«Изгой один» — лучший видеотренинг по кибербезопасности.

Следователи из Lucasfilm тщательно проанализировали  инцидент, произошедший с промышленным объектом «Звезда Смерти», описанный в IV эпизоде «Звездных Войн» и опубликовали его под названием Rogue One: A Star Wars Story. Вот что стало ясно благодаря этому видеодокументу.

Безопасность начинается с HR

Rogue One начинается с эпизода, в котором директор по инновационным проектам Орсон Кренник с группой HR-специалистов «хантит» высокоуровневого разработчика Галена Эрсо с целью привлечь его к работе над проектом супероружия. Что известно о Галене? Во-первых, он уже когда-то работал над этим проектом и уволился по собственному желанию. Во-вторых, возвращаться он не хочет. HR-департамент Империи делает ему предложение, от которого сложно отказаться, и возвращает его к работе. А потом директор Кренник с изумлением понимает, что Эрсо оказался инсайдером — с его помощью и утекли планы.

По идее, такого сотрудника нельзя допускать к работе с секретной информацией — и HR-специалисты должны были понимать это еще на этапе вербовки. Но они не смогли верно оценить риски этого сотрудничества, хотя вовремя проведенные тренинги по security awareness помогли бы им с должным вниманием отнестись к найму такого сотрудника.

Андрей Никишин, pуководитель отдела развития технологических проектов «Лаборатории Касперского»:

Если вы думаете, что ситуация, описанная выше, надумана, то вы глубоко ошибаетесь. Человеческий фактор и недостаток внимания к такому простому в организации моменту, как тренинги по кибербезопасности, являются причиной большинства инцидентов на промышленных объектах.

Сверхсекретная лаборатория на Иду

Гален Эрсо отправляется в лабораторию при заводе по переработке кайбер-кристаллов на планете Иду. По сути, это «Особое конструкторское бюро», где он в условиях ограничения свободы работает над сверхсекретным военным проектом. Как мы уже сказали, то, что ему доверили секретный проект, — глупо. Но то, что он работал там без контроля со стороны СБ, — глупо вдвойне.

В результате Гален заложил в конструкцию «Звезды Смерти» уязвимость. При разработке сложных проектов, тем более при проектировании объектов критической инфраструктуры, обязательно необходим дополнительный аудит инфраструктуры на предмет «закладок». Особенно с таким подозрительным сотрудником в команде.

Но отсутствие security assessment — это не новость. А вот то, что Эрсо, лишенный контактов с внешним миром, тем не менее может общаться с пилотами имперских грузовиков, да еще так близко, что вербует одного из них, — это уже ни в какие ворота.

В результате он:

1. По сути, раскрыл повстанцам существование секретной базы.
2. Предупредил их о внедренной уязвимости.
3. Известил их о том, что подробные планы находятся в хранилище на планете Скариф.

Научный архив Империи на планете Скариф

На самом деле эта база спроектирована куда лучше большинства объектов Империи. Во-первых, планета Скариф закрыта силовым полем, которое не пропускает физические объекты и одновременно служит файрволом. В нем только одна точка входа, управляемая из центра. Данные хранятся на не подключенных к сети жестких дисках (качественный воздушный зазор), а доступ к ним защищен при помощи биометрического замка. Передающая антенна также отрезана от сети — для того чтобы активировать ее, к ней нужен физический доступ.

Но биометрия — не идеальный метод защиты доступа. В данном случае он обходится при помощи руки мертвого офицера, которую просто прижимают к сканеру. Файрвол, как выясняется, тоже не панацея. Он эффективно блокирует передачу больших объемов данных, но может быть обойден при помощи усиления передатчика повстанцев с помощью внутренних систем связи. Причем для подключения корабля к системе достаточно просто соединить их проводами и повернуть рычаг. То есть там нет никакой системы аутентификации! В итоге повстанцы пользуются этим, чтобы организовать мощную DDoS-атаку на файрвол с орбиты.

Ну и самое главное — хваленая передающая антенна вообще никак не защищена. Приходи, вставляй диск, передавай! Они так надеялись на надежность файрвола?

Андрей Никишин:

Вы даже себе не представляете, насколько все это похоже на то, как зачастую устроена киберзащита на современном промышленном объекте.

Вроде все сделано по уму, но как начнешь проводить аудит безопасности и готовить модель угроз, так сразу и находится несколько несложных в реализации векторов атак. И последствия атак в нашем мире могут не ограничиться утечкой данных, все может закончиться гораздо фатальнее.

Internet of things

Отдельного разговора заслуживает катастрофическая ситуация с защитой Интернета вещей. Повстанцы используют перепрограммированного дроида K-2SO. И это не какой-нибудь астромех или переводчик. K-2SO — стратегический аналитик. Причем, судя по его действиям, не «перепрошитый», а именно взломанный — у него сохранились все знания об имперских протоколах.

Внимание, вопрос: что там должна быть за операционная система, чтобы его могли перепрограммировать? И еще один: почему имперские системы по-прежнему считают его «своим» и разрешают ему подключаться к компьютерам? Почему после пропажи робота его не лишили доступа к критическим системам?

В результате K-2SO спокойно добывает информацию из других дроидов, подключается к информационным системам базы для поиска информации и управляет защитными механизмами станции.

Имперское командование

Отдельно следует проанализировать решения высшего руководства Империи, касающиеся информационной безопасности. Благо их тут хватает.

Гранд Мофф Таркин

Таркин пытается бороться с утечками информации силовыми методами. Проще говоря, уничтожает города вместе с утечками. Первый раз он отдает такой приказ над планетой Джеда, узнав от агентов о перебежчике, у которого есть сведения о строящейся станции. Второй раз — над базой на Скарифе, после известий, что ее атакуют повстанцы.

Но это достаточно неэффективная мера, которую можно сравнить с переустановкой зараженной системы. Самое главное при утечке — провести всесторонний анализ инцидента, узнать, какие данные были у перебежчика и удалось ли передать их повстанцам. На самом деле, если бы вместо уничтожения Святого Города на Джеде Империя перехватила бы послание, то она бы знала о существовании уязвимости.

Орсон Кренник

Если отвлечься от идиотской навязчивой идеи вернуть разработчика Галена Эрсо к работе над секретной информацией, Кренник принимает достаточно разумные решения. Он-то как раз пытается провести расследование и, прибыв на базу на Скарифе, требует проанализировать все сообщения, которые когда-либо отсылал Гален Эрсо. Пусть эта идея приходит к нему с опозданием, но она действительно могла бы привести к выявлению уязвимости.

Также не стоит забывать, что именно Креннику приходит в голову светлая мысль закрыть базу и щит во время атаки повстанцев, что переводит файрвол в режим полного запрета.

Андрей Никишин:

Rogue One — пожалуй, лучший фильм из новой главы саги, более того, его вполне можно растаскивать на материалы для тренингов по кибербезопасности для промышленных объектов и элементов критической инфраструктуры.

Даже если вы не фанат «Звездных войн», но ваша работа связана с кибербезопасностью, — посмотрите фильм, это очень достойный дидактический материал к курсу «Как не надо защищать КИИ».

LIVE X - в этом канале собраны рассказы людей, которые пережили опыт, о котором невозможно молчать. Идите на этот маячок, тогда вы не заблудитесь в море информации.

Zdislav Group - канал с уникальным контентом из Нью-Йорка! Рубрика "Книга в день" - это выжимка самой сути из бизнес книг, многие из которых даже не были опубликованы в России!

Digital Gold - канал о цифровых валютах, интернет активах и будущем денег, а также дайджест актуальных статей из Нью-Йорка.

Другой Telegram - Тут я рассказываю, как зарабатываю в Telegram. Публикую кейсы, делюсь информацией, которой нигде не найти. Информация полезна для тех, кто интересуется заработком на каналах в Telegram.