25.10.2018

В небе и на земле. Как хакеры могут напасть на самолеты и поезда

В пятницу, 25 ноября 2016 года, жителям Сан-Франциско преподнесли неожиданный “подарок”. Автоматы для продажи билетов на местное легкое метро Muni Metro встретили пассажиров надписью Out Of Service. Чтобы избежать коллапса, работники открыли турникеты и пропускали горожан бесплатно. Как раз ко Дню благодарения.

Почти сразу в медиа просочилось, что местные Робин Гуды — неместные хакеры. Предположительно, судя по адресу почты на Yandex — русские. Они запустили в систему Muni вирус, который заблокировал порядка 2000 серверов и компьютеров, требуя за разблокировку выкуп в 100 биткоинов (около $70 000 по тогдашнему курсу). Вирус зацепил системы оплаты и продажи билетов, из-за чего и пришлось открыть гейты. Так продолжалось все выходные.

Интересно, что когда со взломщиками связались, те ответили, что не целились в Muni специально. Просто, мол, системы оказались плохо защищены — и это в одном из самых продвинутых городов США. Сколько за этот “праздничный” период городское метро недополучило денег — неизвестно.

Этот безобидный, на первый взгляд, инцидент — только кусочек неприятностей, которые может натворить хакерская активность в транспортной отрасли.

В 1940 году Уинстон Черчилль своей знаменитой речью вдохновил Британию на сопротивление нацистам. В наши дни сражения на улицах, морях и в воздухе все еще актуальны. Только оружие становится все изощреннее и тоньше. А вместо понятных живых нацистов — неизвестные цифровые преступники. 

LIGA.net выясняла, готова ли украинская транспортная сфера к новым кибервызовам. Что для этого делает метро, аэропорты и Укрзализныця, которая впервые поделилась цифрами ущерба от старых атак? Какие структуры пробует выстраивать Мининфраструктуры и что из этого может получиться?

“С точки зрения кибербезопасности наиболее уязвимыми являются самые информатизированные и, соответственно, самые востребованные процессы – управления и контроля движением, обслуживания клиентов”, — говорит основатель компании Октава Киберзахист Александр Кардаков. 

А так как с каждым годом информационных систем становится всё больше, круг решаемых ими задач растёт. И перебои в работе любой из них ведут как минимум к имиджевым потерям. “Причём, в даже относительно не критичных системах – как, например, система онлайн продажи билетов”, — считает Кардаков.

В какие точки бить хакерам — вопрос цели, фантазии и анализа. У Мининфраструктуры 6 отраслей: от автотранспорта до почты. И от каждой из них зависит нормальное функционирование государства. 

“Самый первый вопрос: что бы я хотел сделать, будь я российским хакером, чтобы все обвалить, и народ вышел на Майдан против “преступной власти”? — рассуждает Константин Корсун, основатель и директор Бережа Секьюрити. — Сразу приходят в голову аэропорты, железная дорога, автобусы, порты — особенно системы диспетчеризации, графика движения и т.д.”

По мнению Романа Сологуба, гендиректора компании ISSP, уязвимых точек в компаниях транспортной отрасли очень много. У них большое количество старых информационных систем, которыми основательно никто не занимается. 

В практике ISSP встречались компании национального масштаба, у которых используется так называемая одноранговая сеть из десятков тысяч компьютеров. То есть, не соблюден даже базовый, гигиенический уровень безопасности — много уровней сегментации и доступа. “А это очень плохо. Ведь хакеру достаточно одной уязвимой точки, чтобы проникнуть в сеть организации и получить над ней контроль”, — рассказывает Сологуб.

Под землей, на земле, над землей

Самые страшные варианты ущерба пока остаются в фантазиях голливудских режиссеров. Как, например, в Крепком орешке 4.0, когда хакеры, играясь светофорами и диспетчерскими, устраивали аварии в центре Вашингтона.

Но почему случай с метро Сан-Франциско не может быть одной из ласточек? И не такой далекой. Например, около года назад хакеры зацепили подземку Киева- и тоже системы оплаты. Желтые турникеты для оплаты банковской картой не работали несколько часов. Apple Pay и Google Pay в Украине тогда еще не стартовали, да и самих турникетов на входах максимум по два. Но понервничать пришлось и пассажирам, и работникам метро, и сочувствующим в соцсетях.

В самом Киевском метрополитене отвечают, что системы предприятия изолированы от внешних факторов. А кибератака 2017 года их зацепила опосредованно — через банки. Правда, есть гораздо более серьезная зависимость — электрическая. К примеру, если хакеры обвалят Киевэнерго. Но тогда плохо будет далеко не только метро.

“Внутренние системы управления движением поездов очень специфические. К работе с ними допускаются только очень немногочисленные люди, которых проверяет СБУ. Кассы и терминалы выдачи жетонов/поездок полностью работают на внутренних ресурсах”, — заверяют в управлении Киевского метрополитена.

Наземные поезда, хоть и ассоциируются пока что с советскими вагонами и плохим Wi-Fi в Интерсити, тоже нуждаются в защите. Последняя заметная атака в Укрзализныце мелькала в декабре 2016 года. Тогда хакеры заблокировали работу сайта и, соответственно, такого уже привычного сервиса онлайн-покупки билетов. Не работала возможность покупки и через внешние сервисы вроде ПриватБанка.

Полгода спустя, во время атаки Petya.A, в филиалах предприятия были зафиксированы множественные случаи поражения компьютеров из-за программного обеспечения M.E.Doc IS. Но, говорят в УЗ, основная информационная инфраструктура не была атакована или скомпрометирована. А после этого никаких кибератак вплоть до сегодня не зафиксировано.

“С 2016 года в ПАО Укрзалізниця действует оперативный штаб по реагированию на инциденты информационной безопасности. В 2017 году в филиале Главный информационно-вычислительный центр (ГИВЦ) предприятия создан соответствующий отдел оперативного реагирования”, — отмечает пресс-служба предприятия. 

А в 2017-2018 годах в ГИВЦ приобрели программно-аппаратные комплексы для анализа сетевого трафика, выявления и противодействия киберугрозам. Согласно информации на Prozorro, это обошлось УЗ в 103 млн грн.

Сейчас ПАО ведет работу по разработке механизмов взаимодействия своих подразделений и госорганами (СБУ, Киберполиция, Госспецсвязь, Мининфраструктуры и др.) по предупреждению, выявлению и противодействию кибератакам. “За последние годы работники УЗ приобрели опыт сотрудничества с ведущими компаниями сферы киберзащиты (Cisco Talos Intelligence Group, ESET) и подразделением Государственного центра киберзащиты Госспецсвязи CERT-UA”, — говорят на предприятии.

Дополнено. Устроить беспорядок на городских дорогах можно и простым вторжением в диспетчерские системы общественного транспорта. Но, к примеру, в Киевпасстрансе говорят, что таких зарегистрированных случаев нет. Тот же Petya.A повлиял минимально: инфицировал менее 20 компьютеров, которые оперативно изолировали и «вылечили». 

«На случай нештатных ситуаций предусмотрен переход на «ручное управление» движением транспорта диспетчерами службы», — сообщает и.о. заместителя генерального директора Киевпасстранс Павел Кирилюк.

Но самыми страшными обычно представляются хакерские вторжения в авиасообщение. Популярный нервный сюжет — злоумышленники получат удаленный контроль над воздушными судами и/или диспетчерскими. Взлет и посадка, распределение рейсов — сбой в этих процессах приведет минимум к хаосу. А то и к более фатальным последствиям.

LIGA.net обратилась за ответами (или успокоением) к двум главным аэропортам столицы. Тем более, бориспольский задело атакой Petya.A в июне 2017 года — тогда потухли информационные табло, а на сайте было недоступно расписание рейсов.

Аэропорт не получил убытков и восстановил работу информационных систем собственными силами. Фактически, были неудобства пользователей, которые не могли получить часть внутренних сервисов. Все основные информационные системы аэропорта, которые обеспечивали процесс обслуживания пассажиров, груза и мероприятия безопасности, функционировали в штатном режиме”, — прокомментировали в международном аэропорту Борисполь.  

Пресс-служба также добавила, что за последний год аэропорт не был объектом целенаправленной атаки. 

В международном аэропорту Киев имени Сикорского сказали, что системы самолетов являются изолированными и не подвержены хакерским атакам. А во время атаки Petya.A ни один компьютер аэропорта не был заражен вирусом. 

Ни одни из воздушных ворот столицы не поделились подробностями атак, сославшись на конфиденциальность. Также предпочли не распространяться о финансовой составляющей обеспечения кибербезопасности. Борисполь уверен, что это может сориентировать злоумышленников касательно конкретных видов техсредств и возможных вариантов конфигурации защиты. В аэропорту Киев ответили, что как раз закупают оборудование на следующий год для новой строящейся части терминала и на обновление существующей системы. Все это потянет на несколько десятков миллионов гривень. 

“Не могу точно выделить сумму, которая идет конкретно на безопасность компьютерных систем”, — говорит Галина Богданенко, руководитель пресс-службы аэропорта.

Министерство не дремлет

В июле этого года Кабинет министров Украины утвердил план мер на 2018 год по реализации Стратегии кибербезопасности Украины. Уже в августе министр инфраструктуры Владимир Омелян объявил о создании центра управления кибербезопасностью в транспортной отрасли. По его словам, этого требуют агрессия РФ и изменения во внешней и внутренней среде безопасности Украины. 

Александр Озеран, гендиректор Директората цифровой инфраструктуры на транспорте и услуг почтовой связи, объясняет: киберцентр обеспечивает функционирование централизованных киберсервисов. Среди них:

  • защита от атак типа «отказ в обслуживании» (DDOS)
  • защита от действий вредоносных программ
  • защита web-приложений и web-сервисов 
  • защита email-сервисов 
  • мониторинг и оценка текущего состояния киберпроcтранства 
  • выявление и борьба с так называемыми угрозами «нулевого дня» (то есть, условно, с такими вирусами, которые еще неизвестны антивирусным программам).

“Технический проект создания Киберцентра проходит стадию согласования и утверждения, поскольку его построение должно производиться на базе самых современных технических и программных средств, при полном учете требований Госслужбы специальной связи и защиты информации и рекомендаций СБУ”, — говорит Озеран. 

Взаимодействовать с госпредприятиями Киберцентр будет по нескольким направлениям. Причем независимо от отрасли, будь то море, железная дорога или авиасообщение. 

Озеран называет среди задач Киберцентра пассивный мониторинг сетевой телеметрии и интернет-трафика, отвод трафика на активные системы предотвращения атак для анализа и очистки. А также управление шлюзом защиты электронной почты госпредприятий — излюбленной лазейки хакеров.

В СМИ и Facebook новую структуру часто называют CERT (Computer Emergency Response Team). Технический директор Октава Киберзахист Алексей Швачка говорит, что фактически это SOC — Security Operation Center. Основное их отличие в том, что SOC не только собирает, анализирует и предупреждает о возможных угрозах, но и обеспечивает активное реагирование на инциденты кибербезопасности. Причём, не пост- фактум, а именно для отражения кибератаки. “Соответственно, задачей отраслевого SOC и будет являться обеспечение безопасности информационных систем субъектов министерства. Учитывая масштабы этой госструктуры, можно с уверенностью сказать, что это будет довольно сложная иерархическая система, в которой отраслевой SOC министерства будет являться «верхушкой айсберга”, — считает Швачка.

Государство + бизнес = эффективная защита?

Новый Киберцентр — дело перспективное. Эксперты из частных организаций акцентируют, что важно делать его в соответствии с новейшими наработками в сфере киберзащиты. И не замыкать его на самом себе.

По мнению Константина Корсуна из Бережа Секьюрити, новую структуру корректнее было бы выстраивать снизу вверх. Сначала собрать данные обо всех инцидентах во всех предприятиях, со всех живых систем, систематизировать их и составить прогнозы. Небольшими командами закрывать эти проблемы на местах, потом постепенно объединять эти команды. 

Роман Сологуб говорит, что подобные центры создаются во многих странах. И важно, чтобы они взаимодействовали между собой и другими командами, делясь развединформацией. 

“Защищать свою организацию от киберугроз и при этом ни с кем не сотрудничать, не проводить разведку – то же самое, что защищать стеклянный замок, окутанный туманом, из которого летят камни”, — сравнивает Роман Сологуб. 

Другой момент — источник финансирования. По информации от Александра Озерана из Мининфраструктуры, отраслевой Киберцентр планируется финансировать за счет международной донорской помощи и спецфондов.

Что касается взаимодействия, то, по словам основателя компании Октава Киберзахист, государство нацелено на обеспечение стабильности и системности любых процессов. А бизнес всегда более динамичен и инновационен. 

“Объединив эти два подхода, можно получить значительно лучший результат, чем простая сумма от их раздельной реализации”, — уверен Александр Кардаков.