CC BY
0Ионина M.B.
УДК 33
ВОПРОСЫ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ТАМОЖЕННЫХ ОРГАНОВ
Ионина Марина Владимировна
Санкт-Петербургский имени В.Б. Бобкова филиал Российской таможенной академии, старший научный сотрудник научно-исследовательского отдела, e-mail: ioninaspb@mail.ru
В статье рассматривается актуальный вопрос обеспечения кибербезопасности информационной инфраструктуры таможенных органов в условиях цифровой трансформации. Автором проведен анализ наиболее распространенных видов кибер-угроз и сформулированы предложения по минимизации рисков, связанных с возможными кибера-таками на информационную систему таможенных органов
Ключевые слова: цифровая экономика; информационная безопасность; цифровая трансформация; таможенные органы; киберугроза; кибератака; инцидент; кибергигиена
ISSUES OF ENSURING CYBERSECURITY OF THE INFORMATION INFRASTRUCTURE OF CUSTOMS AUTHORITIES
Ionina Marina V.
Russian Customs Academy St. Petersburg branch named after Vladimir Bobkov, Senior Researcher of the Research Department, e-mail: ioninaspb@ mail.ru
The article deals with the topical issue of ensuring cybersecurity of the information infrastructure of customs authorities in the context of digital transformation. The analysis of the most common types of cyber threats is carried out and proposals are formulated to minimize the risks associated with possible cyber attacks on the information system of customs authorities
Keywords: digital economy; information security; digital transformation; customs authorities; cyber threat; cyberattack; incident; cyber hygiene
Для цитирования: Ионина М.В. Вопросы обеспечения кибербезопасности информационной инфраструктуры таможенных органов // Ученые записки Санкт-Петербургского имени В.Б. Бобкова филиала Российской таможенной академии. 2023. №2 (86). С. 32-35.
В рамках национального проекта «Цифровая экономика Российской Федерации» [1], который активно реализуется с 2019 г., осуществляется цифровая трансформация всей сферы услуг Российской Федерации. Цифровая трансформация - сложный процесс, который влияет на всю цифровую экосистему государства: на процесс взаимодействия с клиентами системы, на корпоративную культуру, на бизнес-модели. Однако наряду с цифровизацией экономики и управления изменился и характер преступлений в сфере информационных технологий, которые большей частью переместились в область киберпространства.
Учитывая напряжённую геополитическую ситуацию последних лет, большое внимание злоумышленники стали уделять кибератакам, которые могут принести значительные экономические потери и иметь широкий общественный резонанс. Объектами таких атак за последние годы становились государственные организации, крупные промышленные предприятия, ИТ-сектор, ресурсы средств массовой информации. Одной из таких крупных кибератак, имеющей резонансный характер, была атака, совершенная 10 апреля 2023 г. на единую автоматизированную информационную систему таможенных органов (ЕАИС ТО), которая привела к мощнейшим сбоям в работе сис-
темы. Для восстановления ее полной работоспособности потребовалось продолжительное время: лишь 21 апреля временно исполняющий обязанности руководителя Федеральной таможенной службы России Р.В. Давыдов сообщил о полной ликвидации последствий случившейся проблемы [2]. Кибератака на наиболее защищенную с точки зрения обеспечения информационной безопасности информационную систему таможенных органов, очевидно, влечет за собой не только экономические, но и репутационные издержки, а также необходимость ответить на вопрос: как обеспечить защиту системы от подобных кибератак и других возможных угроз. Экономические потери являются важным триггером для решения поставленных вопросов, поскольку таможенные органы являются крупнейшим источником финансовых поступлений в бюджет Российской Федерации. Так, за последние пять месяцев текущего года федеральный бюджет пополнился суммой свыше 2 трлн рублей от таможенных поступлений [2].
Для решения проблем информационной безопасности требуется анализ наиболее распространенных инцидентов (успешных кибератак, которые привели к негативным последствиям для компании или частного лица). Количество инцидентов, с каждым годом увеличивается: в 2022 г.
рост составил 20,8 % по отношению к 2021 г. (см. рисунок). Значительное влияние оказывает и рост рынка киберпреступности: злоумышленники расширяют теневой бизнес в связи с массовыми утечками данных, появляется возможность проведения атак с использованием скомпрометированной информации о пользователях. Специалисты по информационной безопасности прогнозируют, что в 2023 г. эти же причины послужат еще большему росту числа атак [3].
инфраструктуры, в том числе и таможенных органов) являются:
- сетевые атаки;
- эксплуатация уязвимостей;
- компрометация учетных записей;
- заражение вредоносным программным обеспечением.
Сетевая атака - это вторжение в операционную систему удаленного компьютера с целью захвата управления, ведущего впоследствии к отказу в обслуживании или получению доступа к защищенной информации. Сетевые атаки можно разделить на следующие типы:
1. Сканирование портов. Этот вид атак обычно является подготовительным этапом к более опасной сетевой атаке. Злоумышленник сканирует UDP- и ТСР-порты, используемые сетевыми службами на атакуемом компьютере, и определяет степень уязвимости перед более опасными видами сетевых атак. Сканирование портов также позволяет злоумышленнику определить операционную систему на атакуемом компьютере и выбрать подходящий для нее вид сетевой атаки.
2. DoS-атаки, или сетевые атаки, вызывающие отказ в обслуживании. Это сетевые атаки, в результате которых атакуемая операционная система становится нестабильной или полностью неработоспособной. Существуют следующие основ-
Беспрецедентное количество атак, с которыми столкнулась информационная инфраструктура Российской Федерации в 2022 г., связано с возросшим напряжением в киберпространстве. Федеральная таможенная служба за последний год отразила около 1 200 DDoS-атак, т.е. ежедневно на систему совершалось около 3-4 DDoS-атак [2].
Наиболее распространенными инцидентами с высокой долей критичности (деструктивного воздействия на безопасность информационной
ные типы DoS-атак:
а) отправка специально сформированных сетевых пакетов, не ожидаемых компьютером, которые вызывают сбои в работе операционной системы или ее остановку;
б) отправка на удаленный компьютер большого количества сетевых пакетов за короткий период времени. Все ресурсы атакуемого компьютера используются для обработки сетевых пакетов, отправленных злоумышленником. В результате, компьютер перестает выполнять свои функции.
3. Атаки-вторжения. «Сетевые атаки-вторжения направлены на перехват операционной системы атакуемого компьютера. Это самый опасный вид сетевых атак, поскольку в случае ее успешного завершения операционная система полностью переходит под контроль злоумышленника. Этот вид сетевых атак применяется в случаях, когда злоумышленнику нужно получить конфиденциальные данные с удаленного компьютера (например, номера банковских карт или пароли) либо использовать удаленный компьютер в своих целях (например, атаковать с этого компьютера другие компьютеры) без ведома пользователя» [5].
Эксплуатация уязвимостей. Уязвимость - это недостаток программного (программно-технического) средства или информационной системы в целом, который может быть использован для
300
281
250
200
150
100
50
2021 год I 2022 год
1 квартал, тыс 2 квартал, тыс 3 квартал, тыс 4 квартал, тыс
Количество инцидентов в 2021 и 2022 гг. по кварталам (составлено автором по данным [3; 4; 5])
Ионина М.В.
реализации угроз безопасности информации. Уязвимости информационной системы могут быть многофакторными, организационными, связанными с недостатками кода, конфигурации и архитектуры [6]. Эксплуатация уязвимостей - это способ взять компьютер под контроль, используя слабые места или недочеты в конструкции самой программы или той среды, в которой она была разработана, даже если в данный момент запущено приложение, способное предотвращать подобные угрозы.
Компрометация учетных записей - это успешно проведенный брутфорс (подбор пароля) публичных сервисов (электронная почта, веб-порталы). Взлом учетных записей электронной почты - один из самых популярных первых шагов в ходе целенаправленных атак. В случае реализации брутфор-са может быть вскрыта информация из почтовой переписки, в том числе секретная. Скомпрометированная учетная запись может быть использована для доступа к другим ресурсам в рамках атак на инфраструктуру организации, в том числе для доступа к ресурсам локальной сети.
Заражение вредоносным программным обеспечением (ВПО). Вредоносная программа -это универсальный термин для обозначения любого типа ВПО, предназначенного для нанесения вреда или эксплуатации программируемого устройства, службы или сети. Основное качество ВПО - это стремление оставаться незамеченным максимально длительный период времени, в связи с чем довольно сложно обнаружить такой вид атаки [7]. Существует большое количество вредоносных программ, наиболее часто встречаются следующие:
а) вирусы - это вид ВПО, который содержит полезную составляющую (электронное письмо, флеш-накопитель и др.), а также вредоносную часть, которая выполняет действия по заражению устройства;
б) программы-вымогатели - это программное обеспечение (ПО), действие которого направлено на блокировку компьютера и личных файлов пользователей методом шифрования файлов;
в) сетевые черви; «Сетевой червь - это тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных систем, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, осуществлению иного вредоносного воздействия» [8]. Данное ПО не требует взаимодействия с пользователем для работы и распространяется за счет успешного обнаружения уязвимости в инфраструктуре информационной системы;
г) троянские программы; «Троянская вирусная программа - тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной систе-
ме» [8]. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и передачу ее злоумышленнику, разрушение, злонамеренная модификация и нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях;
д) бесфайловые вредоносные программы -тип вредоносного кода, который содержится в памяти компьютерной системы и не создает файлов на жестком диске, находится в оперативной памяти системы, реестре, то есть в непостоянных областях хранения информации. Это ПО практически не подлежит распознаванию антивирусной программой, которая принимает его за лигитимное ПО;
е) фишинг - самый распространенный способ атаки - получение доступа к конфиденциальным данным пользователя (логинам и паролям) как один из наиболее распространенных методов «социальной инженерии, которая представляет собой совокупность подходов прикладных социальных наук, приемов и технологий, ориентированных на создание организационных структур для регулирования и управления действиями человека» [9].
Все обозначенные инциденты являлись наиболее распространенными в последние годы, однако атаки становятся совершеннее, а их тактики - разнообразнее. В результате растут потребности организаций в средствах и сервисах защиты.
В связи с этим внимание специалистов таможенных органов по информационной безопасности должно быть акцентировано на изучении информационных активов, определении слабых мест и возможных угроз информационной безопасности. В первую очередь необходимо определить возможные события, которые недопустимы для функционирования ЕАИС ТО, и регулярно проводить верификацию таких событий на практике с помощью тестирования на проникновение или размещение цифровых двойников на кибер-полигонах (мультифункциональный программно-аппаратный комплекс для проведения киберуче-ний, инфраструктура которого основана на реальных уязвимостях, обнаруженных в различных информационных системах). Такой подход поможет выстроить систему комплексного мониторинга и защиты, которая не позволит злоумышленникам нанести ущерб ЕАИС ТО и, как следствие, предотвратит экономические потери государства и участников внешнеэкономической деятельности. Из-за тенденции к нарушению основной деятельности организаций с помощью различных видов ВПО решения резервного копирования позволят быстро восстановить работоспособность информационных систем, если атака все-таки достигла своей цели.
Подводя итоги насущных вопросов и связанных с ними проблем обеспечения кибербезопасно-сти информационной инфраструктуры таможенных
органов в условиях цифровой трансформации, важно помнить о влиянии человеческого фактора на успешность кибератак и проводить мероприятия для повышения бдительности и осведомленности в сфере кибербезопасности, а также проводить обучение должностных лиц таможенных органов (ДЛТО) по противодействию атакам методами социальной инженерии. Еще одним важным фактором защиты и предупреждения нежелательных последствий кибератак является соблюдение кибергигиены - способности ДЛТО оставаться в безопасности при использовании ведомственной интегрированной телекоммуникационной сети во время работы на автоматизированном рабочем месте с помощью определенного набора действий: выполнение антивирусной проверки, периодическая смена паролей, обновление ПО, приложений и операционных систем, очистка жесткого диска компьютера. Кибергигиена необходима для повышения сетевой безопасности, работоспособности информационных систем и должна быть включена в регламент действий и в должностные инструкции ДЛТО для исключения возможных инцидентов в сфере информационной безопасности.
Библиографический список:
1. Официальный сайт Министерства цифрового развития, связи и массовых коммуникаций Российской
Федерации. URL: https://digital.gov.ru (дата обращения: 10.04.2023).
2. Инфомационный портал Федеральной таможенной службы Российской Федерации. URL: https://t.me/ customs_rf/1844 (дата обращения: 27.04.2023).
3. Официальный сайт компании «Positive Technologies». URL: https://www.ptsecurity.com/ru-ru/research/analy tics/cybersecurity-threatscape-2022/#id1 (дата обращения: 15.04.2023).
4. Официальный сайт компании «Ростелеком». URL: https://rt-solar.ru/analytics/reports/?ysclid=lild9b55 br794861160 (дата обращения: 04.05.2023).
5. Официальный сайт компании «Лаборатория Касперского». URL: https://support.kaspersky.com/ KSCloud/Mac4.0/ru-RU/88075.htm (дата обращения: 18.04.2023).
6. Официальный сайт Федеральной службы по техническому и экспортному контролю. URL: https://bdu. fstec.ru/ubi/terms/terms/view/id/66 (дата обращения: 25.04.2023).
7. Официальный сайт компании «McAfee». URL: https://www.mcafee.com/ru-ru/antivirus/malware.html (дата обращения: 20.04.2023).
8. Официальный сайт аналитического агентства «TAdviser». URL: https://www.tadviser.ru (дата обращения: 04.05.2023).
9. Митник К.Д. Искусство обмана / К.Д. Митник, В.Л. Саймон // Компания АйТи. 2004. 360 с.
