Термин «кибертерроризм» ввел в середине 1980-х годов Коллин Б. для того, чтобы обозначить террористические действия в виртуальном пространстве. Автор термина предполагал, что о реальном кибертерроризме можно будет говорить не раньше, чем в первые десятилетия 21 века, однако первые кибератаки были зафиксированы в начале 1990-х годов.
В 1996 году Поллит М. предложил определение кибертерроризма: «Преднамеренная, политически мотивированная атака против информации, компьютерных систем, компьютерных программ и баз данных в виде насильственного вторжения со стороны международных групп или секретных агентов».
Шнайер Б. предлагает определить четыре следующих понятия: кибервойна, кибертерроризм, киберпреступность и кибервандализм.
В последнее время понятие кибертерроризма пересекло границы фантастических романов и широко обсуждается в средствах массовой информации, на правительственном и корпоративном уровне. Угроза кибератак с одной стороны является вполне реальной и связанные с ней риски оцениваются специалистами как высокие. С другой стороны, вокруг понятия кибертерроризма существует очень много мифов и спекуляций.
Неадекватная оценка рисков кибертерроризма, связана с тем, что для правильной оценки риска необходимо определить две величины: вероятность успешного осуществления кибератаки и величину возможного ущерба. Первая величина может быть адекватно оценена только техническим специалистом после комплексного обследования защищенности компьютерной сети. Оценить же ущерб от кибератаки может только владелец, либо управляющий системы, против которой осуществляется атака. Кроме того, поскольку практически ни одна серьезная кибератака не обходится без использования «человеческого фактора», методов социальной инженерии и «инсайдерской информации», оценка риска существенно усложняется.
К примеру, специалисты ИТ отдела могут считать, что защита внешнего периметра корпоративной сети у них организована «по уму» и в целом они могут быть даже правы. Однако, не являясь специалистами по кибератакам, они не учитывают одной «маленькой дырочки» в системе защиты, которая открылась после установки во внутренней сети нового информационного терминала и его подключения к провайдеру информационных услуг. Этой дырочки оказывается вполне достаточно для опытного «взломщика», чтобы успешно обходить многокомпонентную и дорогостоящую систему контроля сетевого доступа, базирующуюся на коммерческом МЭ. Осознавая такие возможности, специалисты ИТ отдела могут прибегнуть к помощи внешних организаций, специализирующихся на проведении аудита информационной безопасности и опытные эксперты по кибератакам, скорее всего, найдут все опасные уязвимости в защите внешнего периметра корпоративной сети и смогут правильно оценить вероятность их успешного использования для осуществления кибератак. Однако эти эксперты не имеют достаточно хорошего представления об информационной инфраструктуре внутренней сети организации, об ее связи с бизнес процессами и, тем более, о самих бизнес процессах. Поэтому, оценив защищенность сети, скажем как низкую, они ничего не могут сказать о рисках, связанных с осуществлением атак на эту сеть. Не говоря уже о том, что «человеческий фактор» чаще всего вообще не поддается учету.
Специалисты бизнес подразделений, которые, в отличие от «технарей», четко осознают опасность, связанную с получением доступа злоумышленником к клиентской базе данных или платежным систем, могут доверять заверениям своего ИТ отдела в неуязвимости защиты сети и недооценивать степень риска, связанного с возможностью осуществления кибератак. Либо, наоборот, начать паниковать после прочтения очередной статьи в прессе об успешных взломах системы защиты или беседы с экспертами в предметной области.
Люди, взирающие на происходящее в киберпространстве со стороны и не глубоко разбирающиеся в предметной области, например, непрофессиональные журналисты, пишущие об информационных технологиях, представители органов правопорядка, или правительственные чиновники, пересказывают доносящиеся до них мифы кибертерроризма, создавая эффект усиления по принципу «сломанных телефончиков».
Конечно, существуют методы анализа и управления рисками, позволяющие адекватно оценивать ситуацию, в том числе и с кибертерроризмом, однако специалистов, владеющих этими методами очень мало, и еще меньше тех, кто применяет эти методы на практике.
В настоящей работе делается попытка отделить мифы кибертерроризма от реального положения дел в этой области.
Мифы
По сообщению газеты Вашингтон Пост, в 1998 году 12-летний хакер проник в компьютерную систему, контролировавшую шлюз водной плотины Теодора Рузвельта в Аризоне. В статье говорилось, что в случае открытия шлюза, вода могла затопить города Темпе и Месу, общая численность населения которых достигает 1 миллион человек.
Сенсационное сообщение! Если бы оно еще было правдой...
На самом деле, хакер действительно проник в компьютеры проекта ‘Salt River’ водонапорной станции Аризоны. Но ему было 27, а не 12, и произошло это в 1994 году, а не в 1998, и он никогда не смог бы получить контроль над плотинами. Эксперты, расследовавшие этот инцидент, пришли к выводу, что никакой угрозы для жизни людей или для материальных ценностей не могло быть создано.
«Это подобно детской игре в сломанный телефон», - говорит помощник генерального прокурора штата Аризона, выступавший главным обвинителем по этому делу, - «на одном конце линии мы имеем действительность, а на другом – что-то совершенно отличное от оригинала».
Данный инцидент, представленный средствами массовой информации в искаженном виде, может служить метафорой для сегодняшних настойчивый дебатов об уязвимости сети Интернет в отношении кибератак. В то время как предупреждения об угрозе кибертерроризма проникают в правительственные круги и средства массовой информации, сценарии конца света как результат кибертерроризма, являющегося причиной массовой гибели людей, разрушений и экономических кризисов остаются пока лишь только в сюжетах Голливудских фильмов.
Хотя теоретически и существует возможность электронных вторжений в критичные системы управления, приводящих к повреждению элементов не только информационной инфраструктуры и создающие физические угрозы, получение контроля над такими системами извне является чрезвычайно сложной задачей, требующей узкоспециализированных знаний, и связано с необходимостью преодоления не только компьютерных механизмов безопасности. Правительственные и корпоративные эксперты по безопасности, стараясь не умолять серьезность вопроса, указывают на неоспоримый факт – в настоящее время «проще разбомбить цель, чем поразить ее путем взлома компьютерной системы».
«Если бы у нас было достаточное количество финансовых ресурсов на обеспечение безопасности, то мы потратили бы большинство из них на физическую безопасность», говорит Диан Ван Де Хей, исполнительный директор Ассоциации Центральных Водных Агентств и специальный уполномоченный Центра Сбора и Анализа Информации (Information Sharing and Analysis Center (ISAC)) Водных Предприятий.
Практическая оценка рисков кибертерроризма была целью учений под кодовым названием «Цифровой Перл-Харбор», проводимых Военно-Морским Колледжем США совместно с компанией Gartner. В этих учениях эксперты, играющие роль кибертеррористов, сымитировали широкомасштабную кибератаку на национальную сетевую инфраструктуру США. На проведение столь широкомасштабной акции было затрачено 200 миллионов долларов, огромные интеллектуальные ресурсы и пять лет предварительной подготовки. По результатам проведенных учений был сделан вывод, что подобная кибератака действительно может вывести из строя системы телекоммуникаций в густонаселенных районах, однако она не приведет к гибели людей или другим катастрофическим последствиям.
Однако преувеличения относительно кибератак зачастую затмевают здравый смысл. Так не прошло и 24 часов после памятной для всего мира даты 11 сентября, когда четыре пассажирских самолета были использованы террористами в качестве оружия массового поражения, как стали раздаваться крики о том, что, мол, кибертерроризм станет следующей основной угрозой, и вытекающие из этого требования принятия законодательства, расширяющего полномочия силовых ведомств.
В одной из популярных легенд рассказывается, как хакер проникает в сеть компании производящей продукты питания и изменяет рецепт приготовления продуктов, добавляя туда очень высокий процент железа, что угрожает здоровью детей.
«До тех пор, пока мы не защитим наше киберпространство, несколько нажатий клавиш и подключение к Интернет – это все, что нужно для того, чтобы вывести из строя экономику и поставить под угрозу человеческие жизни». Это высказывание из речи республиканца Ламара Смита по поводу принятия Белым Домом «Акта о Повышении Безопасности Киберпространства». Излюбленный тезис этого политика: «Компьютерная мышь, может быть не менее опасна, чем снаряд или бомба».
Подобные риторические высказывания приводят к тому, что многих понятие «кибертерроризм» вводит в заблуждение, порождая множество мифов. Это понятие часто используется для того, чтобы произвести впечатление на непосвященных, путем изображения кошмарных картин катастроф и разрушений. Целью этих спекуляций может являться поддержание определенных политических программ, начиная с усиления органов надзора за правопорядком и заканчивая контролем иммиграции.
«Употребляя термин «кибертерроризм», вы запутываете людей», говорит Ричард Кларк, специальный советник президента Буша по безопасности киберпространства. «Осама Бен Ладен не собирается атаковать вас через Интернет».
Кибератаки различаются по объектам нападения: атаки на данные и атаки на системы управления. Атаки первого типа имеют целью нарушение конфиденциальности, целостности, либо доступности информации. Большинство сетевых атак относятся к этой категории, включая похищение номеров кредитных карт, взлом Web-сайтов и атаки на отказ в обслуживании.
Атаки на системы управления ставят задачей выведение из строя или получение контроля над операциями, используемыми для поддержания физической инфраструктуры. Такие системы управления, контролируют водные ресурсы, электросети, железные дороги и т.п. Для получения удаленного доступа к системе управления могут использоваться модемные подключения, подключения по беспроводным каналам связи и имеющиеся подключения к сети Интернет.
Несмотря на реальность подобных атак, Кларк и другие эксперты по безопасности продолжают утверждать, что кибератаки могут привести только к временной недоступности достаточно критичных данных, но не к потере человеческих жизней или разрушению физической инфраструктуры.
Реалии
Однако необходимо признать тот факт, что кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей. Многие энергетические компании и водное оборудование, управляют своими ресурсами при помощи Систем Контроля и Сбора Данных (Supervisory Control and Data Acquisition (SCADA) Systems), которые могут быть уязвимы к кибератакам (какие бы контраргументы не приводили создатели подобных систем).
Эксперты из компании Riptech, известного провайдера услуг в области информационной безопасности, на основании своего опыта по обследованию большого количества крупнейших американских промышленных предприятий делают однозначный вывод об уязвимости критичных для американской экономики SCADA систем в отношении кибератак. По их мнению, среди менеджеров подобных систем существует три общих заблуждения, препятствующих достижению адекватного уровня защищенности:
Заблуждение №1: «SCADA система размещается в физически изолированной сети»
SCADA системы действительно изначально создаются на базе физически изолированных компьютерных сетей и их системы защиты строятся исходя из этого предположения. Однако на практике для повышения эффективности управления подобными системами и оперативности принятия решений создаются соединения между SCADA системой и корпоративной сетью. В результате большинство SCADA систем оказываются опосредованно подключенными к сети Интернет
Заблуждение №2: «Существующие соединения между SCADA системой и корпоративной сетью надежно защищены при помощи средств контроля межсетевого доступа»
На практике в большинстве SCADA систем существуют точки входа из корпоративной сети незащищенные межсетевыми экранами и системами выявления атак, а некоторые из них могут быть вообще никак не защищены.
Заблуждение №3: «Для управления SCADA системой требуются узкоспециализированные знания, что делает задачу получения удаленного контроля над подобной системой для хакера чрезвычайно сложной»
Данное заблуждение основано на предположении о том, что у атакующих отсутствует «инсайдерская» информация об архитектуре и средствах управления SCADA системой. Однако если в качестве источника угроз рассматриваются организованные террористические группы, то это предположение вряд ли можно считать корректным. Кроме того, стремление к стандартизации подталкивает разработчиков SCADA систем делать информацию об их архитектуре, интерфейсах и протоколах взаимодействия, а также средствах управления общедоступной.
Джон Дубиэл, консультант из компании Gartner, принимавший участие в проведении атак на электросети во время вышеупомянутых военных учений, установил, что системы типа SCADA могут быть атакованы путем создание избыточной нагрузки (разновидность атаки на отказ в обслуживании), что может привести к сбою или неправильному функционированию системы, это, в свою очередь, может привести к сбоям в работе других элементов системы управления, входящих в состав компьютерной сети предприятия – эффект «цепной реакции».
Так, в 1996 году вдоль всего Западного Побережья США на протяжении 9 часов было отключено электричество. Это случилось из-за падения дерева на линии электропередачи, что, в комбинации с некоторыми другими факторами, привело к каскадному отключению других элементов электросети. В 1990 году похожее событие произошло с коммутатором компании AT&T, сбой которого вызвал цепную реакцию, повлекшую выход из строя телекоммуникационной сети по всей территории США. В принципе, к аналогичным последствиям могла бы привести и успешная хакерская атака.
Более 80% критичной сетевой инфраструктуры США находится в собственности частных компаний, которые во многих случаях не являются достаточно осведомленными в вопросах информационной безопасности и на которые сложно повлиять при помощи целевых государственных программ. Консультанты по информационной безопасности выяснили, что многие предприятия имеют подключения к сети Интернет с управляющих терминалов систем SCADA, что не могло не привести к серьезным инцидентам.
Так, в ноябре 2001 года 49-летний Вайтек Боуден был осужден на два года лишения свободы за использование Интернет, беспроводного радио и похищенного управляющего ПО для осуществления слива загрязненной воды в реку у побережья Маручидора в Квинсленде (Австралия). Ранее Боуден работал консультантом в водном проекте. Он пошел на это преступление после того, как правительством Маручи ему было отказано в работе на полную ставку. Он пытался получить доступ к системе водоочистки 45 раз, прежде чем ему удалось осуществить спуск загрязненной воды в водопроводы.
«Весь подводный мир у побережья был уничтожен, прибрежные воды окрасились в черный цвет, и вонь порой становилась невыносимой для местных жителей», - рассказывает Джанель Брайент, руководитель исследовательской группы Австралийского Агентства Защиты Окружающей Среды.
Тот факт, что злоумышленник оставался незамеченным на протяжении всех своих 44 попыток получения доступа к системе, красноречиво свидетельствует о неудовлетворительном состоянии информационной безопасности на общественных предприятиях. Проверка 50 предприятий, проведенная в 1997 году установила, что на 40 % водных предприятий операторам систем управления был разрешен прямой доступ к сети Интернет, а к 60 % систем SCADA можно получить доступ при помощи модема! Факты прямо скажем настораживающие. Одна одних этих фактов еще недостаточно для того, чтобы судить об уязвимости предприятий в отношении кибератак.
Как утверждает Элен Вэнко, представитель Североамериканского совета по обеспечению безопасности электроэнергетического комплекса, наличие подключения к сети Интернет или модемного подключения не следует во всех случаях рассматривать как уязвимость. «Все предприятия электроэнергетики подключены к Интернет тем или иным способом, однако, это не означает, что наши системы управления доступны из Интернет».
Тем не менее, подключение к Интернет открывает дополнительные возможности проникновения злоумышленников в компьютерные системы. «При анализе безопасности сетевой инфраструктуры эксперты, прежде всего, обращают внимание на подключения к Интернет» - говорит Крис Висопал, директор исследований и разработок компании @Stake.
Подключение систем управления к Интернет всегда таит в себе серьезную опасность. МЭ и другие средства сетевой защиты никогда не обеспечивают сто процентной защищенности. В 1989 году хакерская группа «The Legion of Doom», получила контроль над телефонной сетью компании BellSouth, включая возможность прослушивания телефонных каналов связи, маршрутизацию вызовов, маскировку под технический персонал станции и даже вывод из строя системы 911.
Компания BellSouth задействовала 42 сотрудника, которые трудились в течение 24 часов над восстановлением контроля над системой. И этот, один из опаснейших сценариев кибертерроризма, был реализован подростками из хакерской группы!
Уязвимость SCADA систем признается многими экспертами. Так, президент и технический директор компании Foundstone, известного игрока на рынке информационной безопасности, Стюарт МакКлу дает на вопрос об уязвимости SCADA систем однозначно положительный ответ. Более того, он оценивает сложность осуществления подобной атаки весьма невысоко: на 4 – 5 бала по 10-бальной шкале. Происходит это потому, что, при отсутствии соответствующего регулирования со стороны государства, частные компании предпочитают экономить на безопасности. Кроме того, многие SCADA системы функционируют в реальном времени и требования безопасности идут вразрез с требованиями производительности.
После террористического акта 11 сентября 2001 года многие концепции обеспечения безопасности, как на государственном, так и на частном уровне подверглись пересмотру, и безопасность SCADA систем была провозглашена в качестве одной из основных целей Национальной Стратегии Обеспечения Безопасности Киберпространства (The National Strategy to Secure Cyberspace) США, разработанной по инициативе американского Президента в конце 2002 года.
Однако пока даже самые серьезные кибератаки по своим последствиям далеки от сценариев массовых разрушений. Инцидент с заражением воды в Квинсленде, к примеру, не создал угрозы человеческим жизням и стоил примерно 13 тысяч долларов затраченных на очистку воды, которая оперативно была произведена штатными сотрудниками.
Многие эксперты по безопасности признают, что широкомасштабное разрушение информационной инфраструктуры является чрезвычайно труднореализуемой задачей. Даже если злоумышленнику удастся проникнуть во внутреннюю сеть, для получения контроля над системой управления ему обязательно потребуется «инсайдерская» информация и очень глубокие знания этой системы.
Во время эксперимента по сценарию «Перл-Харбор» аналитики из компании Gartner подтвердили это мнение. Очень сложно атаковать что-то, о чем ты не обладаешь специфичными знаниями, признает аналитик Дэвид Фрэйли, который эмитировал атаки на системы телекоммуникаций.
Даже во время успешной атаки на столичную электростанцию, многие критичные системы, такие как госпитали, продолжали функционировать, т.к. они перешли на автономные генераторы. Все предприятия резервируют критичные элементы своей информационной инфраструктуры, для того, чтобы продолжать нормальное функционирование даже в случае сбоя системы управления.
Даже если хакеру, к примеру, удастся увеличить уровень хлора в водных резервуарах на станции водоочистки, отравленная вода не попадет в водопроводы, т.к. она проходит пятикратное тестирование. Агентство по защите окружающей среды требует от предприятий исследовать воду на наличие в ней более 90 видов отравляющих веществ. Более простой и опасной атакой является непосредственное физическое добавление террористами отравляющих веществ в водные резервуары.
Компьютерная сеть железнодорожной промышленности является одной из крупнейших в США и контролирует более 500 железных дорог. Поэтому федеральные власти США всегда уделяли повышенное внимание вопросам защиты информации в этой сети. Периодически там действительно возникают инциденты с сетевыми атаками, однако, по словам Нэнси Вильсона, вице президента Ассоциации Американских Железных Дорог, они никогда всерьез не воспринимались, т.к. железнодорожные компании и компании других отраслей предпринимают серьезные меры по резервированию данных и оборудования, которые в большинстве случаев обеспечивают адекватный уровень защищенности.
Дарья Донская, МГТУ им.Н.Э.Баумана
| < Предыдущая | Следующая > |
|---|