Роман Паршин: Невидимые враги. Защита критических систем от киберфизических угроз
В сентябре 2024 года в Ливане произошла серия взрывов пейджеров и других устройств связи, что привело к многочисленным жертвам. Раньше подобные вещи можно было увидеть в кино (например, в сериале «Убойная сила» был взрыв пейджера в 2000 году, а в свежем фильме «Джекпот» — показана организация «мобильной атаки», то есть взрывов смартфонов пользователей, находящихся в определенной локации). Реальный масштабный прецедент подтвердил, что кибератаки могут иметь разрушительные последствия в физическом мире.
Какие отрасли наиболее уязвимы для киберфизических атак и как противостоять подобным угрозам? Эту тему мы обсудили с руководителем направления защиты государственной тайны «Инферит Безопасность», экспертом в области технической защиты информации и противодействия иностранной технической разведке более чем с 30-летним стажем работы в этой области. Роман Паршин — генеральный директор ООО АКБ «Барьер», кандидат технических наук по специальности «Радиоэлектронная борьба, способы и средства» и доцент кафедры противодействия иностранной технической разведке и радиоэлектронной защиты.
Какие отрасли и объекты инфраструктуры наиболее уязвимы для подобных киберфизических атак? Какие сценарии наиболее вероятны и опасны?
Киберфизические атаки представляют серьезную угрозу для множества отраслей и объектов инфраструктуры, поскольку могут иметь как разрушительные, так и далеко идущие последствия. Наиболее уязвимыми секторами считаются объекты энергетики, промышленности, городской инфраструктуры, а также транспорт — ведь все современные транспортные системы, включая железные дороги, авиалинии и системы контроля дорожного движения, зависят от компьютеризированных систем управления.
Сценариев развития событий здесь можно придумать множество, и с разным масштабом последствий. Но лучше думать о том, как этого избежать. Например, проводить специальные проверки, чтобы выявить в технических средствах устройства, предназначенные для перехвата информации, а также вести специальные исследования электромагнитных излучений от технических средств.
По данным некоторых СМИ, в устройства была встроена взрывчатка, которая активировалась дистанционно. Насколько серьезные риски для безопасности могут представлять цепочки поставок оборудования и комплектующих?
Риски, связанные с цепочками поставок оборудования и комплектующих, действительно являются серьезной проблемой для безопасности. Особенно в свете глобализации и сложной структуры современных цепочек поставок.
Вредоносные компоненты (например, встроенная взрывчатка или оборудование для кибершпионажа) могут быть намеренно внедрены на каком-либо этапе цепочки поставок. Это возможно как на уровне производства, так и в процессе распределения.
Сложные и многослойные цепочки поставок часто страдают от недостатка прозрачности и контроля, что затрудняет выявление и устранение потенциальных угроз. Для снижения этих рисков я бы посоветовал использовать оборудование и ПО российского производства. И конечно, проводить тщательное тестирование оборудования и программного обеспечения на предмет уязвимостей и несанкционированных изменений.
Эксперты допускают, что помимо аппаратных закладок могли быть задействованы уязвимости в программном обеспечении устройств. Как производителям повысить безопасность прошивок и протоколов обмена данными, чтобы исключить возможность удаленного перехвата управления?
Некоторые крупные компании берут в штат хакеров, которые постоянно пытаются проникнуть в систему, тем самым выявляя узкие места в защите. Но сколько бы мы ни анализировали угрозы, постоянно тестировали и регулярно обновляли ПО, самые главные риски связаны с человеческим фактором. Такие мероприятия, как обучение вопросам безопасности, а также информирование пользователей о современных угрозах и мерах защиты, необходимы для повышения безопасности устройств на всех уровнях.
В последнее время много говорят об угрозах, связанных с развитием искусственного интеллекта и его возможным применением для создания «умного» вредоносного ПО и автоматизации кибератак. Как вы оцениваете потенциал ИИ в контексте киберфизической безопасности?
На данном этапе развития я бы не опасался ИИ в этом контексте. Но, думаю, если ИИ будет развиваться такими же темпами, то его можно будет использовать с обеих сторон: как для анализа и прогнозирования угроз, так и для создания «умного» вредоносного ПО или автоматизации атак. А еще я думаю, что в будущем мы можем столкнуться и с уязвимостью в самих системах ИИ, которые можно использовать для манипуляций и атак, что ставит под угрозу их надежность и эффективность. При этом многие внедряют ИИ на разных уровнях, что повышает риски. Искусственный интеллект может стать мощным инструментом в арсенале кибербезопасности, но требует внимательного и ответственного подхода для управления связанными с ним рисками.
Расскажите подробнее о методах проверки и анализа безопасности электронных устройств, которые практикуют специалисты АКБ «Барьер». Какие типы аппаратных уязвимостей и закладок вы способны выявлять? Расскажите о ваших методах проверки оборудования. Какие решения и технологии предлагает АКБ «Барьер» для выявления аппаратных закладок?
С расстояния нескольких сотен метров с помощью специализированного оборудования можно перехватить информацию с монитора или принтера. Если быть точнее, это происходит по каналу ПЭМИН — побочного электромагнитного излучения и наводок. В АКБ «Барьер» есть две безэховые экранированные камеры (БЭК). Они используются для проведения исследований технических средств по каналам утечки информации за счет побочных электромагнитных излучений и наводок, утечки информации по акустическим каналам, а также некоторых методов специальных исследований.
Для специальных проверок мы применяем и ренгтеновский контроль: он позволяет исследовать каждый компонент. В любом оборудовании и его компонентах могут быть установлены устройства для перехвата информации. Чтобы убедиться в отсутствии подобных устройств, мы разбираем оборудование до плат, осматриваем визуально и проверяем их с помощью различных инструментов, в том числе и рентгеновской установкой высокого разрешения.
Многие эксперты говорят о необходимости переосмыслить традиционные подходы к информационной безопасности и перейти к модели «нулевого доверия» (Zero Trust) и сегментации сетей. Насколько оправдан такой подход в контексте противодействия киберфизическим атакам?
Модель «нулевого доверия» основана на предположении, что угрозы могут исходить как извне, так и изнутри сети. В этом контексте каждая попытка доступа должна проверяться и авторизовываться независимо от ее происхождения. Каждый пользователь и устройство обязаны проходить проверку подлинности и авторизацию перед доступом к ресурсам. У каждого пользователя имеется доступ, необходимый только для выполнения его задач. Это существенно снижает риск несанкционированного проникновения, но не исключает его, ведь в системе все равно остаются люди с полным доступом. В условиях киберфизических систем, где воздействие на физические процессы может иметь серьезные последствия, модель Zero Trust и сегментация обеспечивают дополнительный уровень защиты.
Помимо технических мер защиты важную роль играет повышение осведомленности и «кибергигиена» сотрудников. Как правильно организовать обучение персонала основам кибербезопасности АСУ ТП и других критически важных систем?
Я уже говорил, что самые главные риски связаны с человеческим фактором. И считаю, что повышение осведомленности и обучение сотрудников основам кибербезопасности является критически важным элементом для защиты любых систем. И необходимо не просто рассказать, нужно оценить и проверить уровень знаний. И само обучение должно быть практическим, чтобы сотрудники могли применить свои знания — это поможет им действовать правильно в реальной ситуации.
Киберугрозы постоянно эволюционируют, поэтому обучение должно быть регулярным и учитывать обязанности каждого сотрудника. Ведь руководители, инженеры и технический персонал могут нуждаться в разных уровнях и аспектах кибербезопасности.
Как выстроить эффективное взаимодействие и обмен информацией между службами физической и информационной безопасности на предприятии? Какие организационные меры необходимы для своевременного выявления и оперативного реагирования на киберфизические инциденты?
Основная проблема в том, что данные службы зачастую подчиняются разным людям и практически не взаимодействуют, а это важно именно в контексте киберфизических угроз. Физическая охрана чаще всего не в курсе угроз с точки зрения информационной безопасности.
Приведу пример: на входе в одно из ведомств просят оставить ноутбук, но при этом свободно пропускают со смартфоном, который не уступает этому устройству по функционалу. У них такая инструкция, и они ее придерживаются, хотя она лишена логики.
Нужна разработка интегрированных политик безопасности, которые объединяют критерии и процедуры как для физической, так и для информационной безопасности. Также интеграция систем физической безопасности (видеонаблюдение, контроль доступа) с ИТ-системами может выявить сложные угрозы и предоставить более полную картину состояния безопасности. Но главный шаг — это разработка совместных инструкций, а не инструкций для каждой службой отдельно.
Как вы думаете, какие новые вызовы в сфере кибербезопасности критической инфраструктуры могут возникнуть в ближайшем будущем с учетом развития технологий? К каким угрозам нужно готовиться уже сейчас?
Совсем недавно из-за сбоя в работе Windows пострадало множество компаний, в том числе авиакомпании — люди по всему миру застряли в аэропортах. И никто не ожидал, что так может случиться. Этот случай нельзя отнести к «новым» угрозам». Многие говорят про опасности, исходящие от использования «умных устройств» и искусственного интеллекта в кибератаках. Но я бы сконцентрировался на том, что происходит сейчас.
Нужно продолжать работать над компьютерами и ПО собственного производства. Регулярно обучать сотрудников последним методам защиты от киберугроз. Модернизировать и тестировать инфраструктуру, интегрировать новейшие технологии, чтобы быть на шаг впереди злоумышленников и обеспечивать безопасность критической инфраструктуры.
Опубликовано 24.10.2024
