Дыра в безопасности
Глеб Рыбаков, 16/04/24
В ноябре 2019 г. в Интернете была опубликована интересная статья [1]. Со слов автора, в конце августа 2019 г. он отправился на скоростном поезде "Сапсан" по маршруту Санкт-Петербург – Москва и в вагоне подключился к мультимедийной сети WiFi, чтобы выйти в Интернет и немного поработать. В результате за время поездки им якобы был получен полный доступ к сети, мультимедийному серверу, docker-контейнерам, данным на дисках и базе данных MySQL, сведениям о пассажирах этого и предыдущих рейсов, а также по VPN-тоннелю в сеть всей организации. "Одинаковые пароли везде", "Хранение данных в текстовых документах", "Все, кто подключен к их Wi-Fi, подвержены снифу трафика" – лишь некоторые цитаты из статьи, указывающие на серьезные уязвимости в сетевой инфраструктуре.
Статья быстро набрала популярность, получила большой резонанс в сети, многие СМИ заинтересовались этим событием [2, 3]. В ОАО "РЖД" провели расследование, дали комментарии [4]: "Почему удалось взломать? Наверное, потому что злоумышленник. Наверное, из-за этого... Ну, он из "фана". Юный натуралист. И конечно, "сервер ИРС не связан с внутренней сетью ОАО "РЖД" или другими внутренними сервисами управления в поезде, он разработан исключительно для развлекательной и информационной тематики".
Мы уже не узнаем, связан или нет. Однако примерно через год, в январе 2021 г., на том же ресурсе другой специалист по информационной безопасности публикует новую разгромную статью [5] в продолжение первой. Автор пишет, что, даже не садясь в поезд, он без особых ухищрений получил доступ ко внутренним сетям РЖД по всей стране, а именно – к 20 тыс. сетевых устройств (большая часть была с заводскими паролями), к 10 тыс. камер наружного и внутреннего видеонаблюдения, IP-телефонии, IPMI-серверам, внутренним системам мониторинга систем обеспечения зданий, управления кондиционированием и вентиляцией, управления табло на перронах и др. Похоже на остросюжетную фантастику? Вот только факт данного взлома официально подтвержден заместителем генерального директора ОАО "РЖД" [6]. По мнению автора статьи, возможность взлома обусловлена банальным несоблюдением современных общепринятых мер противодействия киберугрозам.
Нет ничего опаснее для новых истин, чем старые заблуждения. Многие до сих пор живут в старых представлениях о мире, где всё в безопасности, если ключ от серверной хранится в шкафу под присмотром охранника. А атаки на информационные системы совершают только "юные натуралисты" из "фана". И серьезных угроз такие атаки вроде как не несут: ну подумаешь, какой-то хулиган написал матерное слово на заборе, ну неприятно, придется потратить немного денег на перекраску забора.
В этом старом мире "ломать" систему будут только по заказу конкурентов или обиженные клиенты. "Кому я нужен?" – так тоже рассуждают многие.
И даже если не рассуждают, а вполне соглашаются с тем, что вопрос кибербезопасности важен, они однако при принятии решений, формировании и согласовании бюджета или проверках, осознанно или нет, но "задвигают" вопросы информационной безопасности на второй-третий план. Но сколько проблему не отрицай – она никуда не денется.
КСБ практически не может обеспечить безопасность объекта и свою собственную, если она не отвечает современным требованиям в части киберзащищенности.
О дивный новый мир
Мир изменился, лишился границ. Современные информационные технологии позволяют получить мгновенно доступ к информации, хранящейся за тысячу километров. Многое оцифровано, нужные данные легко найти за доли секунды. Можно посмотреть с видеокамер, что происходит на объекте, попивая чай у себя на даче. Или поработать удаленно, подключившись к сети офиса из дома. но с большей силой приходит большая ответственность.
Количество киберугроз и атак постоянно растет. На фоне всеобщей цифровизации – от компаний, "заводов, газет, пароходов" до систем государственного управления – и переводу в цифровой формат всех данных и документов многократно возрастают риски утечек или полной утраты данных. То, что раньше хранилось на бумаге в архиве за семью печатями, сегодня может быть скопировано на обычную флешку или отправлено по сети. А вирус-шифровальщик, который сотрудник нечаянно впустил в сеть, перейдя по ссылке в электронной почте, за минуты превратит корпоративный архив в бессмысленный набор байтов. Кстати, вы же делаете бэкапы?
Важно понимать, что источник угроз сегодня – это не только "злобные гении", которые из обиды или по заказу ищут дыры в информационных системах, но также и огромное количество автоматических вирусов, сканеров, эксплойтов, ботнетов, шифровальщиков и прочих и прочих, которым нет никакого дела до сферы вашего бизнеса или значимости системы для национальной безопасности. Они как ковровые бомбардировки: добиваются результатов на больших объемах, перебирают все известные на текущий момент уязвимости и рано или поздно находят своих жертв. Не удалось с этим сервером – не беда, еще миллион на подходе.
Особо острым вопрос кибербезопасности для цифровых ресурсов на территории Российской Федерации стал в свете последних геополитических событий. Появились даже специальные вредители, такие как RuRansom, который шифрует данные, не просит деньги, а просто пытается причинить максимальный ущерб [7] ресурсам только на территории РФ. Только представьте себе, какие риски в нынешней геополитической ситуации несет возможное проникновение в сеть РЖД!
По данным Ростелекома [8], количество атак в 2023 г. планомерно увеличивалось от квартала к кварталу.
Онлайн-ресурсы неизменно остаются одной из основных целей кибератак на компании, но конечные цели злоумышленников меняются. Все чаще ключевым мотивом злоумышленников становится не дефейс, а проникновение в инфраструктуру или попытка хищения данных клиентов компаний.
В 2022–2023 гг. персональные данные "утекали" у таких крупных организаций, как Яндекс [9], ВКонтакте [10], Ашан [11], Глория Джинс [12], СДЭК [13] и многих других. В силу публичности таких компаний данные факты быстро предавались огласке. Остается только догадываться, сколько было взломов и утечек, о которых мы ничего не слышали.
До недавнего времени основной риск таких утечек для компаний лежал в репутационной плоскости. Экономические потери, связанные с недовольством клиентов и отказом от услуг компаний, многократно, на порядки, превышали штрафы за утечку персональных данных в 60–300 тыс. руб. [14]. Но ситуация постепенно меняется.
Большой брат следит за тобой
В конце 2023-го и начале 2024 г. появилась информация об активной работе по введению оборотных штрафов за утечку персональных данных. По последней информации, возможны штрафы 1–3% от оборота [15] в пределах от 5 до 500 млн руб. [16].
Многие компании, в частности банковские организации, в последние годы активно развивают использование биометрических данных для подтверждения личности клиентов. И если утечка персональных данных ведет преимущественно к спаму и телефонному мошенничеству ("Иван Иванович, здравствуйте, это специалист Центробанка…"), то утечка биометрических данных – это уже возможность для злоумышленника получить прямой доступ к имуществу и средствам жертв.
Поэтому неудивительно, что государство с 2023-го требует обязательной интеграции операторов биометрических данных с Единой биометрической системой и увеличивает штрафы за нарушения при обработке биометрии [17].
Таким образом, возможные взломы и утечки данных – это уже и юридические, и прямые экономические риски.
На рынке почти нет решений, которые исходно спроектированы и реализованы в соответствии с актуальными требованиями кибербезопасности.
Безопасность в опасности
Область систем физической безопасности исторически является консервативной. Долгое время к системе безопасности на объекте относились (а зачастую и сейчас продолжают относиться) как к необходимому "злу": нужна по смыслу, требуется по правилам, бюджет расходует, но денег не приносит. Поставили "галочку" и забыли. Однако, как сказано ранее, нет ничего опаснее для новых истин, чем старые заблуждения.
Современная система безопасности – это мощная информационная система, обрабатывающая и вырабатывающая большой объем ценной информации.
В целях контроля и управления доступом в системе могут обрабатываться персональные данные владельцев пропусков, персонала и посетителей, в том числе биометрические, – имена, должности, паспортные данные, фотографии, отпечатки пальцев и др. Система безопасности может предоставить информацию о графике работы сотрудников и времени прихода/ухода посетителей, сведения о текущем местоположении людей, материальных ценностях, состоянии оборудования, инженерных систем. Популярные интеграции системы безопасности с системами кадрового учета, делопроизводства и документооборота, ERP-, SCADA-системами и системами технологического и технического мониторинга стирают границы между отдельными системами, формируя единое информационное пространство организации.
Таким образом, несанкционированный доступ к системе безопасности несет репутационные, юридические и экономические риски в части утечки данных, соизмеримые со взломом любой другой системы предприятия. А широкие возможности управления исполнительными устройствами (блокировка дверей, включение автоматики) могут создать прямую угрозу жизни человека и материальным ценностям в случае взлома.
Получается, что КСБ фактически не может обеспечить безопасность объекта и свою собственную, если она не отвечает современным требованиям в части киберзащищенности.
И к сожалению, таковыми являются почти все системы, представленные на рынке. Безопасность в опасности! Почему так получилось?
Онлайн-ресурсы неизменно остаются одной из основных целей кибератак на компании, но конечные цели злоумышленников меняются.
Все чаще ключевым мотивом злоумышленников становится не дефейс, а проникновение в инфраструктуру или попытка хищения данных клиентов компаний.
Технический долг
В техническом плане система физической безопасности – это просто программы, работающие на каких-то вычислительных ресурсах.
Причем основная логика работы системы сосредоточена в привычных нам программах, работающих на простых компьютерах/серверах. Эти программы написаны на обычном языке программирования, с применением популярных/стандартных программных компонентов и библиотек, и выполняются под управлением операционных систем. А взаимодействие пользователей с программами и программ с оборудованием осуществляется по типовым сетевым протоколам. Поэтому с точки зрения кибербезопасности системы физической безопасности принципиально ничем не отличаются от бухгалтерской программы, корпоративного портала или вебсайта. И к ним должны предъявляться точно такие же требования.
При этом по мере развития технологий и коммуникаций в программных компонентах и операционных системах постоянно вскрываются новые, ранее неизвестные уязвимости, криптостойкие в прошлом алгоритмы теряют свою актуальность, появляются новые векторы кибератак, возникают новые киберугрозы. Требования в части кибербезопасности постоянно расширяются.
Программное обеспечение систем физической безопасности – это зачастую программы, разработка которых началась десятилетия назад, использующие устаревшие версии программных библиотек. И эти программы после внедрения работают годы или даже десятилетия под управлением "старых" версий операционных систем.
Но что самое неприятное – почти все существующие системы безопасности исходно спроектированы для работы в закрытых, изолированных локальных сетях. Потому что именно в таких сетях предполагалась эксплуатация систем безопасности на момент их проектирования, много лет назад. Вот только времена изменились, и сейчас система безопасности зачастую "живет" в обычной сети предприятия, а любая локальная сеть перестала быть доверенной и защищенной.
В результате на рынке почти нет решений, которые исходно спроектированы и реализованы в соответствии с актуальными требованиями кибербезопасности.
А был ли мальчик?
Является ли это проблемой? На взгляд автора – да. Иначе бы не было этой статьи. Но убедить в этом непросто. "Автомобиль никогда не заменит лошадь", – заявил журнал Motors в 1903 г. И действительно, если каждый день своей жизни наблюдать, что все используют только лошадей, а не автомобили, то поверить в обратное очень трудно.
Вот другой пример – резервное копирование данных. Как утверждает бородатый анекдот, "люди делятся на два вида: те, кто не делает бэкапы, и те, кто УЖЕ делает".
Кто-то эксплуатирует систему безопасности под управлением ОС Windows XP 15 лет и ни разу не столкнулся с киберугрозами. А кого-то взломали уже несколько раз, и поэтому в компании есть жесткий регламент по кибербезопасности. Один взлом на 1 тыс. систем – это много или мало? Для того, кто ни разу не сталкивался с проблемами, это мало, это "не про него". Для того, кого один раз взломали и уничтожили все данные, – это катастрофически много, и даже 0,1% вероятности повторения этой ситуации для него существенный риск.
В чем можно быть уверенным – и мы видим подтверждение этому в СМИ, отчетах и бюллетенях безопасности – это в том, что количество угроз, атак и успешных взломов растет. Все больше аспектов нашей жизни цифровизуются, а следовательно, вероятность столкнуться со взломом для каждого непрерывно и существенно возрастает.
И если согласиться с утверждением, что кибербезопасность – это проблема, то возникают вопросы "Что делать?", "Как получить действительно безопасную систему физической безопасности?".
Помогут ли наложенные средства?
Первое, что приходит на ум, – применение наложенных средств. Наложенные средства защиты информации – это внешние технические и программные средства, добавляемые в информационную систему для обеспечения кибербезопасности: антивирусы, средства контроля целостности данных, брандмауэры и пр. Сегмент российских средств защиты от несанкционированного доступа (СЗИ от НСД) начал развиваться в 90-х гг. прошлого века как ответ на руководящие документы Гостехкомиссии, а впоследствии – регламенты ФСТЭК России и федеральные законы. При этом сами средства защиты информации изначально выполняли функции усиления встроенных механизмов безопасности ОС, являясь надстройкой, необходимой для выполнения требований контролирующих органов.
Звучит заманчиво: приобрел средство и получил де-юре таблетку от киберугроз и контролирующих органов. Обеспечивают ли такие средства безопасность информации де-факто? Тут не все так однозначно. Во-первых, грамотное применение наложенных средств возможно только при непосредственном участии специалиста по информационной безопасности или как минимум толкового системного администратора. Очень часто таких специалистов в организациях просто нет. Во-вторых, конечно, свою функцию наложенные средства выполняют и от части киберугроз защищают. но, к сожалению, не от всех. А как известно, общая защищенность системы определяется защищенностью самого уязвимого ее элемента.
Никакие наложенные средства не заставят пользователя использовать сложный пароль и менять его раз в месяц, если этого не требует сама система безопасности. Никакие наложенные средства не спасут от несанкционированного доступа к системе видеонаблюдения, если на всех камерах оставлены имя пользователя/пароль по умолчанию.
Никакие наложенные средства не защитят от взлома, если в программе не реализована грамотная модель разграничения прав и обычный оператор имеет доступ к системным настройкам или всем персональным данным.
Наконец, никакие наложенные средства не помогут, если продукт исходно спроектирован без учета применения таких средств. Скорее всего, продукт просто не сможет работать: средства защиты заблокируют нестандартные сетевые порты, запретят работу под учетной записью администратора и программа просто не запустится.
Если наложенные средства не панацея, то как же быть? Есть ли свет в конце тоннеля?
Свет в конце тоннеля
По мнению автора, не бывает абсолютно защищенных систем. Уязвимости есть в любом решении. И там, где не удастся совершить кибератаку, всегда можно атаковать через "человеческий фактор" или нецифровыми методами – подкупить охранника или физически проникнуть на объект. Вопрос для злоумышленника – в цене. А для владельца системы физической безопасности – в рисках.
Обеспечение кибербезопасности дает существенное снижение рисков, репутационных, экономических и юридических. Да, к сожалению, борьба за цифровую безопасность – это постоянный бег наперегонки со злоумышленниками. Находятся новые уязвимости, по мере роста вычислительных мощностей используемые ранее криптоалгоритмы становятся неактуальны. Но если за вами бежит медведь, главное – бежать не быстрее медведя, а быстрее товарища.
Продукт, реализованный на базе современных принципов обеспечения информационной безопасности, взломать гораздо сложнее и, как следствие, дороже. Соответственно, выбор такого продукта несет гораздо меньше рисков, нежели применение "дырявого от рождения" решения. При этом наложенные средства существенно не снижают риски эксплуатации уязвимой системы. надежную систему они, наоборот, укрепляют, обеспечивая дополнительную защиту.
Таким образом, только решение, исходно спроектированное с учетом актуальных требований по кибербезопасности, позволит качественно обеспечить физическую безопасность и минимизировать риски.
И в заключение перефразирую бородатый анекдот: "Люди делятся на два вида: те, кто не думает о кибербезопасности, и те, кто УЖЕ думает". Желаю читателю оказаться в третьей категории – среди тех, кто подумал о безопасности заранее. И будет свет!
Список литературы
- "Самый беззащитный – это "Сапсан", https://habr.com/ru/articles/476034/
- "Пассажир "Сапсана" проинспектировал информационную сеть РЖД", https://www.kommersant.ru/doc/4163777
- "Заскучавший хакер взломал Wi-Fi "Сапсана", https://spb.mk.ru/science/2019/11/18/zaskuchavshiy-khaker-vzlomal-wifi-sapsana.html
- "В РЖД сообщили о результатах проверки Wi-Fi в "Сапсане", https://ria.ru/20191121/ 1561354449.html
- "Самый беззащитный – уже не "Сапсан". Всё оказалось куда хуже…", https://habr.com/ru/ articles/536750/
- "Цифровая инфраструктура привлекает злоумышленников", https://gudok.ru/newspaper/ ?ID=1552569
- "Вредонос RuRansom уничтожает данные в российских системах", https://xakep.ru/2022/ 04/15/ruransom/
- Отчеты компании "Ростелеком-Солар", https://rt-solar.ru/analytics/reports/
- "Яндекс": мартовская утечка данных "Яндекс.Еды" произошла из-за атаки на стороннюю ИТ-инфраструктуру, а не из-за инсайда", https://habr.com/ru/news/706918/
- "Данные более 100 млн аккаунтов "Вконтакте" продаются в сети за 1 биткоин", https://habr.com/ru/articles/394973/
- "DLBI: хакер выложил в открытый доступ базу данных 7,8 млн клиентов торговой сети "Ашан", https://habr.com/ru/news/740092/
- "DLBI: хакер выложил в открытый доступ базу данных 3,16 млн клиентов торговой сети "Глория Джинс" (Gloria Jeans)", https://habr.com/ru/news/740214/
- "В Сеть потенциально попали данные 25 млн клиентов СДЭК", https://www.rbc.ru/ technology_and_media/15/07/2022/62d022d 09a794711851de88d
- "КоАП РФ Статья 13.11. нарушение законодательства Российской Федерации в области персональных данных", https://www.consultant.ru/document/cons_doc_LAW_34661/1f42 1640c6775ff67079ebde06a7d2f6d17b96db/
- "Минцифры предложило новые условия для оборотных штрафов с компаний за утечки данных", https://www.forbes.ru/tekhnologii/ 479047-mincifry-predlozilo-novye-uslovia-dlaoborotnyh-strafov-s-kompanij-za-utecki-dannyh
- "Бизнес возьмут в пол-оборота", https://www.kommersant.ru/doc/5747151
- "Принят законопроект об ответственности за нарушения при использовании биометрических данных", http://duma.gov.ru/news/57227/
Опубликовано в журнале "Системы безопасности" № 1/2024
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Фото: ru.freepik.com