Нападай и защищай: как на киберполигоне The Standoff обрушили работу целого города
The Standoff - это площадка, которая позволяет продемонстрировать сценарии развития технологической инфраструктуры современного мегаполиса в условиях непредвиденных хакерских атак. Здесь есть все те же объекты, что и в любом реальном городе: заводы, электростанции, банки, офисы, мобильная связь, транспорт, спортивные и развлекательные центры.
На инфраструктуре такого города участники воспроизводят различные ситуации, в том числе связанные с хакерскими атаками. Главная задача The Standoff - проверка навыков специалистов в области информационной безопасности (ИБ) и отработка различных сценариев, вплоть до критически важных. Все это позволяет обогатить опыт решений в сфере кибербезопасности и предложить рынку новые механизмы борьбы с хакерскими атаками.
Отключили электричество, нарушили поставки нефти
Поскольку главная задача The Standoff - проверить навыки специалистов по атаке объектов инфраструктуры и их защиты, в городе функционировало несколько компаний, работу которых можно было нарушить кибератаками. Это и газораспределительная компания Tube, которая также управляет городской системой освещения улиц, и крупная региональная корпорация по добыче и переработке нефтепродуктов Nuft.
Работала в цифровом городе и крупнейшая транспортная компания Heavy Ship Logistics - она обслуживала аэропорт, железную дорогу и морской порт. А под управлением 25 Hours находились крупнейший комплекс коммерческой недвижимости с парком развлечений и сеть светофоров на улицах.
Наконец, энергетическая компания Big Bro Group производила электроэнергию для нужд города, а компания FairMarket обслуживала граждан через свою сеть розничных магазинов шаговой доступности и интернет-магазин, могла обрабатывать все финансовые потоки в собственном процессинговом центре и использовать систему электронных платежей.
Атакующие нанесли тяжелые удары по всем компаниям города. В последний день атакующие оставили жителей без электричества, отключив линии электропередач, взломав устройства релейной защиты и автоматики на подстанции, принадлежащей компании Tube.
Параллельно в морском порту транспортной компании Heavy Ship Logistics контейнер упал прямо на баржу: команда Invuls перехватила управление портальным краном и подавала заведомо неправильные команды.
На этом проблемы города не закончились: атакующие из Сodeby и True0xA3 остановили автоматизированную систему управления крупной региональной корпорации по добыче и переработке нефтепродуктов Nuft и подменили показатели приборов. Нефтедобыча из-за этого сократилась за сутки на 90%.
Общий масштаб катастрофы в "цифровом" мегаполисе затронул газораспределительную станцию, ТЭЦ, нефтекачалки, ветрогенераторы, электроподстанцию, железнодорожное хозяйство, аэропорт, морской порт, магазины, сеть рекламных видеоэкранов, систему уличного освещения, офисы компаний 25 Hours, Heavy Ship Logistics, Nuft и Tube.
За четыре дня работы киберполигона было реализовано 33 уникальных бизнес-риска - 54% от общего числа рисков, заложенных в программу соревнований. Всего жюри приняло 84 отчета об успешно выполненных заданиях от команд атакующих. Победители были выбраны по итогам подсчета баллов, которые давались за успешное выполнение заданий, например за получение конфиденциальной информации или вывод из строя сервисов, подмену информации на официальных сайтах компаний. Победителями среди команд "красных" стали True0xA3 (35 877 баллов), Сodeby (30 183) и Invuls (17 643).
Команды защитников прислали 328 отчетов о выявленных инцидентах. По количеству отчетов об атаках в тройке лидеров оказались команды Jet Security Team, akPots_team и Yourshellnotpass. За время соревнований защитники успели расследовать 18 реализовавшихся бизнес-рисков, причем команды Jet Security Team и Yourshellnotpass расследовали все риски, с которыми столкнулись их компании. В среднем на расследование с необходимой полнотой собранных фактов требовалось около пяти часов.
Краеугольные проблемы информационной безопасности
Как сделать так, чтобы подобные катастрофы оставались лишь в "цифре" и не повторялись в реальности? Ответы на эти вопросы участники искали оба дня форума. Ведь главная задача PHDays - стать масштабной площадкой для обсуждения важности развития кибербезопасности в России, увеличивающейся роли ИБ в деятельности российских компаний и места отечественных решений и специалистов в этой области в мировом масштабе.
На форуме собрались эксперты в области кибербезопасности, представители банков и государства, в том числе глава Минцифры РФ Максут Шадаев и заместитель директора ФСТЭК России Виталий Лютиков. Министр задал общий тон, начав с того, что в современном мире, в котором неминуемо цифровизируются все сферы жизни, остро стоит вопрос о защите этой инфраструктуры.
"Сейчас идут дискуссии и в правительстве, и в администрации, и в Совбезе, и их основной смысл сводится к тому, что новые вызовы требуют новых решений по защите. Председатель правительства любит говорить, что нельзя рассчитывать на новый результат, используя старые способы. Я думаю, что уже летом набор мер мобилизации и стимулирования будет выработан для того, чтобы отвечать на новые риски", - рассказал Шадаев.
Ответственность за информационную безопасность должна лежать и на владельцах бизнеса, отметил со своей стороны генеральный директор Positive Technologies Юрий Максимов. "Что касается крупных компаний, то их первые лица должны понимать, что пока они не начнут заниматься кибербезопасностью, их компания не сможет дать ожидаемых результатов", - пояснил он.
С этим согласился и гендиректор Innostage Айдар Гузаиров, по словам которого, к сожалению, первые лица нередко занимаются инфобезопасностью лишь раз в год, при согласовании бюджетов, и не задаются главным вопросом: "Что сделать, чтобы компанию не уничтожили хакеры и мы могли спать спокойно?".
"В крупных компаниях ИБ-руководитель часто просто не имеет доступа к первому лицу. В результате он лучше понимает регуляторику ФСТЭК, нежели специфику бизнеса, который защищает. Хотя когда ввели законы по защите критической инфраструктуры, где прописана уголовная ответственность, первые лица стали уделять чуть больше внимания информационной безопасности", - заметил Шадаев.
Как пробиться в лидеры индустрии?
Участники дискуссии также обсудили перспективы России выйти в мировые лидеры по информационной безопасности. Пока этот процесс осложняется низким уровнем импортозамещения в сфере ИБ, посетовал глава Positive Technologies Юрий Максимов. "Если посмотреть на экономику российской индустрии, то порядка 50% средств, которые тратятся на кибербезопасность в России, идут на западные продукты, в первую очередь на американские", - объяснил он.
По мнению замдиректора ФСТЭК Виталия Лютикова, одна из проблем заключается в том, что из вузов выходят специалисты, которые не осведомлены об успешных отечественных кейсах в сфере ИБ, поскольку в учебных заведениях есть нехватка стендов, лабораторных, практикумов, построенных на российских, а не на зарубежных решениях.
При этом Лютиков подчеркнул, что запрет иностранного ПО - не выход из ситуации, к подобным инструментам государство прибегает только тогда, когда видит риски в наличии иностранных решений. С этим согласился и глава Минцифры Максут Шадаев: "Государство, используя различные механизмы господдержки, должно стимулировать появление продуктов, которые заместят импортные решения. Но это долгая системная работа".
Другой способ решить проблему развития российских ИБ-решений - это инвестиции в растущие стартапы, однако и здесь есть препятствия, полагает глава Skolkovo Ventures Владимир Сакович. В частности, дефицит капитала и необходимых инвестиционных инструментов приводит к тому, что, если стартапы в области ИБ и появляются, то годами остаются на уровне маленьких компаний.
"Для исправления ситуации государство должно помочь стимулировать частный капитал. Вторая проблема, которую нужно решить, - изменение нерыночной системы распределения заказов. Это приведет к росту выручки и повысит интерес инвесторов. И третье - необходимо создать инвестиционную инфраструктуру поздних стадий, аналог IPO, так как, к сожалению, выход на IPO в области кибербезопасности усложнился. Я думаю, это задача трех-пяти опорных банков", - перечислил Сакович.
В этом отношении, предложил Шадаев, стартапы можно было бы обеспечить льготами, например, они должны иметь возможность без конкурса продавать свои продукты в госорганы, либо, если решения стартапа закупаются бизнесом, для этих компаний должны быть налоговые льготы.
Другой вариант, продолжил Гузаиров из Innostage, - это объединение всей российской IT-индустрии в целях создания "дорожной карты" импортозамещения ИБ-решений и удержания качественных кадров в России.
Финансы под защитой
Другой важной темой форума стало обсуждение развития российских решений по информационной безопасности в банковской сфере. Так, заместитель председателя правления Газпромбанка Александр Муранов рассказал, что в отечественной банковской рознице сегодня практически невозможно увидеть иностранных ИБ-решений.
"У всех крупных банков есть свои команды, которые пишут код круглые сутки, в удаленном или в других форматах. За два года индустрия банковской розницы, с точки зрения софта, полностью изменилась. Из банков ушли импортные системы - индийские или американские, - и остались только отечественные", - отметил он.
С точки зрения безопасности банковских систем в целом, российская сегодня "на голову выше западных", отметил первый замглавы департамента информационной безопасности ЦБ Артем Сычев. По его словам, важным аспектом является понимание ИБ-рисков на уровне руководства финансовых организаций, а не только профильных подразделений.
"Если руководство финансовой организации не понимает рисков ИБ, не знает, что это такое, то в таком случае риску подвергаются не только они сами, но и акционеры, и вкладчики. Для нас крайне важно понимание, насколько киберкультура присутствует в корпоративном управлении и может ли она повлиять на финансовую устойчивость организации", - пояснил Сычев.
Вместе с тем для банковской среды остаются актуальными такие проблемы, как социальная инженерия, с которой финансовые организации стараются бороться на уровне, сопоставимом с государством. Например, как отметил вице-президент и директор департамента информационной безопасности "Тинькофф" Дмитрий Гадарь, компания тратит много ресурсов на то, чтобы рассказать населению о рисках, с которыми оно может столкнуться, общаясь с мошенниками, которые представляют сотрудниками банков.
Однако, добавил со своей стороны директор центра противодействия кибератакам Solar JSOC компании "Ростелеком-Солар" Владимир Дрюков, пожилое население также важно информировать об угрозах на максимальном количестве площадок, таких как Сбербанк и Госуслуги. "Это не наша уникальная проблема, она никак не связана с русским менталитетом. В чем мы отстаем, так это в движении государства в сторону осведомленности. В США есть отдельный департамент Homeland Security. Они вкладывают очень много сил в то, чтобы информация о новых фишках злоумышленников появлялась в паблике", - подытожил он.
О форуме
Positive Hack Days - международный форум по практической безопасности, который собирает вместе ведущих российских и зарубежных разработчиков, ИБ-экспертов и хакеров со всего мира, представителей госструктур, крупных бизнесменов, молодых ученых и журналистов. Форум проходит в Москве ежегодно с 2011 года. Организатор форума - компания Positive Technologies.
На форуме традиционно обсуждаются актуальные вопросы цифровой безопасности, в том числе инновации в области защиты информационных систем и критически важных инфраструктур, подходы к ИБ в эпоху интернета вещей и организация физической безопасности информационных ресурсов.
Основными темами PHDays 2021 стали противодействие мошенничеству и киберпреступности, выявление и расследование инцидентов информационной безопасности, создание и совершенствование ИБ-продуктов, развитие методов безопасной разработки программного обеспечения.
В этом году на форуме выступили более ста специалистов в области кибербезопасности с более чем 70 докладами. Общая длительность сессий превысила 80 часов. В целом в PHDays 2021 приняли участие 2,5 тыс. экспертов, а за самим форумом и киберполигоном The Standoff наблюдали порядка 20 тыс. человек со всего мира.