Способы защиты высокотехнологичных компаний от кибер-оружия и промышленного шпионажа Текст научной статьи по специальности «Экономика и бизнес»

10. Успенский И.В. Интернет-маркетинг: учеб. - СПб.: Изд-во СПГУЭиФ, 2013. - 420 с.

11. Царев В.В., Кантарович А.А. Электронная коммерция. - СПб.: Питер, 2012. - 265 с.

12. Черчиль Г.А. Маркетинговые исследования в Интернете. - СПб.: Питер, 2008. - 418 с.

13. Юрасов А.В. Основы электронной коммерции. - М.: Горячая линия-Телеком, 2007. - 480 с.

СПОСОБЫ ЗАЩИТЫ ВЫСОКОТЕХНОЛОГИЧНЫХ КОМПАНИЙ ОТ КИБЕР-ОРУЖИЯ И ПРОМЫШЛЕННОГО ШПИОНАЖА

© Шестернина М.В.*, Стоцкий А.Г.*

Уфимский государственный авиационный технический университет,

г. Уфа

В настоящее время кибер-пространству уделяют все больше внимания вследствие новых и разнообразных способах ведения шпионажа, в том числе и промышленного. В данной статье представлены некоторые способы защиты от промышленного шпионажа.

Ключевые слова кибер-война, кибер-атака, кибер-вооружение.

В настоящее время промышленный шпионаж в основном ведется в интернете и превратился в процветающую сферу бизнеса - кибер-шпионаж. Кибер-оружие универсально, оно не знает границ. Если раньше государства, отстаивая свои внешнеполитические интересы, пользовались дипломатическими, экономическими и военными средствами, то теперь для выполнения определенных задач, вместо самолетов, ракет, танков или кораблей, они могут использовать специальные вредоносные программы. Его воздействие на критически важные промышленные системы может быть катастрофически разрушительным [1]. В этих условиях становятся актуальными способы защиты и разработка собственного кибер-вооружения.

История кибер-войн начинается в апреле 2007 г. атакой на эстонские государственные сайты и сети. Вторым ключевым событием кибер-войн считается взлом и вывод из строя иностранными злоумышленниками интернет-сетей в Грузии в августе 2008 г. Первое задокументированное использование кибер-оружия в ходе крупномасштабных военных действий связано с

* Доцент, кандидат экономических наук, доцент.

* Студент (специальность Наноинженерия).

применением программ, блокирующих работу сирийских ПВО и радиоэлектронной разведки во время проведения так называемой операции «Оливы» в 2008 г.

Масштабное применение кибер-оружия в Иране в 2010 г. произошло через вирус Stuxnet, специально созданный для проникновения в автоматизированные системы, регулирующие и управляющие определенным типом оборудования (компания Siemens), связанным с центрифугами атомного центра. Еще более сложная, многокомпонентная боевая программа была применена американцами и израильтянами против нефтяных терминалов и нефтеперерабатывающих заводов Ирана. Характерным примером использования кибер-оружия является и перехват системы управления новейшим американским беспилотником и его принудительная посадка на территории все того же Ирана.

В 2013 г. хакеры получили доступ к суперкомпьютеру в Национальной лаборатории имени Лоуренса в Беркли, одного из самых мощных суперкомпьютеров в списке Топ-500, входящего в закрытую суперкомпьютерную сеть Министерства энергетики США. В январе того же года хакеры сумели получить доступ к Национальному реестру плотин США - закрытой базе данных, которая содержит указания их слабых, уязвимых мест, а также оценку возможного количества погибших в случае прорыва, повреждения и т.п. Примечательно, что проникновение на сервер с информацией произошло в январе, а было обнаружено только в конце апреля [2].

В результате краткой истории кибер-войн некоторые страны быстро поняли, что кибер-оружие является дешевым и эффективным способом противодействия высокотехнологичным вооружениям. До последнего времени бытовало мнение, что для защиты объекта достаточно лишь его физической изоляции. Модель безопасности таких объектов основана на принципах «security by obscurity» (безопасность через сокрытие) и «air gap» (физическая изоляция). Однако практика показала, что эти принципы больше не работают [1].

Выделяют такие характерные черты кибер-войн как:

- высокий уровень анонимности;

- неопределенность времени их начала;

- потенциальная бесследность (имитацию обычных технических отказов, сбоев в работе, либо последствий ошибок со стороны обслуживающего персонала);

- отличительная черта, как отсутствие рамок международного регулирования;

- в отличие от традиционного вооружения, элементы кибер-оружия могут быть легко перепрограммированы противником [2].

Наиболее опасными мишенями кибер-атак являются ключевые системы информационной инфраструктуры (КСИИ), управляющие критически важными объектами той или иной страны: электричество, транспорт, добыча ре-

сурсов, производственные процессы на фабриках и заводах; банки, медицинские и военные учреждения, исследовательские институты и бизнес. Все эти объекты, так или иначе, используют распространенные операционные системы. Согласно исследованию университета Карнеги-Меллона, количество ошибок в военном и промышленном программном обеспечении составляет в среднем от пяти до десяти на 1000 строк кода. Ядро операционной системы Windows содержит более 5 миллионов строк кода, а ядро Linux - 3,5 миллиона, нетрудно подсчитать количество теоретически возможных уязвимостей, которые могут применяться для осуществления кибер-атак.

На промышленных объектах ключевыми системами информационной инфраструктуры являются автоматизированные системы управления технологическими процессами (АСУТП), а также средства противоаварийной защиты (ПАЗ). Для АСУТП характерна ярко выраженная программная и аппаратная неоднородность. В типовую технологическую сеть предприятия, как правило, входят серверы SCADA (первая в мире защищенная операционная система), СУБД, множество программируемых логических контроллеров (PLC) различных производителей, панели оператора (HMI), интеллектуальные датчики и канал связи с системами бизнес-уровня ERP. При этом в среднем технологическая сеть имеет одиннадцать (!) точек прямого подключения к корпоративной сети.

Надлежащая защита уязвимых промышленных систем - приоритет номер один для нашей страны, так как большинство автоматизированных систем управления технологическими процессами, созданы без учета возможности кибер-атак. Например, большинство протоколов обмена данными, используемых SCADA и PLC, вообще не подразумевают никакой аутентификации и авторизации. Это приводит к тому, что любое появившееся в технологической сети устройство способно и получать, и выдавать управляющие команды на любое другое устройство.

Еще одна серьезная проблема заключается в том, что при столь длительном жизненном цикле АСУТП обновление и установка нового ПО в системе либо запрещены нормативной документацией, либо связаны со значительными административными и технологическими трудностями. В течение многих лет обновлением ПО АСУТП практически не занимались. Не способствуют улучшению ситуации с кибер-безопасностью и компании, производящие SCADA и PLC, не уделяя должного внимания безопасности решений - как программных, так и аппаратных. Зашитые в PLC служебные логины и пароли, SSH и SSL-ключи, возможность атаки на систему путем переполнения буфера, возможность подмены компонентов системы на вредоносные и осуществления DoS и XSS атак - вот наиболее часто обнаруживаемые в них уязвимости. Кроме того, большинство вендоров закладывают в свои программно-аппаратные комплексы средства для удаленного администрирования, однако их конфигурирование перекладывают на плечи интеграторов [1].

Специалисты уже выяснили, что на первом, разведывательном этапе кибер - атаки собирается информация о внутреннем устройстве сети, используемых там оборудовании и ПО (атакуются не целевые объекты, а компании-подрядчики, осуществлявшие автоматизацию (системные интеграторы), поскольку они менее ответственно относятся к информационной безопасности, но при этом обладают ценными данными). На стадии сбора информации могут быть атакованы также обслуживающие компании, партнеры, поставщики оборудования. На втором этапе собранная информация анализируется, и выбирается наиболее эффективный вектор атаки. И наконец, решается вопрос доставки вредоносного ПО на объект [1].

На примере вируса Flame лаборатория Касперского показала, что подобный боевой софт состоит из нескольких модулей. Один из них - поиск уязвимостей в сети. Второй - проникновение. Следующий маскирует вирус. Еще один модуль производит оценку сети. Если сеть интересна, то включается другой блок, который отвечает за передачу пакетов информации, фактически занимается шпионажем. Наконец, еще один блок может нанести удар по сети - модуль, который обеспечивает модификацию программы в зависимости от среды, в которую она попадает [3].

Интересен опыт британской оборонной компании BAE Systems, Detica, которая запустила службу обнаружения кибер-атак. Специалисты компании обрабатывают анализ, устанавливают план первоочередных действий по предотвращению возможных атак в соответствии с предполагаемым уровнем опасности. В результате строится профиль поведения хакера, который помогает разработать полноценную систему защитных мер. Компания заявила, что служба может вычислить действия хакеров при сложных кибер-атаках, которые обычно не определяются и не фильтруются традиционными методами защиты [4]. Речь идет не о программах Prism и XKeyskore, или тотальной прослушке мобильных операторов, и даже не о доступе АНБ к серверам Google, Microsoft, Facebook, Twitter, банковским сетям и процессин-говым системам, а об «файлах черного бюджета американского разведывательного сообщества» - это наступательные кибер-операции (около 231) и броская цифра - 500 млрд. долларов расходов на разведку в США за 20012012 гг. Можно сделать вывод, что в мире уже ведется необъявленная, крупномасштабная цифровая или кибер-война [2].

Источниками несанкционированного проникновения и утечки информации могут быть вредоносные вирусы, а также оборудование с ПО с заведомо известными уязвимостями. Существует так называемое Вассенаарское соглашение по контролю за экспортом обычных вооружений и высоких технологий (товаров и технологий двойного применения), в котором Россия тоже принимает участие. В соответствии с этим соглашением каждое государство само определяет, что из подобных товаров и технологий оно готово продавать и кому. Фактически это новая форма пресловутого КОКОМ. И большинство

наиболее современных и точных металлообрабатывающих станков подпадает под ограничения Вассенаарского соглашения. К двойным технологиям сегодня отнесены все виды оборудования и многие комплектующие к ним, которые обеспечивают производство вооружений, космических и летательных аппаратов, судов и другой наукоемкой и стратегически важной продукции. Это станки пятого поколения: пятикоординатные обрабатывающие центры, прецизионные станки, системы ЧПУ для таких станков, станки для объемной лазерной резки и многое другое.

Но даже если оборудование российским компаниям поставят, они окажутся в зависимости от его обслуживания, от программ для ЧПУ, от инструмента; их производитель сможет контролировать, что именно и где отечественные компании на этом станке изготавливают. В экспортный контракт в качестве обязательного условия часто записываются подключение такого оборудования к интернету и требование использовать только инструмент производителя, который может потребовать отчета о перемещениях станка, а в его электронную начинку установить датчики контроля местоположения, которые позволят определить, где именно эксплуатируется станок, и блокировать непредусмотренные перемещения; может установить на станок скрытые программные модули, которые накапливают информацию о производимой продукции [5].

Исторически сложилось так, что производящие промышленное оборудование и ПО компании сосредотачивались лишь на стабильности и отказоустойчивости своих решений, игнорируя риски кибер-атак. Рассчитывать на то, что все разработчики АСУТП срочно займутся тотальной проверкой и обновлением всего используемого ими ПО, а руководители предприятий оперативно обновят уже установленные у них решения, не приходится. Если учесть, что жизненный цикл таких систем исчисляется десятилетиями, то станет очевидно, что по эволюционному сценарию внедрение защищенных АСУТП потребует значительного количества времени. В соответствии с этим «Лаборатория Касперского» создает собственную операционную систему, основной особенностью которой является принципиальная невозможность выполнения в ней незаявленной функциональности. Только на основе такой защищенной операционной системы для промышленных систем управления можно построить решение, позволяющее оператору не только видеть то, что реально происходит с производством, но и управлять им [1].

Еще один способ защиты от кибер-оружия - это кибер-войска. Китайской армии, технически проигрывающей американцам в обычном и ядерном вооружениях, удалось создать на сегодняшний день наиболее эшелонированную и мощную кибер-оборону страны, одновременно развивая наступательные кибер-вооружения. Наряду с Соединенными Штатами и Китаем объявили о создании кибер-подразделений в составе вооруженных сил Израиль, Великобритания, Иран, Германия.

В мире сложилось три основных направления рекрутирования лучших программистских кадров в государственные программы, связанные с кибер-войнами. Наиболее известен опыт Соединенных Штатов, где ежегодно Defense Advanced Research Projects Agency, агентство передовых оборонных исследовательских проектов, проводит множество конкурсов, мероприятий, круглых столов для программистского сообщества, идет отбор наиболее талантливых, подходящих для задач Пентагона и разведки, молодых людей. Практически все ведущие IT-компании Соединенных Штатов связаны с военно-разведывательным сообществом и программисты соответствующих подразделений частных компаний, многие из которых даже не являются подрядчиками Пентагона, однако в своей повседневной деятельности заняты разработкой программ в сфере кибер-вооружения. Агентство национальной безопасности США непосредственно взаимодействует с ведущими американскими университетами, а также в обязательном порядке присутствует на всех общенациональных хакерских конференциях и черпает кадры оттуда.

В Европе сделан упор на поддержку в большинстве стран ЕС движения так называемых «этичных хакеров», т.е. разработчиков и программистов, которые не занимаются противоправными действиями, а специализируются на сотрудничестве с коммерческим сектором в части обнаружения информационных уязвимостей и силовыми структурами, в части создания кибер-вооружений.

Для успешного форсированного создания кибер-войск, у России есть научный, технологический, программный и кадровый задел. В отличие от многих других отраслей, российские компании, занимающиеся информационной безопасностью и тестированием уязвимостей, входят в число мировых лидеров и продают свою продукцию на всех континентах. Русские хакеры стали всемирно известным брендом. Подавляющая часть софта, обслуживающего высокочастотный трейдинг и наиболее сложные финансовые операции на всех основных биржевых площадках мира, созданы российскими программистами и разработчиками, имеющих высочайший уровень математической подготовки и знания наиболее сложных языков программирования.

В отличие от многих других направлений науки и техники в России, научные школы по математике, компьютерным наукам и программированию, за последние 20 лет не только не потерпели урона, но и значительно развились, вышли на лидирующие мировые позиции. МФТИ (ГУ), МГУ им. Ломоносова, МГТУ им. Баумана, НИЯУ МИФИ, Санкт-Петербургский государственный университет, Ульяновский государственный технический университет, Казанский государственный университет и другие российские ВУЗы являются признанными центрами подготовки алгоритмистов, разработчиков и программистов мирового уровня.

Вопрос состоит в том, каким образом привлечь в кибер-войска и в компании, которые будут включены в программу национальной кибер-безопас-

ности, наиболее квалифицированных, талантливых разработчиков, программистов, тестировщиков систем информационной безопасности и т.п. Со стороны государства главным должно стать понимание, что в сфере цифровых войн именно человеческий фактор является определяющим при разработке и использовании оборонительных и наступательных кибер-вооружений. В нашей стране уже принят ряд документов, направленных на обеспечение различных аспектов национальной информационной безопасности. Среди них Доктрина информационной безопасности РФ, Стратегия развития информационного общества в РФ, Концепция стратегии кибер-безопасности РФ.

Таким образом, защита высокотехнологичных компаний РФ и коммерческих тайн промышленных предприятий должна осуществляться в рамках эффективного законодательства, под прикрытием российских кибер-войск с помощью ПО отечественных разработчиков, а также путем развития собственного производства средств производства для промышленности нашей страны.

Ограничить развитие киберпространства невозможно. Однако, если международное сообщество хочет предотвратить кибер-войны, то необходимо публично и открыто ввести соответствующие нормы в национальные и международное законодательства. Эти нормы должны позволить усилить суверенный технический контроль над поведением, частной и коммерческой деятельностью в интернете. Уже наметился общемировой тренд - повсеместное усиление государственного контроля за интернетом и борьбу с анонимностью, вплоть до максимальной деанонимизации [2].

Список литературы:

1. http://www.xakep.ru/post/59488.

2. http://www.dynacon.ru/content/articles/2321.

3. http://theoryandpractice.ru/posts/8088-cyberwarfare.

4. http://www.xakep.ru/55461.

5. http://expert.ru/expert/2013/07/stanok-dlya-novogo-uklada.