Низкий уровень информационной гигиены: IT-эксперт рассказал, в чем прокол авиакомпаний

Отменены десятки рейсов, произошел сбой в работе аэропортов, вероятно, похищен большой объем данных. О том, что же упустили наши специалисты в области информационной защиты, рассказал генеральный директор АНО «Цифровые платформы» Арсений Щельцин.

- Так в чем же прокол службы кибербезопасности авиакомпаний?

- Исходя из той информации, которая озвучена, могу предположить. Думаю, прокол заключается в отсутствии эффективных систем обнаружения вторжений (IDS/IPS); слабом мониторинге сетевого трафика и логов; недостаточном сегментировании сети; проблемах с управлением уязвимостями; низком уровне информационной гигиены сотрудников; отсутствии многофакторной аутентификации и неэффективном реагировании на инциденты. Все это в совокупности или что-то в большей степени и привело к тому, мы имеем.

Думаю, одна из проблем, проявляющихся в подобных инцидентах - тенденция государственных компаний к созданию собственных IT-дочерних предприятий и заказу разработки у них. Это зачастую приводит к недостатку необходимых компетенций и опыта по сравнению с независимыми игроками рынка.

- То есть для надежного противодействия угрозам информационной безопасности нужна концентрация ресурсов, а не распыление средств?

- Как и в любом другом деле.

- То, что мы получили 28 июля, это какой-то новый подход в работе хакеров или это обычная их практика?

- Это не новый, но очень опасный и изощренный подход. Длительное пребывание хакеров внутри скомпрометированной сети (Advanced Persistent Threats, APT) и сбор данных перед массированной атакой - обычная практика для квалифицированных группировок.

- В чем особенности этой атаки?

- Об особенностях можно судить со слов хакерской группировки. Это длительное присутствие хакеров (возможно год) внутри системы; масштаб заявленного ущерба (уничтожение 7000 серверов и кража 12-20 ТБ данных). Цель атаки - нанесение максимального ущерба и парализация работы, воздействие на критическую инфраструктуру, а также смешанный характер атаки - уничтожение инфраструктуры в сочетании с кражей данных.

- Можете оценить масштаб бедствия? Можно ли быстро устранить эту брешь в киберзащите?

- Масштаб бедствия очень высок. Это и операционный коллапс (отмена десятков рейсов), и финансовые потери, и репутационные издержки, и угроза национальной безопасности. Быстро устранить такую брешь сложно. Потребуется полное восстановление скомпрометированных систем из резервных копий, тщательный аудит сети, усиление политики безопасности, обучение персонала и расследование инцидента.

- Есть ли у наших хакеров возможность нанести ответный ход по тем странам, которые стоят за этой хакерской атакой на наши авиакомпании?

- Вопрос об ответном ходе относится к кибервойне. Технически кибератаки возможны из любой точки мира, но их атрибуция крайне сложна. Россия, как и многие державы, обладает развитыми кибервозможностями, однако публичное обсуждение и признание таких действий на государственном уровне может привести к эскалации. Такие операции обычно остаются некомментируемыми.