . . . . . . . . . . . . . . . . . . . . . .8 ПЕРСОНЫ
Андрей Нуйкин Защита технологических сетей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
СПЕЦРАЗДЕЛ ЗАЩИТА АСУ ТП стр.
20
Специфика защиты АСУ ТП . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Роман Краснов Безопасность АСУ ТП сегодня . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Алексей Лукацкий Особенности обеспечения безопасности критической инфраструктуры: взгляд пессимиста . . . . . . . . . . . . .18
JOB
стр.
24
Игорь Писаренко, Вячеслав Ярославцев Университеты как двигатель технологического развития . . . . . .20
ПРАВО И НОРМАТИВЫ Комитет по энергетике рекомендовал к принятию законопроект о безопасности критической информационной инфраструктуры России . . . . . . . . . . . . . . . . . . .23
СПЕЦПРОЕКТ ИНТЕРНЕТ ВЕЩЕЙ стр.
Григорий Сизов Факторы, влияющие на рост рынка IoT . . . . . . . . . . . . . . . . . . . . . . .24 2 •
34
Contents 3/21/17 7:29 PM Page 3
СОДЕРЖАНИЕ Развитие IoT-рынка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Алексей Плешков Рекордсмен по взломам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
ТЕХНОЛОГИИ Андрей Ревяшко Современные компьютерные угрозы: что реально угрожает бизнесу? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Богдан Шкляревский, Абдулазиз Расулев, Шохрухбек Собиров
Журнал "Information Security/Информационная безопасность" № 1, 2017 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "Гротек" Генеральный директор ООО "Гротек" Андрей Мирошкин Издатель Владимир Вараксин Главный редактор Екатерина Данилина, danilina@groteck.ru Корректор Галина Воронина Дизайнеры-верстальщики Анастасия Иванова, Ольга Пирадова
Как осуществляется сбор киберулик . . . . . . . . . . . . . . . . . . . . . . . . .36
Группа управления заказами Татьяна Мягкова
Современные тенденции кибербезопасности . . . . . . . . . . . . . . . . .40
Фото на обложку Алиса Урюпина
ЗАЩИТА СЕТЕЙ
Сергей Вахонин Скажи "нет" своим "пиратам" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Валентин Конявский, Александр Коротин Доверенная информационная среда и противодействие подмене данных и атакам на каналы управления . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44
Юрисконсульт Кирилл Сухов, lawyer@groteck.ru Департамент продажи рекламы Наталья Рохмистрова Рекламная служба Тел.: (495) 647-0442, rohmistrova@groteck.ru Отпечатано в типографии Линтекст, Россия Тираж 10 000. Цена свободная Оформление подписки Тел.: (495) 647-0442, www.itsec.ru
УПРАВЛЕНИЕ Тим Клау Как обосновать расходы на информационную безопасность . . .46
Алексей Плешков "Пока гром не грянет – мужик не перекрестится" . . . . . . . . . . . . . .47
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
Департамент по распространению Тел.: (495) 647-0442, факс: (495) 221-0864 Для почты 123007, Москва, а/я 82 E-mail groteck@groteck.ru Web www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "Гротек", 2017
• 3
positive_research 3/21/17 7:32 PM Page 4
ИССЛЕДОВАНИЕ
Кибербезопасность 2016–2017: от итогов к прогнозам
В
2016 г., помимо традиционных пентестов и анализа уязвимостей, эксперты компании Positive Technologies приняли участие в расследовании ряда инцидентов, включая крупные атаки на банки, а также проанализировали общую картину атак благодаря данным собственного SOC и данным, полученным в ходе пилотных проектов и внедрения продуктов компании в различных организациях. Собранная информация позволяет предложить экспертную оценку ИБ-трендов года, а также сделать определенные прогнозы относительно того, что ждет индустрию в 2017 г.
Общие тренды Потеря данных не лучше, чем потеря денег
Среди найденных в сети Интернет компонентов АСУ
Результатом большинства компьютерных атак 2016 г. (по нашим данным, 46%) стала компрометация данных. Самый яркий пример – "переписка Клинтон", публикация которой, как предполагается аналитиками и СМИ, могла повлиять на исход выборов в США. Не обошли вниманием и простых пользователей: утекло множество учетных данных Yahoo, "ВКонтакте" и других массовых сервисов.
всех сферах, уровень осведомленности большинства компаний очень низок. Потери от одного фишингового письма могут превышать 50 млн евро. Именно с фишинговых писем начались и многие успешные атаки на финансовый сектор России, стран СНГ и Восточной Европы, включая атаку Cobalt1. В России атаки на финансовые структуры стали лидирующими (30%). Только по открытым источникам, более 2 млрд руб. похищены в 2016 г. в ходе атак на российские финансовые сервисы.
ТП только две трети можно условно назвать защищенными. При этом самыми распространенными компонентами, доступными через Интернет (как правило, с несложным словарным паролем) являются системы для автоматизации зданий (Tridium/Honeywell), а также системы мониторинга и управления электроэнергией, в том числе на основе солнечных батарей (SMA Solar Technology).
Целевые атаки: через человека – в корпорацию Более половины кибератак, совершенных в 2016 г., являются целевыми (62%), причем большинство из них направлены на корпоративные активы. В последние годы такие атаки стали более скрытными: среднее время присутствия атакующих в системе увеличилось до трех лет (максимальное – восемь лет). При этом лишь 10% атак выявляются самими жертвами: в 90% случаев они узнают о том, что были атакованы, из внешних источников. Популярным способом проникновения является социальная инженерия, чаще всего – таргетированный фишинг в виде делового письма. Атаки с применением социальной инженерии используются во 1
Выкуп на высшем уровне В прошлые годы Ransomware, т.е. программы, требующие выкупа за прекращение вредоносных действий, в основном ассоциировались с троянами-шифровальщиками, которые терроризировали отдельных пользователей, шифруя файлы на их компьютерах. В 2016 г., не в последнюю очередь благодаря удобству и анонимности использования криптовалюты Bitcoin, атакам с требованием выкупа активно подвергались и крупные организации. Иногда это делают те же трояны-шифровальщики, которые атакуют всех без разбора – как в случае бухгалтерии казанского МВД2, метро Сан-Франциско3 и целого множества американских клиник4. Однако есть и ряд прицельных бизнес-схем.
В частности, продолжает развиваться техника DDoS for Ransom: демонстрация DDoSатаки с обещанием продолжить ее, если не будет выплачен выкуп. Эта бизнес-модель объясняет некоторые DDoSатаки, которые со стороны кажутся бессмысленными рекордами: злоумышленники демонстрируют свои возможности на популярных площадках, чтобы пугать потенциальные жертвы. В некоторых случаях жертвы платят, даже не дожидаясь5 какой-либо атаки на их собственные ресурсы. Другой способ вымогательства – Bug Poaching: хакеры требуют выкуп за информацию об уязвимостях, найденных в Web-приложениях компаний. Хотя такое бывало и раньше, специалисты считают6, что именно в этом году подобная техника стала массовой: пострадали более 30 организаций за год. Мы полагаем, что перечисленные техники вымогательства будут развиваться и в 2017 г.
Промышленные системы управления Под ударом – энергетика Согласно нашему прошлогоднему исследованию7 количество уязвимых компонентов промышленных систем управления из года в год не снижается. Практически половина уязвимостей, найденных уже в 2016 г., имеет высокую степень риска.
https://www.ptsecurity.com/upload/ptru/analytics/Cobalt-Snatch-rus.pdf. http://www.securitylab.ru/news/484185.php. 3 http://www.theregister.co.uk/2016/11/27/san_francisco_muni_ransomware/. 4 https://www.wired.com/2016/03/ransomware-why-hospitals-are-the-perfect-targets/. 5 https://arstechnica.com/security/2016/04/businesses-pay-100000-to-ddos-extortionists-who-never-ddosanyone/. 6 http://www.securitylab.ru/news/482510.php. 7 https://www.ptsecurity.com/upload/ptru/analytics/ICS-Vulnerability-2016-rus.pdf. 2
4 •
positive_research 3/21/17 7:32 PM Page 5
www.itsec.ru
ИССЛЕДОВАНИЕ
Специалисты Positive Technologis выявили уязвимость8 в системе Siemens SICAM PAS для управления энергосистемами. Уязвимость имеет оценку 9,8 по 10-балльной шкале CVSSv3, что соответствует высокому уровню опасности. Данное ПО используется на подстанциях различных классов напряжения в России и многих других странах. Производитель уже подтвердил наличие брешей и выпустил рекомендации по их устранению, но это редкое исключение: лишь 14% уязвимостей АСУ ТП прошлого года устранены в течение трех месяцев. 34% устранялись более трех месяцев, а оставшиеся 52% ошибок – либо вовсе не исправлены, либо производитель не сообщает о времени устранения. В целом среди найденных в сети Интернет компонентов АСУ ТП только две трети можно условно назвать защищенными. При этом самыми распространенными компонентами, доступными через Интернет (как правило, с несложным словарным паролем) являются системы для автоматизации зданий (Tridium/Honeywell), а также системы мониторинга и управления электроэнергией, в том числе на основе солнечных батарей (SMA Solar Technology). Такая ситуация приводит к атакам: в декабре 2015 и декабре 2016 г. были взломаны электросети Украины, электричества были лишены тысячи людей. То же самое ПО для систем управления используется и в других странах, поэтому некоторые уже предпринимают новые меры безопасности – опубликована стратегия США и Канады по защите энергосетей9, а также черновик руководства по кибербезопасности АЭС10 от МАГАТЭ.
Между АСУ и Интернетом вещей По итогам 2015 г. мы отмечали11, что различные системы автоматизации с дистанционным управлением все активнее входят в повседневную жизнь людей – например, взлом умного дома может повлиять на работу вентиляции, отопления
и других систем жизнеобеспечения. Но если в случае АСУ, применяемых на производстве, уже есть целый ряд средств и политик безопасности, то пользователи Интернета вещей лишены такой защиты. Как правило, даже нет интерфейсов, позволяющих понять, что устройство скомпрометировано, или обновить его прошивку, или поставить на нем антивирус. Поэтому неудивительно появление Mirai и других ботнетов из миллионов зараженных Web-камер: даже известная уязвимость в Интернете вещей остается незакрытой годами. Следующим по популярности (для хакеров) умным устройством обещает стать Smart TV. Правда, бизнес-модель здесь другая: телевизор обладает большим экраном, где можно разместить требование выкупа. Не исключено, что ситуация в сфере Интернета вещей может потребовать регулирования минимального уровня защищенности устройств; если производители сами не проявят сознательность в этом вопросе, то подключится государство, которое займется вопросами сертификации и стандартизации подобной продукции. Среди мер противодействия стоит отметить разработку рекомендаций The Industrial Internet Security Framework12. Документ, подготовленный экспертами крупных ИT- и ИБ-компаний, интересен тем, что связывает ICS и IoT общими практиками безопасности. Однако это лишь рекомендации: не факт, что производители IoT-устройств будут их применять.
щенности. В то же время хакеры, увидев "легкие деньги", начинают тиражировать успешные атаки. При этом если в западных странах доминируют атаки на клиентов (60%), то в России активнее атакуют банки: персональные платежи наличными здесь по-прежнему популярнее электронных, и это ограничивает возможности кибер-кражи. Нарушители все реже прибегают к атакам с эксплуатацией уязвимостей нулевого дня, переходя на более простые методы проникновения (например фишинг). При этом сами атаки становятся более проработанными, что включает длительное исследование целей и хорошую маскировку. В частности, злоумышленники чаще применяют легитимные коммерческие инструменты, а также встроенные функции ОС, что позволяет им скрывать свою вредоносную активность в инфраструктуре. Ярким примером могут служить атаки на банки России и Восточной Европы, осуществленные группой Cobalt. Как выяснили наши эксперты в ходе расследования этих инцидентов, злоумышленники взяли на вооружение коммерческое ПО для проведения легальных тестов на проникновение, а для загрузки на серверы и рабочие станции необходимых утилит они применяли легитимные Web-ресурсы (в частности, github.com). Для удаленного управления банкоматами использовалась программа RAdmin, которую активно применяли администраторы атакованного банка, потому ее запуск не вызвал подозрений у отдела безопасности.
Финансы Рост атак на все финансовые системы По оценкам наших экспертов, количество атак будет продолжать расти как минимум на 30% за год. Основные причины такой ситуации – банки используют старые реактивные подходы к ИБ и защиту "из коробки" (которая не работает), отказываются от регулярного анализа защи-
Чем запомнится 2016 год l Потеря данных не лучше, чем потеря денег. Результатом большинства компьютерных атак 2016 г. стали утечки конфиденциальной и приватной информации.
l Целевые атаки: через человека – в корпорацию. Большинство кибератак года являются целевыми. Главный метод проникновения – хорошо таргетированный фишинг.
l Рост атак на все финансовые системы. Злоумышленники используют простые методы и легальное ПО для маскировки, а сами атаки готовятся более тщательно.
l Выкуп на высшем уровне. Крупные компании подвергаются вымогательству с помощью троянов-шифровальщиков, DDoS-атак и уязвимостей Web-сайтов.
l Под ударом – энергетика. Среди промышленных систем управления, доступных через Интернет, лидируют системы автоматизации зданий и управления электроэнергией.
l Между АСУ и Интернетом вещей. Автоматизация управления стала доступна массовым пользователям без необходимых мер безопасности.
l Государственные сайты – самая частая цель Webатак. Наиболее популярны атаки "Внедрение операторов SQL" и "Выход за пределы назначенной директории (Path Traversal)".
l Не верьте спутниковой
Банкоматы по-прежнему под угрозой
навигации. Реализация
Появляются довольно изощренные схемы грабежа, которые включают предварительную атаку инфраструктуры банка для последующего выведения денег из банкоматов – это и уже упомянутая операция Cobalt, а также атаки на Тайване13 (34 банкомата, $2,2 млн) и в Японии14 (1400 банкоматов, $13 млн).
ла стала доступной всем
атак с подменой GPS-сигнажелающим.
l Вами управляет Android. Вредоносное ПО для мобильных устройств получает права суперпользователя и обходит системы защиты.
l Атаки через уязвимости аппаратных платформ. Легальные аппаратные возможности, предусмотренные
8
https://www.ptsecurity.com/ru-ru/about/news/131504/. 9 https://www.whitehouse.gov/sites/whitehouse.gov/files/images/.Joint_US_Canada_Grid_Strategy_06Dec2016.pdf. 10 http://www-ns.iaea.org/downloads/security/security-series-drafts/tech-guidance/nst036.pdf. 11 https://habrahabr.ru/company/pt/blog/258039/. 12 http://www.iiconsortium.org/IISF.htm. 13 http://www.securitylab.ru/news/483085.php. 14 http://www.securitylab.ru/news/482345.php.
самими производителями, могут быть использованы "не по назначению".
• 5
positive_research 3/21/17 7:32 PM Page 6
ИССЛЕДОВАНИЕ мостями (GSM, Wi-Fi, Zigbee, Bluetooth). Тем временем в России активно внедряется беспроводная система "Стриж"16 для учета потребления воды и электроэнергии. Считается, что у проекта большое будущее, поскольку он одобрен президентом. Но исследования безопасности "Стрижа" нам пока неизвестны.
Телеком-оператор как "доверенный провайдер" Рис. 1. Соотношение типов атак, выполняемых вручную
Нарушители все реже прибегают к атакам с эксплуатацией уязвимостей нулевого дня, переходя на более простые методы проникновения (например фишинг). При этом сами атаки становятся более про-
Также остаются популярны атаки на банкоматы с использованием физического доступа к "железу" или к сетевому соединению. Значительное количество уязвимостей находится и в ПО банкоматов, включая уязвимости OS (и старой Windows XP, и новой Windows 7) и уязвимости систем защиты. К примеру, в 2014 г. был обнаружен троян для банкоматов Tyupkin, который отличался тем, что умел отключать защитную систему Solidcore (McAfee), чтобы скрыть свою вредоносную активность. Благодаря этому преступники смогли похитить сотни тысяч долларов из банкоматов Восточной Европы без привлечения внимания.
них затрат и дополнительных условий, а необходимые для этих атак уязвимости встречаются на сайтах по-прежнему часто.
Высокая автоматизация Большая часть Web-атак выполняется при помощи специализированного ПО для поиска уязвимостей. В случае сайтов промышленных компаний количество автоматизированных атак достигает 98%. А вот в случае государственных учреждений и интернетмагазинов картина иная: там преобладают ручные атаки (рис. 1).
Телекоммуникации Гаджеты
работанными, что включает длительное исследование целей и хорошую маскировку. В частности, злоумышленники чаще приме-
Web-приложения Web-ресурсы являются самым популярным объектом для современных кибератак.
няют легитимные коммерческие инструменты, а также встроенные функции ОС, что позволяет им скрывать свою вредоносную активность в инфраструктуре.
Атаки на государственные сайты – самые частые Интернет-магазины занимают вторую строчку в этом рейтинге: в день регистрировалось около 2200 атак. В финансовой сфере PT AF регистрировал около 1400 атак в день. Интересный факт – в 2016 г. был активно атакован информационно-аналитический центр, в функции которого входит обработка результатов государственных экзаменов.
Лидируют простые атакие Наиболее популярные атаки года – "Внедрение операторов SQL", "Выполнение команд ОС", "Выход за пределы назначенной директории (Path Traversal)" и "Межсайтовое выполнение сценариев". Они не требуют лиш15 16
6 •
С одной стороны, новые устройства c беспроводным доступом позволяют оператору значительно увеличить абонентскую базу, т.е. являются новыми желанными клиентами. С другой стороны, это ведет к ответственности за проблемы безопасности. Интересен случай Deutsche Telekom – после того как почти миллион домашних роутеров пострадал из-за хакерской атаки (попытка включения в Mirai-ботнет), немецкий оператор решил пересмотреть отношения с производителем уязвимых роутеров. Уже известны примеры, когда операторы проводят дополнительное тестирование защищенности новых устройств, прежде чем предлагать пользователям эти устройства в рамках своих сервисов.
Не верьте спутниковой навигации Проблема стала достаточно наглядной15 в 2016 г. на таком примере, как подмена GPS-сигнала вокруг Московского Кремля. Для реализации подобных атак не нужно быть спецслужбой – они уже доступны любому.
Атаки через SS7 и Diameter Ряд скандалов со взломом аккаунтов в мобильных мессенджерах типа Telegram или WhatsApp продемонстрировали, что угроза атак через древний протокол SS7 и его более молодого преемника, протокол Diameter, по-прежнему актуальна, хотя операторы начали предпринимать меры для улучшения ситуации.
Слишком много беспроводного Мода на Интернет вещей сопровождается активным использованием известных протоколов с известными уязви-
https://habrahabr.ru/company/pt/blog/309292/. http://uchet-jkh.ru.
Вами управляет Android Поскольку смартфоны становятся основным "пультом управления" современной жизни, внимание злоумышленников к устройствам на базе OS Android не ослабевает. Вредоносное ПО, которое получает на Android-устройствах права суперпользователя и обходит новые системы защиты (Gugi, Hummer, Gooligan), стало обычным делом для 2016 г., а количество пострадавших уже исчисляется миллионами. Большую угрозу представляют легитимные приложения с повышенными привилегиями, которые сами не выполняют вредоносных действий, но содержат уязвимости, позволяющие вредоносным приложениям проводить атаки практически незаметно. Такие уязвимости могут содержаться даже в приложениях, написанных опытными разработчиками.
positive_research 3/21/17 7:33 PM Page 7
www.itsec.ru
ИССЛЕДОВАНИЕ
Известны случаи, когда из-за невнимательного отношения к настройке используемых SDK добавление обычной библиотеки для удобного встраивания рекламы разрешало любому приложению на устройстве выполнять звонки на платные номера. Грядущие атаки на доверенную среду исполнения в мобильных устройствах могут привести к более серьезным последствиям, чем получение root-прав на телефоне (рис. 2). При этом "сфера влияния" мобильных приложений расширяется: приложения для управления бытовыми приборами или для игр с дополненной реальностью (Pokemon Go) дают злоумышленникам новые возможности вмешательства в жизнь своих жертв. А после случаев возгорания Samsung Galaxy Note 7 довольно пугающей представляется идея программного контроля батарей17 мобильных устройств. Утерянные или украденные смартфоны могут стать причиной масштабной утечки ввиду недостаточной защиты данных из-за некорректной реализации приложений. Мобильные устройства также оказываются весьма эффективными для атак на корпоративные сети изнутри, в обход защиты сетевого периметра: пользователи сами подключают зараженные устройства к рабочему Wi-Fi, а вредоносные приложения сканируют и атакуют ЛВС, заражая роутеры18 и рабочие станции пользователей. Помимо этого, мобильные устройства открывают широкий спектр возможностей для промышленного шпионажа через микрофоны и другие сенсоры19.
Атаки через уязвимости аппаратных платформ Если проблемам небезопасного ПО разработчики уделяют внимание уже давно, то вопросы уязвимостей самой аппаратуры еще только поднимаются. А ведь именно аппаратные атаки страшны тем, что зачастую они не зависят от ОС и не могут быть оперативно предотвращены.
Так, например, осенью 2016 г. международная группа исследователей разработала атаку20 для root-доступа к большому количеству Android-устройств. Для этого они применили технику Rowhammer, позволяющую осуществлять манипуляции с данными, хранящимися в соседних ячейках оперативной памяти смартфона. Другая аппаратная возможность архитектуры в процессорах Intel описана экспертами Positive Technologies в декабре на конференции CCC в Гамбурге. Это низкоуровневый отладочный интерфейс, доступ к которому можно получить через USB 3.021. Этот функционал позволяет осуществлять аппаратную отладку гипервизоров, ядра ОС и драйверов. Однако этот же механизм может использоваться и для атак, позволяя взломщику закрепиться в системе и совершить нападение в любой момент времени. При этом такая атака не требует особых финансовых затрат и не будет отслежена никакими системами безопасности. Не исключено, что в 2017 г. атаки через функциональность и уязвимости аппаратных платформ станут новым трендом.
Прогнозы и рекомендации Ожидающийся рост атак на финансовые системы, государственные сайты и корпоративные инфраструктуры с использованием несложных технологий (фишинг, легальное ПО) говорит о необходимости использования более современных средств мониторинга событий и расследования инцидентов (SIEM), систем обнаружения атак на основе машинного обучения (WAF), а также требует значительного повышения осведомленности сотрудников. Слабая защищенность промышленных систем управления (АСУ ТП) в сочетании с ухудшением геополитической обстановки может привести в 2017 г. к увеличению числа кибератак на промышленные объекты, особенно в энергетической сфере. При этом даже такие
17 http://www.cbronline.com/news/enterprise-it/software/samsungapple-software-updates-product-recall-upgrade-economy/. 18 http://searchsecurity.techtarget.com/news/450410127/SwitcherAndroid-Trojan-targets-routers-with-rogue-DNS-servers. 19 https://www.eurekalert.org/pub_releases/2016-09/uab-sh3090716.php. 20 https://habrahabr.ru/company/pt/blog/313546/. 21 https://habrahabr.ru/company/pt/blog/318744/.
Рис. 2. Доли мобильных банковских клиентов, подверженных уязвимостям различной степени риска простые меры безопасности, как использование сложных паролей и отключение компонентов АСУ ТП от Интернета, могут значительно уменьшить риски. Более серьезные меры включают регулярные аудиты безопасности, своевременное обновление уязвимого ПО и использование средств защиты, "заточенных" на специфику конкретных АСУ ТП. Пользователям мобильных устройств рекомендуется уделять повышенное внимание безопасности приложений – в частности, скачивать их только из официальных магазинов, и даже в случае легитимных приложений использовать настройки для ограничения прав доступа к персональной информации и потенциально опасным действиям. Актуальными остаются все советы по безопасности авторизации, включая двухфакторную авторизацию и сложные пароли. Использование сервисов на основе систем спутникового позиционирования желательно дублировать альтернативными методами навигации. В то же время атаки на Интернет вещей показали, что пользователи зачастую лишены возможности самостоятельно контролировать безопасность новых устройств. В данном случае для уменьшения рисков необходимо, чтобы сами вендоры или провайдеры услуг Интернета вещей проводили дополнительные тестирования защищенности устройств перед их выпуском на рынок. Обязать их к такому тестированию могут либо дополнительные правила государственных регуляторов, либо саморегуляция на основе угрозы потери репутации после крупных атак (Mirai). l
Утерянные или украденные смартфоны могут стать причиной масштабной утечки ввиду недостаточной защиты данных из-за некорректной реализации приложений. Мобильные устройства также оказываются весьма эффективными для атак на корпоративные сети изнутри, в обход защиты сетевого периметра: пользователи сами подключают зараженные устройства к рабочему Wi-Fi, а вредоносные приложения сканируют и атакуют ЛВС, заражая роутеры и рабочие станции пользователей.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 7
baranov 3/21/17 6:26 PM Page 8
В ФОКУСЕ
Проблемы отечественной криптографии Александр Баранов, заместитель генерального директора АО “ГНИВЦ" ФНС России, заведующий кафедрой информационной безопасности НИУ ВШЭ
П
Популярность облачной усиленной неквалифицированной подписи объясняется применением ее в налоговом процессе для взаимодействия с массовыми налогоплательщиками. Альтернатива ей, нами предлагаемая, – это криптопровайдер на "борту" налогоплатель-
рошедший год фактически стал заключительным годом, когда применялись старые ГОСТы, старая криптосхема, ключевая структура и подпись. С 2017 г. станет обязательным применение новых, обновленных регулятором ГОСТов. Хотя обновленные продукты соответствуют новым требованиям, их адаптация и внедрение требуют длительного времени. Основные усилия сейчас направлены на практическую сторону: закупку и обновление лицензий. Это рутинная, формальная, но трудоемкая работа.
А в теоретическом плане я, к сожалению, уже давно не наблюдаю серьезных прорывов в области теоретической криптографии: нет новых идей, методов и, соответственно, результатов. Не видно продвижения и в классических криптографических задачах. Работы по криптографии, как известно, состоят из двух частей: закрытой и открытой. Я думаю, что регулятор (ФСБ России) должен рассмотреть систему грантов или выделение каких-либо отдельных работ именно для открытых криптографов: для тех, кто работает в области защиты коммерческой тайны, а также занимается разработкой новых протоколов.
щика. Но он плохо устанавливается, сложно работает, сбоит, т.е. имеет массу недостатков
8 •
Проблемы применения У нас есть также проблемы применения, такие как увеличение скорости работы. Кроме того, у нас до сих пор нет криптографического продукта для массового пользователя. Криптопровайдеры ведущих наших производителей страдают массой недостатков. Такие проблемы, как мультибраузерность и мультиоперационность, не преодолеваются имеющимися у нас криптопровайдерами, которые разработаны несколькими ведущими производителями. И даже с помощью конкуренции пока не удается решить эти проблемы. Создание такого универсального криптопровайдера, по эффективности аналогичного
от Microsoft, похоже, относится не к тактическим, а к стратегическим задачам. Поставить, регулировать, а также организовать приемку работы можно только от лица государственной структуры. Я уже неоднократно говорил, что, к сожалению, популярность облачной усиленной неквалифицированной подписи объясняется применением ее в налоговом процессе для взаимодействия с массовыми налогоплательщиками. Альтернатива ей, нами предлагаемая, – это криптопровайдер на "борту" налогоплательщика. Но он плохо устанавливается, сложно работает, сбоит, т.е. имеет массу недостатков, что мало приемлемо для неквалифицированного пользователя, которым и является массовый пользователь. Blockchain был бы в этом случае идеальным средством, но этот принцип также основан на применении криптопровайдера, а его для массового применения, как отмечено выше, нет. С решением этой проблемы в нашей стране большие трудности. А вот американская SSL работает как часы. Мы ее даже не видим в продукте Microsoft. Их криптопровайдер встроен в ОС по очень многим направлениям, и не все они нам известны. То есть тот API ,что нам известен, не покрывает всех точек применения криптоправайдера в процессе функционирования ОС.
В области средств защиты информации мы преуспели в импортозамещении по сравнению с остальным сектором ИT. Но сделать криптопровайдер удобным для массового применения пока не удается.
Проверка данных Есть ряд и других проблем. Например, оценка эффективности тех или иных средств защиты информации. В рекламе отечественных и импортных продуктов без доказательств утверждаются те или иные свойства. Но как их проверить? Чтобы это сделать, нужно иметь колоссальной стоимости стенды, но кто же может себе позволить стенд за сотню миллионов долларов? А именно такого порядка цены стендов, необходимых для оценки качеств, свойств, а также разработки и проверки протоколов, которые мы используем, поэтому тестирование и доработку приходится проводить на эксплуатируемых системах с соответствующими издержками и претензиями со стороны эксплуатантов. В данный момент мы можем проверять передачу данных только одним способом: отправляя с одного генератора и получая ту же информацию на другом, а затем сравнивать результаты или использовать принцип возврата. Однако что на самом деле передается в линии, мы не видим. Чтобы проконтролировать этот процесс, необходимо специальное оборудование. Оно очень дорогостоящее, осо-
baranov 3/21/17 6:26 PM Page 9
www.itsec.ru
В ФОКУСЕ
бенно для современных систем с высокими скоростями. Для организации стенда нужны большие деньги, площади, а также люди, которые работали бы с этим стендом, оказывали платные консультации. Неплохая бизнес-модель, согласитесь. При тестировании надо поставить десяток шифраторов, ИTпротоколов с различными имитаторами нагрузки и посмотреть, какая у них реальная скорость, насколько устойчиво они работают. Пока что эти сведения мы получаем исключительно из рекламных проспектов, которые нам предоставляет фирма при разработке, или применяя их на реально работающих системах. Но даже сама фирма не может проверить пропускную способность в реальных условиях. Мы для этих целей использовали каналы, которые имеются в распоряжении налоговой службы: ставили новейшую аппаратуру для передачи предварительно шифрованной информации и смотрели, как меняется поток. Таким образом оценивали реальную работоспособность той или иной техники. Это очень рискованно, потому что если техника начинает сбоить, то у нас сорвется канал. Осложняется этот процесс еще и тем, что данную операцию приходится проводить ночью в определенные часы, за короткий промежуток времени. Чем дальше идет развитие технологий, тем скорости выше, а каналы сложнее, и сейчас по мере освоения нашими организациями новейших информационных телекоммуникационных технологий мы уже выходим на уровень организации разработчиков, предельных по их параметрам. Зачастую они даже сами не имеют опыта эксплуатации своих систем в таких напряженных условиях. Проблема проверки данных формулировалась и обсуждалась на "РусКрипто". Но поскольку выяснилось, что проект требует значительного вложения средств, оказалось, что никто в нем не заинтересован.
Объединение производителей На Западе любой продукт состоит из большого количества продуктов разных производителей из разных стран. В раз-
работке качественного продукта участвует множество специализированных фирм. Если взять, к примеру, простую персональную ЭВМ, то мы найдем в ней массу субпроизводителей, которые специализируются на одном определенном продукте. Например, производят только BIOS или пишут ОС. Кто-то пишет в этой операционке шрифты. А потом все части складываются в один целый продукт, который неплохо работает, в нем все детали согласованы и притерты друг к другу. У наших производителей так не получается. Я не знаю ни одного приличного отечественного продукта, который был бы сделан в результате объединения разных производителей. Либо объединяются дочерние, либо аффилированные фирмы, но таких тоже очень мало. Это взаимодействие очень многоуровневое, но тем не менее отлаженное. У нас каждая фирма существует сама по себе. Нам нужно научиться объединяться, научиться делать совместный продукт путем объединения усилий разных фирм, разных разработчиков. Это большая и крайне важная задача. Нужно очень аккуратно использовать свойства продукта, иногда не описанные. И тут для совместной работы фирмпроизводителей без фирминтеграторов никак не обойтись. Но фирм-интеграторов, которые бы строили системы в защищенном исполнении, не много. В частности, мы пытаемся идти по другому пути: берем защитные продукты разных фирм и используем в наших общих системах обеспечения безопастности путем их адаптации, доводки, подшлифовки, доработки, переработки, и уже
то, что получается, мы используем. Это правильная работа для больших, очень разнородных систем. Кооперация, т.е. наука кооперирования, очень непростая. Здесь одних договоренностей, даже бухгалтерских, мало. Нужно чувство ответственности, солидарности и порядочности. С последним у нас имеются большие проблемы. Каждый начинает тянуть одеяло на себя, и в результате все быстро разваливается. Это третья задача, которая стоит в области создания средств защиты. Причем это относится и к шифраторам, в том числе новейшим. Я не говорю о сложных и высокоинтеллектуальных межсетевых экранах. Тут вообще не может быть простых решений и продуктов. Или к аналитическим системам SIEM, потому что они состоят из накопительной и анализирующей частей, а анализирующую часть пытаются делать те же, кто делает накопительную. Конечно, что-то у них получается, но есть же специализированные фирмы, которые делают серьезную аналитику. Однако эта аналитика напрямую никак не прикладывается к тем данным, которые собирает накопительная часть. Она не для этого была разработана. Если ее модернизировать, то можно приспособить. Можно разработать с нуля, но это будет долго, дорого, и к времени готовности продукт устареет. Быстрый продукт может быть получен путем объединения усилий этих двух гипотетических компаний и их участия в соразработке. Однако, видимо, никто не хочет делиться прибылью. l
Чем дальше идет развитие технологий, тем скорости выше, а каналы сложнее, и сейчас по мере освоения нашими организациями новейших информационных телекоммуникационных технологий мы уже выходим на уровень организации разработчиков, предельных по их параметрам. Зачастую они даже сами не имеют опыта эксплуатации своих систем в таких напряженных условиях.
Наука кооперирования, очень непростая. Здесь одних договоренностей, даже бухгалтерских, мало. Нужно чувство ответственности, солидарности и порядочности. С последним у нас имеются большие проблемы. Каждый начинает тянуть одеяло на себя, и в результате все быстро разваливается.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 9
nuikin 3/21/17 6:26 PM Page 10
В ФОКУСЕ
Защита технологических сетей Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ, ЕВРАЗ
В
ЕВРАЗ является вертикально-интегрированной металлургической и горнодобывающей компанией с активами в России, на Украине, в США, Канаде, Чехии, Италии, Казахстане и Южной Африке. Компания входит в число крупнейших производителей стали в мире. В 2016 г. ЕВРАЗ произвел 13,5 млн тонн стали.
10 •
сегодняшнем мире технологические сети все больше развиваются и активно обмениваются информацией с корпоративными системами, что неизбежно ведет к их взаимной интеграции. Это несет серьезные риски, так как корпоративная сеть более подвержена различным атакам и вирусам. И то, что в корпоративной сети приведет, например, к отсутствию почты или доступа в Интернет, в технологической сети приведет к остановке производства, катастрофе и человеческим жертвам. Начальник отдела обеспечения безопасности информационных систем Андрей Нуйкин рассказал редакции, как в компании ЕВРАЗ реализована система защиты АСУ ТП.
– В чем состоит специфика защиты АСУ ТП? Чем она обусловлена? – Технологические сети, или АСУ ТП, являются специфическими сетями. Специфика заключается в том, что данные сети зачастую управляют очень опасными производствами в реальном времени. Малейший сбой или задержка сигнала может привести к катастрофе и человеческим жертвам. Соответственно, внедряя какие-либо решения по безопасности, мы должны быть очень осторожны. Нельзя просто взять и поставить средство защиты в технологическую сеть. Необходимо тщательно все протестировать и убедиться в том, что внедряемое средство защиты не приведет к задержкам, искажениям и сбоям. Простейший антивирус при неправильной настройке может привести к повышению нагрузки на процессор и, соответственно, замедлению реакции системы на сигналы от контроллеров и датчиков. Не говоря уже о системах предотвращения вторжений и других средствах, имеющих возможность разрывать соединения или вмешиваться в процессы функционирования систем. В нашей практике был случай, когда ошибка в прошивке оборудования именитого производителя приводила к задержке переключения каналов в несколько миллисекунд, а это приводило к сбоям технологического оборудования. В корпоративной сети задержки переключения или передачи информации не являются столь критическими, но в технологи-
ческих сетях такая задержка переключения приводит к сбоям процессов. Большую роль играет также то, что большинство технологических сетей создавались очень давно. Соответственно, внесение каких-либо изменений в настройки системы или процессы функционирования затруднено или невозможно в силу отсутствия разработчиков, невозможности внесения изменений и т.д. – В современном мире технологические и корпоративные сети активно обмениваются информацией, что неизбежно ведет к их взаимной интеграции. В чем заключается главная опасность такого взаимопроникновения сетей? – В современном мире онлайн-управление играет важную роль в работе производства. Руководству необходимо иметь актуальную информацию по текущему состоянию производства, его загруженности, сбоях и т.д. Исходя из полученной информации, требуется посылать управляющие сигналы. Отсюда возникла необходимость связи между корпоративной и технологической сетями. В те времена, когда этот процесс только начинался, об опасностях, связанных с этим, не задумывались. Изначально информация передавалась из технологической сети в корпоративную. Казалось, что наличие межсетевого экрана и антивируса способно полностью защитить компанию. Однако в современном мире опасность взлома сетей и кибертерориз-
ма вышла на первый план. Компании осознали, что те опасности, с которыми в корпоративной среде уже привыкли бороться и имеют большой арсенал средств борьбы, теперь угрожают и технологическим сетям. При этом имеющиеся корпоративные средства защиты нельзя применить в технологической сети. А ущерб от взлома АСУ ТП может быть гораздо больше. Простой вирус в корпоративной сети приведет в худшем случае к простою в работе, а в технологической сети может привести к катастрофе с человеческими жертвами. Известный случай с доменной печью в Германии. В результате проникновения была нарушена взаимосвязь между контроллером и панелью управления. На панели управления отображались неверные данные и не позволяли управлять печью. В результате специалисты вынуждены были перейти в ручной режим управления для предотвращения катастрофы. – Как бороться с такими угрозами? – Бороться необходимо различными средствами, Начиная от специализированных средств защиты и до разделения сетей и ограничения доступа из корпоративной сети к технологической. Ранее, когда связи между сетями не было, проблем было меньше. Опасности корпоративной сети не могли напрямую попасть в АСУ ТП. Перенос файлов осуществлялся посредством дискет или позже – флеш-дисков, и можно было простыми средствами обеспечить защиту. Сейчас,
nuikin 3/21/17 6:26 PM Page 11
www.itsec.ru
ПЕРСОНЫ
при взаимной интеграции сетей, проникновение угроз стало гораздо проще. Зачастую между сетями нет никаких средств разграничения доступа или межсетевого экрана, а на рабочих станциях нет антивируса или других средств защиты. Отсюда возникает ситуация, когда простой вирус спокойно может заразить как корпоративные компьютеры, так и технологические и привести к сбоям и выходу из строя производственного оборудования. Если же какие-то правила разграничения доступа все-таки присутствуют, то возникает пресловутый человеческий фактор. Многие администраторы для облегчения удаленного доступа к оборудованию оставляют себе "проходы" в средствах защиты, как бы маленькие калитки сбоку от основных охраняемых ворот. Таким образом, взлом компьютера администратора приведет к проникновению в технологическую сеть как раз через такую калитку. Поэтому первым делом необходимо четко разделить и разграничить доступ из одной сети в другую. Кроме этого, не должно быть прямых связей между системами технологической и корпоративной сетей, Только через демилитаризованную зону с проверкой на легитимность и безопасность. Далее – антивирусы, установка обновлений, контроль доступа к USB-портам и т.д. Еще необходимо обучать персонал, объяснять основные принципы информационной безопасности наравне с техникой безопасности на производстве. – Возможно ли на современном производстве получить самодостаточную технологическую сеть, минимально зависящую от корпоративной? – Я думаю, что нет. Развитие информационных технологий позволяет оперативно реагировать на рынок и быстрее принимать правильные решения. Планирование и своевременное доведение управляющих команд позволяет обеспечить преимущества перед конкурентами, поэтому без интеграции сетей и сервисов не обойтись. Но делать это нужно аккуратно, учитывая вопросы безопасности. И делать это нужно на этапе написания технического задания, а не после
сдачи объекта в промышленную эксплуатацию. Сейчас большинство вендоров уже предлагают свои системы для обеспечения безопасности АСУ ТП. Ими разработаны в том числе и архитектуры построения защищенных технологических сетей. Как я говорил выше, проблема в том, что большинство технологических сетей строились давно и, соответственно, перестраивать их сейчас очень сложно и дорого. Зачастую перестройка вообще невозможна, поэтому защита таких сетей представляет из себя сложную задачу. – Как на предприятии ЕВРАЗ решена проблема интеграции сетей? Расскажите о своем проекте. – После проведения теста на проникновение мы убедились в том, что сети достаточно плотно переплетены и недостаточно защищены. Это повышало риск нарушения работы технологической сети, остановку производства и в самом плохом варианте – катастрофу. Постоянно появляющаяся информация о взломах АСУ ТП во всем мире дополнительно убедила компанию, что необходимо защитить наши технологические сети. Руководством компании была поставлена задача: в течение года обеспечить разработку проекта по защите технологической сети. Проанализировав результат теста на проникновение, мы обнаружили, что один из основных векторов атаки шел из корпоративной сети. Активно использовалась атака на компьютеры разработчиков и администраторов. Соответственно, мы решили прежде всего разделить наши сети и обеспечить безопасное взаимодействие. Изучив лучшие мировые практики от ведущих международных институтов и вендоров, мы определили основные подходы к защите и приступили к поиску компании, которая нам поможет реализовать проект. Для пилотного проекта мы выбрали два цеха, наиболее опасных с точки зрения возможной катастрофы. В обоих цехах происходит работа с жидким металлом, и нарушение технологического процесса может привести к серьезной катастрофе. Выбор компании-интегратора также был связан с трудностями. В России
Комментарий эксперта Начавшийся тренд в направлении цифровой трансформации предприятий приводит к необходимости тесной интеграции всех уровней автоматизации: от датчиков до ERP систем, если следовать классификации ISA 95. Поэтому любая платформа для индустриального Интернета вещей должна учитывать требования информационной безопасности. Наличие эффективного барьера между корпоративной Артем и технологической сетями не Натурсов, означает сдерживания тенденвице-президент ций выше. В нашем проекте мы по информационным технологиям, постарались создать систему, которая достаточно гибко подЕВРАЗ страивается под требования интеграции и обеспечивает должный уровень защиты. l пока не много проектов, реализующих защиту АСУ ТП в металлургии. Зачастую заказчики делают только аудит безопасности и подготавливают техническую документацию. Само внедрение не проводится. Соответственно, найти подряд-
Рис. 1. ЕВРАЗ Объединенный Западно-Сибирский металлургический комбинат (ЕВРАЗ ЗСМК) чика, имеющего реальный опыт реализации защиты АСУ ТП, достаточно сложно. А брать компанию, не имеющую соответствующих компетенций, не хотелось. Компания выбиралась в ходе конкурса, где учитывались наличие опыта аналогичных проектов, качество предложенного решения и много других параметров. В результате выбранная компания-интегратор провела дополнительный аудит технологической сети и сначала разработала для нас концептуальный проект разделения
Основные направления деятельности ЕВРАЗа: l производство стальной продукции;
l добыча и обогащение железной руды; l добыча угля;
l производство ванадия и ванадиевых продуктов; l торговля и логистика.
• 11
nuikin 3/21/17 6:26 PM Page 12
В ФОКУСЕ
Рис. 2. Конвертерный цех, ЕВРАЗ НТМК
Рис. 3. Доменный цех, ЕВРАЗ НТМК
Рис. 4. РБЦ, ЕВРАЗ НТМК
История компании История ЕВРАЗа начинается с основания в 1992 г. небольшой компании Евразметалл, специализировавшейся на торговле металлопродукцией.
Фото взяты с сайта http://www.evraz.com/ru/
12 •
сетей, некий идеальный вариант. Далее с их помощью мы определили те части проекта, которые мы можем быстро и наиболее безболезненно внедрить в сжатые сроки. На основании этого был составлен план работ. Задача ставилась амбициозная. Нам необходимо было практически за пять месяцев реализовать сложный проект без остановки производства. В проекте были задействованы представители практически всех подразделений
ИТ и АСУ ТП. Команда совместно со специалистами интегратора напряженно работала. По ходу проекта вносились правки, исходя из текущих возможностей и сложностей в реализации. Основные сложности возникали как раз со старинными АСУ ТП. Сейчас можно сказать, что нам удалось завершить проект в срок. На сегодняшний день мы смогли максимально разделить корпоративную и технологическую сети, обеспечить безопасный, контролируемый доступ и взаимодействие между системами. Там, где мы не смогли полноценно провести разделение, были применены другие методы защиты. Естественно, проект еще нельзя считать полностью завершенным. Я бы сказал, что это первый этап. Еще остались элементы концептуального проекта, требующие внедрения. Мы пока не погружались глубоко в недра технологического оборудования, но задел сделан. Работа была проведена большая и в сжатые сроки. – Что должно получиться в итоге, чтобы проект был признан успешным и получил реализацию и в других цехах производства? – По завершении проекта был запланирован повторный тест на проникновение, который должен показать правильность нашего подхода и его реализации. Задача аудиторов остается аналогичной – им необходимо проникнуть в технологическую сеть. При этом по условиям теста он начинается в режиме "черного ящика". В случае если в этом режиме проникновение не удастся, мы плавно перейдем к режиму "серого ящика". В конце аудита уже будет использоваться режим "белого ящика". Мы предоставим аудиторам документацию по проекту для проведения анализа с точки зрения безопасности. По результатам теста на проникновение будет приниматься решение об успешности проекта и его тиражировании или о его доработке. Если нам удалось правильно определить вектор атаки и грамотно спланировать защиту, то аудиторам не удастся проникнуть в технологическую сеть. Если же им удастся всетаки проникнуть, то в любом случае мы будем понимать, где
мы недоработали, и сможем внести исправления в концептуальный проект и в его реализацию в цехах. Кроме этого, мы ожидаем от аудиторов рекомендаций по дальнейшему улучшению защиты АСУ ТП на наших площадках. – Многие промышленные предприятия негативно относятся к каким-либо тестовым решениям, так как любой "полигон" для решения требует колоссальных финансовых затрат, остановка производства также исключена. Как вы смогли реализовать у себя пилотный проект? – Мы также не приветствуем использование тестовых решений. В нашей ситуации очень опасно использовать неапробированные решения. Последствия сбоев могут быть весьма печальными. Поэтому мы использовали только проверенные решения, досконально проверяя настройки и по возможности проводя предварительные испытания. Сначала был проведен аудит АСУ ТП, выявлены потоки информации, определены настройки оборудования. Далее все настройки предварительно отрабатывались на бумаге, потом проверялись на стендах и только после этого переносились на производство. Старались аккуратно спланировать все действия, чтобы максимально использовать технологические окна в работе производства. Задача была сложная. В связи с тем, что АСУ ТП имеет в своем составе достаточно старые элементы, которые не позволяют изменять свои настройки, приходилось на ходу менять концепцию, чтобы обеспечить приемлемый уровень безопасности без нарушения работоспособности оборудования и процессов. Большую роль играло взаимодействие членов команды внедрения. Представители ИТ, АСУ ТП, интегратора были в постоянном контакте, обсуждая предлагаемые решения и внося коррективы. Все это позволило в результате реализовать сложный проект в сжатые сроки. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
kaspersky 3/21/17 6:27 PM Page 13
asutp 3/21/17 6:42 PM Page 14
Спецраздел
Специфика защиты АСУ ТП
Н
есмотря на развитие рынка, реального практического опыта по обеспечению защиты АСУ ТП в России очень мало. Но и его будет достаточно, чтобы выявить некоторые риски системного характера, возникающие при реализации проектов по обеспечению защиты. Как защитить промышленные объекты от вторжений – на этот вопрос редакции журнала отвечают ведущие эксперты отрасли:
Егор Литвинов, ведущий специалист по безопасности АСУ ТП Digital Security Владимир Назаров, руководитель отдела безопасности промышленных систем управления, Positive Technologies Алексей Петухов, руководитель направления информационной безопасности АСУ ТП Центра информационной безопасности компании “Инфосистемы Джет" Виктор Сердюк, генеральный директор АО “ДиалогНаука" Антон Шипулин, менеджер по развитию решений по безопасности критической инфраструктуры “Лаборатории Касперского"
– В чем заключается специфика задач защиты аСУ Тп?
Егор Литвинов – Наверное, один из ключевых моментов – надежность/безотказность системы. В отличие от корпоративной сети (КС), когда пропадает связь между устройствами в технологической сети (ТС), может произойти аварийная остановка (как минимум). ТС включает в себя "зоопарк" различных протоколов, "железок" и операционных систем. И если в КС накатить обновление на клиентскую машину не составит труда, то в ТС это иногда вообще невозможно по причине отсутствия обновлений для данной ОС. Возможно также, что используемая ОС просто не поддерживается либо может потребоваться перезагрузка контроллера/HMI для того, чтобы применить обновление.
Виктор Сердюк – Можно выделить следующие основные особенности защиты АСУ ТП: l при создании систем защиты АСУ ТП на первый план выходит задача обеспечения целостности и доступности. Вопрос обеспечения конфиденциальности, как правило, неактуален ввиду того, что сама по себе информация, циркулирующая в АСУ ТП, не представляет интереса для потенциального злоумышленника; l для защиты АСУ ТП необходимо применять специализированные средства, которые не влияли бы на сам технологический процесс и в то же время учи-
14 •
тывали его специфику с точки зрения выявления действий злоумышленника; l для защиты АСУ ТП должны привлекаться специалисты, которые не только разбирались бы в вопросах ИБ, но и понимали специфику защищаемых технологических процессов.
Владимир Назаров – В данном случае главная специфика заключается в "опасности безопасности". Неаккуратные действия при аудите, внедрении системы ИБ, а также ложные срабатывания могут привести к нарушению производственного процесса, что в условиях промышленности и критических производств недопустимо.
Антон Шипулин – Информационные системы АСУ ТП кардинально отличаются от "офисной" информационной среды или использования технологий в личных целях. Ключевым моментом здесь является задача обеспечения непрерывности технологического процесса. Если для рядовых пользователей приоритетом является конфиденциальность информации, а целость и доступность данных имеют меньшую значимость, то в технологических системах управления приоритеты другие, и первостепенное значение здесь имеют как раз целостность и доступность данных, благодаря которым и обеспечивается непрерывность процесса управления. Например, злоумышленники могут манипулировать сетевым трафиком (отправляя команды управления, подменяя значения параметров,
логику процесса в контроллере) что, в частности, может прервать техпроцесс именно в тот момент, когда остановка производственной линии будет недопустима, или привести к более опасным последствиям. Основным показателем защищенности АСУ ТП является их способность поддерживать стабильность, непрерывность и корректное функционирование технологического процесса, будь то генерация и транспортировка электроэнергии, очистка воды, управление производством или другие технологические процессы, независимо от внешних воздействий. – Какие существуют риски безопасности реализации аСУ Тп?
Владимир Назаров – В контексте реализации и, что важно, эксплуатации систем АСУ ТП стоит понимать, что работы выполняются различными организациями, контролировать которые с точки зрения ИБ затруднительно. Угрозы и риски, связанные с внешними субподрядчиками, являются одними из самых главных в данном случае.
Виктор Сердюк – Одна из основных проблем заключается в том, что АСУ ТП, которые сейчас эксплуатируются во многих российских компаниях, создавались без учета требований по защите информации и долгое время вопросам информационной безопасности этих систем не уделялось должного внимания. Ситуация осложняется тем, что подразделения, ответственные за
asutp 3/21/17 6:42 PM Page 15
www.itsec.ru
Защита аСУ тП
эксплуатацию АСУ ТП (технологи), также ранее не сталкивались с необходимостью защиты информации, что тоже является сдерживающим фактором в реализации системы защиты АСУ ТП.
– Какие основные угрозы безопасности информации и основные виды атак на предприятия КВО вы можете выделить?
Владимир Назаров Антон Шипулин – Можно выделить три основные группы рисков. Первая и наиболее распространенная – человеческий фактор. Из-за усталости, загруженности, недовольства или по другой причине специалист может выполнить действие, не совместимое с регламентом управления производственной системой, что может привести к нарушению работы штатных процессов, например к остановке или поломке оборудования. Вторая группа – это вопросы промышленного мошенничества. В данном случае основной целью злоумышленников являются физические активы компаний. Заказчиками могут выступать конкуренты, подрядчики, организованная преступность. Третья – это целевые атаки, направленные на конкретные предприятия. Целей может быть несколько, от чисто прагматических, чтобы завладеть активами компании, до организованных политических акций либо со стороны государств, либо со стороны конкурентов. В таких случаях важны не деньги, а факт потерь. Подобные атаки приносят самый значительный ущерб. – Охарактеризуйте наиболее частые атаки на аСУ тП.
Владимир Назаров – Как с качественной, так и с количественной точки зрения оценивать реальные атаки на АСУ ТП довольно сложно, так как нет сложившейся практики раскрытия фактов таких атак. Многими исследованиями подчеркивается то, что зачастую киберинциденты даже не регистрируются как таковые, ввиду того что организации, эксплуатирующие АСУ ТП, не имеют в своем распоряжении соответствующих систем ИБ, как не имеют и соответствующих процедур.
Антон Шипулин – Атаки программ-шифровальщиков на серверы и рабочие станции операторов. Сетевые штормы и отказ работы сети, случайные вирусные заражения, несанкционированный сетевой доступ за счет подключения к внешним сетям.
– Основные угрозы исходят от стремительной конвергенции ИТ и АСУ ТП. Постоянное увеличение числа систем АСУ ТП, подключенных к сети Интернет, которое мы отмечаем в последние годы, свидетельствует о появлении новых для АСУ ТП угроз, характерных прежде только для публичных и офисных сетей. – Как обеспечить безопасность промышленной сети?
Егор Литвинов – Начать с очевидного – реализовать хорошую сегментацию сети. В нашей практике встречались объекты, на которых корпоративная сеть и технологическая сеть представляли собой нечто единое. Также необходимо исключить возможность установки стороннего ПО на рабочие места операторов, возможность подключать различные внешние носители информации. Стоит использовать IPS/IDS системы. Необходимо всегда иметь в виду, что атака может начаться со стороны полевых шин и устройств. Для связи корпоративной и технологической сети рекомендуется использовать "одноноправленные диоды", тем самым исключив возможность отправки различных команд из корпоративной сети в технологическую.
Владимир Назаров – Для повышения защищенности АСУ ТП, как правило, достаточно применять базовые принципы обеспечения информационной безопасности. Например, реализовать сегментацию сети, отделить технологическую сеть АСУ ТП от корпоративной ЛВС и внешних сетей. Обеспечивать защиту сетевого периметра с организацией промежуточных зон безопасности (демилитаризованные зоны, DMZ) для исключения прямого взаимодействия технологического сегмента с внешними сетями. Контролировать настройки сетевого оборудования и правила фильтрации трафика на межсетевых экранах. Размещать компоненты АСУ ТП в пределах контролируемой зоны. Использовать строгую парольную политику. Регулярно обновлять ПО и
устанавливать обновления безопасности ОС. Защищать привилегированные учетные записи. Минимизировать привилегии пользователей и служб. Проводить регулярные тренинги, направленные на повышение осведомленности пользователей в вопросах информационной безопасности, проводить оценку эффективности таких тренингов. Для своевременного выявления атак использовать специализированные системы управления инцидентами кибербезопасности АСУ ТП. Регулярно проводить анализ защищенности АСУ ТП для выявления новых векторов проникновения и оценки принятых мер защиты на практике.
Алексей Петухов – Защита промышленных сетей электросетевой компании и металлургического комбината – разные задачи, так как это два совершенно разных объекта защиты. Поэтому сразу стоит отметить, что ответ тоже достаточно концептуальный. На сегодняшний день полноценная безопасность промышленной сети обеспечивается не только МЭ, с системой обнаружения и/или предотвращения вторжений. Все чаще возникают потребности обмена информацией самих производственных систем со смежными и внешними ИТсистемами. Все больше пользователей пользуются сетью для эксплуатации и поддержания работоспособности производственного процесса. Поэтому, чтобы фактическая безопасность была обеспечена, зачастую требуются решения по управлению конфигурациями средств периметральной защиты и сетевых устройств, а также выявления нелегитимных подключений пользователей к сети.
• 15
asutp 3/21/17 6:42 PM Page 16
Спецраздел Антон Шипулин – Прежде всего необходимо обеспечить комплексный последовательный подход к управлению рисками. Нужно адекватно идентифицировать и закрывать все актуальные каналы угроз. Одним из важнейших механизмов является знание своих систем, сетей, а также понимание участников и коммуникаций, происходящих в промышленной сети. Вот почему мониторинг систем и сетей является важнейшей мерой защиты. Кроме того, он является пассивной мерой, не влияющей на работоспособность объекта мониторинга, но способной оперативно информировать о появляющихся угрозах. Также необходимо использовать надежные и комплексные системы защиты от компаний, специализирующихся на разработке защиты систем АСУ ТП. Зачастую для предотвращения хакерских атак на индустриальные объекты специалисты службы безопасности используют обычные антивирусы. Это не совсем правильно, поскольку существуют различия между информационными системами и АСУ ТП. То решение, которое зарекомендовало себя в качестве надежного средства защиты информационных систем, может оказаться неприменимым для работы в промышленной среде.
– На основании каких характеристик аСУ Тп должны быть сформированы требования по их защите?
Согласно данному приказу предусмотрен следующий порядок определения требований по защите АСУ ТП: l принятие решения о необходимости защиты информации в автоматизированной системе управления; l классификация АСУ ТП по требованиям защиты информации; l определение угроз безопасности информации, реализация которых может привести к нарушению штатного режима функционирования АСУ ТП, и разработку на их основе модели угроз безопасности информации; l определение требований к системе защиты автоматизированной системы управления.
Антон Шипулин – Наличие сетевых подключений, удаленного доступа, современность применяемого оборудования, сетевых технологий, операционных систем.
– Существует очень важная проблема – экономическая: многие компании, особенно это относится к среднему и малому бизнесу, не имеют достаточных средств для проведения необходимой им автоматизации производственных процессов. Как автоматизаторы могут повлиять на эту проблему и что им делать в этом случае?
Владимир Назаров
Антон Шипулин
– Вопрос формирования требований по защите АСУ ТП лежит в плоскости аудита конкретной информационной системы. Именно поэтому, говоря о системах защиты АСУ ТП, принято оперировать моделью комплексного решения, а не коробочного продукта. В любом случае система защиты соответствующей системы АСУ ТП должна не только уметь выявлять инциденты сетевого уровня, но и быть в состоянии проводить глубокий анализ используемых промышленных протоколов, оперируя терминами модели технологического процесса.
– В таких случаях целесообразно провести аудит своими силами, изучить опыт крупных международных компаний и попытаться использовать что-то у себя, использовать штатные механизмы защиты оборудования промышленной сети.
Виктор Сердюк
Егор Литвинов
– На сегодняшний день основополагающим документом, на основе которого определяются требования к защите АСУ ТП, является приказ ФСТЭК № 31.
16 •
улице и до возможных рассылок на электронную почту различных указаний от ИT-отдела или руководства. Должно быть понимание, что АСУ ТП изначально строилось на "доверительной системе", где каждый узел доверяет другому узлу. Не стоит исключать ситуации, при которой атака может идти не только со стороны Интернета на корпоративную сеть и пытаться "достучаться" до технологической сети, но и в обратном направлении. Кибератака может начаться со стороны полевых устройств и идти в сторону корпоративной сети.
Алексей Петухов – Обеспечение информационной безопасности – это процесс, который должен существовать столько же, сколько существует предприятие. Поэтому независимо от нынешнего уровня защищенности компании необходимо оттачивать процессы обеспечения информационной безопасности по мере сил и возможностей. В части защиты производственных процессов, во-первых, рекомендую не спешить. Быстро сделать не получится даже формально. Во-вторых, лучше изначально стараться найти взаимосвязь с бизнесом. План работ по информационной безопасности необходимо связать с планами по развитию предприятия и везде обозначать полезную нагрузку решений ИБ. Таким образом, рекомендую не подходить к задаче обеспечения информационной безопасности производства как к проекту одного года, а также не стараться решить ее формально. Опыт подтверждает, что работы исключительно на соответствие требованиям регулятора хоть и повышают уровень защищенности, но становятся значительным дополнительным финансовым и ресурсным бременем для предприятий.
Антон Шипулин – дайте несколько практических советов для наших читателей относительно реализации информационной защиты промышленных объектов.
– Конечно, главный совет – всегда быть начеку. Быть готовым к тому, что может быть применена социальная инженерия, начиная от живого общения на
– Начните c аудита и инвентаризации активов промышленных систем, их коммуникаций. Знайте свои активы. Регулярно контролируйте изменения и активность в промышленной сети, c применением автоматизированных средств мониторинга. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
positive 3/21/17 6:26 PM Page 17
www.itsec.ru
ЗАЩИТА АСУ ТП
Безопасность АСУ ТП сегодня Роман Краснов, эксперт компании Positive Technologies Безусловно, ИБ-специа-
С
тремительная конвергенция информационных и производственных инфраструктур, движимая практическими соображениями, привела к тому, что граница между промышленной сетью, корпоративными подразделениями и даже конечным потребителем практически перестала существовать как таковая. За возросшее удобство ведения бизнеса пришлось чем-то заплатить, и платой стали пропорционально увеличившиеся риски ИБ, адресовать которые до недавнего времени, чего уж греха таить, никто особо не спешил.
листы в силах обеспечить очень высокий уровень защиты без нарушения технологического процесса, но в реальности сделать это затруднительно. Так, на форуме Positive Hack Days VI было наглядно продемонстрировано, что бывает с незащищенной критической инфраструктурой, когда
Очевидно, что применение распространенных, хорошо изученных коммуникационных и аппаратных технологий в АСУ ТП позволяет потенциальному злоумышленнику, даже не имеющему глубоких познаний в сфере АСУ ТП, успешно эксплуатировать полный спектр уязвимостей, характерных прежде только для публичных и офисных сетей. Это доказывает и опыт Positive Hack Days: если школьникам удается удаленно вывести из строя полнофункциональный макет электрической подстанции, собранный на реальном оборудовании, и создать аварийную ситуацию, то что говорить о подготовленных профессионалах?
Реальный опыт исследований и защиты систем АСУ ТП В реальности ситуация обстоит даже хуже, чем в постановочных экспериментах. Своевременная модернизация производственных инфраструктур осложнена вопросами обратной совместимости ПО и аппаратной части, поэтому промышленные сети чаще всего представляют из себя эдакий Эрмитаж проблем кибербезопасности: тут тебе и "древний Египет", и "яйца Фаберже", и современное "искусство". А в итоге, как показал наш опыт проведения работ по анализу защищенности АСУ ТП в 2016 г., в 85% случаев удается получить доступ к ресурсам технологической сети из корпоративных и внешних сетей. При этом векторы проникновения в технологический сегмент исключительно просты в реализации. Нарушитель, обладая минимальными знаниями и относительно низкой квалификацией, способен преодолеть периметр и получить доступ к критическим
ресурсам, а дальше, как говорится, уже дело техники. Тем не менее ряд предприятий, несмотря на объективные организационные трудности, все же стремится в полной мере реализовать современные практики ИБ: от надлежащей сегментации сети и внедрения политик безопасности до развертывания специализированных решений ИБ АСУ ТП (таких, к примеру, как PT Industrial Security Incident Manager). При этом дело не только в стремлении предотвратить конкретные угрозы, но и в получении объективной оценки состояния ИБ. Отсутствие средств своевременного детектирования атак является повсеместной проблемой. Так, к примеру, в последнем исследовании американского Ponemon Institute (The State of Cybersecurity in the Oil & Gas Industry: United States, 2017) утверждается, что 68% организаций считают, что в 2016 г. они подвергались кибератакам, приведшим к утрате конфиденциальной информации или нарушению непрерывности производства. И около 50% из них не были вовремя выявлены. Наша практика подтверждает, что применение неинвазивных систем безопасности применительно к АСУ ТП может серьезно повысить уровень защищенности и осведомленности об угрозах ИБ, особенно в условиях непрерывной конвергенции ИТ/ОТ систем промышленных предприятий.
Стратегический подход к решению проблем безопасности Последние несколько лет вопросам безопасности АСУ ТП стали уделять пристальное внимание на государственном уровне: тут и форсирование законопроекта о безопасности крити-
ческой инфраструктуры РФ, и создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), и др. Хочется верить, что 2017 год даст отправные точки для необходимых перемен и зафиксирует правила игры с точки зрения госрегулирования. А также очевидно, что необходимо предпринимать конкретные шаги по усилению защищенности систем АСУ ТП уже сейчас, как адресуя непосредственные угрозы, так и подготавливая необходимую техническую базу для обеспечения регулятивного соответствия. С точки зрения
после отключения ряда средств защиты нападающие смогли проникнуть в технологическую сеть АСУ через корпоративную, атаковали физическое оборудование системы, взломали ГЭС, провели сброс воды, отключили линии электропередачи. В этом году события развернутся в уже знакомом городе, который на этот раз значительно увеличится в размерах. Хакерам и защитникам будет где развернуться: кроме телекомоператора, ТЭЦ и офисного центра появится множество IoT-устройств.
Интерактивная визуализация топологии и мнемосхемы техпроцесса в PT ISIM наших заказчиков, внедрение систем класса PT ISIM позволяет одновременно решать тактические, оперативные задачи ИБ и обеспечить стратегический задел, в том числе в контексте соответствия государственным политикам и стандартам. l NM АДРЕСА И ТЕЛЕФОНЫ компании POSITIVE TECHNOLOGIES см. стр. 48
• 17
lykatsky 3/21/17 6:26 PM Page 18
СПЕЦРАЗДЕЛ
Особенности обеспечения безопасности критической инфраструктуры: взгляд пессимиста Алексей Лукацкий, бизнес-консультант по информационной безопасности компании Cisco
С Я регулярно слышу от заказчиков истории о сбоях в технологических процессах, причиной которых становятся то вредоносные программы, то действия неквалифицированных подрядчиков, запустивших сетевой сканер для инвентаризации ресурсов в промышленном сегменте. Чаще всего причина так и остается невыясненной. Но все эти случаи объединяет одно – они нигде не опубликованы и о них нигде не говорят (кроме разве что отраслевых междусобойчиков да разговоров в курилках офисов).
Безопасник одного из заказчиков как-то попросил меня помочь ему в обосновании нужности "проекта по аудиту ИБ АСУ ТП" своему руководству. Мой первый вопрос звучал просто: "На чем ваша компания делает деньги?" Но и он ввел в ступор моего собеседника. Человек, не первый год занимающий должность руководителя ИБ крупного промышленного предприя-
егодня тема обеспечения кибербезопасности критических инфраструктур находится на подъеме. Я осознанно использую термин “критическая инфраструктура", т.к. он является международно признанным (critical infrastructure) в среде специалистов и применим к любой отрасли экономики. В этом его отличие от термина “АСУ ТП", который, являясь достаточно узким, к месту и не к месту стал применяться к комбинации с термином “кибербезопасность". Возможно, учитывая внесенный в Государственную Думу законопроект “О безопасности критической информационной инфраструктуры" стоило бы использовать термин “критическая информационная инфраструктура", но он очень длинный и его трудно выговаривать на практике.
Но вернемся к тому, с чего я начал. Тема на подъеме. Не проходит недели, чтобы в России не проводилось какогонибудь мероприятия (офлайн или онлайн) по данной тематике, на котором преимущественно интеграторы по ИБ стращают аудиторию рассказами о Stuxnet или о мифической атаке на сталелитейный завод в Германии (реальных подтверждений этой истории до сих пор нет), попутно, явно или неявно, но практически безуспешно впаривая свои услуги и продукты. Все участники этой "торговли страхом", повидимому, хотят повторить десятилетней давности успех темы с утечками информации и последовавший за ним взрывной рост продаж DLP-решений. Но что-то не срабатывает, и именно этому я бы и хотел посвятить данный материал. Давайте вспомним, что движет потребителем, который покупает тот или иной продукт в области ИБ. Как ни странно, но ключевых драйверов всего три – страх, законодательство (кто-то относит этот драйвер тоже к страху) и экономику. Попробуем посмотреть на кибербезопасность критических инфраструктур через призму этих трех драйверов и понять, почему у нас так немного не просто успешных, а хотя бы начатых проектов по защите АСУ ТП.
тия, не смог ответить на, казалось бы, очевидный вопрос. А ведь не ответив на него, мы не можем подступиться ни к каким расчетам.
18 •
Первый драйвер Классическая "торговля страхом", т.е. рассказ страшилок о всяческих угрозах, которые могут вывести из строя атомную электростанцию, остановить
завод по переработке нефти, изменить маршрут движения корабля с контейнерами, набитыми бриллиантами, или изменить рецептуру изготовления продукта питания, что приведет к его порче или отравлению людей, его попробовавших. Страшно? Безусловно. В теории. А что у нас с практикой? И вот тут у нас возникает первый тормозящий развитие темы фактор. Реальных кейсов, о которых можно рассказать, раз-два и обчелся. Ну Stuxnet. Так он произошел не у нас. Сталелитейный завод в Германии? Так это, даже если и не выдумка, в Германии. Вывод из строя на время системы электроэнергетики Украины? Опять же – не в России, да и ущерб там был незначительный. Атаки ближневосточных хакеров на дамбу в США? И вновь мы говорим не о России. Где наша локальная специфика? Где истории про российские критические объекты? Их нет. Этот классический драйвер продажи решений по ИБ (продажи от вендора заказчику и от безопасника заказчика его руководству) не работает. Неужели у нас в России нет примеров атак на критические инфраструктуры? Неужели мы настолько отстали в информатизации, что у нас нечего ломать? Или у нас настолько высоко выстроены технологические процессы, что их не могут сломать? Конечно же нет. Факты есть. Но они не публичны. Информация о реальных инцидентах на критически важных объектах скрывается от широкой общественности, а обязан-
ности уведомлять об этих инцидентах в России нет (пока нет). Те, кому по долгу службы становится известно о фактах взлома какой-либо системы управления технологическими процессами, вынуждены молчать об этом, скованные соглашениями о конфиденциальности. Руководство же заказчиков не верит продавцам на слово, требуя доказательств реальности проблемы. А доказательствто и нет. Поэтому первый драйвер, который так отлично работал (и до сих пор работает) применительно к корпоративным сетям, в случае с критическими инфраструктурами не дает должного эффекта. С DLP все было просто – фактов утечек публикуется много и с красочными деталями: сколько и чего утекло. С офисными антивирусами тоже все просто – с программами-вымогателями сталкивались многие, даже в домашних условиях. В случае с атаками на АСУ ТП таких деталей почти нет и поэтому напугать вендору заказчика, а безопаснику заказчика свое руководство должным образом не получается.
Экономика Еще одна модная тема. Как обосновать ценность ИБ для руководства компании? Такой вопрос я слышу постоянно от специалистов по кибербезопасности разных компаний. Все хотят узнать, какую ценность они приносят бизнесу, но… Тут мы сталкиваемся с общей для любого среза ИБ проблемой. Мы не привыкли рассматривать безопасность сквозь экономи-
lykatsky 3/21/17 6:26 PM Page 19
www.itsec.ru
ЗАЩИТА АСУ ТП
ческие очки. Как центр затрат? Пожалуйста. Как центр прибыли? "А что, так можно? А как?" Мы продаем газ! Значит, если мы перестанем продавать газ, то компания потеряет деньги? Да! Значит, если кто-то нарушит работу системы управления газопроводом, это серьезный риск, который приведет к потере денег? Да! Тогда давайте посчитаем, во сколько обойдется компании один час простоя трубы. Можем? Или, например, компания поставляет трубы по контракту с крупной компанией из топливно-энергетического сектора. Если встанет конвейер по производству труб и будут нарушены контрактные обязательства по поставкам, это отрицательно скажется на бизнесе компании? Да! Сможем посчитать, во что обходится часовой простой? А нам никто данных для расчета не даст. Все, тупик! На этом экономические расчеты можно завершать – специалист по безопасности боится идти к бизнесу за исходными данными (а они есть только у бизнеса) и второй драйвер продажи решений по кибербезопасности у нас не срабатывает. Но даже если данные все-таки находятся, то руководство, привыкшее считать деньги и оперирующее понятиями "прибыль" и "убытки", начинает задавать "неудобные" вопросы. А есть примеры реализации названных рисков? Или мы дуем на воду? Специалисту по безопасности остается только вспоминать старый советский фильм "Операция Ы и другие приключения Шурика" и ставший классикой диалог: "У вас на стройке несчастные случаи были? Будут!" Требуя деньги на безопасность сейчас, взамен предлагаются риски в будущем. Которые могут еще и не произойти.
Третий драйвер Законодательство, к которому в России исторически относились с большим пиететом. У нас есть законодательство по защите ПДн, государственных ИС и Национальной платежной системы. А вот по безопасности критической инфраструктуры у нас законодательства нет. Такие попытки предпринимались неоднократно с 2006 г. – выпускались законопроекты, постановления правительства, ведомственные приказы… Но главного закона у нас как не было, так
и нет. Даже закон "О безопасности объектов топливно-энергетического комплекса", принятый после аварии на СаяноШушенской ГЭС и террористической атаки на Баксанскую ГЭС и содержащий норму по ИБ информационных систем объектов ТЭК, не заработал, так как за соответствующую норму ст. 11 никто не отвечал и не отвечает. Требование есть, а ответственного за его реализацию и контроль нет. И ответственности за нарушение никакой не предусмотрено, что делает даже эту неработающую статью мертворожденной. Но у нас есть приказ ФСТЭК № 31 по защите АСУ ТП, скажет осведомленный читатель, и будет… неправ. Приказ есть. Но статус его, к сожалению, не совсем очевидный для большинства лиц, на которых этот приказ распространяется. Над ним нет никакого вышестоящего нормативно-правового акта, который бы сделал этот приказ обязательным к применению. И даже если бы такой нормативный акт уровня федерального закона или постановления правительства был, то мы вновь натолкнемся на отсутствие ответственности за невыполнение данного приказа.
Что же делать? Ведь все специалисты по ИБ прекрасно понимают, что и незаряженное ружье если и не раз в год, но все-таки может стрельнуть. Одно дело – вирусшифровальщик выведет из строя компьютер бухгалтера или банковский троян украдет несколько миллионов рублей со счета компании-жертвы. Совсем другое – экологическая катастрофа или даже нанесение вреда жизни и здоровью людей. Пусть вероятность такого события и низка, но ущерб может быть колоссальным (в отличие от корпоративных сетей, где ситуация обычно обратная – вероятность высока, а ущерб не очень). Наверное, поэтому все с нетерпением ждут принятия законопроекта по безопасности критической информационной инфраструктуры и еще двух сопутствующих ему законопроектов. Это как раз тот случай, когда лучше перебдеть и на законодательном уровне принять меры, не дожидаясь наступления риска, вероятность которого в условиях роста циф-
ровизации и изменения геополитики все-таки растет. Правда, в отношении законопроекта по безопасности критической инфраструктуры (по крайней мере его текущей редакции, которая, я надеюсь, после второго чтения в Госдуме претерпит серьезные изменения к лучшему) у меня есть ряд серьезных замечаний, которые не пойдут на пользу общему делу повышения защищенности критических инфраструктур. Речь идет о двух, на мой взгляд, достаточно одиозных требованиях – отнесении сведений о мерах защиты объектов критических информационных инфраструктур к гостайне и установлении уголовной ответственности за нарушение требований по защите таких инфраструктур (до 10 лет лишения свободы). Первое требование в случае его принятия существенно сократит и так не очень большой рынок кибербезопасности АСУ ТП и отвратит от него ряд производителей и интеграторов, не желающих (или которые не захотят) получать соответствующие допуска на право работать со сведениями, составляющими гостайну. Оно же усложнит жизнь и самим потребителям, которые, понятное дело, будут обрабатывать такие сведения и вынуждены будут создавать у себя "первые отделы" или отдавать эту функцию на аутсорсинг. Второе требование будет висеть дамокловым мечом над руководителями, которые вряд ли будут рады перспективе "присесть" на 10 лет за отсутствие промышленного МЭ или антивируса. Что у нас в сухом остатке? Коренным образом отличающаяся от обычных корпоративных продаж ситуация с кибербезопасностью критических инфраструктур, помочь которой может либо серьезный инцидент, который заставивит всех задуматься, либо жесткое законодательство, устанавливающее серьезную ответственность за несоблюдение защитных мер. И я не знаю, какой из двух вариантов лучше. Но без них серьезного качественного рывка в деле обеспечения защиты АСУ ТП в ближайшее время я не предвижу, как бы мне этого ни хотелось. l Ваше мнение и вопросы присылайте по адресу
Пресловутая статья 13.12 Кодекса об административных правонарушениях, которая устанавливает ответственность за невыполнение обязательных требований по защите информации, вводит просто смешной штраф в 20 тыс. руб. Ведь на другой чаше весов находятся проекты по кибербезопасности в миллионы, а то и десятки миллионов рублей. И какой бизнесмен будет тратить миллионы для защиты от рисков на 20 тыс.? С экономической точки зрения это нецелесообразно, а в условиях отсутствия публичных фактов реализации угроз и отсутствия правоприменительной практики желание тратить эти миллионы пропадает совсем.
Даже в прогрессивной Америке, где государство не так часто вмешивается в дела бизнеса, давая ему развиваться самостоятельно, задумалось о том, что область безопасности критической инфраструктуры лучше регулировать, чем пускать все на самотек. Ведь бизнесмены, действительно, будут рассматривать этот вопрос с точки зрения прибылей и затрат и решение будет не в пользу затратных проектов по обеспечению кибербезопасности АСУ ТП. Поэтому лучше принять вероятность реализации соответствующей угрозы за единицу и обязать владельцев критических инфраструктур реализовать хотя бы базовый, минимальный набор защитных мероприятий. В условиях такой дискуссии Россия и подготовила законопроект по безопасности критической инфраструктуры, принятый уже в первом чтении (предыдущие попытки не доходили даже до этапа внесения в Госдуму).
is@groteck.ru
• 19
pisarenko 3/21/17 6:26 PM Page 20
JOB
Университеты как двигатель технологического развития Игорь Писаренко, начальник отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ 24 (ПАО), к.т.н., доцент, член АРСИБ Вячеслав Ярославцев, эксперт отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ 24 (ПАО)
Р
еалии современного ожесточенного противостояния в сфере информационных отношений между различными государствами, общественными и политическими структурами, террористическими, экстремистскими и криминальными группами и отдельными личностями убедительно показывают насущную необходимость и актуальность внедрения и развития современных технологий защиты информации. В этих условиях разработка, внедрение и использование надежных технологий защиты информации и, соответственно, подготовка квалифицированных специалистов, способных эти технологии эффективно применять, является высокоприоритетной задачей для Российской Федерации, требует серьезных усилий и затрат как со стороны государства, так и со стороны высших учебных заведений.
Профессиональная подготовка, переподготовка и повышение квалификации кадров в области информационной безопасности выступают как важная составляющая в комплексе мероприятий по противодействию угрозам жизненно важным интересам государства, общества и личности в информационной сфере. Так, в Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 05.12.2016 г. № 646 и определяющей стратегические цели и основные направления обеспечения информационной безопасности с учетом национальных приоритетов России, отмечается, что основными направлениями обеспечения информационной безопасности в области науки, технологий и образования являются: l достижение конкурентоспособности российских информационных технологий и развитие научно-технического потенциала в области обеспечения информационной безопасности;
20 •
l создание и внедрение информационных технологий, изначально устойчивых к различным видам воздействия; l проведение научных исследований и осуществление опытных разработок в целях создания перспективных информационных технологий и средств обеспечения информационной безопасности; l развитие кадрового потенциала в области обеспечения информационной безопасности и применения информационных технологий; l обеспечение защищенности граждан от информационных угроз, в том числе за счет формирования культуры личной информационной безопасности. Задачи поставлены очень серьезные, сложные и затратные, требующие больших усилий, но другой альтернативы не существует, и это наглядно демонстрируют регулярные атаки на информационные активы государственных и коммерческих структур, отдельных граждан. В таких условиях выполнение поставленных Доктриной информационной безопасности задач предполагает эффективную разработку и внедрение инновационных технологий,
проведение научных исследований и совершенствование подготовки специалистов в области информационной безопасности и информационных технологий, повышение осведомленности различных категорий граждан в области защиты информации. Причем реализация всего комплекса работ предполагает четкое взаимодействие различных структур, как государственных, так и коммерческих, в том числе научноисследовательских, производственных и учебных под руководством соответствующих государственных ведомств. Министерством образования и науки Российской Федерации совместно с заинтересованными федеральными органами исполнительной власти создана основа государственной системы подготовки специалистов с высшим профессиональным образованием, способных решать задачи обеспечения информационной безопасности страны с использованием новейших достижений прикладных и фундаментальных научных дисциплин. При этом наряду с подготовкой специалистов высшие учебные заведения активно решают научные задачи и занимаются инновационной деятельностью.
pisarenko 3/21/17 6:26 PM Page 21
www.itsec.ru
JOB
В современной системе высшего образования Российской Федерации можно выделить следующие виды вузов: l федеральный университет – ведущее высшее образовательное учреждение на территории федерального округа, центр науки и образования; l национальный исследовательский университет – высшее учебное заведение, одинаково эффективно осуществляющее образовательную и научную деятельность на основе принципов интеграции науки и образования. Звание "Национальный исследовательский университет" присуждается на десятилетний срок на конкурсной основе; l университет – многопрофильное учебное заведение с большим выбором учебных программ в самых разных областях знания; l академия – готовит широкий круг специалистов какого-либо направления человеческой деятельности; l институт – занимается подготовкой специалистов для работы в определенной области профессиональной деятельности.
Роль одного из ведущих центров, который должен находиться в фокусе решения поставленных задач, сочетая образовательную, инновационную и научную деятельность, принадлежит современному университету в системе высшего образования Российской Федерации, осуществляющему подготовку специалистов по разным профилям и направлениям образования, проводящему фундаментальные и прикладные научные исследования и выполняющему функции научно-методического центра по профилям осуществляемой подготовки специалистов с высшим образованием. На сегодняшний день учебно-научной деятельностью в области информационной безопасности занимается большое число высших учебных заведений различной ведомственной принадлежности (более 100), причем в большинстве своем это именно университеты, в том числе – национальные исследовательские университеты. По сути, они являются двигателем технологического развития. В 2008 г. двум высшим учебным заведениям Российской Федерации впервые был присвоен статус национального исследовательского университета как современным научнообразовательным центрам. На сегодняшний день такой статус имеют 29 высших учебных заведений страны.
научному направлению и подготовку кадров для определенных высокотехнологичных секторов экономики. Отличительными признаками национального исследовательского университета является его способность как генерировать профессиональные знания, так и обеспечивать эффективный перенос разработанных технологий в экономику, проведение широкого спектра фундаментальных и прикладных исследований, наличие высокоэффективной системы подготовки магистров и кадров высшей квалификации, развитой системы программ переподготовки и повышения квалификации.
Инновационная деятельность Приоритетным направлением деятельности таких высших учебных заведений является инновационная деятельность, направленная на решение следующих задач: l развитие и совершенствование национальной и региональной инновационной системы;
l эффективное и рациональное использование интеллектуальных ресурсов высшего учебного заведения, формирование устойчивого интеллектуального потенциала, способного инициировать и реализовывать инновационные проекты различной сложности и направленности; l коммерциализация научных идей, оригинальных инновационных проектов и разработок; l расширение спектра рабочих мест и баз практики для студентов, аспирантов на основе создания фирм и совместных предприятий, в том числе с высшими учебными заведениями других стран; l повышение уровня предпринимательской культуры и подготовка квалифицированных кадров в сфере малого и среднего бизнеса. Инновационная деятельность многих высших учебных заведений направлена на использование и коммерциализацию результатов научных исследований и разработок для расширения и обновления номенклатуры и улучшения качества продуктов и услуг, совершенствование технологии их изготовления с последующим внедрением и эффективной реализацией на внутреннем и зарубежном рынках. Все это в полной мере относится и к системам обеспечения информационной безопасности. Можно выделить следующие основные приоритеты инновационной деятельности высших учебных заведений: l оптимальное сочетание системы образования с современными научными исследованиями; l активное использование в учебном процессе форм обуче-
В Доктрине информационной безопасности Российской Федерации, утвержденной Указом Президента Российской Федерации от 05.12.2016 г. № 646 и определяющей стратегические цели и основные направления обеспечения информационной безопасности с учетом национальных приоритетов России, отмечается, что основными направлениями обеспечения ИБ в области науки, технологий и образования являются:
l достижение конкурентоспособности российских информационных техноло-
гий и развитие научнотех нического потенциала в области обеспечения информационной безопасности;
l создание и внедрение информационных технологий, изначально устойчивых к различным видам воздействия;
l проведение научных исследований и осуществление опытных разработок в целях создания перспективных информационных технологий и средств обеспечения информационной безопасности;
l развитие кадрового потенциала в области обеспечения информационной безопасности и применения информационных технологий;
l обеспечение защищенности граждан от информационных угроз, в том числе за счет формирования культуры личной информационной безопасности.
Национальный исследовательский университет Он представляет собой современный научно-образовательный центр, осуществляющий проведение целого комплекса исследований по общему
• 21
pisarenko 3/21/17 6:26 PM Page 22
JOB
В настоящее время во многих высших учебных заведениях страны достаточно успешно реализуются программы высшего профессионального образования в области обеспечения информационной безопасности, но сама система образования в Российской Федерации претерпела значительные изменения в рамках болонской системы высшего образования, на которую наша страна перешла с 2011 г., и теперь в высших учебных заведениях выпускаются уже не специалисты со сроком обучения пять лет, а бакалавры (четыре года обучения) и магистры (еще два года).
ния, непосредственно связанных с проектной и практической деятельностью, стажировок на производстве, в научно-исследовательских организациях; l современный уровень технологического оснащения учебного процесса. Система инновационной деятельности, связанная с разработкой и внедрением новых технологий защиты информации, для многих высших учебных заведений, в том числе и национальных исследовательских университетов, пока находится на стадии становления, требует значительных усилий, причем как со стороны руководства, так и со стороны профессорско-преподавательского и научного состава, непосредственно студентов и аспирантов. Чрезвычайная наукоемкость деятельности в области информационной безопасности требует привлечения большого числа высококвалифицированных специалистов и мощного технического обеспечения. Непростая экономическая обстановка существенно осложняет внедрение даже реально перспективных разработок, и многие производители средств защиты информации предпочитают самостоятельно создавать и внедрять свои разработки, не всегда охотно контактируя с высшими учебными заведениями, хотя использование их научно-исследовательской базы могло бы существенно снизить затраты бизнеса на разработку и реализацию проектов в области защиты информации.
Обеспечение информационной безопасности становится одним из наиболее интересных и востребованных направлений для инвестиций. Так, по оценкам CB Insights, только за последние пять лет было совершено 1028 инвестиционных сделок в ИБкомпаниях общим объемом более $7,3 млрд. При этом более 60% сделок пришлось на проекты, находящиеся на ранней стадии реализации. Стартапы в сфере обеспечения информационной безопасности перспективны особенно сейчас, когда актуальной задачей является импортозамещение.
Сближение с бизнесом В настоящее время многими высшими учебными заведениями ведется активная работа по сближению с бизнес-структурами и производителями средств защиты информации. Особенно ярко это видно на регулярно проводимых тематических выставках и конференциях: активно происходит обмен мнениями, идеями, проектами и научными достижениями в области обеспечения информационной безопасности, а также поиск инвесторов для реализации разработок и научных достижений. Положительной тенденцией является проведение высшими учебными заведениями научно-практических конференций, на которые приглашаются ведущие эксперты и аналитики в области обеспечения информационной безопасности, участие высших учебных заведений в разработке отраслевых стандартов по обеспечению информационной безопасности, стажировки студентов и аспирантов в компаниях – производителях средств защиты информации и крупных коммерческих структурах с развитой системой обеспечения информационной безопасности.
В настоящее время во многих высших учебных заведениях страны достаточно успешно реализуются программы высшего профессионального образования в области обеспечения информационной безопасности, но сама система образования в Российской Федерации претерпела значительные изменения в рамках болонской системы высшего образования, на которую наша страна перешла с 2011 г., и теперь в высших учебных заведениях выпускаются уже не специалисты со сроком обучения пять лет, а бакалавры (четыре года обучения) и магистры (еще два года). При этом магистратура (второй уровень высшего образования) предусматривает более глубокое освоение теоретических знаний по выбранной специальности, зачастую в ущерб практическим навыкам, и подготовку студента к научно-исследовательской, преподавательской или профессиональной деятельности. Правда, до настоящего времени реальных выпусков магистров не было, поэтому сложно делать определенные выводы о качестве подготовки такой категории выпускников. В целом проблема совершенствования подготовки квалифицированных специалистов в области обеспечения информационной безопасности является для Российской Федерации многоплановой, требует решения ряда насущных проблем, и успешно решить ее возможно только комплексно, на основе системного подхода. Существующая система подготовки кадров, и особенно последующего повышения квалификации, еще не в полной мере удовлетворяет потребностям страны, а возникающие перед ней новые задачи диктуют необходимость как обновления содержания образования, так и совершенствования всей организации образования. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
22 •
gosduma 3/21/17 6:26 PM Page 23
www.itsec.ru
ПРАВО И НОРМАТИВЫ
Комитет по энергетике рекомендовал к принятию законопроект о безопасности критической информационной инфраструктуры России
Н
а очередном заседании под председательством Павла Завального Комитет Государственной Думы по энергетике рекомендовал внесенный правительством проект федерального закона № 47571-7 “О безопасности критической информационной инфраструктуры Российской Федерации” к принятию в первом чтении.
Законопроект разработан в целях реализации Доктрины информационной безопасности Российской Федерации, утвержденной президентом России 5 декабря 2016 г., в рамках которой защита объектов критичной информационной инфраструктуры (КИИ) определяется как одна из стратегических целей. Объекты ТЭК из числа критичной информационной инфраструктуры напрямую попадают под действие национальной Доктрины информационной безопасности. Законопроектом устанавливаются основные принципы обеспечения безопасности КИИ, полномочия государственных органов, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Комитет в своем заключении высказал ряд замечаний к законопроекту, которые необходимо устранить в рамках подготовки ко второму чтению. Как отметил председатель Комитета по энергетике Павел Завальный, "данный законопроект – системообразующий с точки зрения установления порядка отношений в сфере обеспечения безопасности критической информационной инфраструктуры в России". По его словам, очевидно, что "на нынешнем этапе развития цифровых технологий кибербезопасность выходит
на первый план, в полной мере киберугрозы касаются и инфраструктуры ТЭК, ее объекты все чаще становятся мишенью для совершения диверсий, промышленного шпионажа и террористических актов во многих странах". "России пока удавалось избежать таких масштабных опасностей, в том числе и за счет ограниченного использования новейших информационных технологий во многих сферах, но успокаивать это не должно – по мере растущей цифровизации экономики и общества в целом наша киберуязвимость будет стремительно расти, – заявил председатель Комитета. – Энергетическая отрасль России является одной из опорных конструкций российской экономики, от ее устойчивого функционирования зависит и работа всех других отраслей, и ежедневная жизнь людей, всех без исключения, а нанесение ущерба ее критической информационной инфраструктуре может привести к катастрофическим последствиям". В ходе обсуждения законопроекта члены Комитета задавали вопросы о соотношении последствий внедрения системы для изменения состава и внедрения отечественных и зарубежных программ и оборудования, а также о возможностях систем защиты при кратном увеличении объектов. Отмечалось, что опыт правового регулирования безопасности
КИИ стран с развитой информационной инфраструктурой показал невозможность обеспечения безопасности исключительно силами и средствами государства. "Существенная часть объектов КИИ в этих странах, как и в России, не находится в собственности государства. Поэтому законопроект предусматривает дополнительные обременения, которые будут налагаться на собственников значимых объектов КИИ в целях обеспечения информационной безопасности. Это, безусловно, потребует дополнительных финансовых затрат, однако безопасность – как раз та сфера, где имеет смысл заплатить за предотвращение угрозы, а не за устранение ее последствий", – пояснил Павел Завальный, резюмировав, – "безопасность дешевой не бывает". В ходе обсуждения подчеркивалось, что принятие законопроекта позволит создать правовую и организационную основу для эффективного функционирования системы безопасности КИИ, направленной в первую очередь на предупреждение возникновения компьютерных инцидентов на ее объектах, а также существенно снизит общественно-политические, финансовые и иные негативные последствия для Российской Федерации в случае проведения компьютерных атак. l
Законопроект разработан в целях реализации Доктрины информационной безопасности Российской Федерации, утвержденной президентом России 5 декабря 2016 г., в рамках которой защита объектов критичной информационной инфраструктуры (КИИ) определяется как одна из стратегических целей. Объекты ТЭК из числа критичной информационной инфраструктуры напрямую попадают под действие национальной Доктрины информационной безопасности.
По материалам: www.duma.gov.ru
• 23
Sizov 3/21/17 6:26 PM Page 24
СПЕЦПРОЕКТ
Факторы, влияющие на рост рынка IoT Григорий Сизов, руководитель службы продаж телематических сервисов, ПАО “ВымпелКом"
В
За последние 2 года большое развитие получили технологии LP WAN (LowPower Wide-Area Network), позволяющие строить энергоэффективные сети большого радиуса действия. Для разработчиков и бизнесменов это открывает совсем иные перспективы: если в 2008 г. для установки терминала оплаты было необходимо только наличие электропитания 220В, то в 2018 г. уже и этого не потребуется. Новые технологии позволяют устройствам работать на одной батарейке до 10 лет.
24 •
ерно ли определение, что Интернет вещей (Internet of Things, IoT) – это когда каждый предмет или устройство подключены к глобальной Сети? И да, и нет. Правильным ответом будет вопрос “когда?" С большой вероятностью каждый из нас в повседневной жизни уже использует устройство или решение, которое смело можно отнести к Интернету вещей. Однако можно ли утверждать, что рынок IoT полностью сформирован и эра “умных технологий" настала? Однозначно нет! И дело даже не в том, что пока слишком мало устройств подключено к Сети, и даже не в отсутствии технологий. Мы просто еще не перешли к новому технологическому укладу.
Регулярно исследовательские центры публикуют аналитические отчеты и прогнозируют, что к 2020 или к 2022 г. количество устройств превысит 20 или 16 млрд, а кто-то пишет про 50. Разброс в цифрах достаточно большой. Однако можно посчитать, сколько существующих бытовых устройств уже имеют доступ к Интернету, или даже предположить, каким образом "умные вещи" изменят работу каждого из нас. Упростят ли они жизнь? А может, оставят за бортом эволюции именно вашу специальность? Ведь когда-то уже ушли в небытие профессии кучера и трубочиста. Еще до недавнего времени было огромное количество телефонисток, а сегодня уже сложно представить такие методы дозвона в другой город. В ближайшем будущем водители тоже будут не нужны – их заменят самоуправляемые автомобили. Именно технологии Интернета вещей изменят мир до неузнаваемости, и мы уже становимся свидетелями этой трансформации. На примере банковской отрасли мы можем увидеть, как новые технологии стали неотъемлемой частью жизни людей. Около 20 лет назад банкоматы начали постепенно заполнять торговые и деловые центры в крупнейших городах. Каждая установка машины сопровождалась прокладкой выделенной фиксированной линии связи. Это было золотое
время для операторов связи! Банк отдельно оплачивал организацию канала связи, вносил ежемесячную абонентскую плату (в то время в долларах), а каждый обладатель банковской карты знал, где находится его банкомат и когда он работает. Всего 12 лет назад появились терминалы оплаты, которые начали использовать для работы мобильную передачу данных. И терминалы оплаты начали расти как грибы – ведь теперь для подключения требовалось только электропитание, а покрытие сетей связи уже позволяло установить устройство в любом месте. Современные технологии ушли далеко вперед, и мы все меньше пользуемся наличными для оплаты телефона, коммунальных платежей и т.д. На данном примере мы видим, как технологическое развитие, возможность массового применения решения и удобство установки позволяют создавать новые рынки, полностью изменить ландшафт бизнеса и, главное – поведение людей. За последние 2 года большое развитие получили технологии LP WAN (Low-Power Wide-Area Network), позволяющие строить энергоэффективные сети большого радиуса действия. Для разработчиков и бизнесменов это открывает совсем иные перспективы: если в 2008 г. для установки терминала оплаты было необходимо только наличие электропитания 220В, то в
2018 г. уже и этого не потребуется. Новые технологии позволяют устройствам работать на одной батарейке до 10 лет. Это действительно позволит подключить миллиарды устройств по всему миру, а самое главное – теперь можно будет использовать технологии там, где мы раньше и представить не могли. Например, для учета потребления воды и тепла в домах – там, где сегодня это сделать сложно из-за необходимости наличия постоянного электропитания или подключения к стационарным технологиям беспроводной передачи данных от Wi-Fi и Bluetooth до Zig bee и аналогов. Кроме того, технологии LPWAN позволяют подключать немоторизированный транспорт: от велосипеда до лошади, где главным фактором будет дешевизна устройства и энергонезависимость. Можно довольно долго рассуждать о перспективах применения новых технологий, но, если честно, очень хочется заглянуть в будущее и увидеть массовое применение решений в отраслях, которые только начнут формироваться, как когдато появились терминалы оплаты. В Европе, например, взрывной рост показывают системы контроля заполняемости мусорных баков, позволяя обслуживающим организациям снижать затраты на вывоз отходов и повышать качество услуг. И это только начало. Постоянное удешевление стоимости
Sizov 3/21/17 6:26 PM Page 25
www.itsec.ru
ИНТЕРНЕТ ВЕЩЕЙ
оборудования и источников питания вкупе с технологическим развитием действительно позволяют устанавливать сенсоры и датчики в любой сфере жизнедеятельности: от развлечений до мониторинга здоровья, от промышленных объектов до систем мониторинга природных объектов. На первый взгляд кажется, что технологического фактора вполне достаточно для массового применения решений, развития новых систем и повсеместного внедрения Интернета вещей. Нет, не достаточно, но именно технологический вопрос и отделяет нас сегодня от настоящей эры Интернета вещей. В большинстве случаев подключение любого устройства решает одну локальную задачу, а вот межсетевого взаимодействия, которое и предполагает сама концепция Интернета вещей, сегодня нет. Равно как и нет стандартов по взаимодействию между различными системами, в том числе общего регламента по безопасности.
Отрасль №1 Самым ярким примером наличия большого количества разрозненных систем является лидирующая отрасль в сфере Интернета вещей – автомобильная. Давайте попробуем посчитать количество устройств в автомобиле, которые сегодня могут быть подключены к глобальной Сети или уже подключены. Грузовой автомобиль с разрешенной максимальной массой более 12 т сегодня может одновременно иметь: 1. Систему мониторинга автомобиля от автопроизводителя или коммерческую систему мониторинга транспорта. 2. Бортовое устройство системы "Платон". 3. Тахограф. 4. Планшет для навигации водителя. 5. Систему ЭРА-ГЛОНАСС. Большинство устройств передает информацию о координатах автомобиля и параметрах движения, и только менее 10% приходится на данные от бортовых систем и агрегатов. Можно ли объединить все эти данные в одном устройстве? Скорее всего да, однако поставщики решений ответят нам о необходимости использования специализированного оборудования и системы. И сегодня нет той силы, которая способна объединить
эти системы и использовать получаемые данные от разных сервисов, ни со стороны рынка, ни со стороны регуляторов. С точки зрения мобильного оператора такое положение дел, с одной стороны, хорошо: вместо автомобиля и водителя появляется дополнительно 4 абонента, с другой стороны – многие из этих систем генерируют мизерное количества трафика. Если рассматривать легковой автомобиль, то на него дополнительно может быть установлена система учета параметров вождения от страховой компании, в такси или представительском автомобиле – точка доступа Wi-Fi, спутниковая система охраны, противоугонные маячки и даже POS-терминал, если это такси. Все это очень напоминает токийское такси 10 лет назад, когда все удивлялись количеству используемых систем и технологий, но между собой шутили о невероятной избыточности устройств внутри автомобиля. Прошло совсем немного времени, и мы уже успели привыкнуть к подобным автомобилям на российских дорогах. Правда, пока венчает гирлянду автоэлектроники полюбившийся соотечественникам видеорегистратор, но уже не корона или кивающая собачка. Производители автомобилей очень консервативны. В то время как ведущие бренды рассказывали, что смотреть телевизор в движении нельзя (это действительно смертельно опасно) и делали упор на инновационные восьмиступенчатные коробки передач с двумя сцеплениями, профиль среднего покупателя
изменился до неузнаваемости. Он больше не хочет слушать компакт-диски и использовать двухцветный монитор без тачскрина. В основной массе потенциальный владелец автомобиля перестал интересоваться параметрами разгона автомобиля с 80 до 120 км/ч, количеством передач в трансмиссии и мощностью двигателя. Разве только в целях контроля транспортного налога. Зато возможность дистанционного запуска двигателя, особенно в северной части России, возможность воспроизведения собственного контента, наличие актуальной картографии и качественной навигации, безусловно, привлекут покупателя. Ведущие мировые производители уже более 5 лет стараются догнать убежавший было прогресс, но пока это удается не всем. Очень сложно в век моментально устаревающих мониторов и технологий запроектировать систему на весь срок выпуска новой модели (5–7 лет). Неужели все меняется так стремительно? Да, ведь прошло уже 10 лет, когда мы увидели первый iPhone и были выданы первые лицензии на стандарт 3G в России. Первый iPhone по производительности даже смешно сравнивать с сегодняшними флагманами, а технология связи 3G устарела настолько, что некоторые европейские операторы официально сообщили об отключении сетей 3G уже к 2020 г. При этом некоторые выпускаемые сегодня автомобили начали разрабатывать именно в 2007 г. Смогут ли автопроизводители возглавить процесс консолидации сервисов под своими брен-
На первый взгляд кажется, что технологического фактора вполне достаточно для массового применения решений, развития новых систем и повсеместного внедрения Интернета вещей. Нет, не достаточно, но именно технологический вопрос и отделяет нас сегодня от настоящей эры Интернета вещей. В большинстве случаев подключение любого устройства решает одну локальную задачу, а вот межсетевого взаимодействия, которое и предполагает сама концепция Интернета вещей, сегодня нет. Равно как и нет стандартов по взаимодействию между различными системами, в том числе общего регламента по безопасности.
Такси в Токио, оригинал с разрешением на использование от 2007 г.
• 25
Sizov 3/21/17 6:26 PM Page 26
СПЕЦПРОЕКТ
Очень сложно в век моментально устаревающих мониторов и технологий запроектировать систему на весь срок выпуска новой модели (5–7 лет). Неужели все меняется так стремительно? Да, ведь прошло уже 10 лет, когда мы увидели первый iPhone и были выданы первые лицензии на стандарт 3G в России.
Немного статистики: на конец 2008 г. по данным ЦБ РФ было 75 329 банкоматов и 325 485 электронных терминалов оплаты товаров и услуг (POS-терминалов), на октябрь 2016 – 203 496 банкоматов и 1 670 950 терминалов. В том же 2008 г. только у компании ОСМП было около 176 тыс. терминалов оплаты (из проспекта ценных бумаг компании). И эра терминалов тогда только начиналась, даже несмотря на кризисное время.
26 •
дами? Ведь контроль над данными является приоритетной задачей в современном мире, а основная выручка всегда окажется у обладателя инфраструктуры и конечных пользовательских приложений. А может быть, этот процесс смогут подчинить себе такие монстры, как Google и Apple? Они уже создали свои платформы для автомобилей, но автопроизводители будут до последнего сопротивляться этим системам, хотя многие штатные бортовые системы уже поддерживают эти платформы. Рынок снова упирается в закрытость системы, отсутствие полноценной интеграции между решениями и четких правил безопасности данных. Простой пример: ни один автопроизводитель сегодня не может похвастаться глобальным взаимодействием с городской инфраструктурой, например, с парковочным пространством. Ведь это намного логичнее: заставить автомобиль автоматически оплачивать парковку, когда он остановился, и отменять оплату в начале движения. Сегодня эти задачи решаются локально, а это сложно, дорого и долго. Можно ли сделать вывод о том, что автопроизводители и лидеры ИТ-отрасли победят всех в итоге, создав определенные правила игры и открытые платформы? И будут диктовать свои условия? Возможно, но давайте подождем немного. Ведь модель потребления меняется. Не всем нужен дорогой автомобиль, красивые литые диски и отделка салона белой кожей. Если будет альтернатива использованию собственного автомобиля, дешевая, удобная и быстрая – массовый потребитель моментально проголосует рублем. Каршеринг и другие сервисы совместного использования сейчас выглядят как нишевые продукты и что-то вроде нового развлечения. Сегодня да, а завтра? Помните, когда появился Яндекс.Такси? В 2011 г. пользователи продолжали звонить в автопарки и агрегаторы, ловили машины на улице и показывали дорогу. Платили столько, сколько скажет водитель или как договоришься. Сегодня сложно представить такую ситуацию. Такси стало цивилизованным, быстрым, дешевым и безопасным. Отрасль изменилась до неузнаваемости. Вероятно, аналогичные изменения мы увидим и в
каршеринге, когда новая компания, сравнимая с Uber или Ryanair, откроет тендер на 20 млн автомобилей по всему миру среди ведущих производителей, напишет четкое техническое задание на комплектацию и систему, устанавливаемую в автомобиль, сервисное обслуживание и оператора данных от автомобиля. Уверен, не все захотят "ложиться" под такую модель и постараются оставить за собой право решать, как делать автомобиль и для чего. Но, не сомневаюсь, конкурс заинтересует многих, кто сможет обеспечить себе хороший объем продаж, пусть и с минимальной прибылью. И тогда мир автомобилей изменится навсегда еще раз. А если добавить к этому системы автопилота, то скоро появится целое поколение людей, которые не умеют и не хотят водить автомобиль и никогда не будут иметь в собственности транспорт.
Кто победит? Если смотреть на среднесрочную перспективу, то рынку IoT необходима консолидация. Сегодня на рынке представлено слишком много бизнес-моделей, компаний с нишевыми или глобальными продуктами и сервисами. В мире мобильных устройств за недолгое время мы уже видели взлеты и падения таких компаний, как Nokia, Motorola и Blackberry. Они принесли массу технологий в нашу повседневную жизнь, но в конечном итоге проиграли. Это и есть прогресс. Например, в сфере транспортной телематики России можно тоже привести список компаний, которые были на вершине рынка IoT, а уже сегодня мы даже не помним их знаковые проекты. Может, рынку Интернета вещей слишком мало внимания уделяют гиганты потребительской электроники? Однозначно ответить на этот вопрос нельзя. Каждая компания пытается создавать новые решения и поддерживать имидж технологического лидера. "Билайн" Бизнес, например, как оператор связи поддерживает технологическое развитие отрасли и реализует самые инновационные сервисы на своей сети, такие как Центр управления М2М, позволяющий всем игрокам рынка использовать самые передовые глобальные технологии в России для создания продуктов в сфере IoT.
Южнокорейская компания Samsung делает и "умные дома", и решения для автомобилей. Да, таких примеров мало, и они пока проигрывают маленьким и быстрым компаниям, специализирующимся на решениях для IoT. Но они проигрывают на зарождающемся рынке, и в перспективе 2–3 лет они могут купить успешные стартапы и идеи. Только на счетах Apple на 31 января 2017 г. скопилось более 246 млрд долл., которых, скорее всего, хватит даже для покупки всего мирового рынка разработчиков IoT. В ближайшие годы именно такие компаниигиганты смогут создавать новые сервисы и развернуть глобальную инфраструктуру Интернета вещей. Традиционные направления бизнеса уже испытывают слишком сильную конкуренцию, а убедить пользователя обновить устройство все сложнее: производители ноутбуков уже около 3 лет не производят ничего принципиально нового, ни в части производительности, ни в части пользовательского опыта и дизайна. Все больше людей отказывается от планшетов в пользу смартфонов с большими экранами или фаблетов. Сами по себе телефоны стали похожи один на другой, и теперь нет смысла каждый раз покупать новинку. Именно это говорит о том, что лидеры потребительской электроники имеют все возможности, а, главное, потребность в создании новых рынков для того, чтобы не повторить судьбу Nokia. Но пока мы не видим результатов этой работы, что оставляет пространство для всех игроков. Возможно, новым и самым дорогим стартапом тоже станет компания с решением в области IoT, такая, как Uber. Однозначно сегодня уже можно определить победителей в этом увлекательном соревновании технологий и сервисов – это каждый из нас. Мир продолжит меняться в лучшую сторону, и в ближайшие годы в нашу повседневную жизнь войдет еще больше полезных, удобных и качественных сервисов! Однако ближайшие 3 года не стоит ожидать больших прорывов в области Интернета вещей и что устройства будут принимать решения за нас. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
sviaz 3/21/17 6:26 PM Page 27
krugly_stol_iot 3/21/17 6:25 PM Page 28
СПЕЦПРОЕКТ
Развитие IoT-рынка
Н
есмотря на серьезное отставание России от Запада по части Интернета вещей (Internet of things – IoT), о котором говорят все аналитики, IoT уже прочно вошел в нашу жизнь и бизнес. Пожалуй, сегодня это одна из наиболее часто обсуждаемых тем на конференциях и в СМИ. В 2016 г. развитие сегмента IoT шло вполне уверенно; что ожидает данную технологию в 2017 г., а также какие вызовы стоят перед IoT сегодня, редакция узнала у экспертов отрасли.
– Как вы оцениваете текущее состояние и перспективы рынка IoT-решений в России?
Андрей Рычков, руководитель платежной системы “Центральная касса" – Рынок Интернета вещей в России находится в зачаточном состоянии. Массового применения решений нет, но уже идет публичное обсуждение, как можно использовать технологии в повседневной жизни. По сути, сейчас формируется общественный заказ: рынок пытается определить, что нужно покупателям, даже если они еще сами об этом не знают.
Павел Новиков, руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies – Тема IoT-устройств сейчас популярна как никогда. Активное использование IoT в быту повышает комфорт и личную эффективность владельца. На российском рынке представлено множество IoT-решений от иностранных компанийпроизводителей, но для них не существует единого стандарта управления и безопасности. Устройства разных производителей невозможно заставить работать друг с другом. К примеру, пользователь вынужден скачивать несколько приложений, чтобы управлять умными розетками и лампочками в своей квартире. Зачастую все эти IoT-устройства содержат критические уязвимости, которые легко эксплуатировать злоумышленникам. Один из ярких примеров уязвимостей IoT – нашумевшая история с ботнетом Mirai, в котором основную массу составляли Web-камеры с учетными данными типа admin:admin. Наши исследования в этой области подтверждают, что получить видео или фото с чужой Web-камеры не составляет труда,
28 •
в том числе распространенных именитых производителей. Ситуацию смогут выправить комплексные решения от крупных производителей, которые позволят связать воедино несколько устройств и в том числе защитить их.
Марат Гуриев, директор по работе с госучреждениями Samsung Electronics – IoT можно назвать самой горячей частью любого рынка, поскольку он приблизительно с равной скоростью развивается в каждом из своих восьми наиболее известных направлений: дом, освещение, здание, город, предприятие (индустрия), ритейл, автомобили, здравоохранение. Предполагаю, что в текущем году своими пилотными проектами рынок IoT-решений доберется до объектов внедрения во всей перечисленной восьмерке. Есть две специфические особенности успешных IoTрешений: они должны быть компактны и быстро окупаемы. А значит, это сфера активности малого и среднего бизнеса. Поэтому в конце года можно будет наблюдать множество краудфандинговых решений на базе смартфонов, планшетов, мобильных прило-
жений, а также разнообразных датчиков, подключаемых к облачным сервисам. И, разумеется, все эти устройства должны быть оснащены серьезными средствами информационной безопасности. – Что должно произойти в сфере технологий, чтобы Интернет вещей стал обыденным делом?
Андрей Рычков, руководитель платежной системы “Центральная касса" – Они должны стать дешевле и одновременно с этим полезнее для человека. Потребитель должен понимать ценность решений Интернета вещей.
Виталий Кузнецов, управляющий партнер Office Anatomy – Интернет вещей – один из глобальных трендов. По различным экспертным оценкам, к 2020 г. 16–30 млрд IoT-устройств будут подключены к сетям по всему миру. Только в Европе число таких устройств, по прогнозам, может
krugly_stol_iot 3/21/17 6:25 PM Page 29
www.itsec.ru
ИНТЕРНЕТ ВЕЩЕЙ
лит получить данные об экономическом эффекте и может спровоцировать дальнейший рост количества установок IoTсистем. Сейчас системы IoT содержат множество функций, без возможности их разделения на отдельные продукты или модули. Например, система содержит в себе контроль протечек, контроль открывания дверей, контроль температуры, влажности воздуха и управления климатическим оборудованием. А клиенту требуется только контроль протечек или только контроль открытия дверей. Предложение концепции модульности IoT-решений позволит клиентам постепенно наращивать их функционал, закрывая в первую очередь самые важные для него задачи.
Дмитрий Огородников, увеличиться в четыре раза. В России темпы развития Интернета вещей намного медленнее. Для активного роста необходимо повсеместное развертывание сетей стандарта 4G и впоследствии – 5G. Также важны такие факторы, как защищенность и безопасность сетей. Для решения этой задачи необходимы новые технологии, обеспечивающие безопасность данных. Дальнейшая миниатюризация датчиков и сенсоров IoT-устройств и разработка новых технологий в области энергозависимости могут также способствовать росту Интернета вещей.
сегодня представлен "локальными" решениями с ограниченной функциональностью. Поэтому все ждут внедрения единого стандарта, который объединит элементы IoT в единую систему, что станет мощным толчком в развитии отрасли. Большие надежды производители возлагают на беспроводные технологии Bluetooth 5.0 и Wi-Fi HaLow, выход которых планируется в конце текущего года. А пока наиболее прогрессивные компании в сфере IoT используют сразу несколько протоколов, что позволяет создать открытую систему и объединить множество устройств.
Павел Новиков, руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies – IoT-решения стали обыденным делом в личном пространстве пользователя, городской среде и на крупных предприятиях. Осведомленность о технологиях ежедневно растет и, соответственно, растет количество пользователей IoTустройств. Не стоит сомневаться, что в ближайшие годы IoT основательно проникнет в наш быт, занимая новые ниши в повседневной жизни.
Людмила Сухоставец, руководитель отдела маркетинга Rubetek – Если говорить о технологиях, важным вопросом является создание "идеального" протокола передачи данных. Даже самые распространенные протоколы – Wi-Fi, Bluetooth, Z-wave, ZigBee – имеют как преимущества, так и недостатки. Рынок IoT в большинстве случаев
– Какие вызовы сейчас стоят перед IoT?
Николай Сергеев, генеральный директор ГК “РТЛ Сервис" – В России сейчас отсутствует универсальная интеграционная платформа для применения IoT на промышленных предприятиях, что не позволяет объединить данные из различных IoT-систем и получать аналитику в общепринятом формате. Разработку в этом направлении ведет компания "Ростелеком", но еще рано говорить о промышленной эксплуатации создаваемой ей платформы. Создание гибких аналитических систем для обработки данных, получаемых от различных IoT-систем, и подготовки типовых управленческих решений. Удешевление стоимости систем IoT, в первую очередь стоимости внедрения их систем. В условиях сложной экономической ситуации компании не идут на внедрение дорогой системы без понятного экономического эффекта. Снижение стоимости даст толчок росту количества пилотных внедрений, что позво-
директор центра компетенций по информационной безопасности компании “Техносерв" – Одной из приоритетных задач IoT сегодня является обеспечение безопасности конечных пользователей. К концу 2020 г. необходимость закрывать уязвимости в IoT приведет к росту расходов на обеспечение их безопасности до 20% от годового бюджета на безопасность против менее 1% в 2015 г. И в этом нет ничего удивительного. Требования современного бизнеса в первую очередь предъявляются к "красивой обертке" и скорости вывода продукта на рынок. При таком подходе очень часто страдает производительность и надежность новых продуктов, а про безопасность, как правило, просто забывают, реализуя какие-то базовые механизмы, либо сознательно оставляют ее "на потом". При этом "масла в огонь" добавляют зачастую отсутствующие процессы безопасной разработки программного обеспечения. Согласитесь, крайне неприятно увидеть в Интернете запись происходящего в собственном доме или получить неожиданный продуктовый заказ из супермаркета от "взбесившегося" холодильника, или потерять страховку из-за зубной щетки, которая сообщила в страховую компанию, что вы не чистите зубы. Но, впрочем, все это покажется несущественным, когда к миру IoT станут подключаться роботы с возможностью изменять окружающие предметы и, хуже того, чем-либо управлять. Такое положение "вещей" в первую очередь вызвано отсутствием общих стандартов, протоколов, архитектур этих систем и их взаимодействием. Беглый взгляд на документы RFC RFC 7452 (Architectural Considerations in Smart Object Networking)1 и RFC 7397 (Report from
• 29
krugly_stol_iot 3/21/17 6:25 PM Page 30
СПЕЦПРОЕКТ температурные нормы подойдут к критической отметке, датчики предупредят специалистов о возможной неисправности. Немаловажно и то, что машины сами учатся предсказывать поломки: создают соответствующие алгоритмы на основе прецедентов или заложенных в программу данных.
Алексей Талаев, руководитель департамента прогнозной аналитики и оптимизационного планирования ИТ-компании Navicon
the Smart Object Security Workshop)2 показывает, что основные принципы построения Интернета вещей только начинают разрабатываться, а многое находится на уровне определений и рекомендаций – "вы должны об этом подумать сами". Вместе с тем подключение таких устройств, как cенсоры и особенно исполнительные механизмы (Actuator), несет в себе абсолютно новые риски, а именно риски некорректного управления объектами технологических процессов или жизнеобеспечения. Если проанализировать большинство из известных атак на объекты АСУ ТП, мы придем к выводу, что почти все они были направлены на контроллеры PLC и изменение режима работы этих устройств. Но эти контроллеры не подключаются напрямую к сети Интернет, поэтому атакующие были вынуждены атаковать управляющие системы для последующего контроля конечных устройств PLC. Но Интернет вещей создается по принципу "все, что может подключаться, должно быть подключено", и именно к сети Интернет. При такой концепции без единых стандартов, как вы понимаете, риски возрастают многократно.
Андрей Рычков, руководитель платежной системы “Центральная касса" – Технологии необходимо удешевить и стандартизировать. Сейчас большинство решений очень дорогие. Но такой путь проходят многие инновации. Вспомните, поначалу ABS устанавливался только в автомобили премиальных марок. Теперь даже у недорогих моделей есть антиблокировочная система. По сути, ABS –
1 2
https://tools.ietf.org/html/rfc7452. https://tools.ietf.org/html/rfc7397.
30 •
это базовый стандарт автомобилей, как карандаш с ластиком наверху. Причем скорость внедрения и распространения новых технологий будет увеличиваться. Если раньше на это требовались десятилетия, то теперь все намного быстрее. Уверен, так будет и с Интернетом вещей. Если сейчас умные предметы приобретают только самые продвинутые, то с удешевлением технологий они будут все активнее появляться в наших домах.
Петр Травкин, руководитель направления Big Data компании Hitachi Data Systems – Возможность снизить затраты за счет прогнозирования поломок и своевременного обслуживания оборудования – одна из востребованных задач Интернета вещей. Особенно это будет крайне востребовано в условиях промышленного производства и добычи полезных ископаемых. Каждый из датчиков IoT, установленных на оборудовании, выполняет свою функцию: измеряет вибрацию, температуру (самого аппарата и помещения, в котором он находится), уровень света, шума и прочее. Эти данные обновляются несколько десятков раз в секунду. Будут ли эти технологии использоваться на нефтяных вышках, заводах, сборочных конвейерах или где-либо еще – для всех отраслей принцип получения прогнозной аналитики одинаков. Информационные системы "запоминают", при каких обстоятельствах совершилась предыдущая поломка: к примеру, когда уровень температуры окружающей среды и объекта различался более чем на пять градусов, – и когда в следующий раз
– В России потенциал IoT раскроется в сфере решений для дистанционного мониторинга в промышленности. Здесь важно настроить системную работу с информацией (без аналитических инструментов бизнес способен эффективно использовать только 1% собираемых с датчиков данных) и наладить тесную интеграцию IoT с интеллектуальными инструментами аналитики (AI и Machine Learning), а также с облачными решениями вендоров. Наконец, в России до сих пор не сформирована инфраструктура "Индустриального интернета". Сейчас в стране используется более 300 решений для передачи данных IoT, а сам сектор нормативно не регулируется. Нужно, вопервых, создать универсальную платформу и единый протокол IIoT, во-вторых – разработать единые стандарты и нормативные документы.
Владимир Ласовский, менеджер по развитию бизнеса в области Интернета вещей Orange Business Services Россия и СНГ – Основной вызов, который стоит сегодня перед развивающимся Интернетом вещей, – это безопасность умных устройств, которой пренебрегают многие пользователи. 90% ИБ-экспертов считают IoT главной угрозой безопасности в 2017 г. Устройств с доступом к сети появляется все больше, и каждое из них – потенциальная частичка разрастающихся ботнет-сетей. Основная опасность состоит в том, что ботнет-вирусы живут несколько лет и их крайне тяжело обнаружить. Самые громкие DDoS-атаки в 2016 г. связаны именно с Интернетом вещей. Источниками атак становятся многочисленные роутеры, камеры
krugly_stol_iot 3/21/17 6:25 PM Page 31
www.itsec.ru
ИНТЕРНЕТ ВЕЩЕЙ
и видеорегистраторы. При этом один час простоя обходится компаниям в $40 тыс. Средняя атака длится 6–24 часа, убытки доходят до $500 тыс. Другой вызов – разрозненность существующих IoT-проектов и отсутствие универсальных стандартов взаимодействия датчиков между собой и с внешней средой. Наконец, еще одна проблема – необходимость модернизации магистральных ВОЛС в связи с появлением все большего количества проектов в сфере Интернета вещей.
Павел Новиков, руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies – Мы переступили порог взрывного роста использования устройств IoT. В ближайшие годы прогнозируется многократный рост количества этих устройств, но что еще важнее – они будут вовлечены во многие "слабо информатизированные" области жизнедеятельности и бизнеса, в том числе затрагивающие обработку критической информации: информацию о здоровье, платежные операции, информацию о местоположении, физическую безопасность и безопасность человеческой жизни. В связи с этим приоритетная задача производителей IoT-решений – повышение защищенности этих устройств, учитывая аспекты информационной безопасности как при разработке, так и при внедрении элементов IoT-решений. – Каковы, на ваш взгляд, приоритетные задачи для развития в России рынка Интернета вещей?
Екатерина Медведева, специалист по стратегическому маркетингу, АстроСофт – Для развития в России приоритетных направлений Интернета вещей – умного города и промышленного Интернета вещей – необходима инфраструктура. Ее развитием на базе имеющихся ресурсов могут заниматься операторы сотовой связи и крупные телекоммуникационные компании, например "Ростелеком". Такая задача подтягивает за собой еще один важнейший вопрос – обеспечение ее безопасности. В данном контексте отечественное программное обеспечение становится ключевым элементом системы безопасности. Во-первых, это обеспечивает независимость национальной технологической базы, а во-вторых, зарубежное ПО все еще остается уязвимым
для кибератак. Одна из крупнейших кибератак произошла осенью 2016 г., когда заражение IoT-устройств стало причиной мощной DDoS-атаки на DNSпровайдера Dyn. В результате атаки нарушилась работа интернет-сервисов на всем Восточном побережье США, работа клиентов провайдера Dyn оказалась парализована. Уже можно наблюдать увеличение активности отечественных разработчиков ПО, недавно активно освещалась в прессе инновационная российская разработка операционной системы реального времени ОСРВ МАКС. Форсировать этот позитивный тренд могла бы поддержка отечественных разработчиков и создание базы для обмена знаниями и технологиями на национальном уровне.
Борис Труш, директор компании ООО “Единые Электронные Системы" – На данный момент расширение и модернизация систем безопасности в городах России является приоритетным шагом к развитию IoTтехнологий. Уже существует множество технологий, которые позволят сделать более безопасными улицы города. В прошлом году было множество споров о рентабельности вложения средств в системы безопасности с Интернетом вещей. На мировом рынке IoT расширяется не только благодаря потребительскому спросу на гаджеты, но и благодаря государственным программам безопасности, увеличению числа камер слежения, датчиков и терминалов, способных собирать и анализировать данные. Это дает надежду на то, что электронная промышленность будет набирать обороты, чтобы наполнять проекты современными устройствами, способными видеть, слышать, запоминать.
Яков Гродзенский, руководитель направления информационной безопасности компании “Системный софт" – Одной из основных задач для развития IoT в России остается решение проблем информационной безопасности. Дело в том, что главными векторами развития Интернета вещей в нашей стране будет не потребительская электроника, а промышленность, энергетика и сельское хозяйство – отрасли, в которых применение IoT-решений даст реальный прирост производительности труда и ресурс для усиления конкурентоспособности экономики. В промышленном Интернете вещей риски взлома существенно выше: одна атака может стоить компании миллионы и даже миллиарды рублей, поэтому без отлаженных механизмов защиты не обойтись. Другие задачи – развитие экосистемы Интернета вещей, создание законодательной базы со стороны государства и поиск инвестиций для пилотных IoT-проектов.
Андрей Рычков, руководитель платежной системы “Центральная касса" – В первую очередь на данном этапе для рынка Интернета вещей в России важна пропаганда. Сейчас у людей не сформировалось видение необходимости применения IoT-решений. Один из самых простых примеров – счетчик электричества или воды, который сам передает показания электроснабжающей организации. У человека одной заботой меньше, ему уже не нужно держать в голове, что каждый месяц надо показания записывать и отправлять. Одновременно с этим такой
• 31
krugly_stol_iot 3/21/17 6:25 PM Page 32
СПЕЦПРОЕКТ
счетчик повышает точность передачи показаний. Но люди не побежали стройными рядами менять установленные у них счетчики. Потому что нет окончательного понимания полезности такого решения и конечной ценности. Люди должны понимать, что конкретная проблема решается и для них это не накладно, просто и понятно.
Илья Апполонов, руководитель по развитию направления IoT компании ICL Services – Следует прежде всего разделить все решения в области IoT на два сегмента: потребительский Интернет вещей и индустриальный Интернет вещей. По факту это две совершенно разные области, и их нужно рассматривать отдельно. Если говорить о задачах для развития рынка, то они разнятся для этих сегмен-
тов. Для потребительского сегмента решающими факторами является доступность и стоимость решений (как программной части, так и самих устройств). Учитывая, что подавляющее большинство IoT-решений предлагаются зарубежными брендами, на оба фактора можно повлиять, налаживая официальные дистрибьюторские каналы поставок решений в нашу страну. Чем больший масштаб поставок будет достигаться, тем дешевле и доступнее будут решения. Если говорить о таком факторе, как спрос, то здесь СМИ играют свою роль уже сейчас, подогревая интерес аудитории с помощью огромного количества статей, видео, описаний реальных примеров использования и т.д. В индустриальном Интернете вещей задачи несколько иные. В данном сегменте приживаются только решения, которые способны хотя бы на момент защиты бизнес-кейса показать потенциал значительного снижения расходов для внедряющей компании либо значительного повышения выручки. Данный
аспект обуславливает намного более вдумчивый выбор IoT-решений и их оценку, при этом стоимость самого решения играет не столь значимую роль, а доступность вообще не является ограничивающим фактором. Для приобретения и внедрения индустриального IoT-решения бизнесу нужно четкое понимание выгод в сравнении со стоимостью. Как показывают маркетинговые исследования, даже западный рынок IoT-решений не обладает таким уровнем зрелости, при котором заказчик сам может оценить свои слабые места в текущей деятельности и связать их усиление с внедрением IoT-решения, т.е. никто не придет к вам как интегратору и не скажет: "Мне нужно IoT-решение, чтобы снизить затраты на техподдержку и убытки от простоя оборудования". Инициатива предложения такого рода решений на рынке индустриального Интернета вещей должна быть исключительно со стороны интеграторов, которые должны обладать опытом решения задач бизнеса через внедрение IoT-решений. На данный момент опытом внедрения полномасштабных индустриальных IoT-решений обладают единицы. Таким образом, задачами для развития российского рынка индустриальных IoT- решений является обучение и повышение уровня зрелости как интеграторов, так и заказчиков в лице компаний. Интеграторам, конечно, следует начать с работы с текущими заказчиками и попробовать взглянуть на их текущие задачи и проблемы с точки зрения провайдера IoT-решений, а заказчикам, в свою очередь, научиться выстраивать свои стратегии с учетом технологий IoT. При возникновении такой общей "понятийной платформы" между провайдерами и заказчиками рынок индустриального IoT начнет развиваться намного динамичнее.
Павел Новиков, руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies – Помимо умного дома активное развитие получили решения класса умный город, при этом зачастую горожане не замечают этих изменений. Они уже применяются для регулировки светофоров, городского освещения, информационных табло, в камерах фиксации дорожнотранспортных нарушений. Также IoT получил распространение в области сельского хозяйства, промышленности и т.д. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
32 •
pleshkov_IoT 3/21/17 6:26 PM Page 33
www.itsec.ru
ИНТЕРНЕТ ВЕЩЕЙ
Рекордсмен по взломам Алексей Плешков, независимый эксперт по информационной безопасности
В
современной России принято считать, что IoT чаще всего используется злоумышленниками для проведения сетевых атак класса “отказ в обслуживании”. И, действительно, опубликованные факты говорят сами за себя.
В 2013–2014 гг. в сообществе специалистов по защите информации бурно обсуждались взлом операционных систем SOHOустройств сетевого и канального уровня, построение на их основе ботсети и совершение масштабных атак класса "отказ в обслуживании" на целевые сайты и поисковые системы. 2015 г. прошел у киберпреступников под флагом эксплуатации уязвимостей в операционных системах цифровых камер наружного видеонаблюдения. Помимо передачи высококачественной картинки в режиме 24/7, видеокамеры выступили удачным и практически бесплатным генератором интернет-трафика. В период с 2012 по 2016 г. на профильных конференциях по сетевой безопасности регулярно проходят демонстрации наличия уязвимостей в программном обеспечении автомобилей ведущих мировых производителей. Некоторые европейские и азиатские автоконцерны в этот период официально отзывали целыми партиями своих железных коней, не без основания опасаясь за жизни пассажиров и водителей автомобилей, уязвимых к известным сетевым атакам. Немногие из ИТ-специалистов, стоящих у истоков IoT, задумывались о том, что характерные для операционных систем пользовательских рабочих станций или мобильных телефонов уязвимости либо сетевые атаки могут быть с успехом применены к IoT-совместимым устройствам с ограниченной областью применения, таким как видеорегистраторы, метеостанции, телевизоры, бытовая техника и др. Но DDoS – это далеко не единственная сфера применения киберпреступниками технологий IoT. На рубеже 2016–2017 гг. стали известны примеры использования управляемых сетевых устройств в сфере высокотехнологического мошенничества через Интернет. Первым примером является использование массы подключенных к IoT и подконтрольных злоумышленникам устройств в качестве генераторов трафика для
интернет-рекламодателей и сервисов по монетизации обращений к контенту. В Интернете размещены сотни объявлений о продаже трафика, происхождение которого не уточняется. Базовые HTTP/HTTPS-ориентированные Web-сервисы, не оснащенные подсистемой антибот, чаще всего – не российского производства и сопровождения, являются лакомым куском для держателей ботсетей на базе IoT-устройств. К той же категории "серого" бизнеса относится искусственная накрутка на возмездной основе рейтингов для новых, никому не известных сайтов в поисковых системах с помощью генерации однотипных запросов, инициированных с различных IP-адресов зараженными IoT-устройствами (легализованный DDoS). Другим, более сложным примером является использование proxyсерверов на подконтрольных IoTустройствах в определенном регионе/стране (если важна геолокация и IP-привязка) для участия в псевдоанонимных официальных голосованиях (политические выборы, статистические исследования, сбор общественного мнения, выбор коммерческого продукта путем опроса через Интернет, рейтингование и пр.). В этом случае с использованием скриптов для "автозаливов" кибермошенникам удается искусственно склонить чашу весов в пользу того или иного ранее оговоренного заказчиком мнения или кандидата. Грамотно организованная и анонимно управляемая (например, через TOR) ботсеть на IoT-устройствах в таком случае может переломить ход истории в отдельном взятом государстве. Еще один нетривиальный пример применения IoT для киберпреступлений – это таргетированная слежка за нужными, известными или просто обозначенными заказчиком людьми с использованием IoT-технологий (и это не только мобильный телефон или планшет), поиск и сбор уязвимых аспектов личной жизни с целью дальнейшего шантажа, вербовки
и пр. Так, март 2017 г. ознаменовался публикациями в средствах массовой информации со ссылкой на портал WikiLeaks подтвержденных фактами сведений о том, что отдельными спецслужбами (в том числе по их поручению не указанными лицами через Интернет) в период с 2012 по 2016 г. осуществлялась слежка за высокопоставленными политиками и представителями коммерческих компаний по всему миру путем дистанционного проникновения во внутренние, в том числе домашние и офисные, вычислительные сети и эксплуатации уязвимостей в IoT-совместимых устройствах. Таким образом, области применения злоумышленниками IoT не ограничиваются только DDoS или только слежкой. Аналитики прогнозируют стремительный рост рынка IoT в ближайшие пять лет. Отечественные и иностранные производители устройств для IoT в погоне за объемами не всегда успевают уделить должное внимание информационной безопасности. Именно это обстоятельство и является основной причиной того, что каждый день в автоматическом или в ручном режиме под контроль кибермошенников попадают все новые IoT-совместимые устройства. По информации тематического портала, в Интернете один из самых известных ботнетов на основе IoTустройств Mirai по состоянию на конец 2016 г. насчитывает более 400 тыс. уникальных подконтрольных хостов. И это только та информация, которую злоумышленники сами захотели опубликовать. Реальные объемы компрометации IoT-совместимых устройств доподлинно неизвестны. Остается только догадываться, в каких ботнетах сейчас находится ваш холодильник… l
Области применения злоумышленниками IoT не ограничиваются только DDoS или только слежкой. Аналитики прогнозируют стремительный рост рынка IoT в ближайшие пять лет. Отечественные и иностранные производители устройств для IoT в погоне за объемами не всегда успевают уделить должное внимание информационной безопасности. Именно это обстоятельство и является основной причиной того, что каждый день в автоматическом или в ручном режиме под контроль кибермошенников попадают все новые IoT-совместимые устройства.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 33
reviashko 3/21/17 6:26 PM Page 34
ТЕХНОЛОГИИ
Современные компьютерные угрозы: что реально угрожает бизнесу? Андрей Ревяшко, технический директор ООО “Вайлдберриз"
К
В отсутствие систем проверки исходного кода либо старших групп (доверенных лиц) с полномочиями codereviewer компания обрекает себя на появление в системе разного рода back
ак бы быстро ни менялся мир информационной безопасности и компьютерных угроз, классика жанра остается неизменной классикой. Есть мнения о высокой опасности со стороны новшеств, к примеру, использование отладочных интерфейсов на платформах с USB 3.0 на борту – для получения контроля над системой, но все же угроза бизнесу приходит со стороны человеческого фактора. В первую очередь со стороны бизнеса – не уделяется должным образом внимание информационной безопасности.
В настоящее время у бизнеса есть силы и возможность привлечь специалистов для быстрого роста компании – с точки зрения экономики, который, к сожалению, не всегда идет в ногу с информационной безопасностью. Тут-то и начинаются проблемы. Говорить о проблемах с информационной безопасностью в малом бизнесе не приходится, так как руководители в состоянии проконтролировать порядок в небольшом коллективе сотрудников, наряду с тем, что интерес со стороны злоумышленников невелик. Когда же компания перешагивает порог в тысячу сотрудников и появляются сотни
удаленных офисов (филиалов) – наступает переломный момент, который (в отсутствие должного внимания со стороны "безопасников") погубит бизнес. На сегодняшний вопрос о современных компьютерных угрозах бизнесу с большим штатом у меня есть свой "ТОП 5"ответ.
База данных для тестирования Так уж сложилась жизнь, что перед выкладкой изменений в программном продукте на производственную среду следует произвести тестирование последнего. Максимально приближая тестовую среду к производственной, можно безопас-
но выявить изъяны новой системы и не обрекать пользователей на мучения в виде ошибок в неподходящий момент. Базы данных для тестирования в данном случае не исключение. Говоря об администраторах баз данных – такие же люди, которым свойственно ошибаться и спешить, что, особенно при больших объемах, сильно угрожает бизнесу и по сей день. Речь идет об утечке информации по средствам доступа, к примеру, новых разработчиков к тестовой среде, в которой имеется полная копия базы данных с финансовой информацией или персональными данными клиентов.
door’ов либо простого
Отсутствие code review
и банального размещения в системах хранения исходного кода логинов и паролей к базам данных производственной среды.
Рис. 1. SIEM-система
34 •
Возвращаясь к разработке – обозначим еще один "модный" ныне момент. Нередко сталкиваюсь с непониманием у бизнеса того факта, что увеличение числа разработчиков зачастую ведет к снижению качества и скорости самой разработки программного обеспечения. В отсутствие должного уровня понимания между бизнесом и групп информационной безопасности с ИТ компания пополняется немаленьким штатом разработчиков. Сей факт таит в себе угрозу – в отсутствие систем проверки исходного кода либо старших групп (доверенных лиц) с полномочиями code-reviewer компания обрекает себя на появление в системе разного рода back door’ов либо простого и банального размещения в системах хранения исходного кода логинов и паролей к базам данных производственной среды.
reviashko 3/21/17 6:26 PM Page 35
www.itsec.ru
ТЕХНОЛОГИИ
Отсутствие SIEM-систем Рост компании обусловлен не только увеличением числа сотрудников, но также и ростом инфраструктуры. Открываем современные стандарты безопасности – в каждом можно увидеть строки с информацией о том, что нельзя пренебрегать информацией в log файлах, что требуется реагировать своевременно и обязательно с созданием инцидентов, в частности, безопасности. Как уже было обозначено выше, люди есть люди, со своими земными особенностями, бизнесу не стоит надеяться только на администраторов. Когда речь заходит о сотнях и тысячах мест, которые генерируют события о входе в систему или специфических работах на удаленных станциях, то мало верится в то, что силами только сотрудников можно контролировать безопасность системы. Ведь факт удаленного входа в систему – это только событие, которое еще предстоит обработать на предмет соответствия прав. К примеру, почему под аккаунтом логиста входят на сервер финансового департамента, а это реальные случаи, когда сотрудники продавали за деньги свои аккаунты и заявляли о компрометации через сутки. Иными словами, не внедряя в свою инфраструктуру SIEMсистему (рис. 1), бизнес сам подталкивает себя в небезопасную сторону.
Отсутствие TOCACS like Наименование угрозы для бизнеса звучит странновато, но сейчас проясним. Продолжая тему роста инфраструктуры, не могу не отметить угрозу, которая возникает, к примеру, в момент расставания с недобросовестным сотрудником, имеющим доступ к сетевой инфраструктуре. Представьте себе картину – в отдел сетевых ресурсов поступает заявка на смену логинов и паролей для сотни сетевых управляемых коммутаторов и маршрутизаторов. Далеко не все компании могут похвастаться наличием на убедительное количество процентов добросовестных и ответственных сотрудников, которые в отсутствие аппаратных платформ для управления доступом, в частности, к сетевым устройствам (к примеру, по протоколу
TOCACS (рис. 2)), смогут оперативно решать подобные вопросы. В данном случае над компанией нависает угроза остановки предприятия на неопределенное количество времени. Ведь желание злоумышленника навредить порой намного больше, нежели возможность сделать свою работу на 100% качественно и своевременно соответствующими сотрудниками компании, – потому как людям свойственно ошибаться.
Отсутствие "умных брандмауэров" Как это ни странно звучит, но завершает "ТОП5" современных угроз бизнесу симбиоз социальной инженерии и вредоносного программного обеспечения. Угроза выходит за рамки отсутствия только "умных брандмауэров" и подразумевает постоянную работу отдела информационной безопасности с сотрудниками на поприще знаний из области ИБ. По разным причинам в больших компаниях есть текучка кадров. Служба информационной безопасности не всегда способна покрыть нужду в повышении осведомленности сотрудников в области информационной безопасности на 100%, что, в свою очередь, обеспечивает будущее угрозе потери данных. Бич нашей с вами современности – способность "заработавшихся" сотрудников распаковывать и запускать файлы из писем на своей рабочей станции. Остается только придумать, как подтолкнуть к открытию файла, который не всегда будет заблокирован антивирусом, если таковой имеется. Именно тут и появляется социальная инженерия. Реальный случай из жизни, к сожалению, с потерей данных. Есть отделы, для которых как огонь звучат слова из тела письма о надобности решить тот или иной вопрос, незакрытие которого ведет к штрафным санкциям, если не сотрудника, то предприятия. К письму в качестве доказательной базы, под видом документов, прикрепляется архив с вредоносным программным обеспечением. В порыве сотрудник не замечает, как сам запускает исполняемый файл, не являющийся вирусом, задачей которого является нанесение ущерба, к примеру, в виде удаления
Рис. 2. Протокол TOCACS всех документов с заданным расширением (на сетевых дисках, в частности). Бизнесу не стоит останавливаться только на работе специалистов ИБ с сотрудниками по повышению осведомленности. Сегодня на рынке имеется несколько производителей "умных брандмауэров". На борту у этих устройств, помимо обновляемой базы вышеописанных случаев, имеется и антивирусная система (не может не радовать тот факт, что у этих устройств в почете отечественный антивирус). Очень важно обезопасить периметр по средствам "умных брандмауэров". Ведь удаление файлов – это не весь арсенал злоумышленников! Подытоживая информацию о современных угрозах для бизнеса. Заводя базу данных в тестовой среде – позаботьтесь о маскировании критичных для бизнеса данных, список которых обязан быть в отделе информационной безопасности. Выводите новых разработчиков с учетом возможности покрыть их программный код проверками доверенных специалистов и систем анализа кода. Расширяя инфраструктуру – не экономьте на отсутствии SIEM и системе управления учетными данными сетевых устройств. Не упускайте из поля зрения проблемы повышения осведомленности сотрудников в области информационной безопасности, равно как отсутствие "умных брандмауэров". l
Бич нашей с вами современности – способность "заработавшихся" сотрудников распаковывать и запускать файлы из писем на своей рабочей станции. Остается только придумать, как подтолкнуть к открытию файла, который не всегда будет заблокирован антивирусом, если таковой имеется. Именно тут и появляется социальная инженерия.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 35
shklyarevsky 3/21/17 6:26 PM Page 36
ТЕХНОЛОГИИ
Как осуществляется сбор киберулик Богдан Шкляревский, ведущий специалист Центра обеспечения информационной безопасности, PhD of Engineering Sciences
Абдулазиз Расулев, самостоятельный соискатель кафедры “Уголовное право и криминология" Ташкентского государственного юридического университета Шохрухбек Собиров, магистрант Ташкентского государственного юридического университета
ало кто задумывался, где и как мы оставляем наши следы. Следы могут быть как материального происхождения: след от обуви, отпечатки пальцев и т.д., так и виртуальные: история посещений в браузере, кэш-файлы, вспомогательные файлы, образующиеся от использования прикладных программ, и т.д. Если криминалистика на сегодняшний день детально изучила материальные следы, то виртуальные – на стадии исследования.
М
Мы не можем отрицать важность, а порой и необходимость использования информационных технологий, которые плотно вошли в нашу повседневную жизнь. Компьютеры, мобильные телефоны различных видов и функциональности, умные гаджеты, облегчающие жизнь, бытовая техника и многое другое вне зависимости от вида, марки, модели собирают и накапливают в себе всю информацию за весь период использования. Следовательно, в них содержатся все без исключения сведения, связанные с преступной деятельностью субъекта. Прежде чем приступать к процессуальному порядку собирания, проверки и оценки доказательств, следует остановиться на природе электронных доказательств. По мнению Н. Зигура, определить природу компьютерной информации – значит уяснить то общее, что свойственно ей как судебному доказательству, и то особенное, что отличает ее от других видов доказательств.1 Многие компьютеры и девайсы работают на одной из следующих операционных систем: Windows, IOS, Android или Linux. Во время работы каждая из этих систем постоянно обраба-
тывает множество различных процессов, принадлежащих как самой ОС, так и установленным программам. Для сохранения промежуточного или незаконченного результата своей деятельности все запущенные приложения создают временные файлы данных и активно пользуются ими. К примеру, в ОС Windows хранилищем временных файлов служит папка Temp. В ней могут оставаться дистрибутивы после установки каких-либо программ, фрагменты документов MS Word либо других документов или программ. Данная процедура базируется на специальном алгоритме, вложенном в ОС или программу, который активизируется при непосредственном использовании их со стороны пользователя. На наш взгляд, следователь не должен зацикливаться на осмотре лишь ОС, он также должен провести осмотр браузера. Браузер, или Web-обозреватель, являясь прикладным программным обеспечением, предназначен для просмотра Web-страниц. В браузере, ОС или других прикладных программах накапливается большой объем информации, которая также может быть полезной при расследовании преступлений в сфере информационных технологий. В браузере, а также во второстепенных папках хранится различная информация.
Журнал посещений Он содержит адреса и названия сайтов, которые посещал пользователь. Эта функция соз-
дана для удобства, чтобы в любой момент пользователь мог быстро найти сайт, который просматривал в прошлом, с указанием точного адреса каждой Web-страницы. Сведения в журнале могут служить неоспоримым доказательством того, что пользователь работал на данном компьютере и посещал тот либо иной Web-сайт.
Кэшированные данные Во время просмотра Webстраниц интернет-браузер автоматически скачивает содержимое вкладки (картинки, анимация, видео, скрипты) на жесткий диск компьютера. Все это делается для ускорения загрузки этих же страниц при повторных посещениях. Все эти картинки, анимация и другие визуальные объекты при следующих посещениях страниц будут загружаться на страницу уже не из Интернета, а с жесткого диска, что намного быстрее и экономнее. Полученные кэшированные данные также служат неопровержимым доказательством подтверждения вины подозреваемого. Если открыть каталог с кэшированными данными, то по характеру картинок, анимации и видео можно определить, какого рода сайты посещал пользователь.
Куки-файлы Куки-файлы (Cookies) – это файлы, которые создаются посещаемыми вами Web-сайтами для хранения пользовательской информации, например настроек Web-сайта или данных о профиле. Куки-файлы
1 Зигура Н.А. Природа компьютерной информации как доказательства // Вестник ЮУрГУ. – Серия: Право. – 2009. – № 28 (161).
36 •
shklyarevsky 3/21/17 6:26 PM Page 37
www.itsec.ru
ТЕХНОЛОГИИ
применяются для сохранения данных на стороне пользователя, на практике обычно используется для: l аутентификации пользователя; l хранения персональных предпочтений и настроек пользователя; l отслеживания состояния сеанса доступа пользователя; l ведения статистики о пользователях2. Существует два типа файлов куки. Основные файлы куки сохраняются непосредственно сайтом, адрес которого указан в адресной строке. Сторонние файлы куки устанавливаются другими сайтами, содержание которых, например объявления или изображения, встроено в просматриваемую страницу. Также при некорректном выходе из каких-то персональных разделов на сайте (например, при некорректном выходе с персональной страницы в социальной сети) в файлах куки может остаться название учетной записи, адрес электронной почты и даже пароль пользователя сети (если пользователь согласился их сохранить).
требуется уникальный адрес. Этими адресами служат IPадрес и MAC-адреса. Функция MAC-адреса – это идентификация отправителя и получателя сети. Данный адрес хранится в сетевых адаптерах, персональных компьютерах, мобильных устройствах, Wi-Fi-роутерах и т.д. Эти адреса устройства регистрируются сперва провайдером сети, через которого осуществляется подключение в Интернет, и на сервере Webсайта3. Кроме того, на сервере провайдера сети и Web-сайта фиксируются время, дата, геолокализация пользователя и список адресов Web-страниц.
Учетные записи и пароли
Лог-файл
Также по желанию пользователя браузер сохраняет вводимые имена учетных записей и пароли. Делается это для удобства: при частом посещении сайтов, требующих авторизации, вам не придется каждый раз вводить логины и пароли. Если пользователь отказывается от предоставленного удобства, браузер сохраняет лишь имя пользователя, вводимое при заполнении строки ввода. Все описанные выше "следы" хранятся на жестком диске в виде различных файлов. И, поскольку они являются файлами, их можно удалять, но с помощью специальных программ, основная цель которых – восстановление удаленных файлов, удаленные "следы" можно восстановить.
Это файл с записями о событиях в хронологическом порядке: l дата и время визита пользователя; l IP-адрес компьютера пользователя; l наименование браузера пользователя; l URL запрошенной пользователем страницы; l реферер пользователя. Эта информация используется для анализа и оценки сайтов и их посетителей.
IP и MAC-адреса Как уже говорилось выше, для работы в сети Интернет
Сбор улик Таким образом, всякие оставленные следы создаются, передаются, хранятся и считываются только посредством использования информационных технологий или программ. Из чего следует, что среда, в которой хранятся эти следы, не привычна для восприятия человеку. По поводу следов, не обладаю-
щих свойствами непосредственного восприятия, В.Я. Дорохов пишет, что при этом теряются основные качества сигнала (быть переносчиком информации), а содержащаяся в них информация не включается в поле зрения органов расследования и суда4. В связи с этим необходимы специальные технические средства или программные обеспечения для воспроизведения обнаруженных следов и признания их в качестве доказательства. Обнаруженные следы, которые воспроизводятся с помощью специальных устройств или программ, фактически не могут быть признаны в качестве доказательства до их надлежащего процессуального оформления. Улики собираются путем производства следственных и судебных действий. К сожалению, при расследовании преступлений в сфере информационных технологий обильность процессуальных действий теряет всякий смысл, так как все попытки сводится к одному – осмотру. Данной позиции придерживаются многие ученые-процессуалисты. Осмотр места происшествия относится к первичным следственным действиям и допускается до возбуждения уголовного дела при наличии сведений, что именно в этом месте совершено преступление или находятся его следы5, что очень важно при расследовании преступлений в сфере информационных технологий. По мнению З.Ф. Ковриги, Н.П. Кузне, осмотр представляет собой следственное действие, состоящее в непосредственном обо-
В соответствии со статьей 81 Уголовно-процессуального кодекса Республики Узбекистан (далее по тексту УПК РУз) доказательствами по уголовному делу являются любые фактические данные, на основе которых в определенном законом порядке орган дознания, следователь и суд устанавливают наличие или отсутствие общественно опасного деяния, виновность лица, совершившего это деяние, и иные обстоятельства, имеющие значения для правильного разрешения дела.
2
https://ru.wikipedia.org/wiki/HTTP_cookie. https://ru.wikipedia.org/wiki/MAC-адрес. 4 Дорохов В.Я. Указ. соч. – С. 109. 5 Уголовно-процессуальный кодекс Республики Узбекистан. – Ведомости Верховного Совета Республики Узбекистан, 1995 г. – № 2. 3
• 37
shklyarevsky 3/21/17 6:26 PM Page 38
ТЕХНОЛОГИИ
Улики собираются путем производства следственных и судебных действий. К сожалению, при расследовании преступлений в сфере информационных технологий обильность процессуальных действий теряет всякий смысл, так как все попытки сводится к одному – осмотру. Данной позиции придерживаются многие ученые-процессуалисты.
Электронные доказательства, найденные в компьютере или ином устройстве, собираются путем производства обыска, закрепления в протоколах, а после отдельным постановлением приобщаются к материалам уголовного дела. По мнению некоторых ученых, для получения адекватного представления о наблюдаемом электронном цифровом объекте и его реально существующих связях с событием преступления должен выполняться целый комплекс требований. В против-
зрении лицами, ведущими расследование, различных материальных объектов в целях выяснения обстановки совершения преступления, обнаружения и закрепления следов преступления, получения предметов, которые могут быть вещественными доказательствами, документов и установления иных обстоятельств, имеющих значение для уголовного дела6. Практически тождественное представление о природе следственного осмотра сформировано и в криминалистике. Так, осмотр определяется как следственное действие, проводимое для непосредственного обнаружения и исследования объектов, имеющих значение для дела, их признаков, свойств, состояния и взаиморасположения7. Полученные сведения и предметы в результате проведения осмотра могут быть использованы в качестве доказательств только после того, как они зафиксированы в соответствующих протоколах. Процедура составления протокола следственных действий направлена на обеспечение полноты и достоверности отражения в уголовном деле хода и результатов следственных действий соответственно специфике каждого их вида и конкретным условиям производства8. Ответственность за ведение протоколов в стадии дознания и предварительного следствия возлагается на следователя. Всяческое отступление от регламента ведения следственных действий приводит к недопустимости собранных доказательств. По мнению В.Я. Дорохова, протокол осмотра предмета нельзя отнести к самостоятельному виду доказательств – протоколам следственных и судебных действий, имеющих свое содержание и форму с характерными для них особенностями.
Его составление только для того и предназначено, чтобы зафиксировать чувственно наглядный вид предмета9. Н. Зигура в своем исследовании поддерживает мнение В.Я. Дорохова, отмечая, что протокол осмотра является способом лишь фиксации сведений, заключенных в компьютерной информации, а не формирования самостоятельного вида доказательств10. Таким образом, электронные доказательства, найденные в компьютере или ином устройстве, собираются путем производства обыска, закрепления в протоколах, а после отдельным постановлением приобщаются к материалам уголовного дела. По мнению некоторых ученых, для получения адекватного представления о наблюдаемом электронном цифровом объекте и его реально существующих связях с событием преступления должен выполняться целый комплекс требований. В противном случае признавать доказательством полученную таким образом информацию будет нельзя, на что неоднократно обращали внимание ряд исследователей11. По мнению В.А. Мещерякова, В.В. Трухачева, в обобщенном виде упомянутый комплекс требований, позволяющих говорить о возможности формирования из обнаруженных (искомых) электронных цифровых объектов доказательств, выглядит следующим образом12: l корректность фиксации основных событий (формирования необходимого электронного цифрового объекта) в исследуемой компьютерной системе (правильно установленное системное время компьютерной системы, надлежащим образом корректно настроенная процедура записи требуемого набора событий в системные журналы);
l корректность передачи искомых электронных цифровых объектов к месту хранения/архивирования; l корректность обработки искомых электронных цифровых объектов в принимающей компьютерной системе; l неизменность хранения искомых электронных цифровых объектов до момента их обнаружения; l корректность процедуры копирования искомых электронных цифровых объектов; l неизменность хранения искомых электронных цифровых объектов после копирования до их соответствующего исследования; l корректность интерпретации связи искомых электронных цифровых объектов с событием преступления. По нашему мнению, кроме упомянутых выше требований нужно добавить: l обязательное участие понятых, следователя, подозреваемого, специалиста (либо эксперта), при необходимости переводчика; l обязательное использование специальных прикладных программ и технических средств для поиска, обнаружения и передачи электронных цифровых объектов; l корректное фиксирование процедуры поиска, обнаружения и передачи электронных цифровых объектов при помощи "экранной камеры"; l криптографическая защита обнаруженных электронных цифровых объектов до момента проведения компьютерно-технической экспертизы; l надлежащее упаковывание и опечатывание (DVD-R, USB, HDMI, VGA, AUX, порт сетевого подключения, порт подключения кабеля питания и т.д.). l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
ном случае признавать доказательством полученную таким образом информацию будет нельзя.
38 •
6 Уголовный процесс России: учебное пособие / под редакцией З.Ф. Ковриги, Н.П. Кузнецова. – Воронеж: Воронежский государственный университет, 2003. – С. 217. 7 Белкин Р.С. Криминалистическая энциклопедия. – М.: Мегатрон XXI, 2000. – С. 50. 8 Пьянзина Е.В. Оценка доказательств с точки зрения надлежащего порядка проведения и оформления следственных действий // Вестник ЮУрГУ. Серия: Право. – 2012. – № 20 (279). 9 Дорохов В.Я. Указ. соч. – С. 110. 10 Зигура Н.А. Природа компьютерной информации как доказательства // Вестник ЮУрГУ. – Серия: Право. – 2009. – № 28 (161). 11 Какие ваши доказательства [Электронный ресурс]. – URL: http://spektisec.ru/kakie-vasji-dokazatelstva.htm. 12 Мещеряков В.А., Трухачев В.В. Формирование доказательств на основе электронной цифровой информации // Вестник ВИ МВД России. – 2012. – № 2. URL: http://cyberleninka.ru/article/n/formirovanie-dokazatelstv-na-osnove-elektronnoy-tsifrovoy-informatsii (дата обращения: 16.02.2017).
IB_Jornal 3/21/17 6:27 PM Page 39
изДАниЯ По инФормАционной безоПАСноСти – вСегДА нА рАбочем СтоЛе
ПоДПиСКА нА ЖУрнАЛЫ: ВО ВСЕХ ОТДЕЛЕНИЯХ ПОЧТЫ РОССИИ оФиСнАЯ ПоДПиСКА: E-mail: monitor@groteck.ru Тел.: (495) 647-0442, доб. 22-82 Информационное агентство монитор ПОДПИСКА
cyber 3/21/17 6:25 PM Page 40
ТЕХНОЛОГИИ
Современные тенденции кибербезопасности
К
онтуры управления современными предприятиями вышли за пределы охраняемых зон – устарела сама концепция периметра как локализованного объекта. Распространение мобильных устройств, облачных вычислений и различных технологий для удаленной работы – все это послужило обострению вопроса адаптации бизнеса к современным условиям, чем не преминули воспользоваться киберпреступники. Как обезопасить свой бизнес в современных реалиях, рассуждают эксперты: Владимир Лебедев, директор по развитию бизнеса, Stack Group Дмитрий Огородников, директор центра компетенций по информационной безопасности, компания “Техносерв" Максим Олейник, генеральный директор, Protectimus Solutions LLP Денис Прозоров, технический директор, Группа Компаний ХОСТ Анатолий Свищев, генеральный директор, InformConsulting
– Как на сегодняшний день обстоит ситуация в России и в мире по киберпреступности?
Анатолий Свищев – Сегодня в центре внимания информационной безопасности прежде всего люди, так как причиной почти 80% всех инцидентов является человеческий фактор. Обычный рядовой сотрудник или специалист, владеющий информационными ресурсами компании, может нанести непоправимый ущерб. Кибермошенники добираются до необходимой им конфиденциальной информации путем
40 •
долговременных таргетированных атак (APT). В среднем обнаружение данной атаки происходит спустя 200 дней, чаще всего заражение происходит по вине сотрудников, которые недостаточно осведомлены в области безопасности. Так как 85% действий цикличны и повторяются ежедневно, сотрудник может даже и не догадываться, что стал причиной заражения всей организации.
Максим Олейник – Технологии развиваются так быстро, что проверенные годами средства ИБ не всегда работают. Большие неприятности приносят вирусы-вымогатели, вредоносная реклама, социальная инженерия. Необходимы доработки в защите Интернета вещей и четкие правила использования личных устройств на работе. В двухфакторной аутентификации также назрели перемены: необходим постепенный отказ от доставки одноразовых паролей по SMS – это небезопасно; троянские вирусы и автозаливы на смартфонах и компьютерах перехватывают чувствительные данные и используют их для проведения финансовых операций от имени пользователей, что побуждает к внедрению новых стандартов генерации OTP на основе ключевой информации из транзакции (подпись данных).
– Какие схемы/тенденции появились у киберпреступников в последнее время? Чего стоит особенно опасаться?
Дмитрий Огородников – В 2016 г. было зарегистрировано большое количество инцидентов, к о т о р ы е появлялись с завидной регулярностью. В основном их можно разделить на две категории: атаки на устройства самообслуживания и атаки непосредственно на автоматизированные банковские системы, АРМ КБР и сервисы ДБО. К первой категории можно отнести атаки "джекпоттинг", "прямой диспенс", получение прямого доступа к ОС банкомата, заражение вредоносным кодом POS-терминалов. Из числа новых методов можно привести зафиксированную Reversal-атаку, связанную с особенностью обработки сообщений об отмене авторизации переводов денежных средств процессинговым центром. Во второй категории способы реализации угроз остаются прежними и включают в себя социальную инженерию, фишинговые рассылки зловредного ПО, фишинговые ДБО-сервисы и DDoS-атаки. Но и здесь есть новые тенденции. Например, в 2016 г. было зафиксировано крупнейшее единовременное хищение денежных средств
cyber 3/21/17 6:25 PM Page 41
www.itsec.ru
ТЕХНОЛОГИИ
из российского банка в размере 100 млн руб. Кроме того, сегодня практически каждый человек сталкивался с ситуациями взлома аккаунта. Обычный пользователь может понять это только когда уже все случилось. Наиболее часто встречающееся в последнее время – работа по схеме взлома аккаунта социальных сетей и мессенджеров (vk.com, Facebook, Skype, WhatsApp) и массовая рассылка от имени владельца сообщений с просьбой занять в долг в связи со смертью близких, проблемами с коллекторами и т.д. Суммы просят небольшие, от 3 до 10 тыс. руб. и, к сожалению, достаточно высок процент переводов. Для этих целей у киберпреступников есть целые команды социальных инженеров, занимающие этажи офисных зданий. Другая сторона вопроса – непосредственно сам взлом аккаунтов пользователей к почтовым сервисам или социальным сетям, а если быть точнее – небольшая стоимость и доступность этих услуг. Так, в анонимной сети TOR на специальных хакерских форумах стоимость взлома аккаунта на mail.ru, gmail.com, vk.com, skype.com колеблется от 2 до 15 тыс. руб. в зависимости от сложности и наличия исходных данных о жертве. Другой тренд последних лет – это появление вирусов-шифровальщиков, которые шифруют все данные пользователей на жестких дисках их компьютеров. "Выкуп своих данных" оценивается киберпреступниками суммой до 5 тыс. руб., суммой, которую пользователь готов заплатить за ценные сведения. – Какой периметр способен защитить от новых киберугроз, когда весь мир будет подключен к Интернету?
Денис Прозоров – К 2020 г. на каждого жителя планеты придется по семь устройств с доступом в Интернет. Защищаемых границ не останется. Вопрос безопасности встанет перед самими устройствами.
Сейчас в Интернете вещей (IoT) отсутствуют стандарты и требования к безопасности, контроль за их выполнением. В большинстве IoT-устройств нет базовых функций защиты: файерволов, шифрования или стойких паролей. Этими уязвимостями пользуются. С помощью дефолтных заводских учетных записей сотен тысяч умных вещей провели мощную DDoS-атаку с ботнетом Mirai. Надеюсь, стандартизованный подход к безопасности IoTустройств появится раньше, чем реальная угроза для человеческой жизни. Барнаби Джек показал, как дистанционно подключиться к кардиостимулятору и подать на него смертельный заряд.
Владимир Лебедев – Если говорить о подавляющем числе коммерческих и государственных организаций, то де-факто они уже подключены к Интернету и вопрос защиты периметра стоит достаточно остро. На текущий момент рынок ИБ предоставляет достаточно широкий выбор разнообразных средств защиты как от зарубежных, так и от отечественных производителей. Архитектура защиты периметра и выбор средств защиты зависят от моделирования угроз безопасности, применимых в каждом конкретном случае. По результатам моделирования и анализа рисков будет формироваться перечень актуальных угроз и проектироваться система защиты, способная их нейтрализовать. Для одних организаций, в силу специфики деятельности, могут потребоваться только компоненты антивирусной защиты,
настройка антиспам-фильтров, для других – полноценная архитектура кластеризованых межсетевых экранов, средств обнаружения вторжений, систем защиты от распределенных атак отказа в обслуживании, наличие "песочниц" для глубокого анализа данных, попадающих в организацию. Если говорить о гражданах – интернет-пользователях, то, помимо установки антивирусных средств, персональных межсетевых экранов и антиспам-защиты, огромную роль играют мероприятия, направленные на повышение осведомленности в области информационной безопасности, проведение кампаний по повышению компьютерной грамотности, работа организаций – поставщиков сервисов и услуг по разъяснению правил использования интернет-сервисов, работы с аккаунтами финансовых сервисов и "гигиены" общения в социальных сетях. l
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 41
smart 3/21/17 6:26 PM Page 42
ТЕХНОЛОГИИ
Скажи "нет" своим "пиратам" Сергей Вахонин, директор по решениям АО “Смарт Лайн Инк”
14
Говоря о контроле по типу и размеру файлов, следует помнить, что такой контроль должен опираться на бинарно-сигнатурный анализ данных, на нелегко изменяемое пользователем расширение, при этом должны детектироваться и пресекаться простейшие способы маскировки файлов (размещение в архивах и контейнерах).
Говоря о возможности внешних (хакерских) атак, стоит также учитывать, что внешняя атака, преодолев средства защиты корпоративного периметра, перехо-
января в Сеть утекла финальная серия нового сезона “Шерлока”. Эпизод под названием “Последнее дело” выложили в высоком качестве, в русской озвучке. Первый канал, владеющий правами на показ сериала в России, немедленно заявил, что подозревает в инциденте хакеров. “По предварительной версии, причиной была хакерская атака”, – говорится в заявлении телеканала. Уже 19 января Первый телеканал сообщил, что утечка произошла “из-за непреднамеренной халатности одного из сотрудников “Первого”, который “нарушил строгие протоколы безопасности, допустив преступную халатность при исполнении должностных обязанностей”.
Однако учитывая, что, как правило, до выпуска в эфир видеоконтент высокого качества находится в изолированной сети, с ограниченным доступом к хранилищу, а для выполнения озвучки перевода и наложения субтитров предоставляется видеоконтент заниженного качества (либо с водными знаками или наложениями на "картинку"), версия с хакерской атакой хоть и возможна теоретически, но, откровенно говоря, звучала как попытка переложить собственные просчеты в обеспечении информационной безопасности на внешних злоумышленников. Сразу было понятно, что с наибольшей вероятностью это была внутренняя утечка, а в роли "хакера" выступил инсайдер. В любом случае такой сценарий утечки сериала самый простой и реалистичный, а при наличии простых способов кражи информации искать сложный, по крайней мере, нелогично.
дит в категорию внутренних угроз и использует внутренние каналы утечки.
42 •
Постановка задачи Пример с Первым телеканалом – весьма типичный и показательный. Контент ограниченного доступа создается организациями, главной ценностью и результатом работы которых является интеллектуальная собственность, художественные произведения, инженерно-технические разработки и т.д. Во всех таких случаях в компаниях используется определенный набор программного обеспечения (системы проектирования, графические и видеомонтажные системы, др.), а ценный контент хранится в ограни-
ченном наборе цифровых форматов данных. Как конечные, так и промежуточные результаты работы таких компаний должны тщательно оберегаться от преждевременной публикации (до выпуска в тираж или эфир, до патентования или передачи в производство, до завершения контракта на разработку). Помимо этого, ценность могут представлять данные корпоративной переписки, договорная документация и базы данных клиентов и подрядчиков.
Решение Очевидно, что решение проблемы не ограничивается какой-либо одной системой, требуется комплекс организационно-технических мер. При этом ключевым звеном будет DLP-система (решение класса Data Leakage Prevention, защита от утечек данных). Активно продвигаемый рядом DLP-вендоров "метод противодействия утечкам", концепция которого заключается в правиле "выявить утечку и наказать виновного", в данной модели будет абсолютно непродуктивен – никакое наказание нерадивого сотрудника не отменит факт утечки и не остановит – если стимул будет достаточно велик. В вышеупомянутом примере с утечкой "Шерлока" ценная корпоративная информация (видеоконтент) хранилась во внутренней сети организации в цифровом формате. Доступ к таким файлам внутри и вне организации должен иметь ограниченный круг пользователей, что позволит сформировать перечень (список) автори-
зованных учетных записей и идентификаторов почтовых аккаунтов и мессенджеров для ограничения ширины контактов ответственных лиц. Возможности анализа содержимого в случае с видеоконтентом, чертежами и графическими данными, как правило, весьма ограничены либо вообще сводятся к нулю. Однако есть и другие характерные признаки, позволяющие предотвратить утечку такой информации, – это формат данных и размер. Решением проблемы потенциальной утечки в подобном сценарии будет прежде всего избирательный контроль доступа к различным каналам передачи информации и устройствам хранения данных для сотрудников, вовлеченных в процесс создания ценного контента. Такой контроль должен включать в себя не сколько и не только блокировку передачи данных на основании определенных службой ИБ критериев, но и детальное протоколирование разрешенных и запрещенных попыток их передачи в сочетании с оперативным уведомлением службы безопасности о таковых попытках. Простое и эффективное практическое решение в плане технического противодействия утечкам данных в рассматриваемой модели угроз сводится к трем пунктам. l Запретить для ответственных сотрудников передачу файлов определенного типа и размера за пределы Белого списка авторизованных получателей, идентифицируемых DLP-системой
smart 3/21/17 6:26 PM Page 43
www.itsec.ru
ЗАЩИТА СЕТЕЙ
непосредственно в фазе передачи сообщений, или файлов по электронной почте, мессенджерам, в социальных сетях. При этом факты передачи должны протоколироваться для обеспечения возможности дальнейшего расследования инцидентов. l Запретить доступ к файлообменным ресурсам, ftp-серверам, torrent’ам, поскольку их модель безопасности, как правило, основывается на том, что все решения о способах и уровне авторизации, аутентификации и уровне доступа к данным принимает конечный пользователь, а не служба ИБ, нет никакой обратной связи таких сетевых приложений с инструментарием корпоративной безопасности. Стоит также ограничить использование внутренних файлообменных ресурсов (SMB) во избежание сговора между сотрудниками с разными уровнями контроля. l Максимально ограничить возможности использования устройств хранения данных, как вариант – использовать Белые списки USB-устройств с контролем на уровне серийного номера. Опять же протоколирование записи следует рассматривать как обязательный фактор. Здесь также стоит применять ограничение записи по типу и размеру файлов. Вторая часть решения проблемы предполагает периодические и оперативные проверки рабочих станций и сетевых хранилищ, доступных ответственным пользователям, посредством сканирования файловых систем в целях обнаружения конфиденциальной информации, с последующим выполнением заданных службой безопасности действий с обнаруженными документами (от оперативного уведомления службы ИБ до удаления файлов или помещения в карантин). Все описанные выше технологии и методы противодействия утечкам в рассматриваемой модели гарантированно реализуются с помощью DLPкомплекса DeviceLock DLP Suite.
Возможности системы С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы – от тоталь-
В современном цифровом мире полностью избежать использования различных средств информационных коммуникаций и различных технических средств хранения данных, являющихся потенциальными каналами утечки, невозмож-
ного запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией "на лету" – анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.
Внедрение, эксплуатация и администрирование Полная интеграция централизованного управления DeviceLock DLP в групповые политики домена Active Directory позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку DLP-политик в автоматическом режиме. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO. В дополнении к базовой консоли – оснастке MMC для группо-
вых политик – предусмотрены также Web-консоль и дополнительная консоль с собственным интерфейсом – DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP.
но. Однако можно и нужно принять во внимание, что доступ к корпоративному контенту, представляющему ценность, имеет ограниченный круг сотрудников, для которых, в свою очередь, можно и нужно вводить технические и организационные ограничения, а также
Условия лицензирования Комплекс DeviceLock DLP состоит из взаимодополняющих функциональных компонентов: DeviceLock Base, NetworkLock, ContentLock и DeviceLock Search Server, лицензируемых в любых комбинациях на основе базисного компонента DeviceLock Base, а также DeviceLock Discovery, который может использоваться в составе комплекса или как самостоятельное решение. Лицензионная политика "Смарт Лайн Инк" предусматривает гибкое функциональноинкрементальное лицензирование комплекса DeviceLock DLP – лицензии приобретаются на отдельные компоненты по числу контролируемых компьютеров. В стоимость лицензий входят годичная стандартная техническая поддержка и право на получение новых версий. По отдельному соглашению также предоставляются профессиональные услуги по реализации проекта, консультационные услуги и расширенная техническая поддержка. l
применять технические средства противодействия утечкам корпоративной информации во избежание финансового и репутационного ущерба. Для организаций рассматриваемого типа цена потери конфиденциальной информации на стадии "черновика" через инсайдера может оказаться на порядки выше, чем когда она уже прошла финальную стадию разработки и получила свободное распространение в корпоративной инфосистеме.
* На правах рекламы
NM АДРЕСА И ТЕЛЕФОНЫ АО "СМАРТ ЛАЙН ИНК" см. стр. 48
• 43
konyavsky 3/21/17 6:26 PM Page 44
ТЕХНОЛОГИИ
Доверенная информационная среда и противодействие подмене данных и атакам на каналы управления Валентин Конявский, заведующий кафедрой “Защита информации" ФРТК МФТИ, д. т. н.
Александр Коротин, аспирант НИЯУ МИФИ
К
ак можно противодействовать подмене данных и как бороться с атаками на каналы управления – вовсе не секрет: все можно зашифровать и все подписать. Только не всегда это можно сделать. Как правило, пропускная способность каналов управления очень ограниченна, и объем данных сигналов управления в общем случае значительно меньше, чем у электронной подписи (ЭП). Защищенность обеспечивается избыточностью, но в ряде случаев избыточность не может быть большой.
В этой статье мы рассмотрим, что можно предпринять при этих ограничениях. Для анализа возможных способов противодействия атакам по подмене данных воспользуемся понятием доверенной среды и связанными с ним определениями. В соответствии с [1]: 1. Защищенная информационная технология – информационная технология, обладающая свойством сохранять последовательность операций. 2. Среда функционирования ИТ – совокупность технических средств исполнения информационных операций, включая каналы связи.
44 •
3. Доверенная среда функционирования – взаимодействующая совокупность доверенных узлов обработки данных. 4. Доверенный узел обработки – выделенная совокупность аутентифицированных и целостных технических средств с проверенным программным обеспечением. Принцип, что в доверенной среде все должно быть доверенным, показан в работе [1]. Для корпоративных или локальных систем обеспечение доверенности входящих в их состав узлов является, как правило, достаточным для того, чтобы считать всю систему доверенной. С появлением открытых систем стал актуальным вопрос обеспечения доверенности каналов связи (транспортной среды), которые в большинстве своем принадлежат другим собственникам с другими целями и совсем не обязательно являются доверенными. Для того чтобы канал связи стал доверенным, необходимо, как минимум, знать "куда" и "откуда" передается информация. Следовательно, узлы при взаимодействии по каналу связи должны быть аутентифицированы. Кроме того, возможны ситуации, в которых необходимо обеспечивать конфиденциальность и целостность передаваемой информации. Таким образом, согласно [1] каналы связи в доверенной среде функционирования должны быть аутентифицированы и могут быть защищены.
Для аутентификации узлов в канале связи с обеих сторон должны применяться активные элементы. Если передаваемая по каналам связи информация является конфиденциальной, то для ее защиты может применяться шифрование. В этом случае возникает задача управления ключами, решение которой для системы с большим количеством распределенных узлов является достаточно сложным. В результате сложность будет снята с задачи защиты канала связи, но перенесена на задачу построения системы управления ключами. Существуют каналы связи, не нуждающиеся в обеспечении конфиденциальности передаваемых в них данных. В частности, к таким каналам относят каналы управления, характеризующиеся, как отмечалось в начале статьи, малой пропускной способностью. Для защиты таких каналов могут использоваться защитные коды аутентификации (ЗКА) – блоки данных, добавляющиеся к концу сообщений для контроля их целостности и аутентификации источника их отправки. Для формирования ЗКА могут использоваться симметричные алгоритмы шифрования или функции хэширования. В первом случае вырабатывается имитовставка, во втором – HMAC. Защитный код аутентификации формируется путем отбора достаточного количества байт из имитовставки или HMAC. По
konyavsky 3/21/17 7:29 PM Page 45
www.itsec.ru
ЗАЩИТА СЕТЕЙ
сравнению с электронной подписью применение ЗКА приводит к меньшей избыточности в канале управления, что является крайне важным при ограничении имеющихся технико-экономических ресурсов. Для понимания принципа достаточности длины ЗКА рассмотрим классическую задачу о днях рождения. Требуется определить вероятность, при которой в группе из k человек как минимум у двоих совпадут дни рождения. Одно из возможных решений данной задачи связано с нахождением величи–(k) – вероятности, что у ны р всех членов группы дни рождения будут различными. Так как вероятность несовпадения дней рождения для двух случайно выбранных людей равна ,
и учитывая большой размер чисел N и k, вероятность неповторения ЗКА для k сообщений будет равна: ,
для трех
и так далее, то вероятность несовпадения для всех членов группы равна:
Учитывая, что искомая вероятность совпадения дней рождения у любых двоих членов –(k), группы равна р(k) = 1 – р нетрудно найти решение задачи для различных k. В контексте применения ЗКА для канала управления задача о днях рождения может быть сформулирована следующим образом: требуется определить вероятность коллизии значений ЗКА для любых двух сообщений в течение времени действия ключа генерации ЗКА. При такой формулировке количество различных сообщений будет эквивалентно числу людей в группе, а количество дней в году – величине N, общему числу возможных ЗКА заданной длины. Для решения поставленной задачи можно найти вероятность неповторения ЗКА в течение времени действия ключа. Аналогичный подход используется и в классической задаче о днях рождения. Тогда, используя разложение экспоненциальной функции в ряд Тейлора:
где m – длина ЗКА в байтах. Приведем пример использования полученной формулы. Пусть по каналу связи раз в 30 секунд передается команда управления. Тогда в течение периода действия ключа генерации ЗКА (например, 1 год) по каналу связи будет передано k = 2*60*24*365 ≈ 106 сообщений. Перебирая разные значения m, можно определить вероятность коллизии для любых двух сообщений в течение одного года при заданной длине ЗКА. Так для m=6 вероятность коллизии будет равна: 1 – р(n) = 3*10-9 , что согласно экспертной оценке [2] является допустимым значением. Следовательно, длина ЗКА, равная 6 байтам, является достаточной для обеспечения защиты приведенного в примере канала связи. По сравнению с использованием ЭП в соответствии с ГОСТ 34.10–2012 избыточность была уменьшена более чем в 10 раз. Низкая вероятность коллизий ЗКА для двух любых сообщений позволяет минимизировать вероятность атаки, при которой злоумышленник перехватывает два сообщения с одинаковым ЗКА и меняет их смысловые части местами. Защитные коды аутентификации нашли свое применение в системе контроля целостности и подтверждения достоверности (СКЦПД) электронных платежей в банковской
сфере. Что касается каналов управления, то на сегодняшний день ведутся работы по созданию аналогичной СКЦПД в сфере железнодорожного транспорта для системы автоматической локомотивной сигнализации [3], использующейся для передачи на бортовые локомотивные устройства информации о допустимой скорости движения и дополнительных условиях следования железнодорожного подвижного состава: разрешение на движение, ограничение скорости, маршрут движения по железнодорожной станции [4]. При этом в качестве канала связи предполагается использование радиоканала DMR-RUS, обладающего низкой пропускной способностью.
Для аутентификации узлов в канале связи с обеих сторон должны применяться активные элементы. Если передаваемая по каналам связи информация является конфиденциаль-
Литература 1. Доверенные системы как средство противодействия киберугрозам. Базовые понятия. 2. Конявский В.А. Управление защитой информации на базе СЗИ НСД "Аккорд". – М.: Радио и связь, 1999. – 325 с. 3. Valery Konyavskiy, Anna Epishkina, Alexander Korotin. The design of integrity monitoring and reliability verification system for critical information, transmitted in automatic train signaling system, based on DMR-RUS radio channel. Procedia Computer Science, Volume 88C, 2016, Pages 318–323. 4. ГОСТ Р 53431–2009. Автоматика и телемеханика железнодорожная. Термины и определения (с Изменением № 1). – Введ. 2011-01-01. – М.: Стандартинформ, 2010. – 24 с. l
ной, то для ее защиты может применяться шифрование. В этом случае возникает задача управления ключами, решение которой для системы с большим количеством распределенных узлов является достаточно сложным. В результате сложность будет снята с задачи защиты канала связи, но перенесена на задачу построения системы управления ключами.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 45
klau 3/21/17 6:26 PM Page 46
УПРАВЛЕНИЕ
Как обосновать расходы на информационную безопасность Тим Клау, партнер, руководитель практики анализа и контроля ИТ-рисков PwC в России
К Инвестиции в квалифицированных специалистов позволят компании увеличить доход от инвестиций в технологии, направленные на обеспечение безопасности.
ибербезопасность – это не просто трудная задача в сфере информационных технологий, это – первоочередное условие ведения бизнеса. Новые технологии, хорошо финансируемые и решительно настроенные киберпротивники, а также взаимосвязанные бизнес-экосистемы – все это увеличивает подверженность компаний кибератакам. Значимые цифровые активы все чаще становятся объектами кибератак, а потенциальное воздействие на бизнес еще никогда не было столь ощутимым.
По мере того как все больше всякого рода продуктов и услуг становятся подключенными к Интернету, растет необходимость в упреждающем управлении рисками, связанными с кибербезопасностью и защитой данных. С другой стороны, в условиях стремительного роста объемов данных и постоянного обмена потребительской и коммерческой информацией защита данных становится одним из важнейших требований, предъявляемых к бизнесу.
С какими рисками может столкнуться компания? Согласно результатам международного исследования тенденций в сфере информационной безопасности, недавно проведенного PwC, в котором приняли участие 10 тыс. респондентов из 133 стран, в том числе респонденты из России, в 2016 г. число инцидентов, связанных с кибербезопасностью, увеличилось в России на 18%. При этом количество инцидентов, о которых никем не сообщалось, потенциально может быть еще больше. В ответ на рост числа инцидентов российские компании инвестируют средства в передовые сервисы обеспечения кибербезопасности (73%), 56% используют анализ "больших данных". Эти технологии не только повышают возможность более эффективного обнаружения потенциальных угроз и слабых мест, но и позволяют реагировать на кибератаки более целенаправленно и комплексно, оптимизируя затраты и снижая риски.
46 •
Хищение данных, составляющих коммерческую тайну, информации о кредитных картах, репликация продуктов или процессов, нарушение операционной деятельности. Для того чтобы в достаточной мере защитить свое конкурентное преимущество, репутацию и капитализацию, российским компаниям необходимо изменить свой подход к вопросам кибербезопасности. Только это позволит им идти в ногу со временем. Несмотря на то что в прошлом году объемы инвестиций российских компаний в сфере кибербезопасности сократились, продолжая в значительной мере отставать от зарубежных аналогов, их объемы тем не менее выросли на 65% за два последних года. Тем не менее возросшие расходы на обеспечение кибербезопасности не обязательно приводят к снижению рисков. Большая часть средств расходуется на внедрение новых технологий, которые могут оказаться бесполезными, если компания в первую очередь не рассмотрела, как инструмент будет использован и на борьбу с какими угрозами он будет направлен. Формирование бюджета в сфере
кибербезопасности должно начинаться с проведения тщательной оценки угроз, а также существующих и потенциальных рисков, с которыми сталкивается компания. После определения всех этих рисков, их количественного измерения и приоритизации компания должна определить стратегию по обеспечению кибербезопасности. Только когда в стратегии учтены все риски и определены средства контроля за ними, компания сможет обеспечить надлежащее эффективное и непрерывное управление киберрисками. Определив направление своего развития, компания сможет правильно сформировать бюджет в сфере кибербезопасности и убедиться в том, что ее средства направляются в те области, которые позволят снизить риски и максимально увеличить окупаемость инвестиций. Кроме того, необходимо инвестировать в квалифицированных специалистов для надлежащего внедрения и использования технологий. После создания центра управления информационной безопасностью формируются огромные объемы информации о потенциальных угрозах. Компания должна найти ответы на вопросы: кто будет анализировать эту информацию и реагировать на угрозы? достаточно ли ресурсов и потенциала для качественного анализа? Инвестиции в квалифицированных специалистов позволят компании увеличить доход от инвестиций в технологии, направленные на обеспечение безопасности.
На что направлены инвестиции Стратегии, которые российские компании используют для управления рисками кибербезопасности, не поспевают за стремительно меняющимися угрозами. Традиционная модель ИБ, которая сосредоточена на
технологиях, соблюдении нормативно-правовых требований, ограничивается защитой периметра и направлена на защиту бэк-офиса, не отвечает реалиям сегодняшнего дня. Кибербезопасность уже не ограничивается ИТ. И инвестиции необходимо направлять на то, что имеет наибольшее значение, в частности, следует обратить внимание на шесть ключевых приоритетных направлений: l расставить приоритеты, за счет правильной архитектуры кибербезопасности, информации об угрозах, организационной структуры и модели управления кибербезопасностью; l использовать возможность встраивания ИБ в стратегию организации и процессы управления рисками, а также обеспечить соответствие ИБ регуляторным требованиям; l компании и дальше будут подвергаться хакерским атакам, поэтому их оперативное обнаружение и своевременная защита важны для обеспечения непрерывности деятельности и устойчивости организации; l заложить крепкий фундамент, оптимально используя такие инструменты, как управление доступом, система сбора, обработки и анализа данных об угрозах, а также соблюдение базовых правил ИБ; l компании должны также учитывать риски, с которыми сталкиваются их контрагенты, и убедиться, что у партнеров по бизнесу внедрена надежная инфраструктура управления киберрисками; l подбор кадров имеет значение, поэтому нужно уведомить людей о возложенных на них обязанностях и подготовить их к возникновению инцидента в сфере кибербезопасности. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
pleshkov 3/21/17 6:26 PM Page 47
www.itsec.ru
УПРАВЛЕНИЕ
"Пока гром не грянет – мужик не перекрестится" Алексей Плешков, независимый эксперт по информационной безопасности
Т
ема обоснования затрат на информационную безопасность в организации в России не нова. Из года в год она поднимается как в СМИ, так и на тематических форумах и конференциях по информационной безопасности. Эксперты переходят из компании в компанию и сталкиваются с похожими проблемами: как объяснить представителям бизнесподразделений важность и нужность обеспечения защиты информации, как обосновать выделение бюджета на проведение организационно-технических мероприятий по минимизации угроз для информационной безопасности активов и клиентов в организации?
Владельцы компаний чаще всего оперируют экономически понятным им термином "возврат инвестиций", сравнивая в денежном эквиваленте бюджет, выделенный на реализацию мер по обеспечению информационной безопасности, с прямым экономическим эффектом от внедрения данных мер в отчетный период. Здесь приходит на ум мудрая старорусская поговорка: "пока гром не грянет – мужик не перекрестится". К сожалению, в краткосрочной перспективе достичь желаемого финансового равновесия бывает крайне сложно. И в такой неоднозначной ситуации (обоснование затрат) с точки зрения бизнеса во внимание как в плюс, так и в минус могут быть приняты самые разные дополнительные аргументы и интерпретации этой самой ситуации. Правильно сформулировать свою позицию, объяснить лицу, принимающему решение с точки зрения рискориентированного подхода и статистики по инцидентам информационной безопасности в отрасли, почему именно такие меры были предприняты, в чем выражается и когда следует ожидать экономический эффект, – эти факторы составляют более 80% успешного общения офицера по информационной безопасности и представителей бизнес-подразделений компании. Однако если в процессе постконтроля или планового внешнего аудита независимыми экспертами выясняется, что затраты на информационную безопасность изначально необоснованно завышены, предложенные меры реализованы частично, а модели угроз и нарушителя
из политики информационной безопасности взяты не из вашей отрасли бизнеса, а из наиболее рискованной, к примеру финансовой, степень доверия к такому специалисту со стороны бизнеса резко падает и рассчитывать на длительное понимание и поддержку руководства организации специалисту по защите информации уже не получится. Приходится искать другую работу…
Правильные аргументы На практике наиболее понятными и правильно воспринимаемыми бизнес-подразделениями аргументами в пользу развития информационной безопасности являются: l сохранение и наращивание клиентской базы (проявление заботы о безопасности клиентской информации, предложение удобных инструментов, повышающих уровень конфиденциальности документооборота и т.д.); l увеличение привлекательности основного продукта путем снижения рисков реализации известных угроз информационной безопасности (внедрение прозрачных для клиентов элементов защиты, снижающих риски компрометации или перехвата клиентских данных); l устранение замечаний и предписаний внешних аудиторов (по результатам ранее проведенных проверок или в рамках подготовки к плановым аудитам); l выявление нелояльных сотрудников (плотная работа с персоналом компании, проведение регулярных инструктажей, консультирование по вопросам личной и корпоративной информационной безопасности, а также выявление в про-
цессе внутренних нарушителей); l снижение внутренних расходов на содержание персонала (внедрение превентивных ограничений и процедур контроля, позволяющих снизить накладные расходы на эксплуатацию технических средств и программного обеспечения в организации); l защита от действий недобросовестных конкурентов (выявление инцидентов информационной безопасности, направленных на несанкционированное получение внешним нарушителем информации о внутренней структуре и бизнес-процессе в организации); l недопущение масштабных утечек информации по "внутренней кухне" организации (непрерывный мониторинг действий сотрудников на рабочих местах автоматизированными средствами, установка программных и аппаратных средств контроля, ретроспективный анализ, формирование совместно с экспертами от бизнес-подразделений признаков утечки); l выполнение обязательных требований регуляторов (для отдельных отраслей бизнеса требования по защите информации являются обязательными для исполнения, проверяются на плановой и внеплановой основе представителями внешней/головной организации, а выявленные нарушения оказывают серьезное влияние как на бюджетно-экономические, так и на административно-кадровые вопросы). l
Правильно сформулировать свою позицию, объяснить лицу, принимающему решение с точки зрения риск-ориентированного подхода и статистики по инцидентам информационной безопасности в отрасли, почему именно такие меры были предприняты, в чем выражается и когда следует ожидать экономический эффект, – эти факторы составляют более 80% успешного общения офицера по информационной безопасности и представителей бизнес-подразделений компании.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 47
NEW_PROD 3/21/17 6:26 PM Page 48
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
PT MultiScanner Производитель: Positive Technologies Сертификат: сертификат отсутствует Назначение: l многопоточная система выявления вредоносного контента в почтовых ресурсах, файловых хранилищах, Web-порталах l усиление антивирусной защиты корпоративной инфраструктуры на различных уровнях l создание удобного пользовательского сервиса для выявления вредоносного контента Особенности: l в состав можно включить антивирусы, которые соответствуют требованиям ИБ l распаковывает архивы, в т.ч. защищенные паролем, и сканирует файлы по отдельности
l проверяемые файлы не покидают инфраструктуры системы l возможность интеграции с исследовательской средой Positive Technologies – запуск приложений и анализ их поведения в изолированной среде, гарантирующей нераспространение вредоносного контента при его проверке в системе Возможности: l параллельно сканирует файлы с помощью антивирусных решений l проводит ретроспективный анализ l обновляет антивирусы без доступа к Интернету l имеет постоянно обновляемые единую внутреннюю базу знаний и репутационные списки l уведомляет пользователей об обнаруженном вредоносном содержимом в ранее загруженных файлах
l выдает результаты в Web-консоли или по e-mail l поддерживает стандартные интерфейсы (Rest API, SMTP, ICAP, syslog) Характеристики: l аппаратная и виртуальная реализация l скорость обработки до 57 600 файлов в час l режим мониторинга и блокировки l масштабируемая архитектура Ориентировочная цена: рассчитывается под каждый проект Время появления на российском рынке: III квартал 2016 г. Подробная информация: http://www.ptsecurity.ru/products/multiscanner/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 17
НЬЮС МЕЙКЕРЫ ЛАБОРАТОРИЯ КАСПЕРСКОГО 125212, Москва, Ленинградское ш., 39А, стр. 3, БЦ "Олимпия Парк" Тел.: (495) 797-8700 Факс: (495) 797-8709 www.kaspersky.ru См. стр. 13
48 •
СМАРТ ЛАЙН ИНК, АО 107140, Москва, 1-й Красносельский пер., 3, пом. 1, ком. 17 Тел.: (495) 647-9937 Факс: (495) 647-9938 E-mail: ru.sales@devicelock.com devicelock.com/ru www.smartline.ru
См. ст. "Скажи "нет" своим "пиратам" на стр. 42, 43
13-15
2018
СПЛАЙН-ЦЕНТР, ЗАО 105005, Москва, ул. Бауманская, 5, стр. 1 Тел.: (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 23
POSITIVE TECHNOLOGIES 107061, Москва, Преображенская пл., 8 Тел.: (495) 744-0144 Факс: (495) 744-0187 E-mail: pt@ptsecurity.com www.ptsecurity.ru См. ст. "Безопасность АСУ ТП сегодня" на стр. 17
IB_Monitor 3/21/17 6:27 PM Page cov3
InfoSec_2017 3/21/17 6:27 PM Page Cov4
ГЛАВНОЕ СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ
InfoSecurity Russia .
.
5817 профессиональных посетителей 3985 участников деловой программы более 15 000 предварительно назначенных встреч более 500 продуктов и решений, представленных в экспозиции 213 мероприятия на стендах экспонентов и в конференц-залах 196 спикеров из числа ведущих мировых и российских
19–21 сентября 2017
Пр
он осс ак мал ен ии азч ьн та R ик ую OI а
ww ием з а Вы w. яво inf к на ст а os уча по вка ле о зн бе ec сти u е и н ос сп аи ть в ечи rity откр вы из ва ыт r u е с и : дл ши та т м s я э й дл ак sia кс в Р я си з . п
ru
экспертов, выступающих в четырех параллельных конференционных потоках.