29 июля 2021 07:42

фото: 123RF/Legion-Media

Цифровая инфраструктура привлекает злоумышленников

Компания «РЖД» корректирует политику информационной безопасности

ОАО «РЖД»  непрерывно совершенствует собственную IТ-инфраструктуру – одну из самых масштабных в России, тестирует и аудирует новые решения. Но компании с высокими показателями цифровой зрелости также приходится принимать всё больше вызовов в области кибербезопасности. Вопросы информационной безопасности в РЖД находятся в зоне ответственности двух подразделений – службы безопасности и  IТ-блока. О том, как обеспечивается защита систем цифровых сервисов, наш разговор.
Евгений Чаркин, заместитель генерального директора ОАО «РЖД»
– Евгений Игоревич, как организован аудит информационной безопасности в компании?
– Системы информационной безопасности ОАО «РЖД» обрабатывают более 46 000 событий ежесекундно. Каждый узел сети сканируется ежемесячно, а серверный сегмент – не реже одного раза в неделю. Для этого используется система контроля защищённости с применением программных и аппаратных решений, основанных на отечественных продуктах.
Глобальный аудит критических уязвимостей IT-инфраструктуры РЖД также осуществляется на постоянной основе. А в 2020 году был проведён ряд дополнительных аудитов в связи с переводом на удалённую работу более 100 тыс. сотрудников компании. Хочу отметить, что в ходе беспрецедентного перевода на удалённую работу такого количества пользователей, реализованного за прошедший год дважды, проблем с информационной безопасностью не возникало.

– Какие серьёзные попытки взлома инфосистем ОАО «РЖД» были в последние годы? Какие системы подвергались атакам, как были ликвидированы нападения?
– За 2020 год зафиксировано 28 094 попытки заражения вредоносным программным обеспечением (компьютерными вирусами и «червями»). Более 1000 таргетированных компьютерных атак на конкретные объекты информационной инфраструктуры и даже конкретных людей были успешно отражены. Особенно опасны атаки на финансовый блок и системы управления производственной деятельностью. Ежемесячно на веб-ресурсы компании осуществляются DDoS-атаки.
Например, в последние месяцы прошлого года средствами системы управления информационной безопасности регистрировалась целевая компьютерная атака так называемого критического уровня влияния. Данный вид атак хорошо спланирован, и при положительном результате злоумышленник может закрепиться в инфраструктуре, а в последующем иметь доступ к ресурсам компании и оставаться незамеченным месяцами, иногда годами. Целью конкретной атаки был финансовый сектор ОАО «РЖД»: хакеры пытались получить логины и пароли для доступа к системам перечисления денежных средств, а также критическим системам для сдачи бухгалтерской отчётности. Данная атака не дошла до продуктивных систем и работников компании, которые даже не узнали о происходящем. Негативных вмешательств в бизнес-процессы РЖД допущено не было.

– Расскажите о случаях, которые получили широкую огласку.
– В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.
Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.
Другой случай произошёл в прошлом году в ноябре. Тогда украинский телеграмм-канал DC8044 сообщил о размещении в открытом доступе на сайте «РЖД Бонус» файла резервной копии базы данных этого сайта (так называемый дамп) размером около 2,4 Гб. В нём содержалась информация об адресах электронной почты пользователей сайта, их идентификаторах в программе лояльности (это набор цифр) и хеш пароля для доступа в личный кабинет. Инцидент произошёл из-за ошибки администратора подрядной организации, выполняющей работы над сайтом.
В обоих случаях для нейтрализации актуальных угроз безопасности были оперативно предприняты первоочередные действия по защите информации в сети передачи данных ОАО «РЖД» и личных данных клиентов, а также по обеспечению безопасности перевозочного процесса. Для этого у нас разработаны и применяются соответствующие нормативные документы: положение и регламенты выявления, регистрации, реагирования на инциденты информационной безопасности.

– Были ли сделаны в компании какие-то выводы после инцидента со взломом сети видеокамер?
– Да, конечно. Сейчас мы разрабатываем механизм привлечения внешних пользователей к аудиту уязвимостей сети на взаимовыгодной основе: будем внедрять специальную линию call-центра, которая поможет маршрутизировать звонки о разных «находках» на внешнем периметре корпоративной сети профильным специалистам в РЖД. Варианты взаимовыгодного сотрудничества тоже обсуждаем.
Верхнеуровневая задача для менеджмента компании сейчас – проанализировать эти кейсы и скорректировать политику информационной безопасности в масштабе всего холдинга, чтобы исключить возможность повторения такой ситуации.
Цифровизация процессов становится основным драйвером развития РЖД. Но перевод в «цифру» всё большего числа данных повышает опасность их утечки в результате намеренного взлома системы или сбоя в работе её защиты.

– Из каких уровней состоит система защиты информации в компании, на ликвидацию каких угроз она рассчитана?
– Мы постоянно проводим комплексные как организационные, так и технические мероприятия по удовлетворению требований федерального законодательства в области информационной безопасности. И особое внимание уделяем защите объектов критической информационной инфраструктуры, прежде всего связанных с производственными бизнес-процессами.
Управление информационной безопасностью базируется на принципах риск-ориентированного подхода и встроено в систему управления рисками внутреннего контроля ОАО «РЖД». Ядром является централизованная Система управления информационной безопасностью, развёрнутая на сети ОАО «РЖД» и представляющая собой комплекс систем обеспечения, контроля и реагирования на инциденты информационной безопасности.

– Расскажите подробнее, как организована защита от внешнего и несанкционированного внутреннего проникновения?
– В РЖД мы, как вы правильно заметили, уделяем особое внимание защите информационной инфраструктуры не только от внешнего, но и от внутреннего проникновения, действий инсайдеров. Информационная безопасность компании строится исходя из парадигмы комплексной защиты от внешнего и несанкционированного внутреннего проникновения. В компании организованы мониторинг и контроль за потенциальными точками проникновения в инфраструктуру, которые позволяют быстро обнаружить действия злоумышленников. Для этого развёрнуты и активно применяются различные технические решения, в том числе так называемые DLP-системы (от англ. Data Loss Prevention). Система предотвращения утечек информации собирает данные с различных сенсоров, расположенных на стыке с сетью Интернет, и отображает обнаруженные в них признаки аномалий поведения пользователей, попыток утечки информации, детектирует сложные целевые атаки на инфраструктуру компании, когда внутренний и внешний злоумышленники действуют сообща.
К технологиям детектирования таких атак относятся, например, выполнение проверок всех исполняемых файлов в облачной инфраструктуре на основе технологии машинного обучения. Также мы выявляем подозрительные и вредоносные активности информационных объектов на основе анализа их поведения в изолированной среде: это почтовые сообщения, различные документы, файлы. Ведём анализ файлов с использованием ранее созданных пользовательских сигнатур. Также мы ведём так называемые репутационные списки вредоносных и фишинговых ресурсов, адресов узлов управления вредоносным ПО, адресов хакерских группировок.
Для минимизации рисков, связанных с внутренними угрозами, в компании осуществляется постоянный контроль каналов передачи информации. Это позволяет выявлять неправомерные действия сотрудников компании, находить закрытые к публикации данные в открытом доступе на локальных и сетевых ресурсах компании, а также проводить анализ поведения сотрудников и выявлять признаки противоправных действий. Комплексное использование различных технических решений в области обеспечения информационной безопасности позволяет практически мгновенно реагировать на угрозы безопасности информации в автоматизированном режиме.

– Что происходит после обнаружения IP-адресов, с которых проведена атака? Добивается ли компания уголовного преследования злоумышленников?
– При обнаружении внешних атак на инфраструктуру компании система защиты информации в автоматизированном режиме блокирует IP-адреса атакующего. Как правило, это адреса так называемого теневого сегмента сети Интернет, но, если при отработке инцидента удаётся деанонимизировать источник атаки, направляются заявления в правоохранительные органы, возбуждаются уголовные дела. Например, в 2019 году житель Краснодарского края незаконным способом получил доступ к охраняемой законом компьютерной информации, находящейся на серверах Сервисного портала работника, руководителя и неработающего пенсионера ОАО «РЖД». Полученную информацию он скопировал себе на компьютер, а позже разместил в общем доступе на одном из интернет-ресурсов. По данному факту было направлено заявление в МВД и позже возбуждено уголовное дело. В мае 2020 года хакер был признан виновным в совершении нескольких преступлений: неправомерном доступе к компьютерной информации и незаконном получении и разглашении сведений, составляющих коммерческую тайну. Наказанием послужил штраф в размере 100 тыс. руб.

– Сейчас в компании идёт строительство собственной фабрики программных роботов, предполагающее замену человеческого труда при осуществлении рутинных операций в работе с инфосистемами. Для роботов будет разработан собственный механизм безопасности?
– Безусловно, работы по обеспечению безопасности информации в информационной системе роботизации рутинных операций (одной из многих информационных систем компании) строятся в полном соответствии с требованиями регулятора – ФСТЭК России.
Мы разработали требования к защите информации, содержащейся в данной системе, создали свою подсистему защиты, провели оценку соответствия программного обеспечения и оценку эффективности реализованных мер. А также провели аттестационные испытания системы по требованиям безопасности информации.

– Какова роль искусственного интеллекта в дальнейшем совершенствовании системы киберзащиты ОАО «РЖД»?
– В компании в настоящее время рассматриваются решения по построению перспективной системы управления информационной безопасностью, в которой традиционные средства, комплексы и системы защиты информации будут дополнены сервисами с использованием искусственного интеллекта. Тем самым система управления информационной безопасностью приобретёт качественно новые функциональные возможности в области сбора, пред-обработки, хранения и анализа информации об инцидентах информационной безопасности.
Первый этап анализа известных решений в области создания отдельных интеллектуальных сервисов и систем управления информационной безопасностью уже практически завершён. Мы также изучаем международные и национальные стандарты в области управления информационной безопасностью и опыт их внедрения.
Следующим этапом для компании станет формирование принципов построения и разработка архитектуры многоуровневой интеллектуальной системы управления информационной безопасностью ОАО «РЖД».

Беседовал Игнат Вьюгин

Пн Вт Ср Чт Пт Сб Вс
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31