Города погрузились во тьму, связь с внешним миром потеряна, деньги больше не ценность, мобильные телефоны бесполезны - хаос и паника. Это не сценарий очередного блокбастера о конце света, а реальные результаты мировых кибератак. Борьба политических интересов постепенно перемещается в цифровое пространство, формируя почву для кибервойн.
Апокалипсис сегодня
Год назад одно из самых авторитетных американских изданий, газета The New York Times, со ссылкой на информацию от нескольких действующих и бывших государственных чиновников сообщила, что в сети российских энергетических объектов внедрен секретный американский код:
«США внедряют в российскую систему разрушительные вредоносные коды, делая это так глубоко и агрессивно, как никогда прежде. Отчасти эти действия имеют целью предупредить Россию, а отчасти - подготовиться к нанесению киберударов в случае начала крупного конфликта между Вашингтоном и Москвой».Несмотря на угрозы, Россия пока не испытала на себе действие мощных киберударов. Некоторые другие страны уже столкнулись с новой реальностью.
The New York Times, 15 июня 2019
Угроза блэкаута. Например, Венесуэла сильно пострадала в марте 2019 года. Тогда вышла из строя ГЭС Гури: во всей стране погас свет, жители остались без воды (насосы также работали от электричества) и без интернета (он перестал функционировать на 90% территории страны). Власти Венесуэлы возложили вину за блэкаут на США, обвинив их в кибератаке.
Угроза отключения интернета. В ноябре 2012 года Сирия более двух суток была офлайн. Тогда звучали обвинения в адрес официального Дамаска: якобы, правительство специально заблокировало интернет, чтобы пресечь деятельность террористов. Министр информации арабской республики выдвинул встречное обвинение в адрес террористов. Расследование инцидента ни к чему не привело. И только через два года Эдвард Сноуден сообщил, что к блокировке причастно Агентство национальной безопасности (АНБ) США, причем, сделано это было «чисто случайно». По словам Сноудена, элитное хакерское подразделение АНБ под названием Tailored Access Operations пыталось установить в аппаратное обеспечение главного сирийского интернет-провайдера свою программу, которая открыла бы доступ ко всем массовым коммуникациям. Но что-то пошло не по плану, и Сирия вышла из Сети.
Угроза блокировки финансовых операций. Когда США и Евросоюз ввели антироссийские санкции из-за присоединения Крыма в 2014 году, одной из радикальных мер называлось отключение банков России от системы SWIFT (международная межбанковская система передачи информации и совершения платежей). Это привело бы к краху системы расчетов с помощью банковских карт и серьезно подорвало как внутреннюю, так и внешнюю экономическую деятельность страны. Чтобы застраховаться от такого развития событий, в России была создана национальная платежная система «Мир».
«Киберпространство превращается в поле боевых действий», - заявляют аналитики российской компании Group-IB, специализирующейся на информационной безопасности и защите от киберугроз. В своем недавнем докладе «Hi-Tech Crime Trends 2019/2020» они пишут:
«Первые лица стран заявляют о возможности использования кибероружия для выведения из строя оборонной инфраструктуры противников. В случае исполнения - это, фактически, будет проведением военной операции на территории другой страны».
Скорее всего, такая «военная операция» не будет открытой атакой. Внедрение своего программного обеспечения на территорию потенциального противника становится все более популярным методом политической борьбы.
Самое слабое звено
Что общего у Ростелекома, Сбербанка России и Агентства Национальной безопасности США? Ответ на этот вопрос - производители программного обеспечения и компьютерного оборудования. Спецслужбы Штатов регулярно поставляют кадры для топ-менеджмента американских hi-tech гигантов, а российские компании на постоянной основе закупают у них ПО и «железо». При таком раскладе завладеть информацией российских госкомпаний и использовать ее для решения своих задач - дело техники.
Техподдержка и ключи активации межсетевых экранов Fortinet для «Гознака», поставка оборудования и технической поддержки Fortinet для дочерних компаний «Ростелекома», ключи активации FireEye для «Пенсионного фонда Сбербанка», поставка программно-аппаратного комплекса Palo Alto «Сбербанку России»... Все это - недавние лоты на портале Госзакупок, по которым либо завершились торги, либо еще ведутся конкурсные процедуры. Компании, разместившие заказы, - российские, а программное обеспечение и оборудование - производства США. Проходят подобные госзакупки регулярно, и, похоже, никого не смущает, что производители прямо или косвенно связаны с американскими спецслужбами или правительственными структурами.
Использовать нельзя заменить
Перечисленные разработчики так или иначе публично заявляли о причастности России к мировым киберударам. К примеру, аналитики Fortinet в отчете о группировке Gamaredon, которой приписывают кибератаки против органов госвласти и военных ведомств Украины с 2013 года, характеризовали ее как «имеющую сильную связь с Россией». Компания FireEye заявляла о возможной причастности Главного управления Генштаба Вооруженных сил РФ к кибератакам на президентские выборы США 2016 года, президентские выборы во Франции 2017 года, Олимпийские игры (2018), энергетическую инфраструктуру Украины (2014-2015). Специалисты Palo Alto в отчетах приписывали России кибероперации с использованием трояна Cannon против стран постсоветского пространства, Северной Америки и стран Европы.
Безопасно ли для российских госкомпаний использовать софт и оборудование подобных производителей?
«Многое программное обеспечение, особенно для систем автоматизированного проектирования, создавалось для того, чтобы удаленно воровать результаты интеллектуальной деятельности. В каждом представителе западного разработчика программного обеспечения имеются люди, которые работают в разведке. Более того, в программном обеспечении очень многих вендоров есть так называемые "закладки"», - уверен руководитель проекта RUTM Михаил Липатов.
«Есть многочисленные факты, когда в программном обеспечении и оборудовании, поставляемых в основном из Соединенных Штатов, находится скрытый функционал, который в нужный момент и нужным образом используется», - утверждаетдоцент кафедры «Телекоммуникационные системы» НИУ МИЭТ Александр Шарамок.
Существующая в России система обязательной сертификации ПО и оборудования для кибербезопасности отвечает за эту самую безопасность. Но вот гарантирует ли ее?
Александр Шарамок считает, что недостаточно: «Методы проверки есть, но это приводит только к тому, что тратится огромный ресурс - материальный, человеческий, временной. На выходе - бумага, которая по факту ничего не гарантирует».
«Упомянутая система сертификации все же выявляет наличие незадекларированных возможностей, уязвимостей - особенно если мы говорим о серьезных тендерах, - парируетруководитель аналитического центра компании Zecurion Владимир Ульянов. - Что касается бывших сотрудников - что мешает человеку работать в одном месте, а потом в другом месте; честно выполнять свои обязанности, быть профессионалом? Я далек от мысли, что бывшие сотрудники спецслужб обязательно должны шпионить за кем-то».
Может ли Россия обеспечить себе кибербезопасность собственными средствами?
Бытует мнение, что полноценной альтернативы иностранному программному обеспечению и оборудованию у российских госкомпаний сегодня нет. «Нет ни одной страны мира, которая может строить свою инфраструктуру только на локальном программном обеспечении, - рассуждаетэксперт по информационной безопасности компании Cisco Systems Алексей Лукацкий. - Сегодня даже такие монстры, как США и Китай, не могут. То же самое касается и России. Мы, может быть, находимся даже в худшем положении, потому что у нас очень серьезное отставание и по разработке софта, и по разработке системотехники (то есть микроэлектроники). Поэтому решить эту проблему сегодня, к сожалению, невозможно».
При импортозамещении возникает опасность несовместимости нового отечественного «софта» и «железа» с уже имеющимся. Высокая стоимость и сложность таких перемен делают их непопулярными. «Если в вашей инфраструктуре большое количество техники одного производителя, оптимальнее развиваться в рамках продукции этого вендора. А иногда по-другому вообще нельзя: если, например, ключевые технологии обеспечиваются только этим производителем. Поменять все ради продекларированной идеи? Сомнительно и дорого. Никто не будет переводить банковскую систему на отечественного производителя только для того, чтобы объявить, что мы импортозаместились», - говорит в интервью TAdviser директор департамента комплексных проектов компании Smart Technologies Иван Банцов. Банковская система - одна из сфер, которую обязательный переход на отечественное программное обеспечение затронет масштабно. По данным «Ассоциации банков России», затраты могут составить от 80 млн до 150 млрд рублей в расчете на участника рынка.
С оборудованием тоже есть сложности: по словам отдельных специалистов, часто технически невозможно создать полностью российский продукт. «Российские компании закупают в Китае конструкторскую документацию, а потом пытаются произвести продукцию здесь в России маленькими партиями, потому что серийное производство мало у кого есть. Либо заказывают производство за рубежом и получают готовое оборудование. Но произведенное таким образом компьютерное «железо» не становится полностью отечественным», - комментирует TAdviser вице-президент по развитию компании «Рикор» Борис Иванов.
Но звучат и оптимистичные сценарии: Кибербезопасность можно перевести на российское ПО за год. Русские выигрывают у американцев в шифровании и передаче данных. Например, такие компании, как Positive Technologies, «Лаборатории Касперского», наши (Group IB), InfoWatch, «Код Безопасности», Zecurion, SearchInform и многие другие. Что касается «железа» - пока закупается американское, русский производитель не может доработать это до конца», - уверен Генеральный директор, основатель компании Group-IB Илья Сачков.
Руководитель аналитического центра компании Zecurion Владимир Ульянов считает, что «во всех критически важных отраслях в скором времени будет осуществляться переход на российские разработки» - но с одной оговоркой: «в рамках возможностей».
Спаси и сохрани
В эпоху, когда одним кликом можно отключить страну от интернета, электроэнергии и мобильной связи, правительства ищут способы подстраховаться. Одним из популярных методов защиты киберсуверенитета становится зачистка стратегических отраслей рынка от иностранного ПО и оборудования.
Больше года прошло с тех пор, как президент США Дональд Трамп подписал указ, позволяющий блокировать покупку оборудования, угрожающего национальной безопасности страны. Тогда Министерство торговли США внесло китайского производителя мобильной электроники Huawei в черный список, а российская «Лаборатория Касперского» получила «вечный бан».
Торговая война Америки и Китая продолжилась в августе 2020 года, когда госсекретарь США Майк Помпео анонсировал проект «Чистая сеть». Под предлогом защиты конфиденциальности данных американских пользователей проект призван вытеснить с американского рынка китайские разработки. А в Китае, начиная с декабря 2019 года, действует указ, согласно которому государственные организации в течение трех лет должны отказаться от иностранных компьютеров и программного обеспечения.
Как Россия обеспечивает свой киберсуверенитет?
В России уже два года действует Закон «О безопасности критической информационной инфраструктуры (КИИ)», также известный как «Закон о кибербезопасности». Согласно ему, финансовые, транспортные, телекоммуникационные компании; организации сферы здравоохранения, науки, ТЭК, атомной энергетики и промышленности и другие потенциальные объекты кибератак должны быть под особой защитой государства. При этом, от сетевых угроз их часто защищают с помощью программного обеспечения зарубежных производителей, связанных со спецслужбами других стран. Как так вышло?
Это, в первую очередь, стратегия контроля и получения информации. Второе - наличие людей, которые явно коррумпированы или имеют умысел это делать. И третье - в меньшей степени, это российская безалаберность.Одновременно с законом о кибербезопасности, в 2018 году вступил в силу приказ Минцфиры России о переходе госкомпаний на преимущественное использование отечественного ПО. Спустя 2 года министерство разработало проект указа Президента, по которому все владельцы критической информационной инфраструктуры обязаны с 2021 года перейти на отечественное ПО, а с 2022-го - на российское оборудование. Однако под давлением банковского сектора спустя несколько месяцев чиновники пошли на попятную и уточнили, что: «проект указа ... не содержит обязанности по безусловной замене всего иностранного программного обеспечения и (или оборудования)». То, что раньше подавалось как предписание, стало лишь рекомендацией. А 2 ноября стало известно, что Минцифры и вовсе предложило отложить переход на отечественное ПО до 2024 года, а на российское оборудование - до 2025 года.
Генеральный директор, основатель компании Group-IBИлья Сачков
Пока ужесточить требования к используемому ПО и оборудованию на законодательном уровне не получается, некоторые госкомпании переходят на отечественные разработки добровольно. «Направлением информационной безопасности мы занимаемся достаточно давно, по ряду типов ПО мы планируем к 2021 году выйти на 100% замещение», - сообщили «Московским новостям» в пресс-службе ПАО «Ростелеком». А «Гознак» и вовсе предлагает коллегам воспользоваться собственной тестовой средой для плавного перехода на российское программное обеспечение. «На базе Московской типографии Гознака нами было проведено успешное тестирование по переносу данных с иностранной инфраструктуры на российские аналоги. Была создана уникальная площадка для отработки технологии бесшовного перехода к импортозамещению оборудования и программных продуктов», - рассказал пресс-секретарь АО «Гознак» Глеб Руденко.
Как подтолкнуть остальных субъектов КИИ к импортозамещению ради кибербезопасности? Руководитель проекта RUTM Михаил Липатов уверен, что решение в государственной поддержке российских производителей ПО и оборудования через институты развития и госзаказы: «У нас есть программное обеспечение и есть специалисты. Просто нужно выделять госсубсидии для маленьких компаний, отдавать заказы от крупных промышленных предприятий, например, в российские технопарки. Наших умов достаточно, чтобы покрыть все виды потребностей в программном обеспечении за 3-5 лет».
Что эффективнее обеспечит России кибербезопасность: государственные запреты или поощрения? Тут мнения экспертов и исполнителей расходятся, но и те и другие согласны, что обойти вниманием этот вопрос уже не удастся.
Комментарии читателей
на нашу рассылку