Экспертное заключение подготовлено по итогам сессии ПМЭФ-2022: «Милитаризация киберпространства: как пройти идеальный шторм»
Автор: Коршунов Игорь Львович
кандидат технических наук, доцент, заведующий кафедрой информационных систем и технологий Санкт-Петербургского государственного экономического университета
Данный вопрос стал ключевым, вокруг которого было построено все обсуждение, проходившее на сессии «Милитаризация киберпространства: как пройти идеальный шторм». И это не случайно. С момента начала специальной военной операции на Украине киберпространство в нашей стране «закипело», хакерские группировки разделились на два лагеря: поддерживающие Россию и выступающие против нее. Профессиональные хакеры забыли о своей главной цели зарабатывание денег (по крайней мере, в официальных заявлениях) и стали работать за идею. Появилось колоссальное количество хакеров-любителей, которые действительно решили внести свой посильный вклад в происходящие события. Кибератаки стали совершаться на самые различные объекты, фактически сегодня в нашей стране подвергаются атакам государственные органы, предприятия и учреждения, средства массовой информации, общественные организации и частные лица. Задача нападающих взломать любой объект, который окажется ненадежно защищен. На портале Securitylab [1] приведены примеры атак, которые были совершены на наши объекты в первую неделю специальной военной операции: агрохаб «Селятино» Московская область, электрозаправочные станции на трассе Москва-Санкт-Петербург, средства массовой информации (ТАСС, Коммерсант, Фонтанка, РБК, Известия), финансовые организации, авиакомпании, предприятия энергетического и нефтегазового сектора, ритейл. 26 февраля 2022 года было зафиксировано более 50 DDoS-атак мощностью более 1 Тбайта, а также ряд профессиональных целевых атак на портал госуслуг. 9 мая была совершена серьезная целевая атака на видеохостинг Rutube.
Можно ли сложившуюся ситуацию назвать началом кибервойны против России? Для ответа на этот вопрос следует сначала определить, что мы понимаем под кибервойной. Впервые данный термин появился в 2007 году. Целью его введения было стремление выделить особенности ведения информационной войны в пространстве Интернета. На сегодняшний момент нет единого общепризнанного определения данному термину. Целесообразно привести определение, данное экспертом по безопасности правительства США Ричардом А. Кларком в книге «Кибервойна» [2]. Он определяет кибервойну как действия одного национального государства путем проникновения в компьютеры или сети другого национального государства для достижения целей нанесения ущерба или разрушения. В более общем виде кибервойну можно определить как продолжение обычной войны в пространстве Интернета. В этом случае следует обратиться к классическому определению термина «война», данному Карлом Клаузевицем в своем фундаментальном труде «О войне» [3]: «Война это акт насилия, имеющий целью заставить противника выполнить нашу волю». Таким образом, можно сделать вывод, что насилием в интернет-пространстве являются действия, приводящие к разрушению информационной инфраструктуры, уничтожению аппаратных и программных средств, пропагандирующие чуждые государству ценности, распространяющие ложную информацию и другие, т.е. все действия, ведущие к экономическому краху и моральному разложению народа.
Исходя из этой позиции, проанализируем события, происходящие в российском интернет-пространстве за последние четыре месяца. Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком» в своем выступлении на форуме [4] привел статистику по целевым атакам центра кибербезопасности Ростелеком. За указанный период число кибератак увеличилось в семь раз. Самыми атакуемыми инфраструктурами являются: медиа (17%), сайты госведомств (15%), системы госуправления (12%), банки, ритейл (10%). Основные векторы атак: атаки через подрядчиков (27%), утечки учетных записей (23%), фишинг (19%), уязвимости в приложениях (13%), партнерские сети (10%), инсайдеры (8%). Количество закладок в открытом программном обеспечении (open-source) с марта до июня увеличилось более чем в три раза (примерно с 30 до 100 в месяц). Основное направление, откуда осуществляются атаки, это Украина. По мнению экспертов, украинская армия хакеров состоит из 200 500 тысяч человек, одновременно в атаках принимает участие до 100 тысяч человек. Подавляющее количество атак представляют собой DDoS-атаки, которые создают напряженную обстановку в киберпространстве. Их проводят, как правило, начинающие хакеры или любители. В даркнете (DarkNet) для них выложены бесплатные инструменты, базы данных и инструкции по организации и проведению кибератак с указанием объектов, на которые целесообразно направлять атаки. На этом фоне профессиональными хакерскими группировками (предположительно не только украинской национальности) организуются и проводятся целенаправленные атаки на государственные и социально значимые ресурсы. Эти атаки являются основными, их цель уничтожение важных объектов.
Приведенные факты позволяют сделать вывод о том, что в настоящее время территория Украины стала международным террористическим центром в киберпространстве. С одной стороны, это объясняется проведением Россией специальной военной операции на Украине и желанием определенной части украинцев принять участие в «боевых действиях» в киберпространстве. С другой стороны, что более тревожно, США выгодно создать и поддерживать существование такого террористического центра в киберпространстве для решения своих национальных задач. Поэтому они активно финансируют, обучают и снабжают современными инструментами украинских хакеров. Тем самым, создают опасную ситуацию для себя однажды кибертеррористы могут направить свои усилия против США и их партнеров.
Следующий вопрос, который активно обсуждался в рамках указанной сессии, можно определить, как оценка системы информационной безопасности России в условиях резко возросших киберугроз. Общее мнение всех участников обсуждения агрессия против России в киберпространстве не достигла своей цели. Да, были определенные успехи в нарушении ИТ-инфраструктуры отдельных организаций, были взломаны сайты многих средств массовой информации, но подавляющее большинство объектов критической инфраструктуры устояли. В качестве причин успешности кибератак на начальном этапе можно отметить следующие. Фактор неожиданности и недооценка киберугроз особенно проявился в медийных организациях, которые относились к мероприятиям по информационной безопасности формально, выполняя их только на бумаге. Следующая причина заключается в использовании многими организациями иностранных средств защиты информации, которые «неожиданно» перестали функционировать, образовав бреши в защищаемых системах. В качестве еще одной причины можно отметить прагматический подход к организации системы защиты информации на предприятиях, когда определялись возможные угрозы и, исходя из них, строилась система защиты информации. А на практике наблюдался кибервандализм, когда пытались взломать все что угодно, не придерживаясь логики.
Частные успехи в ходе многочисленных атак на российскую ИТ-инфраструктуру были достигнуты, но не больше. По мнению экспертов, это произошло благодаря тому, что государство уже давно считает вопросы информационной безопасности приоритетными. С 2010 года государство поддерживает отечественные разработки, более 30 млрд. рублей им вложено в создание российских технологий в области информационной безопасности. В 2018 году при ФСБ был создан Национальный координационный центр по компьютерным инцидентам, основным назначением которого является реагирование на компьютерные инциденты. Ежегодно на площадках Петербургского международного экономического форума обсуждаются вопросы информационного суверенитета России и ее информационной безопасности. По мнению Александра Шойтова, заместителя Министра цифрового развития, связи и массовых коммуникаций РФ [4] в нашей стране существует полноценная система информационной безопасности, которая предполагает наличие требований, сформированных законодательными актами, контроля, выполняемого государственными надзорными органами (регуляторами) и созданных условий в виде господдержки для деятельности компаний в области информационной безопасности. Анализ событий последних четырех месяцев в киберпространстве подтверждает жизнеспособность и устойчивость указанной системы. Интенсивные атаки на наши системы продемонстрировали профессионализм наших ИТ-специалистов, они восстанавливали системы за несколько дней, когда мировой опыт утверждает, что такие работы выполняются неделями. Произошло объединение как на уровне отдельных специалистов по информационной безопасности, так и конкурирующих компаний перед лицом киберугрозы. В стране изменилось общественное отношение к информационной безопасности, особенно руководители разного уровня прониклись необходимостью создавать реальные системы защиты информации на предприятии. Во многом этому способствовала деятельность государства в данном направлении. С первых дней обострения ситуации в киберпространстве органы государственной власти внимательно следили за ситуацией, анализировали ее и оперативно принимали решения, направленные на стабилизацию положения. В качестве примеров можно привести Указы Президента РФ № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ» [5] и № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности РФ» [6], а также поручение Президента РФ о разработке государственной системы по защите информации, высказанное им на заседании Совета безопасности РФ 20 мая 2022 года [7].
Подводя итог обсуждению мер, которые предпринимаются в нашей стране по защите от кибератак, эксперты констатировали, что ситуацию удалось стабилизировать, наметились сдвиги в положительную сторону, многие компании перешли к практическому решению задач информационной безопасности, реализуются законодательные инициативы, проводятся серьезные подготовительные мероприятия перед новыми атаками, направленные на защиту информационной инфраструктуры и на противодействие компьютерным атакам. Осуществляются тренировки служб информационной безопасности в рамках корпоративных объединений. В рамках ПМЭФ2022 были проведены масштабные международные киберучения по предупреждению чрезвычайной ситуации в результате хакерских атак. Об этом в рамках выступления на сессии заявил их организатор Игорь Ляпунов, вице-президент по информационной безопасности ПАО «Ростелеком» [4]. Кстати, российским опытом противодействия кибератакам активно интересуются страны, стремящиеся вести независимую политику.
Из рекомендаций по совершенствованию системы информационной безопасности в России, прозвучавших во время обсуждения темы, можно отметить следующие. Во-первых, настало время пересмотреть Доктрину информационной безопасности РФ в части, касающейся запрещения ведения наступательных действий в киберпространстве последние события показывают, что без активного подавления организаторов кибератак обеспечить отстаивание наших интересов в киберпространстве невозможно. Во-вторых, активно реализовывать программу импортозамещения программного обеспечения и программу развития отечественной микроэлектроники без отечественных программно-аппаратных средств построить надежную системы информационной безопасности невозможно. В-третьих, совершенствовать законодательство в сфере киберпреступлений законы не успевают за появляющимися новыми видами киберпреступлений, расследование которых должно отличаться от расследования обычных преступлений. В-четвертых, развивать культуру общения коллег по информационной безопасности различных компаний одной отрасли обмен опытом по отражению кибератак, помощь в организации противодействия атакам должны быть нормой поведения, только в этом случае возможно эффективное противодействие атакующим, которые действуют совместно. В-пятых, обучение сотрудников и отдельных граждан основам информационной безопасности всеобщая информационная грамотность позволит исключить целый ряд взломов, которые происходят по вине пользователей. В-шестых, шире применять меры по информированию регулятором пользователей о состоянии дел в информационной безопасности, рекомендациях по защите информации, об отечественных решениях, которыми можно воспользоваться. Большинство из перечисленных рекомендаций уже обсуждались на различных форумах, и по словам Татьяны Матвеевой, начальника Управления Президента РФ по развитию информационно-коммуникационных технологий и инфраструктуры связи руководство страны о них знает и работает над их реализацией [4].
В завершении обзора следует ответить на вопрос, вынесенный в заголовок темы. На основе анализа приведенной информации можно предположить, что война в киберпространстве для России пока не началась. Основанием для такого вывода является отсутствие активных действий государственных подразделений других стран (за исключением Украины), направленных на уничтожение наших инфраструктур. Несомненно, подобные подразделения участвуют в массовых кибератаках на наши объекты, но опосредованно через организацию и поддержку действий украинских хакеров или оплачивая деятельность международных профессиональных хакерских группировок. Иногда они и сами организуют целевые кибератаки на наши объекты с целью испытания новых инструментов или отработки новых методов, но делают это анонимно и нерегулярно. Сложившуюся ситуацию в российском киберпространстве предлагается назвать «беспредельным киберхулиганством».
Список источников:
1. Обзор информационной безопасности за период с 25 февраля по 2 марта 2022 года //https://www.securitylab.ru/news/530398.php, 22.06.2022.
2. Clarke, Richard A. Cyber War, HarperCollins (2010)
3. Клаузевиц Карл фон. О войне. // Изд-во: Эксмо-Пресс, 2021.- 160 с.
4. Милитаризация киберпространства: как пройти идеальный шторм. //https://roscongress.org/sessions/spief-uroki-kiberkrizisa-chto-zhdat-v-budushchem/translation/, 27.06.2022.
5. Указ Президента РФ № 166 от 30.03.2022 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры РФ».
//http://www.consultant.ru/document/cons_doc_LAW_413177/, 27.06.2022.
6. Указ Президента РФ № 250 от 01.05.2022 «О дополнительных мерах по обеспечению информационной безопасности РФ».
//http://www.consultant.ru/document/cons_doc_LAW_413177/, 27.06.2022.
7. Против России развязана настоящая война. Как она будет защищаться. Газета.ru. //https://www.gazeta.ru/politics/2022/05/20/14882558.shtml, 27.06.2022.
Экспертные аналитические заключения по итогам сессий деловой программы Форума и любые рекомендации, предоставленные экспертами и опубликованные на сайте Фонда Росконгресс являются выражением мнения данных специалистов, основанном, среди прочего, на толковании ими действующего законодательства, по поводу которого дается заключение. Указанная точка зрения может не совпадать с точкой зрения руководства и/или специалистов Фонда Росконгресс, представителей налоговых, судебных, иных контролирующих органов, а равно и с мнением третьих лиц, включая иных специалистов. Фонд Росконгресс не несет ответственности за недостоверность публикуемых данных и любые возможные убытки, понесенные лицами в результате применения публикуемых заключений и следования таким рекомендациям.
Фонд Росконгресс – социально ориентированный нефинансовый институт развития, крупнейший организатор общероссийских, международных, конгрессных, выставочных, деловых, общественных, молодежных, спортивных мероприятий и событий в области культуры, создан в соответствии с решением Президента Российской Федерации.
Фонд учрежден в 2007 году с целью содействия развитию экономического потенциала, продвижения национальных интересов и укрепления имиджа России. Фонд всесторонне изучает, анализирует, формирует и освещает вопросы российской и глобальной экономической повестки. Обеспечивает администрирование и содействует продвижению бизнес-проектов и привлечению инвестиций, способствует развитию социального предпринимательства и благотворительных проектов.
Мероприятия Фонда собирают участников из 209 стран и территорий, более 15 тысяч представителей СМИ ежегодно работают на площадках Росконгресса, в аналитическую и экспертную работу вовлечены более 5000 экспертов в России и за рубежом.
Фонд взаимодействует со структурами ООН и другими международными организациями. Развивает многоформатное сотрудничество со 212 внешнеэкономическими партнерами, объединениями промышленников и предпринимателей, финансовыми, торговыми и бизнес-ассоциациями в 86 странах мира, с 293 российскими общественными организациями, федеральными и региональными органами исполнительной и законодательной власти Российской Федерации.
Официальные телеграм-каналы Фонда Росконгресс: на русском языке – t.me/Roscongress, на английском языке – t.me/RoscongressDirect, на испанском языке – t.me/RoscongressEsp, на арабском языке – t.me/RosCongressArabic. Официальный сайт и Информационно-аналитическая система Фонда Росконгресс: roscongress.org.