Безпрецедентна кібератака на Україну. Німеччина вчиться на наших помилках
«Україна була для росіян випробувальним полігоном. Вони відпрацьовували знищення критичної інфраструктури країни»
Ймовірність великої атаки хакерів проти транспортних систем або електростанцій – подібна перспектива справді лякає. Дослідники працюють над захистом можливих об’єктів нападу. Але це змагання з невидимим супротивником.
Кібератака почалася в середині зими. Хакери атакували кілька постачальників енергії в Україні. За допомогою вірусних програм, вони зупинили 30 розподільних станцій. Окрім того, паралізували систему екстреної тривоги. Майже в 230 тисяч людей у грудні 2015 року вимкнулася електрика, багато з них сиділи в темряві.
Німецьке Федеральне управління з питань інформаційної безпеки (BSI) та інші IT-фахівці підозрюють, що це справа рук російських хакерів. Але детально цей випадок дворічної давнини так і не був розслідуваний.
Цей кібернапад вважається безпрецедентним за своїм масштабом. Нападники продемонстрували не лише українцям, а й всьому світові, наскільки вразливими можуть бути мережі. Особливо вразливими є енергетичні концерни, системи водопостачання, лікарні, банки та летовища. Також у фокусі нападників опинилися залізничні контрольні центри та телекомунікації. Фахівці називають їх критичною інфраструктурою. Шкода, яка може бути нанесена цим об‘єктам масованою атакою, приваблює політичних супротивників так само, як терористів чи інших злочинців, що бажають «зробити гроші» на шантажі.
Як захищають себе підприємства на кшталт Deutsche Bahn (німецька залізниця) та служби безпеки польотів, проти атак на свої комп‘ютерні мережі? І, якщо справді дійде до подібного кошмарного сценарію – які заходи розробляють дослідники на цей випадок?
З точки зору багатьох підприємців, включення в цифрову мережу надає водночас як можливості, так і ризики. З одного боку, це несе за собою економічні вигоди. Але ефективність часто досягається за рахунок безпеки.
«Кожен має усвідомлювати: якщо оцифрую своє виробництво – відчиню двері для нападника», - пояснює Штефан Катценбайссер з факультету комп‘ютерної техніки Технічного університету Дармштадта. Це твердження правильне як для великих, так і для малих підприємств. «Якщо ви сьогодні купуєте комп’ютер та нічого не робите для безпеки – наприклад, не ставите Firewall та підключаєтесь напряму до Інтернету – можете бути певні, що його «зламають» протягом п’яти хвилин», - зазначає Катценбайссер. Тому що вірусні програми та «фішінгові» електронні листи працюють автоматично.
Дармштадт вважається в Німеччині головною цитаделлю електронної безпеки. Дехто, згадуючи каліфорнійську Силіконову долину, теж називає це південнонімецьке місто «безпековою долиною». Справді, в галузі кібербезпеки тут працюють сотні експертів. Такі, як Маттіас Шульц.
Науковий співробітник технічного університету стоїть перед металевим столом та дивиться у свій смартфон. У кутку його кабінету збудований незрозумілий намет, який виглядає, ніби саморобна дитяча «халабуда» - насправді це конструкція, яка слугує для дослідів. Подібно до так званої «клітки Фарадея», нутрощі цього намету захищені від радіосигналів.
Колеги Шульца давно вже переймаються питанням – що це означає, коли критична інфраструктура з тих чи інших причин не функціонує. У разі катастрофи протягом короткого часу вимкнуться також комунікаційні мережі, принаймні ті, які знаходяться у приватних руках, поясняють вчені. Тому вони разом з університетом Касселя, Федеральним управлінням із захисту населення та Федеральним міністерством науки розробили додаток для смартфона під назвою Smarter. Ця система, можливо, дозволить підтримати комунікацію у кризовій ситуації, якщо мобільний зв’язок пропаде, зникне Інтернет. Робота цього додатка схожа на роботу рації. Через WLAN-чіп телефон зв’язується з іншим смартфоном, на якому його встановлено. Той, своєю чергою – з іншими подібними пристроями поблизу.
«На вулиці ми отримуємо дальність зв’язку між двома смартфонами до 250 метрів», - пояснює Шульц. Через таку мережу можна надсилати цифрові сигнали SOS або подавати ознаки життя при кожному радіоконтакті між двома телефонами, аж допоки сигнал не дійде до потрібного телефона. «Можливо також, що ми за допомоги дронів зможемо зводити своєрідні зв’язкові повітряні мости. Наприклад, аби відновити комунікацію між абонентами, які будуть відрізані один від одного. Або для того, щоб зрозуміти картину ситуації на місці», - розповідає Шульц про дослідницький проект Nicer.
В останньому випадку до роботи підключається Штефан Кольбрехер, який займається в університеті Дармштадта дослідженнями у галузі робототехніки. Він зі своєю командою розробляє автономного робота. «Уявимо собі, що на електростанції почалися проблеми та пропав зв’язок. Тоді рятувальники можуть запустити власну комунікаційну мережу через дрон, який збере дані та завантажить їх до командного центру», - розповідає науковець.
Техніка пропонує ще більше можливостей: наземний робот, який має змогу автономно пересуватися, в кризовому випадку може пробитися до недоступних приміщень – наприклад, до таких, які були піддані опроміненню або до завалів будинку, аби зробити необхідні виміри та повернутися назад з тримірною мапою. Такий робот може знайти та позначити місце перебування жертв катастрофи за допомогою теплової камери.
Поки дармштадські дослідники займаються кризовими сценаріями, підприємці намагаються розробити систему уникнення подібних випадків взагалі.
Відвідини німецького Управління безпеки польотів (DFS) в Лангені: в кампусі, в кількох кілометрах від Дармштадту, панують посилені заходи безпеки.
«Раніше відвідувачі могли пересуватися тут досить вільно», - розповідає прес-секретарка, яка зустрічає гостей після перевірки службою безпеки. - Після терактів 11 вересня правила ставали щораз жорсткішими. Наразі ми тут ніби забарикадувалися». В кампусі розташований один із чотирьох німецьких контрольних центрів DFS. Там і в баштах 16 німецьких летовищ працюють близько 2000 диспетчерів. Щодня вони спостерігають за 10 тисячами польотів у німецькому повітряному просторі. Їх підтримує складна радарна та комп‘ютерна система. Наскільки безпечна ця техніка щодо хакерських нападів?
«Абсолютної безпеки не буває взагалі. Проте «зайти» в систему ззовні – малоймовірно» - пояснює експерт DFS. Операційна система закрита від зовнішнього світу. Інформація про польоти та дані радарів передається через захищену мережу, що є повністю відокремленою від офісної комунікації, яка пов’язана з Інтернетом та є, таким чином, вразливою до хакерських атак.
У контрольному центрі, чия будівля також є автономною та має власне електро- та теплопостачання, вжито особливих цифрових захисних заходів. «Ми називаємо це «моделлю черепашки», - пояснює експерт. Існують кілька файрволів, «через які нападник має ще примудритися пробитись, аж поки дістанеться нашого оперативного центру».
Вже була зареєстрована перша атака. Восени нападник із китайською адресою зробив спробу пробитися крізь захист. Втім, він «зламався» вже на першому захисному рівні.
Проте, якщо система є так добре захищеною ззовні, як справи із внутрішньою безпекою? Якщо хтось взагалі може нанести удар, то це, швидше за все, інсайдер. Але й про це потурбувалися. З 5400 співробітників DFS більш ніж третина пройшла перевірку контррозвідки. Інших колег, які працюють в менш критичних місцях, теж перевіряють, але менш прискіпливо.
Без використання цифрових мереж повітряна диспетчерська служба обійтись не в змозі, навіть якщо це несе з собою нові загрози. Тому що за допомогою аналогового зв’язку, з яким працювали контрольні центри та радарні точки раніше, наростаючий повітряний трафік більше неможливо контролювати. При цьому в Лангені впевнені: «Цілеспрямовані хакерські атаки набиратимуть потужності».
Повертаємося до Дармштадту
За центральним залізничним вокзалом перебуває так звана «залізнична технічна зона». Погляд на неї, певно, звеселить серце будь-якого любителя модельних залізниць: величезна симульована залізниця представляє в мініатюрі залізничний комплекс. Із переходами, сигналами та чотирма поколіннями сигнальних систем. І саме тут проводяться безпекові випробування, а в майбутньому будуть симулюватися й кібератаки.
Німецька залізниця планує в найближчі роки запровадити велику програму диджиталізації. Сигнальна система має стати об’єднаною, також має бути розбудовано комунікацію від потягу до потягу. Мета – зменшити відстані між потягами, аби запустити на лінію їх більшу кількість. Крістіан Шлехубер, керівник команди кібербезпеки німецької залізниці, розуміє, що ці дії несуть із собою більші ризики з боку нападників: «Все, що тільки можна собі уявити – принципово можливо. Тобто – від запізнень до умисного спричинення катастроф. Стовідсоткової безпеки не буває. Але потрібно бодай мати змогу сказати – ми зробили все, що було можливо».
Для процесу модернізації компанія Deutsche Bahn звернулася до експертів. «Багато критичних інфрастуктур досі ще не оцифровані, а аналогові структури частково застарілі», - вважає Крістоф Краус із Інституту Фраунгофера з безпеки інформаційних технологій. Він радить: «Під час модернізації фактор безпеки має перебувати на першому місці». Разом із інститутом Фраунгофера, технічним університетом та фірмою Sysgo AG буде розроблено концепцію безпеки для залізниці. «Йдеться, наприклад, про те, щоб убезпечити комунікацію так, аби напасник не міг нею маніпулювати та, скажімо, змінити одиницю на нуль, аби надіслати фальшивий сигнал до системи управління», - пояснює Краус.
При цьому найбільший виклик становлять високі темпи диджіталізації. Системи безпеки, над якими працюють нині фахівці, мають бути корисними ще через 20 років, а це означає – потрібно гарантувати можливість оновлення в будь-яку мить. Наскільки вразливими є підприємства та користувачі, які не роблять ставку на оновлення, можна побачити на прикладі шкоди, якої завдала атака віруса WannaCry. Це троянський вірус, який спеціалізувався на шантажі, зашифровував минулого року комп‘ютери з операційною оболонкою Windows у більш ніж 150 країнах світу, вимагаючи від власників «відступних» за повернення доступу. Він зміг використати безпекову «дірку», яку компанія Microsoft змогла «закрити» за допомогою оновлення, але захищеними виявилися лише ті комп‘ютери, які це оновлення вчасно отримали та встановили.
Наслідки атаки були величезними: на деяких заводах «Рено» виробництво зупинилось на кілька днів, хаос в британських лікарнях продемонстрував, як легко кібератаки стають загрозливими для життя, а на німецьких вокзалах повимикалися всі інформаційні табло.
Німецький уряд вже зрозумів, наскільки важливим є захист критичних інфраструктур. Закон про інформаційну безпеку вимагає з 2015 року від підприємців встановленого мінімального рівня безпеки, а також зобов‘язує їх повідомляти про проблеми у роботі федеральним органам.
А наскільки вірогідно, що політично вмотивований напад – такий, який відбувся в Україні – буде спрямовано проти Німеччини? «Україна була для росіян випробувальним полігоном. Там вони відпрацьовували знищення критичної інфраструктури країни», - пояснює відомий експерт з комп‘ютерної безпеки на умовах анонімності. Разом з колегами він спостерігає, як по всій Європі частішають такі напади, які «виглядають дуже по-російськи».
І ще: дуже багато дій відбуваються непрямим чином. Тобто хакери нападають не на підприємства, які є справжньою ціллю, а на невеличких субпідрядників. Вони, наприклад, використовують їх поштові програми, аби надіслати заражені документи, власне, до компанії-цілі. «Нападники перевіряють – наскільки далеко вони можуть просунутись. Вони оглядаються, але нічого не знищують та знову відступають». Проблема полягає в тому, що подібні атаки без видимих наслідків зазвичай не привертають до себе уваги. А хакери мають можливість зібрати велику кількість інформації, аби зрештою паралізувати концерн.
На думку експерта, вони використовують «стратегію підготовки»: «Якщо виникне протистояння – зможуть дуже швидко завдати величезної шкоди. Це є логічним розвитком тих успіхів, яких вони досягли в Україні».
Джерело: Handelsblatt
Переклад: Борис Немировський, для «Главкома»