Город остался без электричества и нефтедобычи, а на баржу упал контейнер — PHDays 10 завершен

По отзывам многих участников, юбилейный PHDays 10 получился ярким и свежим, как погода в середине мая. На площадке нашлось место и пиджакам, и футболкам, и даже министру цифрового развития. Это была не просто встреча более 2,5 тысяч специалистов по информационной безопасности, уставших от изоляции во время пандемии. За сражениями на самом большом в мире киберполигоне The Standoff и форумом наблюдали онлайн свыше 20 тысяч человек из разных стран. Мы откровенно говорили о важных вещах, о совершенно новых технологиях и подходах, геополитических проблемах, болях бизнеса, надеждах инвесторов, неприятностях частных пользователей. Мы показали, как хакеры могут разрушить современный город, и предложили почти революционную методологию защиты от такой угрозы.

Несмотря на опыт команд защитников, атакующие нанесли тяжелые удары по всем компаниям города, построенного на полигоне The Standoff. Так, в последний день сражения жителей оставили без электричества. Атакующие отключили линии электропередач, взломав устройства релейной защиты и автоматики на подстанции, принадлежащей компании Tube. В морском порту транспортной компании Heavy Ship Logistics контейнер упал прямо на баржу. Как выяснилось, хакеры из команды Invuls перехватили управление портальным краном и подавали заведомо неправильные команды. Кроме того, атакующие из Сodeby и True0xA3 остановили автоматизированную систему управления крупной региональной корпорации Nuft по добыче и переработке нефтепродуктов и подменили показатели приборов. Нефтедобыча сократилась за сутки на 90%.

Всего пострадало: газораспределительная станция, ТЭЦ, нефтекачалки, ветрогенераторы, электроподстанция, железнодорожное хозяйство, аэропорт, морской порт, магазины, сеть рекламных видеоэкранов, система уличного освещения, офисы компаний 25 Hours, Heavy Ship Logistics, Nuft, Tube. Чаще всего бизнес-риски реализовывали в компаниях Heavy Ship Logistics и FairMarket — 33 и 26 раз соответственно.

За четыре дня работы киберполигона было реализовано 33 уникальных бизнес-риска — 54% от общего числа рисков, заложенных в программу соревнований. Всего жюри приняло 84 отчета об успешно выполненных заданиях от команд атакующих. Победителями среди команд «красных» стали True0xA3 (35 877 баллов), Сodeby (30 183) и Invuls (17 643).

Команды защитников прислали 328 отчетов о выявленных инцидентах. По количеству отчетов об атаках в тройке лидеров оказались команды Jet Security Team (компания Tube), akPots_team (Nuft) и Yourshellnotpass (25 Hours). За время соревнований защитники успели расследовать 18 реализовавшихся бизнес-рисков, причем команды Jet Security Team и Yourshellnotpass расследовали все риски, с которыми столкнулись их компании. В среднем на расследование с необходимой полнотой собранных фактов требовалось около 5 часов.

Реальность кибербеза

Современный министр — это кофе в стакане, кроссовки и хорошее чувство юмора. Другой человек, наверное, не мог бы управлять министерством, которое вывело Россию в число лидеров по развитию цифровых госуслуг (и наши Госуслуги регулярно выигрывают международные премии).

В финальный день форума состоялась пленарная сессия «Реальность российского кибербеза». В ней приняли участие:

Отвечая на вопрос Юрия Максимова о причинах, по которым в России столь узок рынок кибербезопасности и небольшое число стартапов, Владимир Сакович, глава Skolkovo Ventures, отметил, что эта отрасль везде в мире, как правило, поделена между большими игроками, которые могут обеспечить комплексность и надежность.

Дефицит капитала и необходимых инвестиционных инструментов приводит к тому, что если стартапы в области ИБ и появляются, то годами остаются на уровне маленьких компаний.

Максут Шадаев согласен, что для стартапов должен быть дан зеленый свет и упрощены некоторые механизмы. «Они должны иметь возможность без конкурса продавать свои продукты в госорганы. Либо, если решения стартапа закупаются бизнесом, для этих компаний должны быть налоговые льготы. Пока мы не решим проблему упрощенного доступа стартапа на рынок, мы можем как угодно заливать деньгами любые разработки, это будет бессмысленно», — сказал Максут Шадаев.

От слепой веры в начинающие компании предостерег Виталий Лютиков, заместитель директора ФСТЭК России, рассказав о создателях операционной системы со штатом в 6 разработчиков.

«А если через некоторое время эти разработчики разбегутся и продукт останется без поддержки? Помогать начинающим стартаперам надо, но механизм должен быть продуман, чтобы исключить риски как минимум в системообразующих отраслях», — отметил Виталий Лютиков.

Айдар Гузаиров, генеральный директор Innostage, полагает, что если индустрия ИБ в России объединится, выстроит дорожную карту, то вопрос полного перехода на отечественные продукты решится за один, два, три года. «Но индустрия — это не только производители решений и заказчики, это и обучение программистов и специалистов, работающих с конечными решениями, и вопрос удержания кадров в России и отечественных компаниях. Надо понимать, что разработчику, даже живущему в Ульяновске, не нужно уезжать, он может прекрасно работать на вендоров из США», — отметил Айдар Гузаиров.

«К сожалению, первые лица нередко занимаются инфобезопасностью раз в год, при согласовании бюджетов, — заявил Айдар Гузаиров. — Такие люди должны регулярно ставить CISO вопросы «что сделать, чтобы компанию не уничтожили хакеры и мы могли спать спокойно». Но они этих вопросов не задают».

С ним согласен Максут Шадаев: «В крупных компаниях ИБ-руководитель часто просто не имеет доступа к первому лицу. В результате он лучше понимает регуляторику ФСТЭК, нежели специфику бизнеса, который защищает. Хотя, когда ввели законы по защите критической инфраструктуры, где прописана уголовная ответственность, первые лица стали уделять чуть больше внимания информационной безопасности», — отметил Максут Шадаев.

Российские банки защищены лучше

На форуме в последний день много внимания уделялось вопросам безопасности банковских систем. Артем Сычев, первый замглавы департамента информационной безопасности ЦБ, отметил, что «банковская система РФ на голову выше западных с точки зрения ИБ. Опыт отражения атак и устранения последствий у наших финансовых организаций гораздо больше».

По его словам, важным аспектом является понимание ИБ-рисков на уровне руководства финансовых организаций, а не только профильных подразделений.
«Если руководство финансовой организации не понимает рисков ИБ, не знает, что это такое, то в таком случае риску подвергаются не только они сами, но и акционеры, и вкладчики. Для нас крайне важно понимание, насколько киберкультура присутствует в корпоративном управлении и может ли она повлиять на финансовую устойчивость организации», — ответил Артем Сычев.

«Нас нередко обвиняют в том, что в нормативных документах мы довольно много внимания уделяем техническим вопросам. С одной стороны, от нас хотят, чтобы мы сказали, как должно быть, а с другой — наоборот, хотят, чтобы мы дали больше свободы, — рассказал Артем Сычев. — Но в конечном счете ни технические детали, ни средства безопасности не являются ключевой историей. Для нас важным является вопрос, сможет ли в случае кризисной ситуации финансовая организация обеспечить непрерывность своей деятельности, а также возможность минимизации потерь».

Как защитить пожилых людей от мошенников

Перейдем от логических к психологическим уязвимостям. Дискуссия о социальной ответственности и предупреждении о способах мошенничества развернулась на бизнес-секции «А нас спросили?», которую модерировал Владимир Бенгин, директор по развитию продуктового направления Positive Technologies.

«Мы тратим много ресурсов на аварнесс, — рассказал Дмитрий Гадарь, вице-президент и директор департамента информационной безопасности Тинькофф. — Например, в сторис в журнале Тинькофф публикуется много материалов про мошенников, они даже есть в нашем ТикТоке. Помимо этого, моя команда читает лекции в вузах, а я сам выступаю с лекциями в школе, рассказывая про опасности в интернете. Надо начинать это со школьного возраста и помогать взрослым, которые не готовы к новым угрозам. Однако тема не настолько простая. Если бы я работал в операторе связи, руководство вряд ли разрешило бы отстрелить 30% трафика, генерируемого, возможно, мошенниками, только потому, что мы за мир во всем мире».

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», не поверил в такое количество колоний и преступных кол-центров, которые смогли бы генерировать такой объем трафика, и заметил, что пожилое население также важно информировать об угрозах на таких популярных площадках, как Сбербанк и Госуслуги.

«Это не наша уникальная проблема, и она никак не связана с русским менталитетом, — сказал Владимир Дрюков. — В чем мы отстаем, так это в движении государства в сторону осведомленности. В США есть отдельный департамент Homeland Security. Они вкладывают очень много сил в то, чтобы информация о новых фишках злоумышленников появлялась в паблике».

Социнженерия-2021

Специалист по ИБ Дмитрий Андреев рассказал о принципах социальной инженерии и различных сценариях ее применения, проиллюстрировав свой рассказ яркими примерами из жизни, а также поделился опытом противодействия этой опасной технике в компаниях.

«Для защиты от социальной инженерии нужно обучать сотрудников, но нельзя ограничиваться лишь соблюдением правил, — уверен Андреев. — Без понимания, как работает специалист по психологическим манипуляциям, человек очень уязвим. Надо показывать на примерах, как работает логика атакующего».

Эксперт подчеркнул, что «топ-менеджмент должен понимать, зачем мы развиваем ИБ компании; это должно мотивировать их обучаться и в первую очередь — противодействию социальной инженерии. Если этого не делать, то даже очень хороший руководитель и админ будут уязвимы».

Что с нами стало, или Краткое введение в ИБ-обстановку

Тему своего выступления «Ретроспективный анализ громких инцидентов ИБ за последние 10 лет» независимый исследователь Владимир Дащенко выбрал в привязке к форуму PHDays, который этом году отмечает десятилетний юбилей. Он представил краткий экскурс в события, которые так или иначе связаны с ИБ, проанализировал, какое влияние они оказали на человечество, их технологии, атаки, а также методы защиты — и ответил на главный вопрос: изменилось сегодня ли наше отношение к информации, когда риск утечки данных значительно возрос?

Владимир отметил, что за прошедшее десятилетие произошло феноменальное число громких взломов, утечек, уязвимостей, атак с использованием вредоносного ПО и других инцидентов.

«С 2014 года мир Интернета вещей начинает захватывать все больше сердец: в Северной Америке в массовую продажу впервые поступили Google Glass, тестировать которые ранее могли только сотрудники компании Google. И сразу же произошел fappening — массовый взлом iCloud знаменитостей и слив их фотографий. С этого момента проблема информационной безопасности стала затрагивать даже тех, кто о ней ничего не знал: знаменитостей, актеров, звезд шоу-бизнеса и обычных людей. Тогда же в западных странах возникает огромное число микростартапов, специализирующихся на обеспечении кибербезопасности частных лиц. Если раньше, когда речь шла о физической безопасности, нанимали секьюрити, то теперь появляются секьюрити, охраняющие цифровое пространство человека», — рассказал Владимир.

The game is never over

Независимый исследователь кибербезопасности Артем Бачевский, разрабатывая и автоматизируя процессы AppSec, обратил внимание на проблемы безопасности видеоигр. С самого начала Артем оговорился, что не является геймером, однако интересуется всем, что можно взломать. В своем докладе Артем рассказал о наиболее уязвимых типах игр (промо-игры, браузерные игры), распространенных уязвимостях и атаках (небезопасность протоколов, ошибки в коде, ботоводство и читерство) и о способах защиты от них. Одна из уязвимостей приводила к тому, что игра никогда не заканчивалась.

Работа форума и киберполигона завершены, но новости и подробные отчеты об этих событиях уже готовятся. Следите за нами на сайте PHDays, на The Standoff и в социальных сетях мероприятий. Спасибо, что были с нами!

Соорганизатор форума, компания Innostage, развернула и поддерживает инфраструктуру The Standoff, мониторит и контролирует действия команд. Бизнес-партнером форума стал «Ростелеком-Солар», национальный провайдер сервисов и технологий информационной безопасности. Технологические партнеры PHDays — российская частная сеть продовольственных супермаркетов «Азбука вкуса», IT-компания Osnova, разработчик ПО в области ДБО iSimpleLab. На выставке PHDays представлены Axoft, Cross Technologies, ICL, OCS Distribution, R-Vision, Security Vision, «Инфосистемы Джет». Партнером конкурсной программы выступает ARinteg.

phdays.ru