ТЭК-ТОК: «Хакерские атаки на предприятия ТЭК»
Олег Фомин: Что такое хакерская атака? Какие виды атак применяются в последнее время?
Роман Краснов: Хакер – это злоумышленник, который использует различного рода компьютерные технологии, для выполнения своих злоумышленных целей.
О типах атак можно говорить в двух плоскостях: это атаки, нацеленные на финансовую выгоду и шпионаж - добычу секретных данных пользователя. На первом месте по распространенности всегда стоят атаки с целью какой-то финансовые выгоды.
Также существуют атаки с целью завладеть информацией пользователя. Для этого часто используется фишинг. Это тактика рассылки мошеннических электронных писем. Попытка обманом заставить получателей нажать на вредоносную ссылку или скачать зараженное вложение, чтобы затем украсть их личную информацию. К примеру, если человек на корпоративную почту получит письмо со словами: «Вам привет» от вице-президента компании, то, наверное, он откроет это письмо и попадется на крючок того самого злоумышленника, цели которого могут быть совершенно разные.
О. Фомин: Какие особенности есть у атак, совершаемых на объекты энергетического сектора?
Р. Краснов: К ТЭКу все применимо крупно. Предприятия нефтегазовой отрасли довольно сложно управляются. Это значит, что поверхность атаки очень большая. Защищать такие предприятия очень сложно, внутренние структур в таких компаниях очень часто разрознены. И это значит, что проводить такие атаки проще.
О. Фомин: И это, кстати, подтверждает то, что нападение всегда готово лучше, чем защита.
Р. Краснов: Сейчас мы смотрим на безопасность с точки зрения того, что мы уже все взломаны. Нужно только отыскать злоумышленника внутри.
О. Фомин: Если говорить об атаке на американский нефтепровод Colonial Pipeline. Злоумышленник, который вымогал деньги, обнаружен?
Р. Краснов: Нет, я думаю его будут еще довольно долго искать. История с Colonial Pipeline показательна тем, что она трансформировала рынок злоумышленников. Да, да, у них тоже есть свой рынок, который работает по канонам легального бизнеса. Там есть поставщики услуг, поставщики средств нападения и так далее. И все они поняли, что подобные атаки на крупные объекты заканчиваются пристальным вниманием со стороны правоохранительных органов различных государств. Работа злоумышленника пострадала, его деятельность была приостановлена.
О. Фомин: Я обратил внимание, что все последние крупные хакерские атаки так или иначе связываются с российскими хакерами. Почему? Это элемент пропагандистской войны или квалификация отечественных хакеров действительно настолько высока?
Р. Краснов: Это называется «атрибуция» - действия, которые предпринимаются для попытки понять, кто же стоит за отдельно взятой хакерской группировкой. Многие зарубежные производители средств защиты информационной безопасности используют атрибуцию, как средство продвижения своих продуктов. Они поднимают информационную волну, говорят, что вычислили какого-то абстрактного русского хакера. Но это не очень честная история. Не поймав конкретного человека «за руку», вы не можете точно сказать, кто совершил атаку.
О. Фомин: Какие действия после совершения хакерской атаки предпринимаются атакуемой стороной?
Р. Краснов: У компании начинаются вопросы, что с этим делать, как сейчас решать проблему. Обычно собирается команда, которая занимается реагированием на инцидент, часто привлекаются внешние специалисты. Они создают план реагирования, ищут точку проникновения, анализируют то, куда злоумышленники дошли. После этого необходимо исправлять подход к безопасности, изменять систему безопасности. При этом не нужно выявляться все уязвимости, а только те, которые могут привести к реализации риска, которого вы боитесь.
О. Фомин: Среди топ-менеджеров крупных компаний распространено мнение, что если внутренняя система обмена информации не связана с интернетом, то внешне неуязвима. Так ли это?
Р. Краснов: Это не так, и касается не только ТЭКа. Когда люди говорят, что у них все хорошо, есть «воздушный зазор», нет связи с интернетом, они оперируют тем, что однажды на бумаге им показали, как построена система. Но it-инфраструктура меняется ежедневно: оборудование ломается, провода перегорают. Даже если вся эта система была добросовестно сделана, со временем она потихонечку начинает рассыпаться.
О. Фомин: Какие основные подходы к выстраиванию системы кабербезопасности существуют?
Р. Краснов: Безопасность – это системная история, и тут очень много параллелей с физической безопасностью, которую вы тоже должны постоянно контролировать и поддерживать. С точки зрения кибербезопасности, есть организационные меры административного характера и есть технические средства, которые помогают вам какую-то часть угроз мгновенно нейтрализовывать, а также помогают мониторить состояние системы безопасности. Но это всегда комплекс мер.