Страница 1 из 1

Подходы к выработке Стратегии развития ИБ Минэнерго РФ

СообщениеДобавлено: Сб 30 янв, 2021 21:08
Alex Rail
Точка зрения связиста: обоснование подходов к выработке стратегии развития информационной безопасности Минэнерго РФ.

Аннотация

При опоре на нормативную базу, техническое состояние предприятий ТЭК РФ и ожидаемый экономический эффект цифровой трансформации отрасли – показана актуальность задачи развития информационной безопасности Минэнерго РФ.
На основе выявления проблемных этапов в существующем процессе обеспечения информационной безопасности объектов КИИ ТЭК РФ, предложены изменения организационных и технологических процессов, которые обеспечивают: единые подходы и технологии в границах отрасли, исключают «человеческий фактор», учитывают большинство современных кибератак в условиях «покрытия» цифровыми сетями на импортном ИТ-оборудовании, запускают рыночные механизмы формирования подотрасли информационной безопасности ТЭК РФ.

ПЛАН

1. Актуальность разработки стратегии информационной безопасности предприятий ТЭК РФ.
2. Проблемные этапы в существующем организационном процессе обеспечения информационной безопасности объектов КИИ ТЭК РФ.
3. Предложения по изменению организационного и технологического процессов обеспечения информационной безопасности объектов КИИ ТЭК РФ.


1. Актуальность разработки стратегии информационной безопасности предприятий ТЭК РФ

В соответствие с «Энергетической стратегией РФ на период до 2035 года» от 9 июня 2020 года (http://static.government.ru/media/files ... ZRb7wx.pdf) требуется:

• обеспечить цифровую трансформацию и интеллектуализацию отраслей топливно-энергетического комплекса на основе единых подходов и технологий, в результате которых новое качество приобретут все процессы в сфере энергетики, новые права и возможности получат потребители продукции и услуг отраслей топливно-энергетического комплекса;

• создать условия для разработки и развития цифровых сервисов и решений в единой информационной среде, обеспечить цифровизацию государственного управления и контрольно-надзорной деятельности в отраслях топливно-энергетического комплекса;

• увеличить долю организаций (и компаний) топливно-энергетического комплекса, полностью отвечающих требованиям безопасности (включая информационную безопасность).

По мнению Минэнерго РФ (Зам. Министра Павел Сорокин, ноябрь 2020 года) цифровизация нефтяной отрасли может снизить траты на разведку и добычу на 10-15 процентов, сократить на 40 процентов сроки ввода объектов, а также обеспечит пополнение бюджета РФ на 700 миллиардов рублей в год.

Расчеты, проведенные компанией Vygon Consulting, показывают, что в России к 2030 году цифровые технологии, путем повышения качества геологоразведки и сокращения времени внедрения технологических процессов увеличения нефтеотдачи и разработки трудноизвлекаемых запасов, способны добавить, к текущему уровню добычи, около 155 млн тонн нефти, - то есть компенсировать объем «выпавшей добычи» на истощенных многолетней эксплуатацией месторождениях РФ.

Таким образом, в условиях безальтернативной экономической целесообразности (проекты освоения нефти-газа в Арктике не учитываются), отсутствие в современной России отечественной ИТ-индустрии, вынуждает выполнять процесс цифровой трансформации (ЦТ) ТЭК РФ, как и прежде, на импортном ИТ-оборудовании и ПП. То есть, возвращаясь к теме информационной безопасности (ИБ) объектов ТЭК РФ, при ЦТ на импортном ИТ-оборудовании - продолжают «нарастать» риски утери национальной информационной безопасности (нередко объекты ТЭК РФ имеют 1-3 категории объектов КИИ РФ).

В обозначенных условиях в 2021 году в компаниях ТЭК РФ готовится пятилетняя стратегия развития информационной безопасности отрасли.


2. Проблемные этапы в существующем организационном процессе обеспечения информационной безопасности объектов КИИ ТЭК РФ.


Типовой состав работ по обеспечению информационной безопасности объекта КИИ РФ в зоне покрытия беспроводных цифровых сетей на импортном оборудовании, как правило, включает /1/: а) разработку моделей информационной сферы объектов КИИ РФ с использованием импортного ИТ-оборудования и ПП в которых «не исключается» присутствие «закладок»; б) определение видов уязвимостей и их приоритетов; г) разработку моделей и сценариев нарушения информационной сферы объекта КИИ РФ; д) определение каналов и способов нарушения информационной сферы «различных объектов»; е) «нормирование» потенциальных каналов нарушения информационной сферы и разработку нормативно-методических документов, методик тестирования и измерительных схем для проведения спец. исследований; ж) разработку методологической документации для определения необходимого и достаточного комплекса адекватных организационно-технических мероприятий по ПД ТР, включая заводские и объектовые испытания, и периодические регламентные работы; к) подготовку организационных предложений (ТЗ на НИОКР) для кооперации спец. институтов, задействованных в гос. системе обеспечения информационной безопасности; л) подготовку предложений отраслевым и федеральным Институтам и страховым компаниям по страхованию «информационных рисков» для создания в РФ законодательной и экономической «среды», инициирующей работы по обеспечению национальной информационной безопасности.

Из практики выполнения подобных работ в ТЭК РФ (см. https://vipforum.ru/conferences/transib_baltika_2018/, https://www.transneft.ru/u/journal_file ... _72dpi.pdf), можно увидеть, что отдельные компании, на основе своего корпоративного опыта и компромисса между техническими (финансовыми) издержками и снижением рисков утери ИБ, принимают «оригинальные» решения.
Подобная организация работ может включать «человеческий фактор», который порождает: а) рассмотрение, в ряде случаев, только отдельных «источников-каналов-сценариев-моделей атак; б) «оригинальное» категорирование объектов КИИ и соответствующий состав организационно – технических мероприятий, которые «не всегда» имеют объективный доказательный фундамент.

Нельзя исключать, что описанное отсутствие доказательного фундамента инициируется, в том числе, следствием «неоднозначной» редакции отдельных пунктов ФЗ-187 от 26.07.2017. и «рекомендательным характером» документов ФСТЭК (например Документ от февраля 2020 года, https://fstec.ru/component/attachments/download/2727 ).

При этом, ответственность собственника (ответственного лица), включая уголовную, за обеспечение ИБ объекта КИИ, наступает после внесения Документов по ИБ в Государственный Реестр.
Следствием такого «положения» может являться внесение в процедуру обеспечения личной ответственности за ИБ объекта КИИ – «человеческого фактора». Так, например, если проведено категорирование объекта КИИ ТЭК с использованием «человеческого фактора» и, соответственно, учтен «не полный состав кибератак силами и средствами ТР» вероятного противника, и выполнен «заниженный» объем работ по обеспечению ИБ объекта КИИ, то ответственное лицо отвечает только за выполнение «заниженного» объема работ, который обозначен в Документах, представленных в Гос. Реестр.


3. Предложения по изменению организационного и технологического процессов обеспечения информационной безопасности объектов КИИ ТЭК РФ.

Экстраполяция вышеописанной сегодняшней процедуры выполнения работ по ИБ в ТЭК РФ, на период выполнения проектов цифровизации ТЭК РФ до 2035 года на импортном ИТ-оборудовании, показывает, что:

• работы по обеспечению ИБ на объектах КИИ компаний ТЭК «нередко» не соответствуют Энергетической стратегии РФ до 2035 года от 9 июня 2020 года, в части обеспечения единых подходов и технологий в границах Минэнерго РФ;
• организация и состав работ по обеспечению ИБ на объектах КИИ компаний ТЭК «нередко» не имеет объективной доказательной базы и, соответственно, затрудняет включение стоимости работ по ИБ в себестоимость продукции предприятий ТЭК РФ и внедрение механизмов страхования рисков /2/;
• риски утери ИБ объектов КИИ ТЭК РФ, «в условиях» российского пространства GSM, построенного на импортном ИТ-оборудовании и ПП, в зоне покрытия которого находится большинство объектов, - сохраняются и возрастают.


Чтобы, в условиях непрерывного появления новых моделей кибератак, привести работы по ИБ в ТЭК РФ в соответствие с нормативной базой Минэнерго РФ, контролируемо и последовательно уменьшать риски утери ИБ на объектах КИИ ТЭК РФ, создать «рыночный фундамент» работам по повышению ИБ на объектах КИИ ТЭК РФ - предлагается обратиться к опыту СССР, и вспомнить, что главным итогом 18 летней работы Гостехкомиссии СССР стало формирование государственной культуры информационной безопасности /1/. Именно эта культура позволила: а) создать эффективный «государственный высокотехнологичный механизм», позволявший координировано, на системной основе, объединять производственную деятельность по информационной безопасности на государственном, многоотраслевом и уровне предприятий и объектов КИИ; б) своевременно и адекватно внешним вызовам, решать вопросы законодательного, регуляторного, технологического и метрологического обеспечения работ по ИБ.

Опираясь на такой опыт, в части организации работ по повышению ИБ на объектах КИИ /1/, можно «эскизно» предложить следующие взаимосвязанные последовательные ступени-операции:

1. Указать «источники-технические средства-каналы-сценарии-цели» кибератак на объекты КИИ РФ (АСУ на импортном оборудовании) различных категорий, в условиях GSM – покрытия на импортном ИТ-оборудовании (и без).
2. Указать виды аппаратных и программных закладок в импортном ИТ оборудовании (АСУ) на объектах КИИ ТЭК РФ, и каналы и методы их активации в условиях GSM-покрытия на импортном ИТ-оборудовании.
3. Определить демаскирующие признаки команд активации аппаратных и программных закладок», разработать алгоритмы поиска таких команд во всех цифровых сетях РФ: сети GSM, IP- сети, сети цифрового радио и телевещания и т.д.
4. Разработать ПП и оборудование для спец. фильтрации абонентского и группового сигналов цифровых сетей, с целью блокирования прохождения команд активации закладок.
5. Разработать методики расчета «ущерба реализации» разных типов кибератак и выполнить их ранжирование.
6. Определить вероятность применения разных типов кибератак ТР и кибервойсками вероятного противника в условиях: боевые действия-угрожаемый период-холодная война.
7. Определить «значимые атаки» для объектов КИИ ТЭК РФ, имеющих разные категории.
8. Выполнить систематизацию вышеприведенной информации и разработать (ТЗ на НИОКР): а) алгоритмы и технические средства тестирования импортных ИТ-систем на заводе-полигоне-сдаточных и регламентных ежегодных испытаниях на объектах ТЭК РФ (например, с участием разработчиков); б) технические средства поиска и блокирования команд «активации» закладок, передаваемых по национальным российским GSM-, IP- и другим цифровым сетям; в) технические средства для реализации активных методов блокирования прохождения «команд активации закладок», включая линейное и пространственное зашумление в диапазоне от инфра низкого (акустического) до оптического ;
9. Разработать методику определения состава и стоимости работ по ПД ТР на всех этапах жизненного цикла внедрения ИТ- системы на объектах КИИ РФ.
10. Разработать методы и технические средства верификации импортных ИТ-систем (АСУТП)на этапах заводских и объектовых испытаний (с участием разработчиков).
11. Разработать регламент организационно-технических мероприятий по обеспечению ИБ объекта КИИ в различные периоды жизнедеятельности (боевые действия-угрожаемый период-холодная война).
12. Определить «значимые атаки» для объектов КИИ ТЭК РФ, имеющих разные категории и разработать методики расчета «ущерба при реализации атак».
13. Организовать центр кибербезопасности для «выявления-анализа-систематизации-прогнозирования-блокирования» инцидентов и уязвимостей информационной сферы объектов КИИ ТЭК РФ, включая АСУ с потенциальными «закладками», в условиях GSM-покрытия на импортном оборудовании.
14. Сформировать рыночную среду для активизации выполнения работ по повышению ИБ объектов КИИ ТЭК РФ: а) ввести «ущерб от реализации атаки» и стоимость всех работ по повышению ИБ объекта КИИ ТЭК - в себестоимость продукции компании ТЭК РФ (чем выше стоимость работ по ИБ, тем реже «реализация атак» и меньше величина «ущерба» – целесообразна оптимизация для конкретных объектов);
15. Организовать (законодательная и нормативная база) процесс «создания рыночных механизмов обеспечения ИБ объектов КИИ компаний ТЭК РФ» - привлечение государственных страховых компаний (Ингосстрах, Росгосстрах и т.п.).
16. Организовать (законодательная и нормативная база и гос. заказ) устойчивый бизнес-процесс в «блоке» профильных отраслевых и коммерческих ИТ-компаний РФ для выполнения взаимоувязанного комплекса вышеприведенных работ, под гарантированные, на уровне Правительства РФ, объемы закупок продукции этих компаний в перспективе 5-10 лет.

Примечание:
1. Материал подготовлен на основе информации из СМИ и требует уточнения по отраслевым Документам Минэнерго РФ.
2. В рамках настоящей статьи не рассматриваются технические решения и ПП по спец. фильтрации цифровых сигналов в магистральных и абонентских трактах цифровых сетей, для обнаружения и блокирования «сторонних сигналов». Подобные вопросы, применительно к беспроводным сетям IoT и IIoT (сети G-5) были, в частности, рассмотрены Лабораторией Касперского в сентябре 2020 года в Сочи , https://ics.kaspersky.ru/media/ics-Dmit ... persky.pdf (Применение решений на базе KasperskyOS в промышленности).



Представленный материал является авторским, подготовлен при консультациях с профессионалами связи, маркетологом MBA (MS, LK, IDC, P.T., ITG-Fors), ссылка обязательна.


С уважением,
Alex Rail,
30.01.2021

Литература:
1. viewtopic.php?f=2&t=19079&p=219640#p219640
2. viewtopic.php?f=2&t=19153&p=220028#p220028

СообщениеДобавлено: Вт 09 фев, 2021 09:47
Alex Rail
Приложение №1

Федеральные Законы, Указы Президента, Постановления Правительства, Приказы ФСБ и ФСТЭК России и Ведомственные НМД, регламентирующие организационно-технические мероприятия по защите объектов КИИ РФ Минэнерго РФ:

1. Федеральный Закон от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса».
2. Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 03.02.2012 г. № 79 в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга.
3. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
4. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах (в редакции Приказа ФСТЭК России от 23.03.2017 N 49).
5. Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах (в редакции Приказа ФСТЭК России от 9 августа 2018 г. № 138).
6. Документ ФСБ России от 24 декабря 2016 г №149/2/7-200 «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
7. Федеральный Закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
8. Приказ ФСТЭК России от 06.12.2017 г. № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».
9. Приказ ФСТЭК России от 11.12.2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
10. Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
11. Указ Президента Российской Федерации от 22.12.2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», определивший круг задач, решаемых ГосСОПКА, и наделивший ФСБ РФ новыми полномочиями в части защиты КИИ.
12. Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
13. Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
14. Приказ ФСБ России от 24.07.2018 г. № 366 «О Национальном координационном центре по компьютерным инцидентам».
15. Приказ ФСБ РФ от 24.07.2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
16. Приказ ФСБ РФ от 24.07.2018 г. № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств».
17. Постановление Правительства РФ от 8 февраля 2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации.
18. Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
19. Приказ ФСБ России от 24 июля 2018 г. № 367 “Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ «ГосСОПКА».
20. Приказ ФСТЭК России от 30 июля 2018 года № 131 «Об утверждении требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.
21. Приказ ФСБ РФ от 06.05.2019 № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».
22. Приказ ФСБ РФ от 19.06.2019 № 281 «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты».
23. Приказ ФСБ РФ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
24. ФСТЭК РФ «Банк данных угроз безопасности информации», https://bdu.fstec.ru/threat
25. Методические Документы (ведомственные):
• Рекомендации ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
• Рекомендации ФСБ РФ по обнаружению компьютерных атак на информационные ресурсы Российской Федерации.
• Рекомендации ФСБ РФ по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.
• Рекомендации НКЦКИ ФСБ РФ по проведению мероприятий по оценке степени защищенности от компьютерных атак.
• Требования к подразделениям и должностным лицам субъектов ГосСОПКА. Регламент взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

СообщениеДобавлено: Ср 10 фев, 2021 13:46
Alex Rail
Приложение №2

Организационно-технические решения по защите и блокированию последствий активации НДВ в импортных АСУ ТП на объектах КИИ ТЭК РФ, находящихся в зоне покрытия цифровых беспроводных сетей GSM и теле и радиовещания, построенных на импортном ИТ-оборудовании и ПП.


Нельзя исключать, что кибератаки на АСУ ТП объектов КИИ ТЭК РФ с использованием «человеческого фактора» могут стать доминирующими (см. ниже Справку). Для защиты от таких атак целесообразно выбирать методы, блокирующие каналы атак в цифровых беспроводных сетях РФ на магистральном и местном уровнях, и методы, парирующие последствия активации НДВ в АСУ ТП, исключающие человеческий фактор.

На функциональном уровне, алгоритмы парирования наиболее значимых угроз антропогенного характера (человеческий фактор) и несанкционированного доступа (НСД) к информационной сфере импортных АСУ ТП, установленных на объектах ТЭК РФ, находящихся в зоне покрытия цифровых беспроводных сетей GSM и теле и радиовещания, построенных на импортном ИТ-оборудовании и ПП, можно разделить на четыре группы: первая - организационные мероприятия и вторая, третья и четвертая – организационно-технические мероприятия:

Группа 1.

Позволяет «блокировать пространство атаки» путем отключения всех цифровых сетей, в зоне покрытия которых находится объект КИИ РФ или запрета на пользование смартфонами и другими радиоэлектронными устройствами в пределах объекта КИИ РФ.
Сценарий имеет риски нарушения рабочего промышленного процесса на объекте КИИ РФ вследствие «отсутствия», например, радиотелефонной связи (многие объектовые промышленные цифровые сети радиотелефонной связи, например стандарта TETRA на российских предприятиях, используют импортное оборудование и/или импортную ЭКБ. Сценарий может стать актуальным в угрожаемый период и период боевых действий.

Группа 2.

Позволяет уменьшить риски реализации кибератак, с использование «человеческого фактора», на АСУ ТП объектов КИИ ТЭК РФ, путем «затруднения» внешнего контроля процессов жизнедеятельности более 100 млн. абонентов GSM в России, через российское национальное пространство GSM, построенное на импортном сетевом и абонентском оборудовании и ПП в течение последних 30-ти лет.

Типовая модель реализации такой атаки включает сбор, через российскую сеть GSM, компромата на конкретных сотрудников (и его родственников) объектов КИИ РФ через: а) всеобъемлющий сбор информации о финансовых операциях, интернет-активностях, электронной переписке, контактах, разговорах и телефонных переговорах, географии и графике перемещений - геолокация; б) определение возможного состава противоправных действий и/или выработка «компрометирующего сценария»; в) предъявление сотруднику объекта КИИ РФ состава его преступления (или родственников) и предъявления ему выбора между уголовной ответственностью или «оказанием мелких услуг за вознаграждение».

Для блокирования такой модели атаки можно предложить:
• определение демаскирующих признаков передачи по сетям GSM латентных команд активации spy-функций смартфонов и их местных портов, телевизоров и бытовой техники;
• разработку алгоритмов «поиска-обнаружения-классификации-блокирования» латентных команд активации spy-функций смартфонов на уровне магистральных трактов и местных базовых станций GSM, например, с применением сигнатурных методов;
• усиление патриотического воспитания в коллективах предприятий ТЭК РФ, через формирование адекватной корпоративной культуры, опирающейся на национальную систему ценностей и национальную идею.

Группа 3.

Позволяет локально блокировать каналы атаки через российские цифровые беспроводные сети на магистральном уровне и/или уровне местной базовой станции GSM):

• Определение демаскирующих признаков (идентифицирующих свойств) передачи по цифровым беспроводным сетям (сети GSM и теле- и радиовещания) латентных команд активации spy-функций смартфонов и их местных портов, телевизоров и бытовой техники;
• Определение демаскирующих признаков передачи команд активации НДВ (аппаратные и программные закладки) в различных типах промышленного импортного ИТ-оборудования (АСУ ТП) и инфо-телекоммуникационного сетевого и абонентского оборудования, закупленного Россией в период 1991-2021 годы, и на основе которого построены национальные цифровые сети;
• Разработка алгоритмов «поиска-обнаружения-классификации-блокирования» и алгоритмов «классификации и местоположения источника атаки-каналов атаки-модели атаки-цели атаки на основе, в том числе, сигнатурных методов и экспертных оценок.

Группа 4.

Позволяет своевременно парировать «последствия работы» активированных программных и аппаратных закладок в АСУ ТП на объектах КИИ ТЭК РФ, путем использования приемов предиктивной аналитики и ИИ /1, 2/: реализация в виртуальном пространстве «двойного-тройного резервирования» используемого на АЭС Минэнерго РФ, через сравнение отклика на каждую команду из АСУ ТП на цифровых двойниках реальной АСУ ТП конкретного объекта и прогнозирования последствий таких команд в реальном времени.

Если цифровые двойники АСУ ТП конкретного объекта КИИ, включая датчики её исполнительные механизмы, будут иметь достаточную глубину проработки, а время выполнения предиктивного анализа последствий команды АСУ ТП, на этом «цифровом двойнике», будет не более долей секунды (среднее время прохождения команды от АСУ ТП до исполнительных механизмов в технологическом процессе предприятия), то можно говорить о работе системы защиты в реальном времени (для конкретного технологического процесса предприятия).

Если такое время предиктивного анализа будет больше допустимой задержки, то известны технические решения по вводу дополнительной задержки между моментами выработки команды АСУ ТП и подачей команды на исполнительные механизмы в технологическом процессе предприятия.

То есть имеются, как минимум, четыре пути решения такой задачи: совершенствование модели цифрового двойника, повышение эффективности методов предиктивного анализа с использованием ИИ, увеличение вычислительных мощностей, введение дополнительной задержки.

10 февраля 2021 года

Представленный материал является авторским, ссылка обязательна.


СПРАВКА

АСУ ТП – это человеко-машинная система управления, обеспечивающая автоматизированный сбор и обработку информации, необходимой для оптимизации управления технологическим объектом в соответствии с принятыми критериями. АСУ ТП строятся на основе отказоустойчивой, высоконадежной вычислительной техники промышленного исполнения для долговременной (до 20-30 лет), круглосуточной эксплуатации на промышленных объектах.

Типовой комплекс АСУ ТП включает в себя распределенную систему управления (РСУ) и системы противоаварийной автоматической защиты (ПАЗ). РСУ, в свою очередь, представляет собой программно-аппаратный комплекс, состоящий из контрольно-измерительных приборов и автоматики (КИПиА), программируемого логического контроллера (ПЛК) и человеко-машинного интерфейса (станция оператора, станция инженера, станция инженера КИПиА).

Связь между элементами АСУ ТП осуществляется через промышленную цифровую сеть, по которой команды поступают к исполнительным устройствам или контроллерам с централизованного пульта управления или с отдельных устройств для обеспечения диспетчеризации.

На верхнем уровне РСУ расположены операторские станции и сервер системы. На сервере системы располагается вся архивная информация, база данных ПО контроллеров. На операторских станциях отображается мнемосхема объекта со всеми текущими измеренными параметрами. Оператор ведет технологический процесс, имея всю нужную информацию на экране монитора.

Из приведенного следует, что компоненты АСУ ТП, в своем рабочем технологическом процессе, должны взаимодействовать с ЛВС предприятия для получения информации о состоянии технологической среды и для передачи управляющих воздействий на технологические объекты. То есть, необходима организация защищенной сети (каналов) передачи данных, включая межсетевое экранирование, обнаружение вторжений, криптографическую защиту, защиту от НСД силами и средствами ТР вероятного противника.

Большинство АСУ ТП имеет стандартную трехзвенную структуру, и, независимо от высокого их уровня отказоустойчивости, часто, среднее звено - «SCADA-система» является наиболее уязвимой и позволяет злоумышленнику производить ряд манипуляций с технологическим процессом, что проявляется на уровне исполнительной механики.

На уровне управления механикой технологических процессов предприятия, как правило, есть сигнализация, но если оператор отдаст команду принудительно закрыть заслонку или повысить/понизить давление, то заслонка закроется и давление повысится/понизится. Если оператор прикажет «отключить датчики» – датчики отключаются.

При этом резервирование отказоустойчивости выполняется не на всех объектах КИИ ТЭК РФ: на объектах атомной энергетики она, почти всегда, присутствует (выполняется двойное или тройное резервирование), а в нефтегазовой отрасли и энергетике – резервирование нередко отсутствует.

В обозначенных условиях нельзя исключать, что кибератаки на АСУ ТП объектов КИИ ТЭК РФ с использованием «человеческого фактора» могут стать доминирующими /3,4/. Для парирования кибератак на АСУ ТП ТЭК РФ целесообразно выбирать методы, исключающие человеческий фактор.


Литература

1. https://cyberrus.com/wp-content/uploads ... I._new.pdf
2. https://isup.ru/articles/2/13235/
3. https://softline.ru/uploads/2e/5d/65/c9 ... origin.pdf
4. https://habr.com/ru/company/roi4cio/blog/524680/

СообщениеДобавлено: Ср 10 фев, 2021 22:03
Alex Rail
ПОЯСНЕНИЕ

Источники, каналы, модели кибератак на АСУ ТП и объекты КИИ ТЭК РФ, угрозы от которых позволяет парировать «группы 1-4» (см. Приложение 2), можно посмотреть в книге А. И. Белоус, В. А. Солодуха «Кибероружие и кибербезопасность». 2020 г.


Оглавление

Предисловие 3
Вместо введения - дайджест 10
Глава 1. Краткое введение в проблемы кибероружия 41
1.1. Основные эпизоды из предыстории развития кибероружия ...41
1.2. Изменение видов киберугроз за период с 1980 г. по 2010 г. ....48
1.3. Классификация информационно-технического оружия (кибероружия) 53
1.4. Стратегия обеспечения кибербезопасности США- слова и дела 65
1.4.1. Основные положения стратегии обеспечения кибербезопасности США в редакции 2015 г. 65
1.4.2. Краткий аннотированный перечень реализованных проектов обеспечения кибербезопасности США 72
1.4.3. Основные модели киберугроз США 81
1.4.3.1. Угроза подключения к правительственным и коммерческим каналам связи 81
1.4.3.2. Угроза прослушивания разговоров в помещении с помощью режима автоответа 83
1.4.3.3. Угроза наличия недокументированных возможностей 1Р-аппаратов 84
1.4.3.4. Угроза прослушивания IP-трафика в момент передачи по сети 85
1.4.3.5. Угроза подмены сообщений в управляющем канале ...86
1.4.4. «Сохранение мира путем принуждения» - основной принцип Стратегии кибербезопасности США в редакции 2018 г. ……90
1.5. «Перехватывать все!» - главный принцип АНБ 102
1.6. Проблемы идентификации и «наказания» организаторов и исполнителей кибератак 106
1.6.1. Техническая прелюдия 106
1.6.2. Зачем нужна идентификация и что она в себя должна включать 111
1.6.3. Основные технические сложности с идентификацией источника кибератаки 114
1.6.4. Основные методы определения источников кибератак... 116
1.7. К вопросу оценки рисков киберугроз для 5О-технологий 119
Литература к главе 122
Глава 2. Современное оружие: технические возможности и ограничения 124
2.1. Краткая история оружия 126
2.1.1. Введение 126
2.1.2. Эволюция ножа 130
2.1.3. Химическое оружие, боевые отравляющие вещества 139
2.1.4. Атомное (ядерное) и другие виды оружия 150
2.2. Современное космическое оружие: технические возможности и ограничения 157
2.2.1. Введение 157
2.2.2. Важные научно-технические и военно-стратегические аспекты построения и использования средств поражения космического эшелона противоракетной обороны 158
2.2.2.1. Технические возможности и ограничения потенциальных средств поражения баллистических ракет 158
2.2.2.2. Космический эшелон противоракетной обороны 160
2.2.2.3. Анализ основных типов потенциальных космических средств поражения противовоздушной обороны 164
2.2.2.4. Проблемы обеспечения надежности функционирования средств космического эшелона системы ПРО 169
2.3. СВЧ-оружие наземного применения 177
2.3.1. Основные поражающие факторы и методы воздействия СВЧ-излучений на радиоэлектронную аппаратуру 177
2.3.2. Классификация и методы применения СВЧ-оружия 179
2.3.3. Оружие несмертельного (нелетального) действия наземного применения 185
2.4. СВЧ-оружие атмосферного и космического применения ....192
2.4.1. Радиочастотное космическое оружие 192
2.4.2. Космическое оружие на основе новых физических принципов 196
2.4.3. Лазерное оружие 199
2.4.4. Пучковое СВЧ-оружие 201
2.4.5. СВЧ-комплексы противодействия высокоточному оружию 203
2.5. Программа высокочастотных активных исследований ХААРП 208
2.5.1. Теоретические механизмы возможного использования ХААРП для управления погодой 208
2.5.2. Возможности использования ХААРП в качестве атмосферного оружия 210
2.5.3. Сравнение предполагаемых функции систем типа HAARP, созданных в мире (США, Европа, СССР/Россия) 214
2.5.4. Хемоакустические волны - основа сейсмического оружия 218
2.6. Нейронное оружие 222
2.6.1. Военная нейробиология 222
2.6.2. Военная нейрофармакология 225
2.6.3. Искусственная стимуляция умственной деятельности....226
2.6.4. Интерфейсы типа «мозг-компьютер» 228
2.6.5. Биохимическое нейронное оружие 230
2.6.6. Нейронное оружие на основе информации/программного обеспечения 231
2.6.7. Угрозы нейронного оружия 232
2.6.8. Особенности и преимущества США, России и Китая в гонке нейронных вооружений 234
Литература к главе 238
Глава 3. Защита информации: цели, задачи, технологии... 248
3.1. Исторические аспекты возникновения и развития информационной безопасности 248
3.2. Основные цели и объекты информационной безопасности суверенного государства 252
3.3. Источники угроз и возможные последствия их воздействия на информационную безопасность государства 253
3.4. Основные задачи обеспечения информационной безопасности 256
3.5. Базовые технологии защиты информации 257
3.5.1. Антивирусы 260
3.5.2. Межсетевые экраны 260
3.5.3. Авторизация и разраничение доступа 261
3.5.4. Системы обнаружения и предотвращения атак 262
3.5.5. Сканеры безопасности 263
3.5.6. Системы контроля содержимого электронной почты 264
3.6. Проблемы обеспечения информационной безопасности российского радиоэлектронного комплекса 264
Литература к главе 273
Глава 4. Кибероружие: концепции, средства, методы и примеры применения 274
4.1. Введение в проблему 274
4.2. Виды информационных атак 278
4.3. Средства информационной войны 279
4.4. Классификация информационного оружия 281
4.5. Определение и классификация информационно-технических воздействий 290
4.6. Наиболее распространенные средства информационных воздействий 301
4.6.1. Удаленные сетевые атаки 301
4.6.2. Примеры реализации кибервоздействий с использованием метода удаленных сетевых атак 307
Глава 5. Методы и средства получения конфиденциальной (секретной) информации 308
5.1. Классификация и принципы функционирования технических каналов утечки конфиденциальной информации 308
5.2. Электромагнитные каналы доступа к информации, обрабатываемой средствами вычислительной техники 313
5.3. Специально создаваемые технические каналы получения конфиденциальной информации 323
5.4. Методы несанкционированного доступа секретной информации на основании анализа акустических и электромагнитных излучений объекта наблюдений 332
Литература к главе 333
Глава 6. Трояны в электронной аппаратуре 341
6.1. Программно-аппаратные трояны в телекоммуникационных системах 341
6.1.1. Трояны в сетевом оборудовании 341
6.1.2. Трояны в маршрутизаторах 344
6.1.3. Межсетевые экраны 346
6.1.4. Беспроводные сети 347
6.1.5. Трояны в рабочих серверах 348
6.1.6. Трояны в оборудовании рабочих мест операторов телекоммуникационных систем 349
6.2. Аппаратные трояны в компьютерах 351
6.2.1. Аппаратные трояны в системном блоке 351
6.2.2. Аппаратные трояны для подключению к USB 352
6.2.3. Трояны для перехвата информации вводимой через клавиатуру компьютера 353
6.2.4. Троянские программы в жестких дисках компьютера 361
6.3. Трояны в мобильных телефонах 363
6.3.1. Основные эпизоды из истории противоборства спецслужб и хакеров в области телефонии 363
6.3.2. Внедрение «жучка» в запчасти для смартфона 367
6.3.3. Примеры троянов в китайских смартфонах NomunLeagoo 370
6.3.4. Расширение возможностей мобильных телефонов за счет подключения специализированных модулей 372
6.3.5. Мини-шпионы в мобильном телефоне 380
6.3.5.1. Устройство блокирования мобильного телефона 380
6.3.5.2. Использование мобильных телефонов Nokia в качестве мини-шпионов 381
6.3.5.3. Мобильный телефон со встроенным мини-шпионом в батарейном отсеке 382
6.3.5.4. Определение местоположения мобильного телефона путем пеленгации по трем точкам 383
6.3.6. Основные технические решения по защите телефонных переговоров 385
6.3.6.1. Аппарат TopSec GSM 385
6.3.6.2. АппаратНС-2413 387
6.3.6.3. AnnaparSectra Tiger 387
6.3.6.4. Аппарат «Референт ПДА» (Россия) 388
6.3.6.5. Телефон-невидимка 389
6.3.6.6. Пути внедрения трояна в мобильный телефон 393
6.3.6.7. Специальные вирусы и программы для смартфонов 396
6.4. Трояны и автомобили 398
6.4.1. Устройства для определения маршрута движения автомобиля с помощью GPS 398
6.4.2. Новый вид угроз - автомобильные вирусы 400
6.5. Экзотические «шпионские штучки» 408
6.5.1. Похищение данных через кулер компьютера 408
6.5.2. Перехват изображения с экрана ноутбука 411
6.5.3. Миниатюрные радиомаяки в обуви и в одежде 414
6.5.4. Извлечение 4096-битных ключей RSA с помощью микрофона 417
6.6. Трояны в бытовой электронике 420
6.7. Китайский опыт борьбы с троянами 423
Литература к главе 426
Глава 7. Аппаратные трояны в микросхемах 430
7.1. Классификация аппаратных троянов в микросхемах 430
7.1.1. Постановка задачи 430
7.1.2. Основная классификация аппаратных троянов 432
7.2. Способы внедрения аппаратных троянов в микросхемы 442
7.2.1. Введение в проблему 442
7.2.2. Иерархические уровни внедрения троянов в микро схемы 451
7.3. Механизмы активации внедренных аппаратных троянов 456
7.4. Особенности внедрения аппаратных троянов в пассивные радиочастотные метки 468
7.4.1. Введение в проблему 468
7.4.2. Радиочастотные метки EPC C1G2 и аппаратные трояны 469
7.4.3. Механизмы запуска аппаратных троянов в радиочастотных метках EPC C1G2 472
7.5. Аппаратные трояны в беспроводных криптографических ИС 480
7.5.1. Особенности организации утечки информации
из беспроводных криптографически защищенных микросхем 480
7.5.2. Существующие методы обнаружения троянов в криптографических микросхемах 491
7.6. Основные методы обнаружения аппаратных троянов в микросхемах 501
7.6.1. Обнаружение аппаратных троянов в коммерческих микросхемах 501
7.6.2. Обнаружение аппаратных троянов без эталонной модели 503
7.6.3. Аппаратные трояны в трёхмерных интегральных схемах 506
7.7. Перспективы развития методов выявления троянов 507
7.7.1. Определение подлинности приобретенных на рынке коммерческих микросхем 507
7.7.2. Общий подход к анализу уязвимостей в микросхемах ...508
7.7.3. Пример конструкции микросхемы, устойчивой
к аппаратным троянам 510
7.7.4. Перспективы появления новых видов аппаратных троянов в микросхемах 511
7.8. Современные технологии контроля безопасности в микроэлектронике 512
7.8.1. Введение в проблему 512
7.8.2. Эволюция классической парадигмы проектирования микросхем ответственного назначения 514
7.8.3. Мест и роль технологий контроля безопасности в современной микроэлектронике 516
7.9. Основные алгоритмы внедрения заряженных микросхем в объекты кибердиверсий 522
Глава 8. Компьютерные вирусы, программные закладки и шпионские программы 535
8.1. Компьютерные вирусы 535
8.1.1. Термины и определения 535
8.1.2. Краткая история возникновения компьютерных вирусов 537
8.1.3. Классификация компьютерных вирусов 541
8.2. Компьютерные вирусы и троянские программы 561
8.2.1. Особенности применения вируса Stuxnet как разновидности кибероружия 561
8.2.2. Программные закладки: типы, способы внедрения и методы защиты 565
8.2.2.1. Программные закладки: основные типы и определения 565
8.2.2.2. Опасности программных закладок 567
8.2.2.3. Классификации программных закладок 568
8.2.2.4. Разновидности программных закладок 572
8.2.2.5. Троянские программы: типы и особенности поведения 579
8.3. Программные закладки 584
8.3.1. Основные принципы реализации программных закладок 584
8.3.1.1. Введение в проблему программных закладок 584
8.3.1.2. Основные пути внедрения программных закладок 585
8.3.1.3. Механизмы организации не обнаруживаемого управления 586
8.3.1.4. Использование криптографии 586
8.3.1.5. Использование корневых комплектов 587
8.3.1.6. Программные бекдоры в компьютерных системах 590
8.3.1.7. Примеры реально подтвержденных аппаратных закладок 594
8.3.1.8. Основные методы защиты от троянов и закладок 600
8.4. Модели воздействия на компьютеры программных закладок, способы внедрения и их взаимодействие с нарушителем 602
8.4.1. Модели воздействия программных закладок на компьютеры 602
8.4.2. Способы внедрения программных закладок и компьютерных вирусов 604
8.4.3. Сценарии внедрения программных закладок на различных этапах жизненного цикла программногообеспечения 606
8.4.4. Способы взаимодействия между программной закладкой и нарушителем 608
8.4.4.1. Определение понятия нарушителя 608
8.4.4.2. Интернет 610
8.4.4.3. Электронная почта 611
8.4.4.4. Методы защиты от программных закладок 611
8.4.4.5. Методы выявления внедренной программной закладки 613
8.4.4.6. Удаление внедренной программной закладки 614
8.4.4.7. Средства создания ложных объектов информационного пространства 614
8.5. Программные клавиатурные шпионы 617
8.5.1. Принцип работы клавиатурных шпионов 617
8.5.2. Методы слежения за клавиатурным вводом 619
8.5.2.1. Слежение за клавиатурным вводом при помощи ловушек 619
8.5.2.2. Слежение за клавиатурным вводом при помощи опроса клавиатуры 620
8.5.2.3. Слежение за клавиатурным вводом при помощи перехвата API-функций 621
8.5.2.4. Типовой пример клавиатурного шпиона 621
8.5.2.5. Методики поиска клавиатурных шпионов 623
8.5.2.6. Клавиатурные шпионы на основе драйверов-фильтров 624
8.5.2.7. Клавиатурные шпионы на базе RootKit-технологии в UserMode 625
8.5.2.8. Клавиатурный шпион на базе RootKit-технологии BKemelMode 627
8.5.2.9. Программы для поиска и удаления клавиатурных шпионов 629
8.6. Шпионские программы АНБ 632
8.6.1. Основные программные средства АНБ 632
8.6.2. Программные средства АНБ для использования в сетях Wi-Fi 634
8.6.3. Программные средства АНБ для поражения серверов вычислительных сетей 635
8.6.4. Программные средства АНБ для контроля сетевого оборудования 635
8.6.5. Программные средства АНБ для контроля сетей GPM ...637
8.6.6. Шпионские средства АНБ для контроля оборудования в помещениях типовых офисов 638
8.7. Пример способа внедрения программного трояна
в стандартный PE-файл операционной системы Microsoft Windows 639
8.7.1. Назначение и структура РЕ-файлов 639
8.7.2. Основные методы размещения программного трояна в РЕ-файлах 643
8.7.3. Решение проблемы нахождения доступного пространства для кода трояна 645
8.7.4. Перехват текущего потока выполнения 650
8.7.5. Внедрение кода программного трояна 653
8.7.6. Восстановление потока выполнения 656
8.8. Особенности организации защиты информации при работе с криптовалютами 660
8.9. Как узнать все о человеке с помощью социальных сетей 665
Литература к главе 672

СообщениеДобавлено: Чт 18 фев, 2021 08:43
Alex Rail
Приложение №3

Виды кибератак на АСУ ТП объектов КИИ ТЭК РФ, которые «не всегда» учитывают российские производители АПК ИБ.

Анализ направлений активностей российских компаний, предлагающих на российском рынке АПК ИБ АСУ ТП для объектов КИИ РФ показал (https://www.ptsecurity.com/upload/corpo ... 20-rus.pdf ), что их проекты, чтобы обеспечить спрос на мировом рынке, находятся в мировом тренде, ориентируются на официальные данные зарубежных производителей АСУ ТП и «не всегда» учитывают исключительное положение России, которое является следствием «состояния» её национальной цифровой информационной сферы и государственного курса с 2014 года /1/.

Такой «подход» производителей АПК ИБ «часто» не учитывает: а) моделей кибератак на АСУ ТП, использующих аппаратные и программные закладки, установленные в ИТ-оборудование и ПП, например, на этапе заводской сборки; б) моделей кибератак, использующих «человеческий фактор» и возможности «внешнего манипулирования абонентами из зарубежных центров технической разведки, в условиях GSM-покрытия на основе импортного сетевого и абонентского оборудования.

И если для большинства стран, «пренебрежение» такими моделями кибератак, в силу разных обстоятельств, можно считать оправданным, то для России в условиях:

а) «состязательного выхода» стран из мирового коронакризиса с использованием всех «доступных» инструментов мировой гибридной войны «на уничтожение»;

б) полномасштабного внедрения импортных цифровых технологий и ИТ-оборудования и ПП во все области жизнедеятельности РФ и построения в течение 30-ти лет национального цифрового информационного пространства на импортном ИТ-оборудовании и ПП, которое имеет внешний контроль и управление;

в) информационной и цифровой экспансии США, посредством своих существующих глобальных Интернет и GSM сетей и новых сети космического интернет Starlink и сети GSM «G-5», которые позволяют «вывести» цифровое информационное пространство и, соответственно, социум многих стран мира, из-под контроля национальных правительств уже в 2021-2022 годах, https://www.ferra.ru/news/techlife/kosm ... yandex.com ;

- такой подход требует обоснования на уровне Регулятора.

При этом, нельзя исключать, что в угрожаемый период, в силу «затруднительной доказуемости», основные риски успешной реализации кибератак Запада против объектов КИИ ТЭК РФ «будут сосредоточены» в области массированного применения кибератак силами и средствами технических разведок Запада, использующих именно аппаратные и программные закладки в импортном ИТ-оборудовании АСУ ТП и в телеком сетевом и абонентском оборудовании (GSM, SDH,ISDN, IP/ATM), и «человеческий фактор», усиленный приемами манипулирования поведением человека с применением искусственного интеллекта, которые имеют результативность выше 70%,
https://www.pnas.org/content/117/46/29221 .

По мнению связистов, в российских условиях: а) отсутствия «публичной национальной идеи»; б) реальности выборочного «внешнего контроля» более 100 млн абонентов GSM РФ и длительного получения «исчерпывающей информации» о конкретном человеке; в) наличии алгоритмов обработки «такой информации GSM» с использованием ИИ и методологий составления «портрета уязвимостей» абонента GSM и «коллективного портрета» – абонент плюс его родственники – позволит повысить результативность подобных кибератак, выше 90%, при сравнительно низкой стоимости самих таких атак.

Реализация подобных атак в США и Китае, практически невозможна, поскольку эти страны строили свою национальную цифровую инфраструктуру на базе собственных ИТ-разработок, ИТ-оборудования и ОС и ПП. Так, например, можно полагать, что Китай «добровольно» не станет массовым потребителем услуг сети космического интернета Starlink и сети GSM «G-5» на основе американского оборудования, как и США не станут массовыми потребителями услуг китайских сетей и китайского ИТ-оборудования, для сохранения своего национального, информационного и цифрового суверенитета.

Вследствие вышеизложенного, России, на примере мировых лидеров - суверенных высокоразвитых стран, в условиях безальтернативной необходимости цифровой трансформации своих ключевых отраслей экономики и промышленности, и отсутствия отечественной ИТ-индустрии, требуются «адекватные решения», обеспечивающие суверенное государственное развитие и защиту национальной цифровой информационной сферы.


Представленный материал является авторским, ссылка обязательна.
18 февраля 2021 года

СообщениеДобавлено: Пн 01 мар, 2021 15:21
Alex Rail
ПРИЛОЖЕНИЕ №4
1. Национальные Стратегии и Доктрины РФ, в границах которых определялись подходы к выработке «Стратегии развития информационной безопасности Минэнерго РФ».
2. Результаты анализа «Стратегии национальной кибербезопасности США» от сентября 2018 года.
3. Вызовы национальной информационной безопасности РФ в условиях реализации «Стратегии национальной кибербезопасности США» от 2018 года.



1. Национальные Стратегии и Доктрины РФ, в границах которых определялись подходы к выработке «Стратегии развития информационной безопасности Минэнерго РФ».

Базовым Документами для выработки подходов к разработке стратегии ИБ Минэнерго РФ были:

1. Энергетическая стратегия РФ, от 9 июня 2020 года.
2. Доктрина энергетической безопасности РФ, от 13 мая 2019 г.
3. Стратегический прогноз РФ на период до 2035 года, от 22 февраля 2019 г.
4. Доктрина информационной безопасности РФ, от 5 декабря 2016 года
5. Стратегия национальной безопасности РФ, от 31 декабря 2015 г.
6. Военная доктрина РФ, от 25 декабря 2014 года.
7. ФЗ «О стратегическом планировании в РФ», от 28 июня 2014 года.

Изучение обозначенных Документов позволяет зафиксировать:

1) Проблема информационной безопасности актуализирована вступлением в третьем десятилетии ХХ века глобального информационного пространства в сложную фазу своего развития, вызванного практически неограниченными возможностями средств массовой информации оказывать информационно-психологическое воздействие на население планеты в любом её регионе.

Угрозы и риски, обозначенные в Окинавской «Хартии глобального информационного общества», принимают все более угрожающие размеры. Принципы, способствующие обеспечению информационной безопасности и сформулированные в Женевско-Тунисской «Декларации принципов», на практике не реализованы

В этих глобальных процессах, высокий уровень зависимости российской промышленности и предприятий ОПК от зарубежных информационных технологий, в части: электронной компонентной базы, программного обеспечения, вычислительной техники и средств связи, обусловливает зависимость социально-экономического развития РФ от геополитических интересов развитых стран.

Стратегическими целями обеспечения информационной безопасности РФ являются: защита суверенитета, поддержание политической и социальной стабильности и территориальной целостности, защита критической информационной инфраструктуры страны (Доктрина информационной безопасности РФ от 2016 года).

2) Ключевые приоритеты нашей страны в сфере безопасности до 2035 года: а) усиление борьбы с глобальной террористической угрозой; б) обеспечение защиты национального информационно-коммуникационного пространства (Стратегический прогноз РФ до 2035 года), http://natsbez.ru/2019/11/12/strategich ... 2035-goda/ .

3) Стратегической целью Минэнерго РФ является, в том числе, обеспечение защищенности объектов критической информационной инфраструктуры ТЭК РФ в мирное время, в мобилизационный период и в военное время (Доктрина энергетической безопасности РФ, от 13 мая 2019 г.).

4) Правительство РФ проводит единую государственную политику в области обеспечения энергетической безопасности. Стратегической целью является снижение уязвимости, обеспечение управляемости и живучести инфраструктуры и объектов топливно-энергетического комплекса в мирное время, в условиях чрезвычайных ситуаций, в период мобилизации и в военное время (пункты 26 «в», 30 и 36 «Доктрины энергетической безопасности РФ» от 13 мая 2019 года).
Из приведенного следует, что ожидаемая весной 2021 года стратегия цифровой трансформации Минэнерго РФ, включающая стратегию развития информационной безопасности Минэнерго РФ, должна предложить технические и организационные решения, которые обеспечивают цифровизацию и одновременно снижают (не увеличивают) риски нарушения целостности информационной сферы «инфраструктуры и объектов КИИ ТЭК РФ» и риски реализации кибератак.

5) Угрозы информационной безопасности «ряда» объектов КИИ ТЭК РФ, имеющих 1-3 категории, в соответствие с Военной доктриной РФ от 2014 года, относятся к военным угрозам (не к военным опасностям), реализация которых реально способна спровоцировать военный и вооруженный конфликт (локальную войну).

6) В соответствие со «Стратегией национальной безопасности США» от 2017 года, в качестве приоритетных сфер сдерживания России и Китая были выделены три основных направления — военно-политическое, экономическое и информационно-коммуникационное.

Вследствие такого сдерживания в развитии информационно-коммуникационного направления, у стран появились трудно устранимые национальные риски: сегодня нередко наблюдается игнорирование суверенных прав государств на развитие собственной ИТ-технологической базы (например, для своей критической информационной инфраструктуры) и суверенных прав государства на управление национальным сегментом глобальной сети интернет на своей территории.

В интересах западных спецслужб осуществляется внедрение и использование скрытых вредоносных функций и программных уязвимостей в ИТ-продукции. Такая возможность, в частности, предусмотрена, в том числе, в Стратегии национальной кибербезопасности США от сентября 2018 года, провозглашающей принцип «сохранения мира силой».
США намерены использовать свое технологическое лидерство с тем, чтобы сохранить стратегическое доминирование в информационном пространстве, путем фактического проведения «политики навязывания» своих условий государствам, отстающим в цифровом развитии. С этой целью американцы активно противодействуют закреплению в международно-правовых нормах положений об использовании информационных и коммуникационных технологий исключительно в мирных целях и о предотвращении конфликтов в информационной сфере.

7) Из «Стратегии национальной кибербезопасности США» от 2018 года, следует, что будет продолжаться внедрение и использование скрытых вредоносных функций (НДВ) и программных уязвимостей в ИТ-продукции спец. службами Запада. Типовая модель внедрения ИТ-продуктов с закладками на конкретные объекты КИИ РФ и конкретным покупателям – перехват их заказов, используя внешний контроль над национальными цифровыми сетями РФ (или человеческий фактор) и подмена ИТ-продуктов, которые были заказаны, на ИТ-продукты с НДВ, пример, Сирия ( (Стратегический прогноз РФ на период до 2035 года), http://natsbez.ru/2019/11/12/strategich ... 2035-goda/ .

2. Результаты анализа «Стратегии национальной кибербезопасности США» от сентября 2018 года.


1. Амбиции США на мировое господство, во всех инфо-телекоммуникационных сетях стран мира и в глобальном киберпространстве, имеют доказательный научно-технический фундамент. Для завоевания такого господства, США концентрируют национальные ресурсы и планируют выполнение достаточного объема взаимоувязанных работ в соответствие с процедурой стратегического планирования, включая: формулирование целеполагания жизнедеятельности государства на конкретный период, выявление приоритетных целей и их декомпозиция до отдельных задач по всем направлениям жизнедеятельности государства, создание оптимальных условий для решения этих задач, разработка взаимоувязанных программ НИОКР и проектов по конкретным направлениям, создание и внедрение новых высокотехнологичных ИТ-инструментов глобального действия по реализации стратегии, создание сил и средств их «боевого применения» в целях достижения и удержания мирового господства.

2. Американская модель мира 21 века: а) США господствуют в мировом кибер и инфо-телекоммуникационном пространстве и на этой базе реализуют модель латентного внешнего управления странами мира; б) национальная безопасность США базируется, прежде всего, на господстве в мировом кибер- и телеком пространствах; в) экономическая безопасность США базируется на долларовой мировой финансовой системе, международной торговле, транспортной инфраструктуре, и обеспечивается военно-морскими силами; г) «будущее» американской экономики связано, прежде всего, с опорной технологической инфраструктурой, включая безлюдные производства, и с развитием киберпространства, в то время как производительный сектор экономики США «планируется расширять на территориях других стран», которые будут находиться под «внешним управлением» через глобальное киберпространство, в котором господствует США.

3. Ключевые цели США: сохранение мира на Земле силовыми методами «понуждения», обеспечение процветания США через доминирование в мире.

4. Для обеспечения ИТ-лидерства США, правительством страны будет оказана вся необходимая поддержка в направлениях: искусственный интеллект, квантовая информатика, технологиях сетевой ИТ- инфраструктуры нового поколения.

5. Для сохранения своего влияния в мире через пропаганду американского образа жизни, США необходим Интернет с базовыми элементами инфраструктуры на территории стран мира, не контролируемыми национальными правительствами. Поэтому, чтобы создать и сохранять адекватные ИТ-условия для долговременного закрепления «такого ИТ-состояния», США намерены блокировать национальные процессы: а) по отказу стран мира от многосторонней («мультистейкхолдерной») модели управления Интернетом; б) по выполнению работ странами мира для обеспечения своего суверенитета в киберпространстве; в) по отказу правительств стран мира на трансграничную передачу своих «больших данных».

6. Для обеспечения информационной безопасности своей национальной ИТ-инфраструктуры, США будут выполнять строительство инфо-телекоммуникационных и сетей передачи данных на своей территории «исключительно» на американском ИТ-оборудовании (оборудовании стран союзников) и силами американских компаний и операторов связи.

7. Для предотвращения «безответственного поведения» государств в киберпространстве, влекущего ущерб США или американским партнёрам, будут применяться дипломатические, военные (кибератаки и оружейные системы), финансовые, разведывательные методы, публичные заявления и «возможности правоохранительных органов.

Эту стратегию глобализации под ИТ-доминированием США, подписал Президент США Дональд Трамп в 2018 году, проводя публичную внутреннюю политику национального развития и роста промышленных секторов экономики (на территории США) и отказа от внешней политики мирового доминирования.

Можно предположить, что реакцией Правительства РФ и спец. Ведомств на эту «Стратегию США» стала активизация разработки российских стратегических документов, задающих тренды работ по обеспечению национальной информационной безопасности РФ до 2035 года с учетом современных видов кибератак (эту динамику можно увидеть выше из сроков утверждения Стратегий и Доктрин и появления Документов ФСТЭК за последние два года):

• «Методика моделирования угроз безопасности информации» (проект) от 9 апреля 2020 года, https://fstec.ru/component/attachments/download/2727 ;
• «Методика оценки угроз безопасности информации", от 5 февраля 2021 года, https://fstec.ru/component/attachments/download/2919 .


3. Вызовы национальной информационной безопасности РФ в условиях реализации «Стратегии национальной кибербезопасности США» от 2018 года.

Анализ информации в СМИ в 2020-2021 годах, «под углом зрения» реализации «Стратегии национальной кибербезопасности США» от 2018 года, позволяет сделать следующие выводы:

1. Активное строительство новых глобальных сети космического интернет Starlink и сети GSM «G-5» и запуск их в опытную и коммерческую эксплуатацию в США, Канаде и ЕС во второй половине 2021 года – производятся «системно и последовательно», в соответствие указанной стратегией США, с целью создания, в том числе, глобального латентного ИТ-инструмента для: а) внешнего перехвата «управления населением стран» у национальных правительств; б) повышения результативности кибератак на объекты КИИ стран мира через активацию закладок в импортных ИТ-системах; в) усиления, совместно с компрометирующими персонифицированными вбросами, «механизма понуждения» национальных правительств и конкретных гос. деятелей - принять «американские правила».

2. После начала продаж инфо-коммуникационных услуг этих двух американских глобальных ИТ-сетей на территории РФ, и в перспективе до момента запуска продаж аналогичных услуг двумя китайскими глобальными космическими сетями*, нельзя исключать:

• знакового снижение национальной информационной безопасности РФ через «утрату контроля» над российскими социальными сетями (такие сети являются альтернативой традиционным СМИ и «действенным инструментом» управления и манипулирования (методами социальной инженерии) многомиллионной интернет-аудиторией, пример, событий 17-31 января 2021 года в России;

• дальнейшего повышения результативности кибератак на объекты КИИ РФ, использующих «человеческий фактор» и закладки (НДВ) в ИТ-системах;

• знакового повышения «живучести» каналов доставки латентных команд активации аппаратных и программных закладок в импортных ИТ- системах, например: АСУ ТП на объектах КИИ РФ, системах жизнеобеспечения городов и управления транспортом, сетях связи - сетевое оборудование федеральных сетей GSM, SDH, ISDN, IP\ATM. Эти новые американские сети организуют, в том числе, прямые спутниковые каналы на абонентские терминалы, которые не могут быть отключены, как в сетях GSM, выключением местных базовых станций.

Примечание: для ТЭК РФ, актуальные виды кибератак и методы защиты - см. статью, выше.


Представленный материал является авторским, ссылка обязательна.
1 марта 2021 года

СообщениеДобавлено: Пт 12 мар, 2021 20:18
Alex Rail
Возрастание рисков реализации киберугроз вследствие «уязвимостей» камер видео наблюдения на объектах КИИ ТЭК РФ.

Из статьи размещенной ниже, следует, что сегодня на российском ИТ-рынке предлагается новая коммерческая услуга видеонаблюдения с 6300 видео камер в пределах территории РФ, в том числе с камер, установленных на объектах КИИ РФ (всего их более 65 000).

Технически, каждая такая камера имеет свой IP-адрес и доступна через Интернет, как на территории РФ, так и за её пределами, например, в центрах ТР Запада. Количество самих камер в 6300 вызывает вопросы…, поскольку из 13,5 млн. камер, установленных сегодня в России, это составляет 0, 01% (в среднем, 1 камера на 13500 установленных в России).

Отсюда, нельзя исключать, что «Неведомая Сила» раскачивает «ситуацию с видео уязвимостями на объектах КИИ РФ» - предложены коммерческие услуги видеонаблюдения с 6300 камер (из 13, 5 млн. установленных в РФ), но без указания местоположения этих камер… Это не исключает продажу таких услуг видеонаблюдения, в том числе, на 65 000 объектах КИИ РФ.

Из опыта СССР, к системам видеонаблюдения за периметром КЗ объекта КИИ предъявлялись требования ПД ИТР в полном объеме. В частности, они были «изолированы», по требованиям ПД ИТР, от любых внешних сетей связи и их видео сигналы нельзя было перехватить за пределами КЗ – при необходимости, ставили системы пространственного и линейного зашумления.

А сегодня, в условиях «чужого» национального цифрового пространства РФ, на многих десятках тысяч объектов КИИ РФ, возможно, за тысячи километров от России, через Интернет, в реальном времени, найти нужную видео камеру, «смотрящую» в нужное место на объекте КИИ РФ (или рядом с проходной) и реализовывать десятки видов кибератак, использующих «человеческий фактор» и модель атаки через «вспомогательное техническое средство»-смартфон случайного абонента GSM, который оказался в данный момент рядом со смартфоном «нужного абонента GSM» и к которому можно получить доступ через местные порты.

Риски реализации такого вида кибератак могут быть актуальны для многих тысяч объектов КИИ Минэнерго РФ, которые имеют масштабную пространственную инфраструктуру и используют дроны и видео камеры для контроля газо- и нефтепроводов, ЛЭП, теплотрасс, НПЗ и других объектов.

Методы защиты от таких кибератак «обозначены» в статье (см. выше) и могут включать создание выделенных защищенных VPN, объединяющих видеокамеры объекта КИИ ТЭК РФ и спец. фильтрацию трафика на уровне местных базовых станций GSM.


Маркетолог MBA.
12 марта 2021 года


https://www.comnews.ru/content/213514/2 ... um=desktop
12.03.2021

Свыше 6 тыс. камер наблюдения в России открыты для всех желающих, некоторые из них стоят на промышленных предприятиях и объектах критической инфраструктуры, сообщили в Avast.
К более чем 6,3 тыс. камер видеонаблюдения в России может подключиться любой желающий: у них открытые IP-адреса, что делает их доступными для киберпреступников, пишет "Коммерсантъ" со ссылкой на данные Avast.


Часть этих камер расположена в том числе на объектах критической инфраструктуры и промышленных предприятиях.
"К системе большинства таких камер можно получить доступ без имени пользователя и пароля, либо пароль к ним установлен по умолчанию", — объяснили в Avast.

Использовать эти камеры можно для организации нелегальной системы видеонаблюдения.

Еще одна угроза — через их IP-адреса злоумышленники могут зайти в сети компаний и предприятий.

Открытые для доступа камеры в банках грозят утечками данных кредитных карт и паспортов клиентов.

Эксперт лаборатории практического анализа защищенности Центра информационной безопасности компании "Инфосистемы Джет" Екатерина Рудая в разговоре с РБК отметила, что данные с камер, к примеру, могут послужить источником информации о передвижении человека.

"При желании злоумышленник может составить карту перемещения человека по городу. В случае, конечно, если качество с камер позволит распознать определенного человека.

Большинства граждан эта проблема вряд ли касается, так как сложно представить, что за простым программистом или учителем будет установлена слежка. Но в любом случае сам факт наличия возможности нельзя считать нормой, на которую можно спокойно закрыть глаза", — объяснила она.

По словам эксперта, обычно безопасности камер уделяется слишком мало внимания. "Порты и пароли по умолчанию, использование самых дешевых китайских устройств с небезопасной прошивкой — это скорее норма, чем исключение", — констатирует она.

Avast ссылается на данные поисковой системы по интернету вещей Shodan.io, которая ведет мониторинг уязвимых IP-адресов. Согласно информации от Shodan.io, Россия находится на пятом месте по числу камер видеонаблюдения с открытым IP, уступая Вьетнаму, Тайваню, Южной Корее и США.

По оценкам аналитиков Telecom Daily, по общему числу установленных камер видеонаблюдения Россия находится на третьем месте в мире — 13,5 млн, или 93,2 штуки на каждую тысячу человек (1 камера на каждые 10 человек).

Больше камер только в Китае и США. При этом только в Москве установлено 170 тыс. камер видеонаблюдения. Около трети всех камер в России установлено за государственный счет. Они работают в школах, детсадах, медицинских учреждениях, дорогах и госучреждениях.

Habr заметил уязвимость в системе видеонаблюдения на объектах РЖД. С ее помощью можно было получить данные к трансляции с нескольких тысяч камер на вокзалах. В РЖД в ответ заявили, что "утечки персональных данных клиентов холдинга не произошло, угрозы безопасности движения нет".

В августе 2020 года "Коммерсантъ" обратил внимание на то, что в контрактах на установку камер, которые заключают власти Москвы, указано их право транслировать информацию с городских камер в интернете, а также предоставлять к ней доступ на возмездной основе (коммерческая продажа, например, «услуг видеонаблюдения за конкретным подъездом дома или окном многоквартирного дома, в пределах Москвы. В мэрии заявили, что формулировки в этих договорах носят типовой характер и таких планов у властей нет.

СообщениеДобавлено: Пн 15 мар, 2021 01:29
Alex Rail
Приведенная ниже иностранная публикация от 12 марта 2021 года показывает, что в настоящей статье «Подходы к выстраиванию стратегии развития ИБ Минэнерго РФ», были обосновано определены приоритетные источники-каналы-модели-цели кибератак, от которых важно защищать объекты КИИ ТЭК РФ. Это, прежде всего, активация аппаратных и программных закладок в импортных АСУ ТП через каналы, организуемые по российским беспроводным цифровым GSM- и IP-сетям, цифровым сетям радио и телевещания (электрическим и другим сетям) силами и средствами ТР Запада. А атаки хакеров через Интернет – это, прежде всего, атаки, организуемые конкурентами (компании и даже страны). В угрожаемый период они будут заблокированы известными мерами. А здесь сложнее…

https://regnum.ru/news/3213130.html?utm ... yandex.com
12 марта 2021

То, что Вашингтон планирует ответить на взлом SolarWinds кибератаками, отражает гораздо более глубокую проблему в подходе и политике вашингтонского истеблишмента: убежденность в том, что для них действуют совсем иные правила, чем для других.

Ведутся разговоры о том, администрация президента США Джо Байдена планирует в ближайшие три недели нанести по России «ответный удар» за имевший место в 2020 году массовый взлом американской киберинфраструктуры SolarWinds, за который якобы несет ответственность Россия, пишет профессор Школы дипломатической службы Джорджтаунского университета в Катаре Анатол Ливен в статье, вышедшей 11 марта в Responsible Statecraft.

В частности, издание The New York Times сообщало, что в планы Вашингтона входит как введение новых санкций против Москвы, так и осуществление кибератак против российских государственных учреждений. По данным издания, этот удар также должен был бы включать в себя «серию тайных акций в российских сетях», которые уже подготовила американская разведка. По словам советника по национальной безопасности Джейка Салливана, ответный удар призван показать России, «какие (действия) Соединенные Штаты считают допустимыми, а какие — неприемлемыми».

Автор отмечает, что остается только надеяться, что решение останется за людьми, не лишенными разумности: особенно за теми в администрации, кто сможет заметить логическую несовместимость этих двух ответных шагов, а также теми, кто понимает, что такой шаг может стать прецедентом для совершения подобных атак против самих США в будущем.

Потому что, как демонстрируют замечания Салливана, с одной стороны, введение санкций подразумевает веру в то, что хакерские операции со стороны государства незаконны в том миропорядке, который в США называют «основанным на правилах». С другой же, угрожая нанести ответный удар, Вашингтон в той или иной форме открытым образом заявляет о том, что также намерен участвовать в этих якобы незаконных действиях. Более того, решившись пойти этим курсом, Вашингтон также косвенным образом признает, что американские спецслужбы действительно неоднократно совершали аналогичные действия в последние годы.

Важнее другое: намерения США отражают два очень серьезных заблуждения, которые, если их не развеять, могут принять при новой администрации Байдена более масштабный характер. Прежде всего, это тенденция, разжигаемая большинством американских СМИ, обвинять Россию в негативных событиях на основании достаточных доказательств — при том, что у американского общества почти нулевые шансы просмотреть или оценить эти данные. Кроме того, существует склонность формулировать курс США на основе информации, которая может носить неясный, преувеличенный или просто неверный характер.

Что же касается взлома SolarWinds, то спецслужбы США могут сказать лишь то, что за ними «с большой вероятностью» или «скорее всего» стоит именно Российское государство. В свою же очередь, The New York Times сообщила об этом как о факте. Тем не менее в действительности чрезвычайно сложно точно определить территориальное происхождение таких взломов, и еще труднее определить, были ли они результатом работы государственных сил или независимых субъектов. Вполне можно разумно предположить, что ответственность за это несут российские спецслужбы, но действия, о которых думает администрация Байдена, должны основываться на чем-то большем, чем предположение.

Вторая ошибка, как уже указывали автор и другие эксперты, в частности Джульет Скинсли в Chatham House и Энди Гринберг в Wired, заключается в использовании фразы «кибератака». Такой выбор слов отражает чрезвычайно опасное непонимание разницы между кибершпионажем и киберсаботажем.

Киберсаботаж похож на все остальные формы саботажа: преднамеренная попытка нанести ущерб государственной или частной инфраструктуре. Если такие действия станут причиной гибели людей, они вполне могут быть восприняты как акты терроризма или войны. Это действительно те шаги, которые идут вразрез со всеми традиционными правилами международного поведения в мирное время.

То, что написано на сегодняшний день о «российской кибератаке» против министерства энергетики США и управления ядерной безопасности, предполагает, что этим ведомствам, а также инфраструктуре, которую они контролируют, был нанесен реальный ущерб. Но этим истерические политические заявления не ограничиваются. Так, сенатор-демократ Дик Дурбин заявил, что взлом SolarWinds — который, понятный образом, он назвал «кибератакой» и безоговорочно приписал России — является, «по сути, объявлением войны». Вторили ему сенатор Крис Кунс и другие.

Такого нападения не было. Также маловероятно, что Москва осуществила бы такой саботаж, если бы Россия и Соединенные Штаты уже не были на грани войны. Все эти заявления мало чем отличаются от не менее абсурдных предупреждений, сделанных официальными лицами НАТО в 2020 году о том, что российские подводные лодки могут в мирное время нанести удар по подводным кабелям связи — при этом, кстати, нанося огромный ущерб самой России и ее партнерам.

Судя по всему, за этими оценками стояли в первую очередь эксперты британского военно-морского флота, которые абсолютно прозрачным образом пытались спастись от сокращения бюджета. Как и в случае с большинством обвинений SolarWinds, во всех этих предложениях игнорируется — будь то по незнанию или преднамеренно —разница между операциями по шпионажу и саботажу.

Взлом SolarWinds был актом шпионажа современными средствами. Как указано в анализе Chatham House, интересной (и забавной) особенностью взлома является то, что, если о нем не было добровольно сообщено правительству США частной охранной фирмой, то — как и во всех наиболее успешных шпионских операциях — никто в Америке никогда бы не узнал, что взлом имел место. Можно не сомневаться, что если Россия когда-нибудь решит напасть на Америку, об этом узнают все.

Шпионажем занимаются все государства, в том числе в первую очередь сами Соединенные Штаты. Эдвард Сноуден раскрыл массовые масштабы электронного и кибершпионажа не только против России и других соперников США, но и против ближайших союзников Вашингтона. В 2015 году WikiLeaks сообщил, что на протяжении десятилетий Агентство национальной безопасности шпионило за перепиской правительства Германии, а также прослушивало телефона канцлера Германии Ангелы Меркель.

Более того, Соединенные Штаты являются мировым лидером в области киберсаботажа. Как сообщало само издание The New York Times, Вашингтон не только осуществил массовые кибератаки на Иран, но и внедрил вредоносное ПО в большую часть российской энергетической инфраструктуры — хотя, предположительно, для того, чтобы активировать его только в ответ на российскую атаку.

В соответствии с новой киберстратегией «Превентивная защита» (Defend Forward) администрация бывшего президента США Дональда Трампа решила, что Соединенные Штаты сами предпримут шаги по предотвращению любой потенциальной кибератаки до того, как она произойдет. Эта доктрина стала повторением катастрофической Стратегии превентивной войны администрации Джорджа Буша — младшего. Как и эта стратегия, нынешняя кибердоктрина Вашингтона подталкивает американское руководство именно к такому роду агрессивных действий, которые он осуждает и стремится предотвратить со стороны других.

Если администрация Байдена ответит на шпионаж саботажем, этот шаг поднимет национальное соперничество в киберпространстве на совершенно новый уровень опасности и запустит потенциально катастрофический порочный круг ответных атак. В результате все те, против кого сегодня США осуществляют операции кибершпионажа, завтра будут им отвечать кибератаками.
Более того, ответные меры, таким образом, означали бы явный разрыв с устоявшимися международными конвенциями и давней политикой самих США. Например, в 2014 году появились заслуживающие доверия сообщения, что российская разведка взломала электронную почту Белого дома, Государственного департамента и министерства обороны.

Администрация Барака Обамы классифицировала этот шаг как акт традиционного шпионажа и не стала принимать ответных мер.

То, что Вашингтон планирует ответить на взлом SolarWinds кибератаками, отражает гораздо более глубокую проблему в подходе и политике вашингтонского истеблишмента: убежденность в том, что США могут в одностороннем порядке устанавливать правила международной системы, но при этом для них же самих, когда им очень нужно, действуют совсем иные правила.

С таким положением вещей никогда не согласятся другие могущественные державы. В области кибербезопасности подобные шаги еще менее оправданы, поскольку интернет действительно (увы, по большей части в плохом смысле) является великим уравнителем. Если перефразировать известную шутку, то можно сказать, что в интернете никто не знает, что ты единственная сверхдержава.

СообщениеДобавлено: Ср 17 мар, 2021 03:06
Alex Rail
Неделю назад в течение более часа не работали сайты Кремля, правительства, МВД, СК РФ, ГД РФ, Совета Федерации, Совета Безопасности РФ, Минцифры, Минэкономики, Минпромторга и Роскомнадзора.
РКН отказался связывать проблемы с работой сайтов с замедлением Twitter.

Если эти события связывать с «обещаниями оппонентов» ответить, в течение 2-3 недель, кибератакой, то нельзя исключать, что были:

1. Активированы закладки в ПП коммутаторов/маршрутизаторов на уровнях от BIOS до прикладных программ.
2. Были выполнены манипуляции с «обновлением версий», например, протокола BGP (BGP вместе с DNS поддерживает интернет-трафик).

Вместе с тем, нельзя исключать, что такие действия способны нарушить работу:

-интернет-провайдеров и IP-корпоративных сетей (банки, больницы, транспорт, торговые сети, платежные системы, гос. учреждения, промышленные предприятия);
-корпоративных IP-сетей многих тысяч объектов Минэнерго РФ и, соответственно, увеличить риски блокирования работы АСУ ТП, в том числе, на объектах КИИ РФ;
-цифровых сетей (GSM, ISDN, SDH): нередко, сигналы тактовой синхронизации (например, базовых станций GSM) передаются по IP-сетям;
- сетей управления цифровыми сетями, например сети TMN в магистральной сети SDH (если имеются «воздушные вставки» как в сети РТК, то доступ к сети TMN упрощается, см. сайт).

Если цель кибератаки – это блокировка работы IP-сети, то защититься «не всегда» позволяет даже полное отключение российского от глобального Интернет:

• известны методы активации закладок, которые используют «принцип», не связанный с подачей внешнего управляющего сигнала, а наоборот, связанный с отсутствием этих «управляющих сигналов» в течение времени «Х».
• известны методы активации закладок через сети GSM -3,-4,-5 и местные порты смартфонов,
• известны методы активации закладок через беспроводные цифровые вещательные сети и т.д.

Обобщая этот анализ, «можно предположить», что российский выделенный военный интернет (МТСС), если при его построении использовалась импортная ЭКБ, ПП, IP-оборудование, несмотря на его полное отключение от глобального Интернет, имеет уровень рисков внешнего блокирования его работы, который требует «аргументированных решений», от частных - до воссоздания российской ИТ-индустрии (см. сайт)


https://habr.com/ru/news/t/546312/
10 марта 2021
Упали сайты российских госорганов

После того, как Роскомнадзор объявил о замедлении работы Twitter, пользователи начали жаловаться на перебои в работе целого ряда сайтов российских органов власти. Не работают сайты Кремля, правительства, МВД, СК РФ, Совета Федерации, Совета Безопасности РФ, Минцифры, Минэкономики, Минпромторга и самого Роскомнадзора. Сайт Госдумы также какое-то время был недоступен, но сейчас его работу удалось восстановить.
Проблемы наблюдаются у абонентов Ростелекома. По данным Downdetector, 90% пользователей испытывают сложности с доступом в интернет. Провайдер объясняет проблемы сбоем в функционировании оборудования.

Также сбои наблюдались в российской платёжной системе QIWI, при этом география «сбоев» охватывала всю территорию европейской части РФ, Урал, южную часть Сибири и Дальний Восток.

Падение госсайтов компания объяснила падением серверов: «Произошел сбой в работе одного из дата-центров».
РКН отказывается связывать проблемы с работой сайтов с замедлением Twitter.
Чиновники заявили также, что замедление соцсети не ограничит передачу текстовых сообщений, а затронет только фото- и видеоконтент.

В Совфеде массовое падение сайтов российских госорганов уже связали с кибератаками со стороны США, которые ранее анонсировали источники New York Times.


https://zen.yandex.ru/media/mir_u_chert ... 3e846cea91

По мнению авторов Telegram-канала "Рокот", американские маршрутизаторы JUNIPER, которыми пользуются в России, в 9 часов по Гринвичу получили BGP-анонс (его ещё называют "маршрутный протокол"). Он содержал префикс от провайдера Telia Company. "Анонс не смогли обработать только джуниперы с версией прошивки 16.7, в Ростелекоме и некоторых других операторов вышли из строя ряд маршрутизаторов этой марки.


Это была спланированная кибератака через уязвимости в прошивке", - объяснили эксперты. Этот механизм известен, его называют "пакетом смерти". Его суть в том, что производитель делает в своих устройствах "закладку", которая по определённому сигналу или коду выводит устройство или оборудование из строя.

О закладках в маршрутизаторах известно давно. Известный журнал Шпигель (Spiegel) подсказывает интересное по теме:

Маршрутизаторы - это специальные компьютеры, которые предназначены для подключения к внутренней сети компании или внешней сети, а также для передачи и обработки интернет-трафика. Согласно каталогу обзора SPIEGEL, АНТ подразделение Агентств Национальной Безопасности имеет среди его предложений закладки для использования в профессиональных маршрутизаторах, выпущенных, по крайней мере, двумя производителями — Juniper и Huawei.

Скорее всего, существуют дополнительные продукты подразделения АНТ для подобных устройств. Закладки, по версии каталога, устанавливаются в BIOS, на самом низком уровне программного обеспечения в каждом устройстве.

Это гарантирует, что другие дополнительные вредоносные программы также могут быть установлены, даже если компьютер перезагружается или установлена новая операционная система.

Модели маршрутизаторов, которые представлены в каталоге ANT, предназначены для использования малого, среднего и крупного бизнеса, а также для центров обработки данных Интернет и мобильных провайдеров телефонных услуг.

Маршрутизаторы Juniper M – Series компании Juniper предназначены для организации магистральных сетей в крупных компаниях и поставщиков сетевых услуг. Они также используются в центрах обработки данных компаний, которые предоставляют другие корпорации и для частных клиентов для соединения с сетью Интернет.

Закладка SIERRAMONTANA представляет собой программную закладку для маршрутизаторов серии Juniper M, которая устойчива к обновлениям прошивки и размещается в BIOS. Сохраняется при перезагрузке, обновлении ОС маршрутизатора и даже при физической замене карты памяти с прошивкой (!).

Маршрутизаторы Juniper Т – Series компании Juniper по словам производителя «используются ведущими поставщиками услуг фиксированной связи, мобильных, видео и облачных сетей».

Закладка STUCCOMONTANA является программной закладкой для маршрутизаторов Juniper T-Series. Существует в качестве модификации BIOS и устойчива к обновлению программного обеспечения. Сохраняется при перезагрузке, обновлении ОС маршрутизатора и даже при физической замене карты памяти с прошивкой.

Литература по закладкам в ИТ-продуктах:

1. Shopping for Spy Gear: Catalog Advertises NSA Toolbox. //Spiegel. http://www.spiegel.de/international/world/ catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html .
2. Inside TAO: Documents Reveal Top NSA Hacking Unit. //Spiegel. http://www.spiegel.de/international/wor ... 40969.html .
3. Interactive Graphic: The NSA’s Spy Catalog. //Spiegel.http://www.spiegel.de/international/world/a-941262.html .