Цифровая экономика и кибербезопасность ее финансового сегмента Текст научной статьи по специальности «Право»

ЦИФРОВАЯ ЭКОНОМИКА И КИБЕРБЕЗОПАСНОСТЬ ЕЕ ФИНАНСОВОГО СЕГМЕНТА DIGITAL ECONOMY AND CYBERSECURITY OF ITS FINANCIAL

И.А. ШЕРЕМЕТ

Заместитель директора Российского фонда фундаментальных исследований по науке, заведующий кафедрой «Информационная безопасность» Финансового университета при Правительстве Российской Федерации,

I.A. SHEREMET

Deputy director for science of Russian foundation for basic research, head of the «Information security» department of Financial university under the Government of Russian Federation, corresponding member of Russian academy of sciences

Рассматриваются системообразующие инфраструктуры цифровой экономики и комплекс угроз их кибербезопасности. Особое внимание уделяется кибербезопасности финансового сегмента. Дается

SECTOR

АННОТАЦИЯ

ТА

характеристика наиболее эффективных решений, реализованных в ряде крупнейших банковских структур Российской Федерации и обеспечивающих ежесуточно выявление и нейтрализацию более десяти тысяч кибератак на ресурсы автоматизированных банковских

ABSTRACT

Basic infrastructures of digital economy are considered as well as a bundle of their cybersecurity threats. Financial sector cybersecurity issues are discussed in details. Most efficient solutions, implemented in the largest banks of Russian Federation and providing detection and neutralizing more than ten thousand cyberattacks on the bank systems per day, are presented.

КЛЮЧЕВЫЕ СЛОВА

Цифровая экономика, кибербезопасность, угрозы кибербезопасности автоматизированных банковских систем, средства выявления и нейт-

KEYWORDS

Digital economy, cybersecurity, bank systems cybersecurity threats, tools for cyberthreats detection and neutralizing.

В цифровой экономике, цифровизации, вопросы кибербезопасности занимают одно из ведущих мест. Поэтому коротко рассмотрим основные («опорные») инфраструктуры цифровой экономики и более подробно остановимся на вопросах кибербезопасности ее финансового сегмента, а также решениях, которые позволяют минимизировать вероятность успешной реализации киберугроз.

Когда говорят о цифровой экономике, прежде всего, как правило, имеют в виду:

• интеллектуальные киберфизические производства, основанные на аддитивных технологиях, которые позволяют достаточно быстро переключаться с одной номенклатуры производимых изделий на другую, и этим они принципиально отличаются от традиционных производств;

• интеллектуальную роботизированную логистику, обеспечивающую быстрое и энергоэффективное перемещение производимых объектов между точками материального пространства;

• столь же интеллектуальную энергетику, основанную в перспективе на альтернативных, возобновляемых источниках энергии;

• цифровые финансовые технологии, обеспечивающие быстрое и безопасное проведение финансовых транзакций между участниками рынка;

• инфраструктуру жизнеобеспечения — то, что называют smart home, smart city, smart nation — это «умные» дома и в конечном счете «умная нация», которая функционирует по некоторым разумным законам, обеспечивая достижение тех целей, которые ставит социум перед техносферой, с минимальными затратами энергии и времени.

Основой, или ядром, сердцевиной, будущей цифровой экономики является информационная инфраструктура — то, что принято называть «Интернетом всего». «Интернет всего», в свою очередь, — это «Интернет людей» (социум подключен и замкнут на эту информационную инфраструктуру) и «Интернет вещей», который объединяет устройства, технические комплексы, обеспечивающие выполнение тех или иных функций в интересах социума.

ТА

То, что наверху — информационный слой и производственный слой, иногда называют «индустриальный (производственный, промышленный) интернет вещей» — Industrial Internet of Things. Трудно понять, кто первый ввел в оборот термин «Интернет вещей». Вещь — это нечто неодушевленное, пассивное. Единственное, что с ней можно сделать, — это переложить ее с места на место и утилизировать. На самом деле, речь идет и должна идти об «Интернете устройств», и было бы более разумно называть и использовать вместо термина Internet of Things термин Internet of Devices. Но раз уж так получилось, мы пользуемся именно этим не очень удачным термином — «Интернет вещей».

Вот как в перспективе мыслится функционирование «индустриального интернета вещей» на основе аддитивных производств. Заказчики изделий, которыми могут быть физические лица и корпорации (юридические лица), через глобальную информационную инфраструктуру обращаются к интернет-порталам для заказа изделий, то есть формулируют потребности — что конкретно им надо, с какими параметрами, к каким срокам и в какие точки произведенные объекты должны быть доставлены.

Затем идет некое планирование, распределение функций и собственно изготовление с использованием расходных материалов для ЗЭ-принтеров, используемых в качестве основного средства производства. Как мы знаем, ЗЭ-принтер для производства чего бы то ни было должен иметь определенный набор первичных исходных материалов, так называемых порошков, и послойные описания тех объектов, которые он должен произвести (так называемые STL-файлы). Партии расходных материалов доставляются в точки их ис-

пользования, а партии изготовленных изделий, в свою очередь, — к заказчикам.

Первичный элемент такой инфраструктуры, который уже никого не удивляет, — «Озон», «Амазон», «Утконос» и так далее. Но сегодня речь идет о заказе и доставке готовых изделий, то есть об интернет-торговле. В перспективе, очевидно, следует ожидать распространения такой же идеологии и технологии на производственные процессы.

Здесь справа следовало бы дорисовать людей и социумы, коллективы, которые обеспечивают добывание знаний, необходимых для формирования таких изделий. Они появляются, естественно, не сами по себе: вначале кто-то должен разработать, что это за изделие, каким оно должно быть, какая у него должна быть конструкция, как и каким образом оно должно выполнять те функции, которые на него возлагаются и так далее. И это вполне уместно назвать «экономикой знаний».

Российский фонд фундаментальных исследований достаточно активно поддерживает тематику цифровой экономики: в частности, РФФИ объявлен конкурс на тему «Разработка и реализация информационных технологий в цифровой экономике». Одним из разделов рубрикатора этого конкурса является «Разработка средств и технологий обеспечения кибербезопасности и устойчивости цифровой экономики к деструктивным воздействиям».

Но прежде чем уже углубляться в вопросы кибербезопасности, имеет смысл хотя бы коротко остановиться на таком немаловажном аспекте, как оценка социальных последствий роботизации и цифровизации. Все мы должны понимать, что такой массовый активный переход к киберфизическим производствам, к интеллектуальной роботизированной ло-

2Я

гистике, к магазинам, в которых нет продавцов, приводит прежде всего к серьезному уменьшению количества рабочих мест. Причем без работы останутся представители самых массовых профессий: водители, торговый персонал, рабочие на производствах. Все люди, работающие в сфере услуг, так или иначе, раньше или позже, но тоже замещаются роботами. Встает вопрос: к чему в конечном итоге это приведет? Если техносфера и ресурсы, которыми обладает социум, способны обеспечить достойное существование огромной массы новых безработных, тогда, по всей видимости, мы идем в правильном направлении. А если новая техносфера не способна обеспечить существование этих людей, тогда мы идем в тупик. Наш конкурс на эти вопросы не нацелен, оценкой социальных последствий внедрения цифровых технологий мы пока не занимаемся. Это вопрос скорее экономистов, и они, по всей видимости, должны дать политическому руководству четкие ориентиры, каким образом проводить циф-ровизацию и к чему в конечном итоге она может привести, какие могут быть угрозы и какие позитивные последствия.

Перейдем к вопросу кибербезопасности.

Ключевая особенность нового состояния глобальной техносферы, основанной на глобальной информационной инфраструктуре, сети Интернет, — полносвязность. Каждый человек, каждое техническое устройство, имеющее доступ в интернет, имеет уникальный сетевой адрес, с помощью которого можно выполнять необходимые функции с использованием возможностей, которые предоставляет интернет, посредством информационного обмена с владельцем любого другого адреса.

При этом в программных средствах объектов глобальной информационной инфраструктуры очень много так назы-

ваемых непреднамеренных дефектов, так называемых экс-плойтов (от английского exploit), то есть ошибок, которые допускаются при разработке огромных объемов программного обеспечения, реализующего все интеллектуальные функции техносферы. Эти эксплойты, естественно, могут использоваться злоумышленниками для получения скрытного доступа к ресурсам их носителей. Кроме того, как программы, так и схемы, реализующие деструктивные функции, могут заблаговременно имплантироваться в распространяемые на рынках программные, вычислительные и коммуникационные средства, составляющие основу интернета.

Эти предпосылки, так или иначе, используются для реализации информационно-технологических воздействий (ИТВ) на объекты техносферы. Подобные воздействия принято делить на кибернетические и киберкинетические. Целью кибернетических ИТВ являются информационные объекты, скажем, сайты, социальные сети. А киберкинетические ИТВ имеют целью материальные объекты, скажем, беспилотные летательные аппараты, фрагменты энергетической инфраструктуры и так далее. В частности, применение информационных технологий для выведения из строя беспилотного летательного аппарата с последующим его падением и разрушением есть киберкинетическое воздействие.

Информационно-технологические воздействия на объекты техносферы реализуются следующим образом. Как правило, имеются центр управления оперативно-техническими позициями и скрытые коммуникационные сети, обеспечивающие доведение команд по воздействию на объекты техносферы, чтобы не было возможности определить, когда, с какой целью и кто осуществляет это воздействие.

5Q

Есть масса конкретных иллюстраций этих достаточно абстрактных конструкций. Весь интернет функционирует на основе средств сетеобразования — маршрутизаторов, или роутеров, которые производят три крупнейших игрока на этом рынке. Это две американские фирмы (Cisco и Juniper) и китайская (Huawei Technologies).

В 2013 году во всех средствах сетеобразования производства фирмы Cisco были выявлены предустановленные операционные мины. На территории Российской Федерации таковых средств на тот момент было более девяти тысяч. Такого рода предустановленные операционные мины позволяли при необходимости полностью контролировать трафик, осуществлять информационно-технологические воздействия типа «человек посередине», когда информация, циркулирующая между двумя субъектами информационной инфраструктуры, так или иначе, изменяется стоящим посередине субъектом. Это позволяет реализовывать любые процессы ложного управления обоими взаимодействующими субъектами.

Перейдем к финансовому сегменту техносферы, кибер-безопасности которого посвящена основная часть доклада. Финансовая инфраструктура Российской Федерации в самом общем виде — это физические лица, юридические лица и корпоративные клиенты. Любая операция над денежными средствами выполняется через клиентскую точку доступа. В свою очередь, локальные сети банков обеспечивают функционирование целостных автоматизированных банковских систем и удаленный доступ к банковским сервисам.

Естественно, финансовая инфраструктура Российской Федерации не изолирована, она включена в глобальную финансовую инфраструктуру, основой которой является гло-

бальная система международных финансовых транзакций SWIFT.

Элементы любой финансовой инфраструктуры — это точки доступа к банковским сервисам ( персональные компьютеры, смартфоны, картридеры, банкоматы, паркоматы), программно-вычислительные среды банковских организаций (серверы, облачные архитектуры, рабочие станции персонала и администрации вычислительных сред), а также средства сетеобразования и защиты глобальной информационной инфраструктуры (адаптеры, коммутаторы, маршрутизаторы и средства кибербезопасности).

Все эти средства, естественно, могут содержать программные и схемные операционные мины, эксплойты, которые могут использоваться злоумышленниками для коррекции банковской информации, для воздействий на автоматизированные банковские системы. И на самом деле так оно, к сожалению, и происходит. Причем финансовый сегмент — это наиболее атакуемый, наиболее уязвимый и требующий наибольшего внимания. При всем уважении ко всем остальным критическим инфраструктурам — и к энергетической, и к производственной, и даже к военной, оборонной — интенсивность кибератак на финансовый сегмент на много порядков превышает интенсивность атак на все остальные инфраструктуры. И это понятно, потому что здесь имеется возможность незаконным путем получить большие деньги.

Рынок киберпреступности в настоящее время существенно превышает все остальные сегменты глобального криминала. Примерно с 2007 года, когда начался переход на банковские технологии нового поколения, позволяющие использовать онлайн-сервисы, активность и результативность киберпреступности существенно выросли. По данным Сбер-

Ъ2

банка, в 2007 году 2% денежных средств похищались посредством кибератак и 98% через материальное пространство, то есть традиционными способами. В 2017 году, всего лишь через десять лет, ситуация инвертировалась с точностью до наоборот. Только 2% денег похищается через материальное пространство, а 98% — через киберпространство.

При этом российская киберпреступность, по заключению наших правоохранительных органов (ФСБ, МВД) и Интерпола, имеет свое ноу-хау, связанное с тем, что активным участником хищений является, к сожалению, персонал кибербезопасности самих банков, который очень часто сам готовит и реализует кибератаки под видом внешних злоумышленников.

Естественно, новому массиву угроз необходимо противопоставлять определенные меры. Организационные меры — это создание единой системы противодействия кибератакам. Такая система под названием ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) создается в соответствии с Указом Президента Российской Федерации. Более того, в 2017 году Государственной думой принят федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». В рамках реализации этого закона под руководством ФСБ, при участии Федеральной службы по техническому и экспортному контролю в настоящее время проводится широкий комплекс мероприятий.

В этом направлении необходимо реализовать еще одно достаточно серьезное мероприятие — запрет транзита внутри российского трафика через зарубежные страны. Как ни странно, порядка 30% нашего трафика идет через зару-

бежных провайдеров. В этом смысле сейчас значительные усилия прилагаются в направлении исключения сетевых конфигураций, которые создают условия для какого бы то ни было воздействия на трафик между российскими пользователями интернета.

Наиболее действенные информационно-технологические меры — это создание интеллектуальных сред и систем обеспечения кибербезопасности, а также создание систем ложных объектов для выявления источников киберугроз. Это, на наш взгляд, самый перспективный способ, который позволяет ставить под контроль киберактивность любой природы. В этом случае злоумышленник наводится на ложный объект (honey pot, то есть «горшочек с медом»). И далее функционирует под полным контролем, не нанося ущерба. Более того, им самим рефлексивно управляют, ставят в такие условия, когда при необходимости он может быть нейтрализован.

Третья важнейшая мера — подготовка компетентных кадров. В первую очередь это открытие специальной кафедры «Информационная безопасность» в Финансовом университете при Правительстве Российской Федерации. В настоящее время на кафедре работают 9 докторов и 10 кандидатов наук. Традиционно конкурс абитуриентов на кафедру очень высокий, один из самых высоких в Финансовом университете. Мы готовим аспирантов — принимаем в аспирантуру примерно 5 человек в год. И активно работаем с потребителями нашей педагогической продукции, с работодателями — с крупнейшими банками, прежде всего Сбербанком. Кроме того, создаем систему перманентного (life-long) обучения банковского персонала. Развитие в этой сфере крайне быстрое, динамичное, и без постоянной переподготовки

ЪА

соответствовать тем высоким требованиям, которые здесь имеют место, просто невозможно.

Основное информационно-технологическое решение — то, что сейчас называется security operations centers. Такого рода центр кибербезопасности, крупнейший в России и один из крупнейших в Европе, создан и успешно функционирует в Сбербанке. Сбербанк — это крупнейшая цифровая компания Российской Федерации, 21-й банк в мире. Его капитализация — 11,6 миллиарда долларов США, и только за прошлый год она выросла на 21%. Это 137 млн розничных клиентов, втом числе порядка 25 млн мобильных, 1,1 миллиона корпоративных клиентов в 22 странах присутствия, это 240 млн счетов. С момента, когда упомянутый центр введен в эксплуатацию в середине 2015 года, ни одной копейки, ни с одного корреспондентского счета в Сбербанке не похищено, при всей неприятной статистике по другим банкам. И это в условиях 14 тысяч кибератак на ресурсы банка ежесуточно. Решения, реализованные в Сбербанке, в настоящее время успешно тиражируются в других финансовых организациях.