Нужно готовиться к ответу на агрессию
Кибертерроризм — реальная угроза и признанный на государственном уровне факт. В 2016 году Лаборатория Касперского совместно с Центром информационной безопасности Университета Иннополис зафиксировала 2 млн случаев срабатывания антивирусов только на промышленных объектах.
Сразу к конкретному примеру. В прошлом году мы участвовали от России в первых киберучениях стран СНГ— «Кибер-Антитеррор-2016». И разработали 80 возможных сценариев обнаружения, предупреждения и нейтрализации компьютерных атак на Лукомльскую ГРЭС в Беларуси, производящую 60% электроэнергии республики и питающей энергией Германию и Польшу. Использовав эти сценарии, в основе которых лежат разнообразные приемы и техники скрытной доставки и активации вредоносного программного обеспечения, а также активации аппаратно-программных закладок в соответствующем технологическом оборудовании, сотрудники спецслужб захватили системы управления станции за 4 минуты. Это показало беззащитность таких важных объектов перед злоумышленниками.
Из-за того что кибератаки происходят на критически важных объектах, информация о них редко предается огласке. В числе последних известных инцидентов — атака на компанию Saudi Aramco в 2012 году. Тогда 35 тыс. компьютеров заразились почтовым вирусом, что привело к остановке отгрузки нефти в Саудовской Аравии и, по оценкам ESET North America, к убыткам в $1 млн.
А вирусы Petya и WannaCry в июне этого года заразили 500 тыс. компьютеров в 150 странах. До сих пор непонятно, кто стоит за Petya и WannaCry.
Виртуальный мир — такое же стратегически важное пространство, как и космическое, воздушное или морское. Убедиться в этом можно, хотя бы прочитав нормативные документы США и стран НАТО, где прямым текстом говорится о возможности проведения подобных атак. В тех же странах собраны крупнейшие в мире специальные киберподразделения, аналогичных которым нет в России. В Америке в них работают свыше 50 тыс. человек, в каждой из 17 стран ЕС — от 3 тыс. до 12 тыс. человек.
Даже самые сильные страны не могут чувствовать себя в безопасности в киберпространстве. К примеру, в своей книге «Третья мировая война. Какой она будет?» американский эксперт по терроризму Ричард Кларк пишет о том, что первые лица государства, советники по безопасности, министр обороны и руководители АНБ фактически признались, что США не способны противостоять киберугрозам. То есть это заявляет лидирующая в области информационной безопасности страна с самой высокой численностью кибервойск. Там проводятся большая часть всех мировых перспективных научных исследований, регулярные киберучения, помогающие отработать и получить навыки противодействия на реальном объекте критически важной инфраструктуры.
Сегодня в Америке и Европе работают 500 центров прогнозирования компьютерных атак, в России — пять корпоративных и 20 государственных центров. Российские центры относятся к сети СОПКА — системе обнаружения приближения компьютерных атак. Но у этой системы есть минус — она нацелена исключительно на защиту и работает только по факту нападения. Этот недостаток может привести к тому, что после начала атаки защищать уже будет нечего.
Вместе с Китаем Россия пытается договориться с США и НАТО об акте о ненападении, а также о недопущении гонки вооружений в Сети. Но наши коллеги не стремятся к сотрудничеству и совместной работе над угрозами, пытаясь удержать свое превосходство в киберпространстве. Поэтому РФ нужно быть готовой не только обороняться, но и отвечать на агрессию.
Надо сказать, что специализация в сфере информбезопасности становится всё более востребованной. Статистика показывает, что набор студентов на эти направления ежегодно увеличивается. В нашем вузе, к примеру, мы втрое увеличили набор на программу по информационной безопасности, расширив ее новыми дисциплинами: когнитивные технологии раннего предупреждения, моделирование поведения оппонентов в киберпространстве с помощью теории игр, динамический анализ и аналитическая верификация кода, облачные вычисления и мобильная безопасность.
Подходов и методов обнаружения угроз уже существует довольно много. Но, привлекая способную и талантливую молодежь, прорыва на этом направлении добиться легче. В нашей практике есть такие примеры: разработаны новые методы предупреждения и прогнозирования вирусов. Ведется анализ больших данных, фиксируются нетипичные активности. Кроме того, используются нейронные сети, которые на основе данных прогнозируют перспективные атаки и помогают спланировать сценарии отражения атак. Такая методология, кстати, позволила создать классификацию возможных схем распространения вируса WannaCry, которые после атак подтвердились.
Иными словами, отдельных наработок в российских структурах, специализирующихся на вопросах кибербезопасности, вполне достаточно. Теперь нужен следующий шаг — совместно работать на упреждение. Чтобы не приходилось гасить пожар, когда он уже бушует.
Автор — руководитель Центра информационной безопасности Университета Иннополис
Мнение автора может не совпадать с позицией редакции
