В последнее время понятие кибертерроризма пересекло границы фантастических романов и широко обсуждается в средствах массовой информации, на правительственном и корпоративном уровне. Угроза кибератак с одной стороны является вполне реальной и связанные с ней риски оцениваются специалистами как высокие. С другой стороны, вокруг понятия кибертерроризма существует очень много мифов и спекуляций.
Эпиграф
Террористические группы все чаще используют новейшие информационные технологии и сеть Интернет для разработки своих планов, привлечения финансовых ресурсов, распространения пропаганды и обмена информацией по защищенным каналам связи.
Кибертерроризм, означающий использование соответствующего сетевого инструментария для вывода из строя критичных компонентов национальной инфраструктуры (таких как энергетика, транспорт, финансы, правительственная связь и т.п.) с целью принуждения или устрашения правительства или гражданского населения – является постоянно возрастающей угрозой.
J.T. Caruso, заместитель исполнительного директора департамента ФБР по борьбе с терроризмом. (из выступления перед Подкомитетом Белого Дома по Национальной Безопасности 21 марта 2001 года).
Введение
В последнее время понятие кибертерроризма пересекло границы фантастических романов и широко обсуждается в средствах массовой информации, на правительственном и корпоративном уровне. Угроза кибератак с одной стороны является вполне реальной и связанные с ней риски оцениваются специалистами как высокие. С другой стороны, вокруг понятия кибертерроризма существует очень много мифов и спекуляций.
Неадекватная оценка рисков кибертерроризма, связана с тем, что для правильной оценки риска необходимо определить две величины: вероятность успешного осуществления кибератаки и величину возможного ущерба. Первая величина может быть адекватно оценена только техническим специалистом после комплексного обследования защищенности компьютерной сети. Оценить же ущерб от кибератаки может только владелец, либо управляющий системы, против которой осуществляется атака. Кроме того, поскольку практически ни одна серьезная кибератака не обходится без использования «человеческого фактора», методов социальной инженерии и «инсайдерской информации», оценка риска существенно усложняется.
К примеру, специалисты ИТ отдела могут считать, что защита внешнего периметра корпоративной сети у них организована «по уму» и в целом они могут быть даже правы. Однако, не являясь специалистами по кибератакам, они не учитывают одной «маленькой дырочки» в системе защиты, которая открылась после установки во внутренней сети нового информационного терминала и его подключения к провайдеру информационных услуг. Этой дырочки оказывается вполне достаточно для опытного «взломщика», чтобы успешно обходить многокомпонентную и дорогостоящую систему контроля сетевого доступа, базирующуюся на коммерческом МЭ. Осознавая такие возможности, специалисты ИТ отдела могут прибегнуть к помощи внешних организаций, специализирующихся на проведении аудита информационной безопасности и опытные эксперты по кибератакам, скорее всего, найдут все опасные уязвимости в защите внешнего периметра корпоративной сети и смогут правильно оценить вероятность их успешного использования для осуществления кибератак. Однако эти эксперты не имеют достаточно хорошего представления об информационной инфраструктуре внутренней сети организации, об ее связи с бизнес процессами и, тем более, о самих бизнес процессах. Поэтому, оценив защищенность сети, скажем как низкую, они ничего не могут сказать о рисках, связанных с осуществлением атак на эту сеть. Не говоря уже о том, что «человеческий фактор» чаще всего вообще не поддается учету.
Специалисты бизнес подразделений, которые, в отличие от «технарей», четко осознают опасность, связанную с получением доступа злоумышленником к клиентской базе данных или платежным систем, могут доверять заверениям своего ИТ отдела в неуязвимости защиты сети и недооценивать степень риска, связанного с возможностью осуществления кибератак. Либо, наоборот, начать паниковать после прочтения очередной статьи в прессе об успешных взломах системы защиты или беседы с экспертами в предметной области.
Люди, взирающие на происходящее в киберпространстве со стороны и не глубоко разбирающиеся в предметной области, например, непрофессиональные журналисты, пишущие об информационных технологиях, представители органов правопорядка, или правительственные чиновники, пересказывают доносящиеся до них мифы кибертерроризма, создавая эффект усиления по принципу «сломанных телефончиков».
Конечно, существуют методы анализа и управления рисками, позволяющие адекватно оценивать ситуацию, в том числе и с кибертерроризмом, однако специалистов, владеющих этими методами очень мало, и еще меньше тех, кто применяет эти методы на практике.
В настоящей статье делается попытка отделить мифы кибертерроризма от реального положения дел в этой области.
Мифы
«Словно духи тут и там ходят слухи по домам, а безмозглые старухи их разносят по умам».
В. Высоцкий
По сообщению газеты Вашингтон Пост, в 1998 году 12-летний хакер проник в компьютерную систему, контролировавшую шлюз водной плотины Теодора Рузвельта в Аризоне. В статье говорилось, что в случае открытия шлюза, вода могла затопить города Темпе и Месу, общая численность населения которых достигает 1 миллион человек.
Сенсационное сообщение! Если бы оно еще было правдой…
На самом деле, хакер действительно проник в компьютеры проекта ‘Salt River’ водонапорной станции Аризоны. Но ему было 27, а не 12, и произошло это в 1994 году, а не в 1998, и он никогда не смог бы получить контроль над плотинами. Эксперты, расследовавшие этот инцидент, пришли к выводу, что никакой угрозы для жизни людей или для материальных ценностей не могло быть создано.
«Это подобно детской игре в сломанный телефон», – говорит помощник генерального прокурора штата Аризона, выступавший главным обвинителем по этому делу, – «на одном конце линии мы имеем действительность, а на другом – что-то совершенно отличное от оригинала».
Данный инцидент, представленный средствами массовой информации в искаженном виде, может служить метафорой для сегодняшних настойчивый дебатов об уязвимости сети Интернет в отношении кибератак. В то время как предупреждения об угрозе кибертерроризма проникают в правительственные круги и средства массовой информации, сценарии конца света как результат кибертерроризма, являющегося причиной массовой гибели людей, разрушений и экономических кризисов остаются пока лишь только в сюжетах Голивудских фильмов.
Хотя теоретически и существует возможность электронных вторжений в критичные системы управления, приводящих к повреждению элементов не только информационной инфраструктуры и создающие физические угрозы, получение контроля над такими системами извне является чрезвычайно сложной задачей, требующей узкоспециализированных знаний, и связано с необходимостью преодоления не только компьютерных механизмов безопасности. Правительственные и корпоративные эксперты по безопасности, стараясь не умолять серьезность вопроса, указывают на неоспоримый факт – в настоящее время «проще разбомбить цель, чем поразить ее путем взлома компьютерной системы».
«Если бы у нас было достаточное количество финансовых ресурсов на обеспечение безопасности, то мы потратили бы большинство из них на физическую безопасность», говорит Диан Ван Де Хей, исполнительный директор Ассоциации Центральных Водных Агентств и специальный уполномоченный Центра Сбора и Анализа Информации (Information Sharing and Analysis Center (ISAC)) Водных Предприятий. (1)
Практическая оценка рисков кибертерроризма была целью учений под кодовым названием «Цифровой Перл Харбор», проводимых Военно-Морским Колледжем США совместно с компанией Gartner. В этих учениях эксперты, играющие роль кибертеррористов, сымитировали широкомасштабную кибератаку на национальную сетевую инфраструктуру США. На проведение столь широкомасштабной акции было затрачено 200 миллионов долларов, огромные интеллектуальные ресурсы и пять лет предварительной подготовки. По результатам проведенных учений был сделан вывод, что подобная кибератака действительно может вывести из строя системы телекоммуникаций в густо населенных районах, однако она не приведет к гибели людей или другим катастрофическим последствиям.
Однако преувеличения относительно кибератак зачастую затмевают здравый смысл. Так не прошло и 24 часов после памятной для всего мира даты 11 сентября, когда четыре пассажирских самолета были использованы террористами в качестве оружия массового поражения, как стали раздаваться крики о том, что, мол, кибертерроризм станет следующей основной угрозой, и вытекающие из этого требования принятия законодательства, расширяющего полномочия силовых ведомств.
В одной из популярных легенд рассказывается, как хакер проникает в сеть компании производящей продукты питания и изменяет рецепт приготовления продуктов, добавляя туда очень высокий процент железа, что угрожает здоровью детей.
«До тех пор, пока мы не защитим наше киберпространство, несколько нажатий клавиш и подключение к Интернет – это все, что нужно для того, чтобы вывести из строя экономику и поставить под угрозу человеческие жизни». Это высказывание из речи республиканца Ламара Смита по поводу принятия Белым Домом «Акта о Повышении Безопасности Киберпространства». Излюбленный тезис этого политика: «Компьютерная мышь, может быть не менее опасна, чем снаряд или бомба». (1)
Подобные риторические высказывания приводят к тому, что многих понятие «кибертерроризм» вводит в заблуждение, порождая множество мифов. Это понятие часто используется для того, чтобы произвести впечатление на непосвященных, путем изображения кошмарных картин катастроф и разрушений. Целью этих спекуляций может являться поддержание определенных политических программ, начиная с усиления органов надзора за правопорядком и заканчивая контролем иммиграции.
«Употребляя термин «кибертерроризм», вы запутываете людей», говорит Ричард Кларк, специальный советник президента Буша по безопасности киберпространства. «Осама Бен Ладен не собирается атаковать вас через Интернет».
Кибератаки различаются по объектам нападения: атаки на данные и атаки на системы управления. Атаки первого типа имеют целью нарушение конфиденциальности, целостности, либо доступности информации. Большинство сетевых атак относятся к этой категории, включая похищение номеров кредитных карт, взлом Web-сайтов и атаки на отказ в обслуживании.
Атаки на системы управления ставят задачей выведение из строя или получение контроля над операциями, используемыми для поддержания физической инфраструктуры. Такие системы управления, контролируют водные ресурсы, электросети, железные дороги и т.п. Для получения удаленного доступа к системе управления могут использоваться модемные подключения, подключения по беспроводным каналам связи и имеющиеся подключения к сети Интернет.
Несмотря на реальность подобных атак, Кларк и другие эксперты по безопасности продолжают утверждать, что кибератаки могут привести только к временной недоступности достаточно критичных данных, но не к потере человеческих жизней или разрушению физической инфраструктуры (1).
Реалии
… «Обязанность» ученых – очищать мировоззрение современников от заблуждений.
Н.К. Кольцов
Однако необходимо признать тот факт, что кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей. Многие энергетические компании и водное оборудование, управляют своими ресурсами при помощи Систем Контроля и Сбора Данных (Supervisory Control and Data Acquisition (SCADA) Systems), которые могут быть уязвимы к кибератакам (какие бы контраргументы не приводили создатели подобных систем).
Эксперты из компании Riptech, известного провайдера услуг в области информационной безопасности, на основании своего опыта по обследованию большого количества крупнейших американских промышленных предприятий делают однозначный вывод об уязвимости критичных для американской экономики SCADA систем в отношении кибератак. (5) По их мнению, среди менеджеров подобных систем существует три общих заблуждения, препятствующих достижению адекватного уровня защищенности:
- Заблуждение №1: «SCADA система размещается в физически изолированной сети»
SCADA системы действительно изначально создаются на базе физически изолированных компьютерных сетей и их системы защиты строятся исходя из этого предположения. Однако на практике для повышения эффективности управления подобными системами и оперативности принятия решений создаются соединения между SCADA системой и корпоративной сетью. В результате большинство SCADA систем оказываются опосредованно подключенными к сети Интернет
- Заблуждение №2: «Существующие соединения между SCADA системой и корпоративной сетью надежно защищены при помощи средств контроля межсетевого доступа»
На практике в большинстве SCADA систем существуют точки входа из корпоративной сети незащищенные межсетевыми экранами и системами выявления атак, а некоторые из них могут быть вообще никак не защищены.
- Заблуждение №3: «Для управления SCADA системой требуются узкоспециализированные знания, что делает задачу получения удаленного контроля над подобной системой для хакера чрезвычайно сложной»
Данное заблуждение основано на предположении о том, что у атакующих отсутствует «инсайдерская» информация об архитектуре и средствах управления SCADA системой. Однако если в качестве источника угроз рассматриваются организованные террористические группы, то это предположение вряд ли можно считать корректным. Кроме того, стремление к стандартизации подталкивает разработчиков SCADA систем делать информацию об их архитектуре, интерфейсах и протоколах взаимодействия, а также средствах управления общедоступной.
Джон Дубиэл, консультант из компании Gartner, принимавший участие в проведении атак на электросети во время вышеупомянутых военных учений, установил, что системы типа SCADA могут быть атакованы путем создание избыточной нагрузки (разновидность атаки на отказ в обслуживании), что может привести к сбою или неправильному функционированию системы, это, в свою очередь, может привести к сбоям в работе других элементов системы управления, входящих в состав компьютерной сети предприятия – эффект «цепной реакции».
Так, в 1996 году вдоль всего Западного Побережья США на протяжении 9 часов было отключено электричество. Это случилось из-за падения дерева на линии электропередачи, что, в комбинации с некоторыми другими факторами, привело к каскадному отключению других элементов электросети. В 1990 году похожее событие произошло с коммутатором компании AT&T, сбой которого вызвал цепную реакцию, повлекшую выход из строя телекоммуникационной сети по всей территории США. В принципе, к аналогичным последствиям могла бы привести и успешная хакерская атака.
Более 80% критичной сетевой инфраструктуры США находится в собственности частных компаний, которые во многих случаях не являются достаточно осведомленными в вопросах информационной безопасности и на которые сложно повлиять при помощи целевых государственных программ. Консультанты по информационной безопасности выяснили, что многие предприятия имеют подключения к сети Интернет с управляющих терминалов систем SCADA, что не могло не привести к серьезным инцидентам.
Так, в ноябре 2001 года 49-летний Вайтек Боуден был осужден на два года лишения свободы за использование Интернет, беспроводного радио и похищенного управляющего ПО для осуществления слива загрязненной воды в реку у побережья Маручидора в Квинсленде (Австралия). Ранее Боуден работал консультантом в водном проекте. Он пошел на это преступление после того, как правительством Маручи ему было отказано в работе на полную ставку. Он пытался получить доступ к системе водоочистки 45 раз, прежде чем ему удалось осуществить спуск загрязненной воды в водопроводы.
«Весь подводный мир у побережья был уничтожен, прибрежные воды окрасились в черный цвет, и вонь порой становилась невыносимой для местных жителей», – рассказывает Джанель Брайент, руководитель исследовательской группы Австралийского Агентства Защиты Окружающей Среды. (1)
Тот факт, что злоумышленник оставался незамеченным на протяжении всех своих 44 попыток получения доступа к системе, красноречиво свидетельствует о неудовлетворительном состоянии информационной безопасности на общественных предприятиях. Проверка 50 предприятий, проведенная в 1997 году установила, что на 40 % водных предприятий операторам систем управления был разрешен прямой доступ к сети Интернет, а к 60 % систем SCADA можно получить доступ при помощи модема! Факты прямо скажем настораживающие. Одна одних этих фактов еще недостаточно для того, чтобы судить об уязвимости предприятий в отношении кибератак.
Как утверждает Элен Вэнко, представитель Североамериканского совета по обеспечению безопасности электроэнергетического комплекса, наличие подключения к сети Интернет или модемного подключения не следует во всех случаях рассматривать как уязвимость. «Все предприятия электроэнергетики подключены к Интернет тем или иным способом, однако, это не означает, что наши системы управления доступны из Интернет». (1)
Тем не менее, подключение к Интернет открывает дополнительные возможности проникновения злоумышленников в компьютерные системы. «При анализе безопасности сетевой инфраструктуры эксперты, прежде всего, обращают внимание на подключения к Интернет» – говорит Крис Висопал, директор исследований и разработок компании @Stake. (1)
Подключение систем управления к Интернет всегда таит в себе серьезную опасность. МЭ и другие средства сетевой защиты никогда не обеспечивают сто процентной защищенности. В 1989 году хакерская группа «The Legion of Doom», получила контроль над телефонной сетью компании BellSouth, включая возможность прослушивания телефонных каналов связи, маршрутизацию вызовов, маскировку под технический персонал станции и даже вывод из строя системы 911.
Компания BellSouth задействовала 42 сотрудника, которые трудились в течение 24 часов над восстановлением контроля над системой. И этот, один из опаснейших сценариев кибертерроризма, был реализован подростками из хакерской группы!
Уязвимость SCADA систем признается многими экспертами. Так, президент и технический директор компании Foundstone, известного игрока на рынке информационной безопасности, Стюарт МакКлу дает на вопрос об уязвимости SCADA систем однозначно положительный ответ. Более того, он оценивает сложность осуществления подобной атаки весьма невысоко: на 4 – 5 бала по 10-бальной шкале. (4) Происходит это потому, что, при отсутствии соответствующего регулирования со стороны государства, частные компании предпочитают экономить на безопасности. Кроме того, многие SCADA системы функционируют в реальном времени и требования безопасности идут вразрез с требованиями производительности. (3)
После террористического акта 11 сентября 2001 года многие концепции обеспечения безопасности, как на государственном, так и на частном уровне подверглись пересмотру, и безопасность SCADA систем была провозглашена в качестве одной из основных целей Национальной Стратегии Обеспечения Безопасности Киберпространства (The National Strategy to Secure Cyberspace) США, разработанной по инициативе американского Президента в конце 2002 года.
Однако пока даже самые серьезные кибератаки по своим последствиям далеки от сценариев массовых разрушений. Инцидент с заражением воды в Квинсленде, к примеру, не создал угрозы человеческим жизням и стоил примерно 13 тысяч долларов затраченных на очистку воды, которая оперативно была произведена штатными сотрудниками.
Многие эксперты по безопасности признают, что широкомасштабное разрушение информационной инфраструктуры является чрезвычайно труднореализуемой задачей. Даже если злоумышленнику удастся проникнуть во внутреннюю сеть, для получения контроля над системой управления ему обязательно потребуется «инсайдерская» информация и очень глубокие знания этой системы.
Во время эксперимента по сценарию «Перл Харбор» аналитики из компании Gartner подтвердили это мнение. Очень сложно атаковать что-то, о чем ты не обладаешь специфичными знаниями, признает аналитик Дэвид Фрэйли, который эмитировал атаки на системы телекоммуникаций.
Даже во время успешной атаки на столичную электростанцию, многие критичные системы, такие как госпитали, продолжали функционировать, т.к. они перешли на автономные генераторы. Все предприятия резервируют критичные элементы своей информационной инфраструктуры, для того, чтобы продолжать нормальное функционирование даже в случае сбоя системы управления. (1)
Даже если хакеру, к примеру, удастся увеличить уровень хлора в водных резервуарах на станции водоочистки, отравленная вода не попадет в водопроводы, т.к. она проходит пятикратное тестирование. Агентство по защите окружающей среды требует от предприятий исследовать воду на наличие в ней более 90 видов отравляющих веществ. Более простой и опасной атакой является непосредственное физическое добавление террористами отравляющих веществ в водные резервуары.
Компьютерная сеть железнодорожной промышленности является одной из крупнейших в США и контролирует более 500 железных дорог. Поэтому федеральные власти США всегда уделяли повышенное внимание вопросам защиты информации в этой сети. Периодически там действительно возникают инциденты с сетевыми атаками, однако, по словам Нэнси Вильсона, вице президента Ассоциации Американских Железных Дорог, они никогда всерьез не воспринимались, т.к. железнодорожные компании и компании других отраслей предпринимают серьезные меры по резервированию данных и оборудования, которые в большинстве случаев обеспечивают адекватный уровень защищенности (1).
Главная угроза кибертерроризма
Наиболее уязвимой в отношении кибератак, по мнению экспертов, является инфраструктура самой сети Интернет. Достаточно привести пример сетевого червя Nimda, нанесшего подключенным к Интернет организациям совокупный ущерб, оцениваемый в 3 млрд. долларов.
Некоторые уязвимости Интернет могут приводить к серьезным последствиям и в отсутствии кибератак. Показательным является пример, когда в 1997 году инженер одного из Интернет провайдеров изменил две строчки кода в конфигурации маршрутизатора, что на три часа привело к останову почты всей глобальной сети. Тем не менее, несмотря на всю серьезность происшедшего, катастрофичным данный инцидент назвать нельзя. Совокупный ущерб оказался таким большим за счет того, что незначительный урон был нанесен слишком большому количеству компаний одновременно.
Совсем недавно, в октябре 2002 года, была предпринята самая беспрецедентная в истории Интернет атака против всей инфраструктуры всемирной сети. Тринадцать корневых DNS серверов Интернет подверглись распределенной атаке на отказ в обслуживании (DDoS). По словам председателя Консорциума Программного Обеспечения Интернет (Internet Software Consortium Inc.) Пола Викси только четверым из них удалось устоять. Большой уровень избыточности, присущий структуре сети Интернет, позволил избежать задержек при прохождении трафика, несмотря на выход из строя 2/3 корневых элементов инфраструктуры сети. (2)
С точки зрения правоохранительных органов наибольшая угроза со стороны Интернет заключается в предоставляемых ей возможностях глобальных коммуникаций, отслеживать которые чрезвычайно сложно. С целью осуществления перехвата переговоров террористов, осуществляемых с использованием сети Интернет, ФБР в настоящее время продолжает расширять штат своих высококвалифицированных ИТ специалистов.
Так, по словам Дона Кавендера, специального агента и инструктора Центра Компьютерного Обучения ФБР, их беспокоит не столько угроза кибертерроризма, сколько использование террористами Интернет для планирования и подготовки физических террористических актов (1).
Антология кибератак
В следующей таблице представлена антология наиболее значимых кибератак на информационную инфраструктуру США в их исторической последовательности. Не все эти атаки носили предумышленный характер, и ни одна из них не привела и не могла привести к массовым разрушениям, катастрофам или гибели людей.
| 1988 | Роберт Моррис запустил в Интернет первого сетевого червя, поразившего примерно 3-4 тысячи из 60000 тысяч Интернет серверов. |
| 1989 | Хакерская группа «The Legion of Doom» получила контроль над телефонной сетью BellSouth, включая возможность прослушивания телефонных каналов связи, маршрутизацию вызовов и маскировку под технический персонал станции. |
| 1990 | Отказ маршрутизатора AT&T вызвал глобальный сбой сети на большой территории, длившийся 9 часов. Многие думали, что это дело рук хакера. |
| 1994 | Хакер, известный под кличкой Merc, по модему получил доступ к серверу проекта «Солт Рива» и взломал компьютеры, при помощи которых осуществлялся мониторинг водных каналов в области Фоеникса. |
| 1997 | Технический работник небольшого Интернет провайдера Virginia внес в конфигурацию одного из маршрутизаторов неправильные данные. Это привело к отказу большого количества критичных маршрутизаторов сети Интернет. Подросток выводит из строя основной компьютер телефонной компании, обслуживающей маленький аэропорт в городе Ворсестер, из-за чего диспетчерская вышка не смогла выполнять свои функции в течение 6 часов. Однако самолеты получали информацию по радио и из других аэропортов, находившихся поблизости. |
| 2000 | Крупнейшая атака на отказ в обслуживании поразила серверы Yahoo, eBay, CNN, ZDNet, которые оставались недоступными от 2 до 3 часов.Вирус LoveLetter поразил сети множества компаний по всему миру, нанеся огромный совокупный финансовый ущерб. |
| 2001 | Вирус Nimda поразил Интернет, нанеся особо ощутимый ущерб финансовым компаниям. |
| 2002 | Тринадцать корневых DNS серверов Интернет подверглись распределенной атаке на отказ в обслуживании (DDoS). Только четверым из них удалось устоять. Большой уровень избыточности, присущий структуре сети Интернет, позволил избежать задержек при прохождении трафика, несмотря на выход из строя 2/3 корневых элементов инфраструктуры сети |
Наихудшие сценарии кибератак
В следующей таблице приведены наихудшие сценарии кибератак на ключевые элементы инфраструктуры США по отраслям промышленности. Для сравнения наряду с наихудшими сценариями приведены также более реалистичные сценарии, сопровождаемые комментариями специалистов из предметных областей.
№ 1 Отрасль: ЭЛЕКТРИЧЕСТВО
Наихудший, но маловероятный сценарий
Атака на системы управления через беспроводные, модемные или Интернет соединения может послужить причиной временного локального отключения электричества
Более реалистичный сценарий
Физическое разрушение электростанций или линий связи может привести к отключению электричества на несколько дней
Комментарий специалиста
«Все электрические компании подключены к Интернет тем или иным способом, однако, это не означает, что их системы управления доступны из Интернет»
Элен Ванко, представитель Североамериканского совета по безопасности электроэнергетики
№ 2 Отрасль: ТРАНСПОРТ
Наихудший, но маловероятный сценарий:
Атакующий может через Интернет подключиться к одной из 500 систем управления железными дорогами и вызвать столкновение электропоездов, направив их на один путь
Более реалистичный сценарий:
Использование на поездах горючего, содержащего опасные вещества, может привести к отравлению окружающей среды
Комментарий специалиста:
«Мы знаем, что имеются возможности для нанесения ущерба и стараемся ликвидировать все известные дыры в защите наших систем. Рассматриваем ли мы кибертерроризм в качестве более серьезной угрозы, нежели обычный физический терроризм? Однозначно нет».
Нэнси Вильсон, старший ассистент вице президента Ассоциации Американских Железных Дорог
№ 3 Отрасль: ВОДНЫЕ РЕСУРСЫ
Наихудший, но маловероятный сценарий:
Вода может быть заражена путем повышения содержания хлора или других химических веществ в результате осуществления атаки на систему управления через Интернет, по коммутируемому или беспроводному соединению.
Более реалистичный сценарий:
Химические или биологические отравляющие вещества могут быть добавлены в воду физически. Однако многочисленные проверки химического состава воды сводят этот риск к минимуму.
Комментарий специалиста
«Большую часть денег выделенных на обеспечение безопасности водных предприятий стоило бы потратить на их физическую защиту».
Дайан Ван Де Хей, исполнительный директор Ассоциации Столичных Водных Агентств
№ 4 Отрасль: ЭНЕРГЕТИКА
Наихудший, но маловероятный сценарий:
Вывод из строя частей Интернет, используемых системами торговли нефтью, может остановить покупки и продажи и привести к временному отключению источников энергии.
Более реалистичный сценарий:
Физическое разрушение нефтеперерабатывающих заводов и трубопроводов может привести к дефициту источников энергии или катастрофе окружающей среды.
Комментарий специалиста:
«Мы сильно зависим от Интернет. Любое злоумышленное вмешательство в эту среду может породить проблемы».
Карл Тайанен, председатель Центра Сбора и Анализа Информации Энергетики
№ 5 Отрасль: ФИНАНСЫ
Наихудший, но маловероятный сценарий:
Сетевой червь может вывести из строя серверы и сети, используемые для осуществления разнообразных финансовых транзакций, что приведет к закрытию финансового рынка.
Более реалистичный сценарий:
Кибератака, выводящая из строя компьютерные сети, в сочетании с физическим разрушением оборудования и линий связи может разрушить многие финансовые рынки и сделать их недоступными на значительно больший период.
Комментарий специалиста:
«У нас все так взаимосвязано – платежные системы, клиринговые системы и прочие финансовые системы, что сбой в одной системе может оказать влияние на все остальные».
Сташ Джароки, председатель Финансовых Служб ISAC
№ 6 Отрасль: ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
Наихудший, но маловероятный сценарий:
Уязвимость в программном обеспечении может быть использована для получения доступа к критичным системам, которые могут использоваться для проведения атак на другие элементы информационной инфраструктуры или для создания широкомасштабных проблем со связью в Интернет.
Более реалистичный сценарий:
Уязвимость в программном обеспечении может быть использована для получения доступа к критичным системам, которые могут использоваться для проведения атак на другие элементы информационной инфраструктуры.
Комментарий специалиста:
«Сказать, что вы не видите возможности для осуществления разрушительной кибератаки, означало бы обманывать себя и не позволять нации обеспечить свою защиту».
Грег Эйкерс, президент IT-ISAC
Выводы
Угроза кибертерроризма уже не первый год широко обсуждается в современном обществе на самых разных уровнях, порождая множество споров, мифов и спекуляций. Неадекватная оценка рисков, связанных с осуществлением этой угрозы, приводит как к недооценке, так и к переоценке ее серьезности. В результате наряду с «устрашающими» описаниями глобальных катастроф, нередко встречается и полное игнорирование этой проблемы. Понятие кибертерроризма часто используется для политических спекуляций и «запудривания мозгов» непосвященным. Реальное же положение дел, оставаясь не столь устрашающим, однако, не внушает и поводов для оптимизма.
Хотя теоретически и существует возможность электронных вторжений в критичные системы управления, создающих серьезные, в том числе и физические, угрозы безопасности, получение контроля над такими системами извне является крайне маловероятным событием. В настоящее время реальность такова, что было бы «проще разбомбить цель, чем поразить ее путем взлома компьютерной системы».
Кибератаки действительно могут иметь серьезные последствия, хотя и не связанные с нанесением ущерба жизни и здоровью людей, массовыми разрушениями и другими катастрофами. В наихудшем сценарии, хорошо спланированная массированная кибератака может временно вывести из строя системы телекоммуникаций в густо населенных районах.
Подключение к сети Интернет открывает дополнительные возможности проникновения злоумышленников в компьютерные системы, однако, сам факт наличия такого подключения не следует во всех случаях рассматривать как уязвимость. Серьезные меры по резервированию данных и оборудования, предпринимаемые предприятиями различных отраслей, в большинстве случаев обеспечивают адекватный уровень защищенности, даже в случае успешного осуществления кибератаки.
Наиболее уязвимой в отношении кибератак оказывается инфраструктура самой сети Интернет.
С точки зрения правоохранительных органов наибольшая угроза заключается не в уязвимости сети Интернет, а в предоставляемых ей для преступного мира возможностях глобальных телекоммуникаций, отслеживать которые чрезвычайно сложно. В частности, ФБР беспокоит не столько угроза кибертерроризма, сколько использование террористами Интернет для планирования и подготовки физических террористических актов.
Ссылки
- Robert Lemos, What are the real risks of cyberterrorism?, Special to ZDNet, August 26, 2002, zdnet.com.com
- http://www.washingtonpost.com/wp-dyn/articles/A828-2002Oct22.html
- The National Strategy to Secure Cyberspace, Draft, September 2002
- Cyberterrorists don’t care about your PC By Robert Vamosi, ZDNet Reviews
July 10, 2002 - Understanding SCADA system security vulnerabilities, Riptech, Inc. January 2001
Александр Астахов, CISA, 2003