• Ставка на полувагон
    %
    руб./сут.
  • Индекс качества II КВАРТАЛ 2021Г. - 64 баллa
  • Финансы USD ЦБ РФ 72.29 -0.28 EUR ЦБ РФ 83.61 -0.32
    BTC 54371.31 usd BTC 3898966.64 rub
+7 (812) 418-34-95 Санкт-Петербург       +7 (495) 984-54-41 Москва
31.03.2021 15:43:49
Логистика / Комментарии
РЖД-Партнер

Устаревший код, единомания и безалаберность сотрудников: о чем стоит задуматься специалистам по информационной безопасности уже сегодня

В ближайшем будущем практически каждой компании придется столкнуться с рядом угроз информационной безопасности. Причем напрячься следует не только маленьким производствам со слабым защитным IT-контуром: 73% жертв мошенников представляли компании с численностью персонала более 1 тыс. человек. О том, к чему готовиться, в рамках конференции «Цифровизация транспортной отрасли: достижения, эффективность, перспективы» рассказал начальник отдела информационной безопасности компании «СерчИнформ» Алексей Дрозд.
Устаревший код, единомания и безалаберность сотрудников: о чем стоит задуматься специалистам по информационной безопасности уже сегодня
В первую очередь он выделил в качестве угрозы устаревшее IT-наследие. То, что называют legacy-код, – устаревший код, который более не поддерживается и не обновляется, но используется. «Та самая пресловутая присказка security by design (принцип разработки, когда программные продукты с самого начала создаются с учетом обеспечения информационной безопасности) остается лозунгом конференций и семинаров, прописывается в презентациях и на бумажках, но реальность не соответствует этим ожиданиям. Для решения этой проблемы необходим рефакторинг кода», – рассказал А. Дрозд. А иначе любая компания может столкнуться с коллапсом, аналогичным случившемуся в январе 2021 года на сети китайских железных дорог. Тогда из-за отключения Flash Player (FP) железнодорожная сеть целого города с населением в 4,4 млн человек вышла из строя на сутки. Чтобы восстановить движение, сотрудникам China Railway пришлось устанавливать старую версию FP на все компьютеры, которые поддерживали работу железнодорожной сети. Причина инцидента была в характерной обычно для русского народа надежде на авось – компания Adobe (разработчик программы) заблаговременно предупреждала об отключении FP, но китайские железнодорожники понадеялись, что серьезных проблем не возникнет.

Также беспокойство вызывают атаки на цепочку поставок ПО. Так, к примеру, месяц назад стало известно, что исследователю Алексу Бирсану удалось взломать внутренние системы более 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber. «Он нашел логическую ошибку. Есть корпоративные продукты, которые собираются из маленьких кусочков. Оказалось, что если какой-то скрипт лежит в частном репозитории за семью замками, но просачивается информация о его названии, например, в манифестах, то можно положить аналогичный по названию скрипт с вредоносным содержимым в публичный репозиторий, и приоритет исполнения получит публичный пакет, а не проприетарный. Хорошо, что это была исследовательская атака, а ведь раньше были и злонамеренные. К примеру, однажды вредоносный файл подложили на сайт программы удаленного доступа, и с легитимного ресурса народ его качал», – пояснил эксперт.

Еще один бич современных систем – единомания. «Единая система – это нормально, только если делать ее с умом. Но здесь есть риска танцев на граблях», – предупреждает А. Дрозд. Опасность в том, что просчет в одной детали фактически открывает злоумышленникам доступ ко всей системе. Усугубляется это все проблемой отсутствия легальной практики пентестов (тестирование на проникновение – метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника). «Если человек даже из добрых побуждений начинает щупать, например, сеть ОАО «РЖД», только общественный резонанс его спасет от колесования. Проблема в чем – у нас есть колосс, но, возможно, он на глиняных ногах. А проверить это невозможно, так как есть 187-ФЗ (о безопасности критической информационной инфраструктуры). То есть пентестер сам себя подставляет. А проблема – в отсутствии программ Bug Bounty (это программа, предлагаемая некоторыми веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок в системах). Есть ли программы, которые позволяют легально проводить аудит кода? Практически нет. И это большая брешь», – рассказывает эксперт.

Не стоит упускать из внимания и потенциально уязвимые перед кибератаками умные системы и датчики. «С интернетом вещей стоит быть осторожнее. У нас есть куча умных датчиков, которые отдают информацию на обработку унифицированно, скапливаются огромные массивы данных… Встает вопрос: а насколько эти данные валидны? Насколько они проверяются? И как в принципе оценить их качество?» – задается вопросами А. Дрозд. В качестве примера эксперт привел ситуацию, когда с помощью 99 смартфонов художник-концептуалист создал автомобильную пробку на Google Maps. Что сделал художник? Сложив в тележку смартфоны, он медленно прошелся по мосту Шилингбрюке. Через некоторое время на этом месте в картах Google Maps отобразилась жесточайшая пробка со скоростью движения транспорта около 4 км/ч. Похожая ситуация повторилась в Москве в этом году. В ночь на 5 февраля москвичи столкнулись со стрессовой ситуацией – «Яндекс.Карты» показывали 10-балльные пробки. Все улицы подсвечивались красным, водителям пришлось ехать обходными маршрутами. Но на самом деле таких масштабных дорожных заторов не было. В сервисе произошел сбой, и Яндекс объяснил его ложными GPS-сигналами. Это, кстати, привело к невероятному росту тарифов такси. «Вопрос такой: как вся эта умная братия обменивается данными между собой и как легко их можно атаковать? Практика бытовых вещей показывает, что шифрования и защиты данных подобных датчиков часто нет. Иногда и вовсе стоит дефолтный пароль admin:admin, который разработчики вогнали в прошивку на этапе отладки», – рассказал А. Дрозд.

Проблема людей есть не только на уровне потребителя. Не стоит недооценивать «изобретательность» сотрудников. К примеру, в 2019 году на ядерном объекте работники на изолированной сети организовали майнинг-ферму (оборудование, которое специально собрано и настроено для добычи биткоинов или других криптовалют). Кстати, с 2017 года энергетики группы «Россети» из-за подпольного майнинга понесли ущерб на более чем 450 млн руб. За этот период было выявлено 35 случаев хищения электроэнергии черными майнерами в 20 регионах России.

«Всегда важно помнить, что существенная угроза исходит изнутри. Причем одно дело, когда злоумышленник пытается совершить какую-либо атаку, другое – когда человек в результате глупости, наивности, халатности и просто по незнанию попадает впросак. Более 70% россиян открывают мошеннические письма, написанные от имени руководителя или делового партнера, 90% офисных работников раскрывают в соцсетях персональную информацию», – предупреждает А. Дрозд. Решать последнюю проблему можно двумя путями. Самый простой – взаимодействие на уровне «программа-человек» (ограничения, блокировки и т. д.). «То есть мы стараемся не дать человеку даже возможности совершить ошибку», – пояснил А. Дрозд. Более сложный подход – это попытка донести до человека те самые риски. «То есть мало сказать «ребята, не открывайте фишинговые письма». Необходимо добиться отклика аудитории, провести аналогии и показать, чем все заканчивается, даже если кажется, что вас это никогда не коснется», – добавил эксперт.
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редактору.




Читайте также

Выставка Конгресс Конференция Круглый стол Премия Саммит Семинар Форум Дискуссионный клуб
Индекс цитирования Рейтинг@Mail.ru

Copyright © 2002-2021 ООО «Редакция журнала «РЖД-Партнер»

При цитировании информации гиперссылка на ИА РЖД-Партнер.ру обязательна.

Использование материалов ИА РЖД-Партнер.ру в коммерческих целях без письменного разрешения агентства не допускается.

Свидетельство о регистрации СМИ ИА № ФС77-22819 от 11 января 2006 г., выдано Федеральной службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия.

Любое использование материалов допускается только при наличии гиперссылки на ИА РЖД-Партнер.ру

Разработка сайта - iMedia Solutions