УДК:
DOI:

Как победить в кибервойне?

Опыт борьбы с дистанционным кибернетическим терроризмом в США

How to win in a cyberwar?
US experience in remote cybernetic terrorism suppression

A. KORNEEV, Center of Energy Security Problems,
Institute for the U.S. and Canada Studies of the Russian Academy of Sciences

В связи с общим ростом уровня террористической угрозы и увеличением числа попыток диверсионных действий в отношении различных энергетических объектов на территории России все более актуальным становится совершенствование комплексных мер по обеспечению повышенной надежности их эксплуатации.

In the context of general aggravation of terroristic threats and increase in the number of subversive operations aimed at various energy facilities, improvement of comprehensive measures for energy facility operational reliability enhancement is becoming more and more vital.

Модернизация ТЭК и кибернетические угрозы

В рамках внесенного в марте 2011 г. на рассмотрение ГД РФ президентского проекта нового федерального закона «О безопасности объектов топливно-энергетического комплекса» более четко определены современные принципы обеспечения безопасности предприятий топливно-энергетического комплекса, установлены дифференцированные требования к обеспечению безопасности с учетом степени угрозы совершения акта незаконного вмешательства и его возможных последствий, предусмотрены кодификация и охранная паспортизация объектов. Активно разрабатываемая в последнее время новая отечественная доктрина энергетической безопасности также предусматривает необходимость постоянного совершенствования мер защиты энергетических объектов от террористов в ходе их последовательной модернизации и перевода на инновационную модель развития. В апреле 2011 г. Президент РФ Д.А. Медведев подписал дополнительный перечень поручений федеральным органам исполнительной власти, обеспечивающих усиление контроля эксплуатации и антитеррористической защищенности всех объектов ТЭК [1].

Вместе с тем следует иметь в виду, что быстро набирающее темпы в настоящее время во всем мире интенсивное внедрение автоматизированных компьютерных систем дистанционного контроля и управления производственными процессами на предприятиях и объектах инфраструктуры ТЭК способствует появлению дополнительных опасных угроз кибернетических атак нового типа не только в форме не санкционированного доступа к закрытой информации, но и в виде неизвестных ранее возможностей для осуществления на расстоянии разнообразных диверсионных действий, в том числе скрытно организуемых с территорий других государств.

Заметим, что в последние годы после создания первых образцов электромагнитного оружия (ЭМО) для дистанционного наведения с помощью компактных импульсных ударно-волновых генераторов электромагнитного излучения внутренних токов высокого напряжения с целью выведения из строя электрического и электронного оборудования, а также снижения боеспособности живой силы противника, внимание авторов зарубежных военных разработок стали все более часто привлекать идеи создания комплексных систем электронно-цифровых наступательных вооружений.

При этом в странах НАТО и в Китае обычно рассматривают три основных сценария ведения возможных будущих «кибервойн». Первый и наиболее опасный представляет собой неожиданную атаку на автоматизированные информационные системы управления важнейшими государственными и коммерческими объектами: атомной промышленностью, железными дорогами, топливными трубопроводами, насосными станциями, нефте- и газохранилищами, линиями электропередач и аэропортами. Разрушения, к которым могут привести такие операции, вполне сопоставимы по масштабу с последствиями обычных реальных бомбардировок. Второй сценарий предполагает атаку на ключевые Интернет-ресурсы, коммуникационное оборудование, веб-сайты и внутренние сети государственных органов. Взлом и блокировка этих систем неизбежно приведут к хаосу и параличу аппарата государственного управления. Третий сценарий предусматривает использование особых методов скрытого кибернетического воздействия на противника с помощью новых активно разрабатываемых программных и аппаратных средств для повышения эффективности традиционных военных действий.

По мнению многих зарубежных экспертов активные государственные НИОКР в данной области и неизбежные случаи попадания подобных новых опасных технологий в руки террористических группировок могут уже в ближайшее время стать серьезной угрозой энергетической безопасности [2].

Как следует из документов, опубликованных в прошлом году в Германии, в предложенной генеральным секретарем НАТО А.Ф. Расмуссеном новой стратегической концепции альянса, которая была одобрена в ноябре 2010 г. на саммите НАТО в Лиссабоне, для реализации обязательств его участников в рамках коллективной обороны наряду с ядерным сдерживанием предусмотрены и активные действия в международных компьютерных сетях [3].

Заметно участившиеся случаи возникновения разнообразных труднообъяснимых аварийных ситуаций во многих странах свидетельствуют о том, что современные предприятия нефтегазовой и электроэнергетической инфраструктуры становятся все более уязвимыми в отношении сетевых террористических внедрений и актов высокотехнологичного саботажа. Так, например, одной из окончательных версий, выдвинутой ФБР в ходе расследования катастрофического пожара и многочисленных мощных взрывов в марте 2004 г. на крупном американском нефтеперерабатывающем заводе компании British Petroleum Amoco в американском г. Техас-Сити, практически уничтоживших предприятие, вызвавших многочисленные человеческие жертвы и резкий рост биржевых цен на топливо, стала возможность подтвержденного следственными экспериментами замаскированного дистанционного изменения технологических температурных режимов ректификационного оборудования по сети Интернет [4].

Одним из недавних и наиболее потенциально опасных из множества подобных подозрительных инцидентов стало одновременное нарушение работы сразу двух американских АЭС компании Entergy Corp. в ноябре 2010 г. Сначала из-за отказа дистанционно управляемых клапанов трубопроводных систем охлаждения, утечек радиоактивных вод и неисправности насосов первого контура была на неделю остановлена АЭС «Vermont Yankee» в штате Вермонт. Менее чем через час после первого инцидента в Вермонте неожиданно и без видимых причин взорвался и сгорел один из мощных силовых трансформаторов на территории атомной станции «Indian Point», расположенной в штате Нью-Йорк, что вызвало аварийное отключение ее реакторов. Во всех отмеченных случаях регистрировались сбои компьютерных систем управления и несанкционированный удаленный доступ к программному обеспечению [5].

Несмотря на дорогостоящие усиленную охрану и круглосуточный мониторинг, в последнее время на американских буровых установках, нефте- и газопроводах и на перерабатывающих заводах все более часто стали происходить опасные утечки топливных продуктов, пожары и взрывы. Ситуация усугубляется тем, что общая протяженность существующих коллекторных и распределительных нефтяных трубопроводов различного диаметра в США оценивается в 217,3 тыс. км, газовых – примерно в 3,2 млн км1.

Так как основная часть действующих производственных и транспортных систем была построена еще в 50-е и 60-е годы прошлого века, растущий опасный физический износ и коррозия диктуют необходимость интенсивных работ по их замене и модернизации. При этом, в первую очередь, на основных внутренних и международных магистральных трубопроводах (рис. 1), все более широко применяются автоматизированные компьютерные системы дистанционного контроля технологических данных и управления новых поколений2.
Рис. 1. Расположение главных магистральных нефтепроводов США
Составлено по данным Allegro Energy Group, USA.
Их очевидными преимуществами являются надежное обеспечение непрерывного мониторинга объема перекачиваемых продуктов и состояния сетевого интерфейса, а также постоянного контроля параметров текущего использования энергоносителей на уровне конечных потребителей для активного стимулирования энергосбережения. Вместе с тем при этом неизбежно возникают новые возможности для опасных террористических актов и сложные системные проблемы обеспечения технологической безопасности.

Вирусы-диверсанты. Новое поколение

К настоящему времени в мире выявлено уже несколько десятков новых опасных компьютерных вирусов модульного типа, скрытно внедряемых в промышленные, энергетические и финансовые сети, либо для несанкционированного доступа к конфиденциальной информации, либо с целью дистанционных вредоносных действий. Наиболее опасным из них был признан вирус (точнее – троянский вирусный червь) «Win32/Stuxnet», которому в ноябре 2010 г. было посвящено специальное экстренное заседание американского сенатского Комитета по внутренней безопасности и обеспечению правительственной деятельности (United States Senate Homeland Security and Governmental Affairs Committee). При этом директор Национального центра кибернетической безопасности и коммуникационной интеграции (National Cybersecurity and Communications Integration Center) Министерства внутренней безопасности США Шон Мак Гурк был вынужден признать, что угроза внезапного кибернетического нападения нависла над всеми критически важными элементами национальной инфраструктуры [6].

Как выяснилось в ходе заседания комиссии, только с начала 2010 г. в США было зарегистрировано 12 опасных вирусных инцидентов, потребовавших полной остановки зараженных компьютерных систем производственного управления и выезда на места аварий федеральных групп быстрого реагирования [7].

Материалы Конгресса США, а также ряд опубликованных в открытой печати данных показывают, что «Stuxnet» относится к новому классу программного обеспечения, разработанного на государственном уровне для неожиданных диверсионных кибернетических атак и обеспечения военных наступательных операций. Эта программа использует для несанкционированного внедрения различные не известные ранее комплексные уязвимости в защите операционных систем (типа «zero-day exploits» с открытой датой внешней активации), скрытно полученные подлинные сертификаты для легализации встраивания своих кодов в разнообразные операционные системы и особые механизмы с элементами «искусственного интеллекта» для самостоятельного многоэтапного распространения вредоносных файлов.

Первоначальное заражение промышленных компьютеров с операционными системами MS Windows происходит путем внедрения вируса с обычных USB флеш-карт и его последующего перехода в программное обеспечение типа Siemens SPS Step 7 для промышленных систем диспетчерского управления. Вирус также использовал неизвестную ранее уязвимость в защите от подсоединения посторонних USB-устройств, независимую от версии операционной системы. Начиная с середины 2010 г. было зафиксировано проникновение «Stuxnet» в сотни тысяч производственных компьютерных систем по всему миру.

Уже в июле 2010 г. американская корпорация Microsoft была вынуждена официально подтвердить, что данный код активно и беспрепятственно заражает все компьютеры с ОС MS Windows в составе крупномасштабных государственных и коммерческих систем управления SCADA, включая электростанции, сети электропередач, нефте- и газопроводы, перерабатывающие заводы, топливные склады и крупные военные объекты3. При этом, без ведома производителей, оказались задействованы специальные секретные недокументированные закладки операционной системы, созданные ранее в целях обеспечения скрытного государственного контроля по стандартам Агентства национальной безопасности США (National Security Agency/Central Security Service). В конце 2010 г. «Stuxnet» был протестирован израильскими специалистами на секретном ядерном объекте «Димона» в пустыне Негев и признан эффективным средством выведения из строя скоростных газовых центрифуг и перекачивающих насосов в Иране [8].

В январе 2011 г. постоянный представитель России при НАТО Д.О. Рогозин выступил с официальным предупреждением, что «Stuxnet» может привести к катастрофе, сравнимой по масштабам с Чернобыльской трагедией 1986 г., и потребовал независимого международного расследования вирусной атаки на Бушерский ядерный реактор в Иране, особо подчеркнув, что данный инцидент мог вызвать непредсказуемые последствия из-за пульсирующей раскрутки турбин и отключений электроснабжения [9]. К апрелю 2011 г. неактивизированный, но вполне работоспособный «Stuxnet» был уже обнаружен в более чем половине компьютерных систем немецких энергетических компаний, а также трубопроводных операторов коммунального и промышленного распределения природного газа и воды. Аналогичная степень данного вирусного заражения была подтверждена во Франции, Индии и в ряде других стран [10].

В конце апреля 2011 г. иранские власти заявили об обнаружении распространения еще более совершенного аналогичного полиморфного компьютерного вируса модульного типа, получившего условное обозначение «Stars», мишенью которого должны были стать государственные исследовательские лаборатории и учреждения. Этот вирус маскировался под видом стандартных компьютерных файлов, которые используют правительственные организации, и мог быть нацелен против новой секретной иранской программы по разработке экспериментального реактора для управляемого термоядерного синтеза [11].

Особенностью «Stuxnet» и его клонов является сложная система внутреннего шифрования компонентов, скрывающая их структуру и конкретное целевое назначение. Вирусный код способен выполнять свыше 4000 специализированных команд, меняя их последовательность в зависимости от ситуации. Разработчиками были обеспечены скрытность его работы, маскировка всех этапов внедрения и распространения, а также запуск целевой миссии вируса только в случае четкого подтверждения того, что он проник именно в ту управляющую систему, на которую был изначально нацелен. «Stuxnet» использовал для внедрения не одну, а сразу четыре прежде неизвестные системные бреши, включая уязвимость «спулера печати» и две «EoP-уязвимости». Сразу после попадания в корпоративную сеть «Stuxnet» самостоятельно повышал свои системные привилегии для того, чтобы получить беспрепятственный доступ ко всем другим подключенным ПК, целенаправленно разыскивая системы с промышленными программами управления SIMATIC WinCC (Windows Control Center) и Siemens SPS SCADA. Основные особенности алгоритма внедрения вируса показаны на рис. 2.
Рис. 2. Внедрение вируса Win32/Stuxnet в закрытые сегменты управления промышленными и инфраструктурными объектами
Составлено по данным: Broad W.J., Markoff J., Sanger D.E. Israeli Test on Worm Called Crucial in Iran Nuclear Delay // The New York Times. 2011. January 15.
Захватив эти системы, вирус применял скрытно полученный его разработчиками внутренний закрытый пароль корпорации Siemens для перехвата управления программным обеспечением производственного контроля. В качестве следующего шага вирус самостоятельно перепрограммировал ключевой блок P.L.C4. для того, чтобы диктовать всем управляемым системой SCADA механизмам новые команды и инструкции. Следует особо подчеркнуть, что вредоносный код атакующего вируса для каждой зараженной операционной системы выглядел полностью легитимным, так как впервые в известной практике был дополнительно снабжен двумя подлинными цифровыми сертификатами компаний Realtek Semiconductor и JMicron Technology, беспрепятственно проходившими все стандартные проверки защитных подсистем.

Для минимизации риска обнаружения вируса в каждом периферийном USB-устройстве, с которого поступал «Stuxnet», был предусмотрен программный самоуничтожаемый счетчик, не позволявший инфицировать более трех компьютеров первичной контактной зоны с целью ограничения масштабов распространения вируса только ближайшим главным объектом атаки. Хотя функционирование червя «Stuxnet» рассчитано на полностью автономную работу, возможен запуск его действий по ручной команде или специальному триггерному (запускающему) событию в зараженной системе. Вирус дополнительно оснащен впервые используемым на практике «руткитом P.L.C.», скрывающим вредоносный программный STL-код5. По сути это специальный внедряемый модуль ядра операционной системы, который устанавливается при взломе сразу после получения повышенных прав «суперпользователя»; он включает в себя разнообразные средства для «заметания следов» вирусного вторжения. Особенностью универсального «руткита» вируса «Stuxnet» является возможность дополнительно замещать и основные утилиты операционной системы UNIX. Это позволяет ему надежно закрепляться в любом взломанном компьютере и сделать полностью невидимыми для пользователей следы своей вредоносной деятельности. «Stuxnet» также способен неоднократно внешне модифицировать сам себя без потери функциональности (обладает встроенным полиморфизмом), что затрудняет его выявление стандартными антивирусными программами по базам данных.

В процессе своего распространения «Stuxnet» ищет специфические установочные параметры целевой системы. Следует иметь в виду, что промышленные SCADA-системы состоят из множества отдельных узлов и датчиков с дистанционным управлением, измеряющих температуру, давление, объемы и скорость потоков жидкостей и газов. Системные рабочие узлы, получающие такие данные, управляют моторами, вентилями и прочими механизированными приводами, необходимыми для поддержания нормативных условий осуществления промышленных процессов в безопасных пределах. Среди специфических шагов, которые способен делать «Stuxnet» при обнаружении цели, оказались блокирующие и замедляющие изменения во фрагментах программного кода корпорации Siemens, известных как оперативный «Блок 35». Этот компонент занимается мониторингом критических производственных операций, требующих срочной реакции автоматического управления в пределах 100 миллисекунд. Целенаправленно вмешиваясь в работу «Блока 35», «Stuxnet» может гарантированно вызвать аварийный сбой в работе, ведущий к саморазрушению любого опасного промышленного процесса с катастрофическими последствиями [12].

Как только «Stuxnet» выявляет заданную критически существенную функцию в модуле P.L.C., он сразу берет управление атакованной производственной системой на себя. После этого он может, например, включать перевод скорости вращения турбин на максимально возможные обороты, отключать системы смазки или любые другие жизненно важные функции. Конкретная природа повреждений, вызываемых червем, остается неизвестной операторам атакуемой системы до момента его срабатывания, так как по внутреннему коду программы Siemens SPS нельзя сразу понять, за что именно отвечают задаваемые параметры. «Stuxnet» способен выводить из строя высокоскоростные центрифуги, модифицируя управляющие коды частотных преобразователей. При этом в очень короткий интервал времени могут посылаться команды, предписывающие создание скачка выходной частоты. В результате оборудование периодически незаметно выходит за пределы допустимого режима работы и начинается накопление внутренних усталостных повреждений конструкционных материалов без срабатывания датчиков аварийной защиты и уведомления обслуживающего персонала. До начала своих целевых модификаций вирус незаметно записывает сигналы нормального режима работы и затем посылает их на экраны диспетчерских систем управления для обмана дежурных администраторов.

Аналогичные по итоговому внутреннему характеру и не замеченные вовремя операторами кумулятивные разрушающие эффекты, как известно, привели к катастрофическому выходу из строя второй турбины Саяно-Шушенской ГЭС в августе 2009 г. [13]. Хотя в последнем случае проведенное техническое расследование причин аварии не выявило фактов диверсионного воздействия, этот пример показывает, что использование кибернетического оружия может легко маскироваться под обычные, все более частые техногенные аварии, вызванные нестационарными колебательными процессами, превышением сроков эксплуатации устаревшего оборудования, нарушениями установленных безопасных режимов эксплуатации и графиков технического обслуживания оборудования, а также низкой квалификацией руководства и ремонтного персонала предприятий.

В будущем по описанной схеме могут создаваться гораздо более сложные и эффективные модульные инструменты вредоносного кибернетического воздействия, являющиеся высокоточным оружием избирательного назначения. Оно характеризуется относительной дешевизной и простотой применения, хорошей совместимостью со старыми диверсионными средствами, скрытностью использования, избирательностью зон поражения национальных систем жизнеобеспечения и прямой нацеленностью на сознательную дезорганизацию техногенной среды обитания развитых государств.

Противовирусный щит

С учетом появления новых угроз, начиная с данного момента, обязательным условием обеспечения бесперебойной работы всех добывающих, перерабатывающих и транспортно-распределительных предприятий ТЭК становится системная организация их активной защиты не только от обычных средств нападения, но и от быстро развивающихся компьютерных средств сетевого вторжения. При этом должны осуществляться комплексные меры по совершенствованию стандартов и процедур обеспечения производственной безопасности. Основные приоритеты такого подхода связаны с разработкой и использованием более надежного и безопасного технологического оборудования, надежной охраной производственных территорий и транспортной инфраструктуры, непрерывной профессиональной переподготовкой персонала, регулярными тренировками и учениями специализированных корпоративных, муниципальных и федеральных служб безопасности по проведению спасательных и контртеррористических операций. Многие такие процедуры должны заранее учитываться уже на стадии проектирования буровых установок, трубопроводной инфраструктуры и оборудования перекачивающих станций. Определенный интерес в этом плане для российских топливно-энергетических компаний представляет уже накопленный практический опыт США.

Учитывая высокую насыщенность современных американских энергетических предприятий компьютерными управляющими системами, без которых они уже не могут нормально функционировать, что резко повышает угрозу аварийных ситуаций и диверсий, специалисты по информационной безопасности Американского нефтяного института (API) и федерального Центра защиты национальной инфраструктуры (National Infrastructure Protection Center, NIPC) выделяют 7 основных типов возможных локальных и дистанционных атак на производственные компьютерные системы.

К ним относятся:
  • дискредитация и потери данных при осуществлении скрытого несанкционированного доступа к файловой системе компьютеров;
  • отказ в предоставлении информационных ресурсов пользователям в результате вывода из строя аппаратных и программных компонентов;
  • блокирование каналов рассылки электронной почты или изменение функциональных свойств компьютеров в результате вирусного заражения;
  • промышленный или военный шпионаж в ходе взлома компьютерных сетей и скрытой установки программ для перехвата данных;
  • использование программных вирусов, «троянских червей» и специальных кодов с целью получения прав дистанционного управления операционными системами и технологическими процессами, хищения паролей и модификации записей контроля состояния вычислительных систем;
  • скрытое использование взломанных компьютеров для проведения распределенных массовых сетевых атак, осуществления террористических актов или отвлечения внимания сетевых администраторов от защиты определенной части компьютерных сетей;
  • ложные утечки информации и фальсифицированные данные об аварийных ситуациях и новых видах уязвимостей операционных систем для отвлечения внимания служб безопасности от направления «главного удара» [14].
Такая классификация позволяет облегчить первичное распознавание признаков обычно скрытного нападения.

Неоднократно проводимые Пентагоном и ФБР в последние годы комплексные учения по имитации несанкционированного проникновения в наиболее защищенные информационные системы военного назначения показали, что более чем в 80% случаев такие атаки увенчались полным или частичным успехом и лишь 4 – 5% попыток дистанционного доступа были своевременно обнаружены и пресечены.

Согласно данным портала информационной безопасности известной международной специализированной компании Content Security, сравнительные степени опасности «человеческого фактора» внутренних и внешних угроз распределяются следующим образом: разглашение данных из-за излишней болтливости персонала – 32%; несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок – 24%; отсутствие надлежащего внутреннего режима и жестких условий обеспечения информационной безопасности – 14%; традиционный неконтролируемый обмен производственным опытом – 12%; бесконтрольное использование информационных систем – 10%; возникновение среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой по сплочению производственного коллектива – 8% [15]. Таким образом, наиболее уязвимым элементом производственных систем является недостаточно мотивированный и плохо подготовленный к критическим ситуациям персонал.

Основным способом обеспечения кибернетической безопасности в нефтегазовом секторе США в настоящее время является формирование на каждом предприятии постоянно действующей «Группы реагирования на нарушения работы компьютерных систем» (Computer Security Incident Response Team – CSIRT). Главными задачами таких групп являются мониторинг всех имеющихся компьютеров на рабочих местах, внутренних локальных сетей и их соединений с Интернетом, устранение уязвимостей программного обеспечения путем регулярного обновления его компонентов, ликвидация вирусных заражений, восстановление вредоносно модифицированных программ, аудит информационных угроз и атак взломщиков, совершенствование политики внутренней информационной безопасности, обучение персонала необходимым действиям с доведением их до автоматизма.

Из-за сложности большинства подобных аварийных ситуаций при этом обычно практически невозможно решать все возникающие задачи одновременно. Поэтому федеральными нормативными документами в США установлены 5 последовательных уровней приоритетов, которые должны соблюдаться в ходе ликвидации любых компьютерных инцидентов. Эти приоритеты включают следующие требования:
  • обеспечивать сохранение жизни людей и их физическую безопасность;
  • оберегать информационные ресурсы, связанные с национальной безопасностью и коммерческими интересами частных производственных компаний;
  • обеспечивать сохранность управленческих, статистических и аналитических данных, потеря которых ведет к значительным убыткам;
  • предотвращать необратимые повреждения программных и аппаратных ресурсов компьютерных систем;
  • защищать отдельные компьютеры на рабочих местах путем их быстрого автоматического или ручного отключения от локальных информационных сетей и питания в момент возникновения аварийной ситуации.
Одной из главных задач сотрудников групп CSIRT является контроль соблюдения 10 обязательных правил компьютерной безопасности, установленных NIPC для всех предприятий государственного и коммерческого секторов:
  • использование изменяемых в неодинаковые промежутки времени и не повторяющихся надежных длинных паролей машинной генерации;
  • идентификация и непрерывный мониторинг доступа всех пользователей к компьютерам;
  • ежесуточное резервное копирование данных на защищенные удаленные носители;
  • регулярное обновление баз данных постоянно действующих программных средств антивирусной защиты;
  • применение часто обновляемых защитных сетевых экранов программного и аппаратного исполнения;
  • регулярное обновление общего и специализированного программного обеспечения для быстрого закрытия новых уязвимостей;
  • физическое отключение компьютеров от сетей при авариях и длительных перерывах в работе;
  • полная фильтрация и строгий контроль вложений электронной почты;
  • применение на всех компьютерах съемных жестких дисков магнитной памяти со встроенной внутренней криптографией для раздельного защищенного хранения и дублирования данных;
  • создание многоконтурных зон физической защиты оборудования и систем постоянного контроля вскрытия аппаратуры [16].
В состав групп реагирования на нарушения безопасности работы компьютерных систем обычно входят: координатор группы, администратор защитных сетевых экранов, главный системный администратор, менеджер по выявлению внешних и внутренних компьютерных атак и несанкционированного доступа к системным ресурсам, администратор систем антивирусной защиты, администратор контроля электронной почты, веб-мастер внутренних и внешних сайтов. Важным условием предотвращения угроз информационной безопасности и ликвидации коррупционных утечек данных является недопустимость совмещения выполнения указанных функций одними и теми же сотрудниками.

Каждый из администраторов при этом должен нести личную персональную ответственность только за свой участок работы и никогда не иметь доступа к закрытой информации других членов группы. Применяются также составные пароли, изменяемые части которых хранятся у разных сотрудников и срабатывают только при коллективном одновременном или разнесенном по времени вводе в строго определенной нелинейной последовательности. Эффективным методом профилактической защиты является создание фрагментов ложных диспетчерских компьютерных сетей для выявления инсайдерской агентурной активности, внутренней коррупции и избирательного вирусного заражения. Группа быстрого реагирования всегда действует в тесном контакте с директором информационной службы предприятия (Chief Information Officer, CIO), службой внутренней безопасности, внутренними и внешними экспертами, менеджерами функциональных систем производственного управления, юридическими консультантами и специалистами по связям с общественностью. Доклады по каждому выявленному инциденту служат основанием для привлечения к его расследованию местных и федеральных правоохранительных органов. Принятая в США унифицированная система мер государственного управления для обеспечения энергетической безопасности обеспечивает постоянное циклическое обновление и адаптацию используемых защитных мер к новым видам угроз с учетом внутреннего и международного опыта.

Выводы и рекомендации

Повышенная уязвимость всех объектов ТЭК к активным и пассивным методам кибернетических атак требует особых мер по их защите от любых возможных способов несанкционированного доступа и целенаправленного нападения, способных создать исключительно тяжелые, затратные и опасные последствия системного характера. Поэтому в методологическом плане такие угрозы целесообразно рассматривать как возможность использования новой разновидности информационного оружия производственного назначения. При этом следует учитывать, что информационное оружие подразделяется на оборонительное и наступательное. Имеющиеся оборонительные системы в первую очередь предназначены для защиты собственной информационной инфраструктуры и личного состава. К ним относятся защитные информационно-программные средства, нацеленные на профилактику, своевременное выявление фактов атак и на их отражение. Для успешной борьбы с кибернетическим терроризмом необходимы также и комплексы наступательного оружия, которое используется для уничтожения вражеских систем получения, хранения и обработки информации для принятия решений, кибернетических средств нападения противника, а также для перехватов его управляющих сигналов и подачи ложных данных во вредоносные коммуникационные системы.

Для реализации такого наиболее результативного подхода необходимы новые независимые государственные и частные охранные структуры, осуществляющие постоянный мониторинг возможного внедрения нового вредоносного ПО во все промышленные системы, аудит установленных защитных систем, а также независимый контроль качества обучения и переподготовки персонала. Актуальность этого направления была дополнительно подчеркнута недавним решением Правительственной комиссии по высоким технологиям и инновациям РФ, которая в апреле 2011 г. возложила координацию соответствующих работ в нашей стране в рамках технологической платформы «Интеллектуальная энергетическая система России» на Российское энергетическое агентство (РЭА РФ) [17].

Важное значение в данной сфере имеет и многостороннее международное сотрудничество, которое желательно развивать на базе взаимного укрепления коллективной технологической безопасности, организации многосторонней региональной охраны международных и внутренних топливных трубопроводов, привлечения экспертов из разных стран для прогнозирования и профилактики перспективных угроз.

Показательным примером такого подхода является недавнее специальное российско-американское межправительственное «Соглашение о сотрудничестве в области мирного использования атомной энергии» (так называемое «Соглашение 123»), вступившее в силу в начале 2011 г. [18]. Указанные целевые приоритетные позиции также предусмотрены в рамках недавно ратифицированных аналогичных соглашений нашей страны с Японией и Турцией. Не менее важным представляется и реализация новых российских инициатив по активному распространению и принятию во всех странах мира унифицированных повышенных стандартов технологической и информационной безопасности в энергетической сфере с помощью различных специализированных международных организаций, профессиональных ассоциаций и объединений.

Литература

  1. Медведев Д.А. Вступительное слово на заседание Совета безопасности РФ «О состоянии и мерах по обеспечению энергетической безопасности России». Москва: Президент России, официальный сайт, 13 декабря 2010 г.; Утвержден перечень поручений о мерах антитеррористической безопасности объектов ТЭК. Москва: Президент России, официальный сайт, 11 апреля 2011 г.
  2. Perez А. La ciberguerra pasa al ataque // Publico.es. 2010. June 27; Markoff J., Sanger D.E. Shanker T. In Digital Combat, U.S. Finds No Easy Deterrent // The New York Times. 2010. January 25.
  3. Blechschmidt Р. Nato rustet sich fur Computer-Kriege // Sueddeutsche Zeitung. 2010. Oktober 1.
  4. Oil Hits New High After Refinery Blast // Reuters. 2004. August 13; Texas City put on edge by BP explosion // Texas City Sun. 2004. March 30.
  5. Malik N.S. Entergy Ends Effort to Sell Vermont Nuclear Plant // The Wall Street Journal. 2011. March 30.
  6. Statement for the Record of Sean P. McGurk, Acting Director, National Cybersecurity and Communications Integration Center, Office of Cybersecurity and Communications National Protection and Programs Directorate Department of Homeland Security. Wash.: the United States Senate Homeland Security and Governmental Affairs Committee, November 17, 2010. 13 pp.
  7. Statement of Ranking Member Senator Susan M. Collins «Securing Critical Infrastructure in the Age of Stuxnet» before the United States Senate Committee on Homeland Security and Governmental Affairs. Wash.: the United States Senate Homeland Security and Governmental Affairs Committee, November 17, 2010. 3 pp.
  8. Stuxnet specifically targeted Iranian nuclear program // The Jerusalem Post. 2010. November 20.
  9. Brunnstrom D. Russia says Stuxnet could have caused new Chernobyl // Reuters (Brussels). 2011. January 26.
  10. Вачедин, Д. Немецкие энергетические системы заражены компьютерным вирусом Stuxnet // Deutsche Welle. 2011. 16.04.
  11. Mostafavi Ramin. Iran says it has detected second cyber attack // Reuters (Tehran). 2011. April 25.
  12. Falliere N., Murchu L.O., Chien E. W32.Stuxnet Dossier. – Wash.: Symantec Corporation, February 2011. 69 pp.
  13. Тарасов В.Н. Механизмы Саяно-Шушенской аварии: факты и гипотезы // Тайга.инфо. 2011. 9 марта; сетевой портал http://tayga.info.
  14. Корнеев А.В. Если для нефтянки прозвучит сигнал «мэйдэй»: американские новации в борьбе с угрозой террористических актов в нефтяной отрасли // Нефть России. 2004. № 6. С. 114 – 116.
  15. Content Security Pty Ltd.; сетевой портал http://www.contentsecurity.com.au.
  16. Handling Cyber Security Alerts and Advisories and Reporting Cyber Security Incidents, DOE N 205.4. Wash.: U.S. Department of Energy, March 2002. 8 pp.
  17. Протокол заседания Правительственной комиссии по высоким технологиям и инновациям РФ от 1 апреля 2011 г. № 2.
  18. Корнеев А.В. «Соглашение 123» формирует правовые рамки для сотрудничества России и США в сфере мирного атома // Пресс-центр атомной энергетики. 2011. 13 января.

References

  1. D.A. Medvedev. Opening Speech at the Session of the RF Security Council “About the current situation and measures for ensuring energy security of Russia”. Moscow: The President of Russia, official site, December 13, 2010; Approved list of instructions on anti-terrorist security of fuel and energy facilities. Moscow: The President of Russia, official site, April 11, 2011.
  2. Perez А. La ciberguerra pasa al ataque // Publico.es. 2010. June 27; Markoff J., Sanger D.E. Shanker T. In Digital Combat, U.S. Finds No Easy Deterrent // The New York Times. 2010. January 25.
  3. Blechschmidt Р. Nato rustet sich fur Computer-Kriege // Sueddeutsche Zeitung. 2010. Oktober 1.
  4. Oil Hits New High After Refinery Blast // Reuters. 2004. August 13; Texas City put on edge by BP explosion // Texas City Sun. 2004. March 30.
  5. Malik N.S. Entergy Ends Effort to Sell Vermont Nuclear Plant // The Wall Street Journal. 2011. March 30.
  6. Statement for the Record of Sean P. McGurk, Acting Director, National Cybersecurity and Communications Integration Center, Office of Cybersecurity and Communications National Protection and Programs Directorate Department of Homeland Security. Wash.: the United States Senate Homeland Security and Governmental Affairs Committee, November 17, 2010. 13 pp.
  7. Statement of Ranking Member Senator Susan M. Collins «Securing Critical Infrastructure in the Age of Stuxnet» before the United States Senate Committee on Homeland Security and Governmental Affairs. Wash.: the United States Senate Homeland Security and Governmental Affairs Committee, November 17, 2010. 3 pp.
  8. Stuxnet specifically targeted Iranian nuclear program // The Jerusalem Post. 2010. November 20.
  9. Brunnstrom D. Russia says Stuxnet could have caused new Chernobyl // Reuters (Brussels). 2011. January 26.
  10. D. Vachedin. German energy systems have virus infection Stuxnet // Deutsche Welle. 2011. 16.04.
  11. Mostafavi Ramin. Iran says it has detected second cyber attack // Reuters (Tehran). 2011. April 25.
  12. Falliere N., Murchu L.O., Chien E. W32.Stuxnet Dossier. – Wash.: Symantec Corporation, February 2011. 69 pp.
  13. V.N. Tarasov. Mechanisms of Sayano-Shushenskaya accident: facts and hypothesis// Tayga.info. 2011. March 9; URL http://tayga.info.
  14. A.V. Korneev. If Mayday Sounds for Oil Industry: American Innovations in the Suppression of the Terrorist Acts Threat in the Oil Industry // Oil of Russia. 2004. No. 6. P. 114 – 116.
  15. Content Security Pty Ltd.; URL http://www.contentsecurity.com.au.
  16. Handling Cyber Security Alerts and Advisories and Reporting Cyber Security Incidents, DOE N 205.4. Wash.: U.S. Department of Energy, March 2002. 8 pp.
  17. Minutes of the Session of the Russian Government High Technologies and Innovations Commission of April 1, 2011. No. 2.
  18. A.V. Korneev. “Agreement 123” establishes a legal framework for cooperation between Russia and the USA in the peaceful uses of atomic energy// Press Center of Nuclear Energy and Industry. 2011. January 13.

Комментарии посетителей сайта

    Функция комментирования доступна только для зарегистрированных пользователей

    Авторизация


    регистрация

    Корнеев А.В.

    Корнеев А.В.

    к.э.н., руководитель Центра проблем энергетической безопасности Института США и Канады РАН

    Ключевые слова: вирусная атака, электромагнитное оружие, «Win32/Stuxnet», «Stars», «Группы реагирования на нарушения работы компьютерных систем», информационное оружие
    Keywords: virus attack, electromagnetic weapon, Win32/Stuxnet, Stars, computer security incident response team, information weapon

    Просмотров статьи: 5443

    Рейтинг@Mail.ru

    admin@burneft.ru