Главная \ Пресс- центр \ Цифровые новости \ Цифровая инфраструктура привлекает злоумышленников

Цифровая инфраструктура привлекает злоумышленников

Гудок, 10 февраля 2021, Цифровая инфраструктура привлекает злоумышленников

  1. Автор: Вьюгин Игнат

Компания "РЖД" корректирует политику информационной безопасности

ОАО "РЖД" непрерывно совершенствует собственную IТ-инфраструктуру - одну из самых масштабных в России, тестирует и аудирует новые решения. Но компании с высокими показателями цифровой зрелости также приходится принимать все больше вызовов в области кибербезопасности. Вопросы информационной безопасности в РЖД находятся в зоне ответственности двух подразделений - службы безопасности и IТ-блока. О том, как обеспечивается защита систем цифровых сервисов, наш разговор.

Евгений Чаркин, заместитель генерального директора ОАО "РЖД"

- Евгений Игоревич, как организован аудит информационной безопасности в компании?

- Системы информационной безопасности ОАО "РЖД" обрабатывают более 46 000 событий ежесекундно. Каждый узел сети сканируется ежемесячно, а серверный сегмент - не реже одного раза в неделю. Для этого используется система контроля защищенности с применением программных и аппаратных решений, основанных на отечественных продуктах.

 Глобальный аудит критических уязвимостей IT-инфраструктуры РЖД также осуществляется на постоянной основе. А в 2020 году был проведен ряд дополнительных аудитов в связи с переводом на удаленную работу более 100 тыс. сотрудников компании. Хочу отметить, что в ходе беспрецедентного перевода на удаленную работу такого количества пользователей, реализованного за прошедший год дважды, проблем с информационной безопасностью не возникало.

- Какие серьезные попытки взлома инфосистем ОАО "РЖД" были в последние годы? Какие системы подвергались атакам, как были ликвидированы нападения?

- За 2020 год зафиксировано 28 094 попытки заражения вредоносным программным обеспечением (компьютерными вирусами и "червями"). Более 1000 таргетированных компьютерных атак на конкретные объекты информационной инфраструктуры и даже конкретных людей были успешно отражены. Особенно опасны атаки на финансовый блок и системы управления производственной деятельностью. Ежемесячно на веб-ресурсы компании осуществляются DDoS-атаки.

 Например, в последние месяцы прошлого года средствами системы управления информационной безопасности регистрировалась целевая компьютерная атака так называемого критического уровня влияния. Данный вид атак хорошо спланирован, и при положительном результате злоумышленник может закрепиться в инфраструктуре, а в последующем иметь доступ к ресурсам компании и оставаться незамеченным месяцами, иногда годами. Целью конкретной атаки был финансовый сектор ОАО "РЖД": хакеры пытались получить логины и пароли для доступа к системам перечисления денежных средств, а также критическим системам для сдачи бухгалтерской отчетности. Данная атака не дошла до продуктивных систем и работников компании, которые даже не узнали о происходящем. Негативных вмешательств в бизнес-процессы РЖД допущено не было.

- Расскажите о случаях, которые получили широкую огласку.

- В январе этого года пользователь под псевдонимом @LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. В ходе расследования факт неправомерного доступа был подтвержден. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введенного в эксплуатацию сегмента обособленной информационной системы. Описав подробный сценарий действий и предположительные угрозы, он привлек к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.

 Факт наличия выхода этой сети в Интернет - тема внутреннего расследования, которое сейчас ведется в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.

 Как уже говорилось в официальных заявлениях компании, произошедший инцидент не был связан с организацией перевозочного процесса, угрозы безопасности движения поездов не было, а личные данные клиентов холдинга не пострадали.

 Другой случай произошел в прошлом году в ноябре. Тогда украинский телеграмм-канал DC8044 сообщил о размещении в открытом доступе на сайте "РЖД Бонус" файла резервной копии базы данных этого сайта (так называемый дамп) размером около 2,4 Гб. В нем содержалась информация об адресах электронной почты пользователей сайта, их идентификаторах в программе лояльности (это набор цифр) и хеш пароля для доступа в личный кабинет. Инцидент произошел из-за ошибки администратора подрядной организации, выполняющей работы над сайтом.

 В обоих случаях для нейтрализации актуальных угроз безопасности были оперативно предприняты первоочередные действия по защите информации в сети передачи данных ОАО "РЖД" и личных данных клиентов, а также по обеспечению безопасности перевозочного процесса. Для этого у нас разработаны и применяются соответствующие нормативные документы: положение и регламенты выявления, регистрации, реагирования на инциденты информационной безопасности.

- Были ли сделаны в компании какие-то выводы после инцидента со взломом сети видеокамер?

- Да, конечно. Сейчас мы разрабатываем механизм привлечения внешних пользователей к аудиту уязвимостей сети на взаимовыгодной основе: будем внедрять специальную линию call-центра, которая поможет маршрутизировать звонки о разных "находках" на внешнем периметре корпоративной сети профильным специалистам в РЖД. Варианты взаимовыгодного сотрудничества тоже обсуждаем.

 Верхнеуровневая задача для менеджмента компании сейчас - проанализировать эти кейсы и скорректировать политику информационной безопасности в масштабе всего холдинга, чтобы исключить возможность повторения такой ситуации.

 Цифровизация процессов становится основным драйвером развития РЖД. Но перевод в "цифру" все большего числа данных повышает опасность их утечки в результате намеренного взлома системы или сбоя в работе ее защиты.

- Из каких уровней состоит система защиты информации в компании, на ликвидацию каких угроз она рассчитана?

- Мы постоянно проводим комплексные как организационные, так и технические мероприятия по удовлетворению требований федерального законодательства в области информационной безопасности. И особое внимание уделяем защите объектов критической информационной инфраструктуры, прежде всего связанных с производственными бизнес-процессами.

 Управление информационной безопасностью базируется на принципах риск-ориентированного подхода и встроено в систему управления рисками внутреннего контроля ОАО "РЖД". Ядром является централизованная Система управления информационной безопасностью, развернутая на сети ОАО "РЖД" и представляющая собой комплекс систем обеспечения, контроля и реагирования на инциденты информационной безопасности.

- Расскажите подробнее, как организована защита от внешнего и несанкционированного внутреннего проникновения?

- В РЖД мы, как вы правильно заметили, уделяем особое внимание защите информационной инфраструктуры не только от внешнего, но и от внутреннего проникновения, действий инсайдеров. Информационная безопасность компании строится исходя из парадигмы комплексной защиты от внешнего и несанкционированного внутреннего проникновения. В компании организованы мониторинг и контроль за потенциальными точками проникновения в инфраструктуру, которые позволяют быстро обнаружить действия злоумышленников. Для этого развернуты и активно применяются различные технические решения, в том числе так называемые DLP-системы (от англ. Data Loss Prevention). Система предотвращения утечек информации собирает данные с различных сенсоров, расположенных на стыке с сетью Интернет, и отображает обнаруженные в них признаки аномалий поведения пользователей, попыток утечки информации, детектирует сложные целевые атаки на инфраструктуру компании, когда внутренний и внешний злоумышленники действуют сообща.

 К технологиям детектирования таких атак относятся, например, выполнение проверок всех исполняемых файлов в облачной инфраструктуре на основе технологии машинного обучения. Также мы выявляем подозрительные и вредоносные активности информационных объектов на основе анализа их поведения в изолированной среде: это почтовые сообщения, различные документы, файлы. Ведем анализ файлов с использованием ранее созданных пользовательских сигнатур. Также мы ведем так называемые репутационные списки вредоносных и фишинговых ресурсов, адресов узлов управления вредоносным ПО, адресов хакерских группировок.

 Для минимизации рисков, связанных с внутренними угрозами, в компании осуществляется постоянный контроль каналов передачи информации. Это позволяет выявлять неправомерные действия сотрудников компании, находить закрытые к публикации данные в открытом доступе на локальных и сетевых ресурсах компании, а также проводить анализ поведения сотрудников и выявлять признаки противоправных действий. Комплексное использование различных технических решений в области обеспечения информационной безопасности позволяет практически мгновенно реагировать на угрозы безопасности информации в автоматизированном режиме.

- Что происходит после обнаружения IP-адресов, с которых проведена атака? Добивается ли компания уголовного преследования злоумышленников?

- При обнаружении внешних атак на инфраструктуру компании система защиты информации в автоматизированном режиме блокирует IP-адреса атакующего. Как правило, это адреса так называемого теневого сегмента сети Интернет, но, если при отработке инцидента удается деанонимизировать источник атаки, направляются заявления в правоохранительные органы, возбуждаются уголовные дела. Например, в 2019 году житель Краснодарского края незаконным способом получил доступ к охраняемой законом компьютерной информации, находящейся на серверах Сервисного портала работника, руководителя и неработающего пенсионера ОАО "РЖД". Полученную информацию он скопировал себе на компьютер, а позже разместил в общем доступе на одном из интернет-ресурсов. По данному факту было направлено заявление в МВД и позже возбуждено уголовное дело. В мае 2020 года хакер был признан виновным в совершении нескольких преступлений: неправомерном доступе к компьютерной информации и незаконном получении и разглашении сведений, составляющих коммерческую тайну. Наказанием послужил штраф в размере 100 тыс. руб.

- Сейчас в компании идет строительство собственной фабрики программных роботов, предполагающее замену человеческого труда при осуществлении рутинных операций в работе с инфосистемами. Для роботов будет разработан собственный механизм безопасности?

- Безусловно, работы по обеспечению безопасности информации в информационной системе роботизации рутинных операций (одной из многих информационных систем компании) строятся в полном соответствии с требованиями регулятора - ФСТЭК России.

 Мы разработали требования к защите информации, содержащейся в данной системе, создали свою подсистему защиты, провели оценку соответствия программного обеспечения и оценку эффективности реализованных мер. А также провели аттестационные испытания системы по требованиям безопасности информации.

- Какова роль искусственного интеллекта в дальнейшем совершенствовании системы киберзащиты ОАО "РЖД"?

- В компании в настоящее время рассматриваются решения по построению перспективной системы управления информационной безопасностью, в которой традиционные средства, комплексы и системы защиты информации будут дополнены сервисами с использованием искусственного интеллекта. Тем самым система управления информационной безопасностью приобретет качественно новые функциональные возможности в области сбора, пред-обработки, хранения и анализа информации об инцидентах информационной безопасности.

 Первый этап анализа известных решений в области создания отдельных интеллектуальных сервисов и систем управления информационной безопасностью уже практически завершен. Мы также изучаем международные и национальные стандарты в области управления информационной безопасностью и опыт их внедрения.

 Следующим этапом для компании станет формирование принципов построения и разработка архитектуры многоуровневой интеллектуальной системы управления информационной безопасностью ОАО "РЖД".

https://gudok.ru/content/infrastructure/1552628/

ЕСЛИ У ВАС
остались вопросы
Просим позвонить по номеру!
+7 (495) 136-81-10 (Многоканальный)

или оставить заявку и мы Вам перезвоним в удобное для Вас время

КОНТАКТЫ
Мы ждем Вас
Обращайтесь по адресу:
127051 г. Москва, Малая Сухаревская площадь, дом 12
Обратная связь
Яндекс.Метрика