-–Алексей, расскажите, исходя из данного материала, какие основные слабые точки можно выделить в системе обеспечения информационной безопасности ОАО «РЖД»?
– Исследователь, который обнаружил уязвимости, не делал каких-то сложных действий для входа в систему РЖД, он просто сканировал порты и хотел посмотреть, что за ними. И таким образом нашел незапароленный роутер. Какой-то администратор, устанавливая оборудование, не поставил новый пароль взамен того, что присваивается при продаже по умолчанию (admin или 12345).
Само наличие таких незащищенных устройств – «детская» ошибка, которую допускают из халатности. Поэтому, конечно, человеческий фактор в этой истории – первопричина проблем.
Но обращает на себя внимание и то, что за обнаруженным незапароленным роутером были другие незащищенные или необновленные устройства, а сама сеть выстроена как единая общая система и никак не сегментирована (автор материала делает акцент на отсутствии межсетевых экранов). Грубо говоря, попадая через одно незащищенное устройство, злоумышленник получает доступ ко всей сети, а не к ее части. И это говорит не о халатности одного конкретного администратора сети, а о системной проблеме. Вызывает вопросы, как изначально организована IТ-инфраструктура, какие были закуплены и установлены защитные системы, как они сконфигурированы. Есть вопросы к их эксплуатации и контролю за персоналом – как видно из одного из скриншотов, система даже предупреждает администратора, что пароль нужно сменить, но сотрудник предупреждение явно проигнорировал.
– К каким последствиям может привести подобный взлом, если бы его осуществлял недоброжелатель?
– Автор эксперимента пишет о том, что получил доступ к системе видеонаблюдения, но намекает, что уязвимости сети позволяют проникнуть гораздо глубже. Исследователь не пишет об этом подробнее из соображений этики. Кроме того, такие несанкционированные эксперименты могут повлечь уголовное преследование.
Не думаю, что такие уязвимости грозят физической безопасности, поэтому не стал бы нагнетать, что есть угроза жизни и здоровью пассажиров. Множество процессов еще не перешли в цифру или имеют резервную страховку в виде сотрудников, которые умеют, что называется, делать все руками. Но цифра очень быстро приучает к комфорту, и такой кадровый резерв иссякает. Поэтому те процессы, которые были полностью оцифрованы, могут быть парализованы. Примеры таких историй есть. Например, когда хакеры взломали IТ-систему в компании Garmin, встали даже производственные линии.
– Насколько глубокими должны быть знания, чтобы проникнуть в обозначенные системы? Насколько это в принципе сложно для среднестатистического специалиста?
– Для той схемы, которую описал автор эксперимента, нужны как минимум базовые технические знания. Видно, что конкретно он – специалист в безопасности сетевого оборудования со специализацией по конкретному производителю.
Но злоумышленник может избрать и другую схему атаки, для успеха которой важнее не технические знания, а подготовка. Он может узнать о конкретной проблеме атакуемого объекта. А такие знания можно получить просто, например, по дружбе у знакомого, который работал в компании. Тот может рассказать, что по таким-то адресам можно сделать то-то (сам, мол, делал перед увольнением). Такие «услуги» можно приобрести и за деньги на определенных форумах.
– Какие шаги, на Ваш взгляд, необходимо предпринять руководству ОАО «РЖД» и техническому отделу для повышения защиты своих систем?
– Так как в РЖД уже существует единая гигантская IТ-инфраструктура, перестраивать ее придется постепенно. Например, может быть выбрано несколько участков, где будут выстроены образцовые кластеры. И от них уже по принципу поглощения будут распространяться правильные стандарты безопасности. О конкретных шагах можно говорить, только доподлинно зная, как организована сеть в РЖД.
Перестройка технической части, конечно, требует и нового отношения к администрированию. Повторюсь, вызывает недоумение, что системный администратор игнорирует уведомление системы. Это говорит о низком уровне культуры контроля в целом.
Беседовала Юлия Чернышевская
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редактору.
III КВАРТАЛ 2022Г. - 55 баллов 
