В эфире радиостанции "Эхо Москвы" в программе "Арсенал", вышедшей 23 января, директор по информационной безопасности компании "РТ-Информ" Александр Евтеев рассказал о киберугрозах, существующих в современном обществе, и противодействии им, а также о сотрудничестве с правоохранительными структурами.
— "РТ- Информ" - это же Ростех, да? Подразделение?
— Не подразделение, а дочерняя организация. Мы на 100% принадлежим Госкорпорации Ростех.
— Давайте сразу с терминами определимся. Современные хакеры, они кто? Не надо сейчас внешний портрет описывать: длинные волосы, с брюшком. Профессиональный портрет можете нарисовать: что они делают, какое у них образование?
— Хакеры бывают разных типов. Самые простые, наверное, это люди школьного или студенческого возраста, которые решили себя попробовать в этой сфере в интернете, в том числе подпольно. Есть много разных статей, информации, инструментов. И не нужно обладать какими-то особыми навыками для того, чтобы их применить. Есть подробные инструкции, есть инструменты. Человек садится, пробует, может быть, у него даже что-то получается. Но, как правило, это достаточно быстро заканчивается.
Следующий тип – это уже профессионалы, это люди хорошей квалификации, с хорошей технической подготовкой. Они эксперты по разработке приложений и программ, по базам данных.
— А где они учатся? Вот они талантливые… Но это же само не приходит?
— Есть специалисты по информационной безопасности. Этому учат. Чтобы знать, как обходить эти средства, нужно знать, как они работают. В этой сфере достаточно много самоучек.
— Вы хакер или менеджер?
— Я бы не сказал, что я хакер. Я руководитель подразделения, которое противодействует хакерам.
— Я просто подумал, что в вечернем эфире "Эха Москвы" есть прекрасная возможность покаяться, рассказать о темных страницах своего прошлого.
— Нет, темного прошлого не было.
— Поскольку вы активно занимаетесь противодействием хакерам, с точки зрения законов, как вам кажется, все ли у нас совершенно? Легко ли хакеров искать? Есть ли какая-то статистика у вас, поскольку вы наверняка общаетесь с правоохранительными органами?
— В этой сфере достаточно тяжело, потому что текущее законодательство, текущие технические средства предоставляют мало доказательной базы для того, чтобы кого-то поймать, привлечь к ответственности и доказать это. Несколько лет назад начала появляться в этом потребность, после того как хакеры стали наносить серьезный финансовый ущерб. В основном в финансово-кредитной сфере. Начались успешные атаки на банки, кража денег и непосредственно финансовый ущерб. Компании начали думать в этом направлении и нанимать специализированные организации, которые занимаются форенсикой, именно расследованием инцидентов, связанных с информационной безопасностью, и сбором юридических доказательств. Потому что собрать доказательства – это не просто собрать файл. Их необходимо специальным образом собрать, подготовить и передать в правоохранительные органы. После чего можно приступать к расследованию.
— Но я правильно понимаю, что раскрываемость киберпреступлений совсем низкая?
— Она низкая. Но прецеденты есть, и их количество растет. Раскрываются даже целые преступные группы. Это тоже, возможно, отражается на числе инцидентов. То есть преступную группировку закрыли – количество инцидентов снизилось.
— Давайте теперь перейдем к тому, что делает ваша компания – "РТ-Информ". Как вообще вы связаны с киберугрозами? Что вы делаете, какие-то программные продукты?
— "РТ-Информ" – это внутренний интегратор, который специализируется на информационных технологиях, информационной безопасности. В Ростех входит очень много предприятий. Это 15 холдингов и суммарно более 700 предприятий, ближе к 800. Они все разнообразные, каждое со своей спецификой. У каждого свои потребности, особенности. И мы здесь как центр компетенции совместно с Госкорпорацией Ростех вырабатываем некие правила и стандарты политики по обеспечению информационной безопасности. То есть мы задаем некое направление для предприятий. На сегодня у нас есть большой социально значимый проект в рамках Госкорпорации – это создание центра обнаружения компьютерных атак.
Мы сейчас помогаем нашим предприятиям эффективно влиять на хакерские атаки. То есть мы вовремя их предупреждаем, чтобы предприятие смогло их у себя предотвратить.
— Возможно, это странный вопрос, возможно, он вас даже обидит, но кому интересны сайты внутри Ростеха? Я просто часто, когда готовлюсь к передачам, приходит ко мне директор некоего предприятия, захожу и смотрю страницу этого предприятия. Это же какой-то вообще прошлый век, какие-то отсталые интернет-страницы, таких нигде я даже больше не видел! Неужели вот эти места привлекают хакеров? Зачем туда лезть? Зачем их взламывать?
— Дело не в интернет-страницах. Интернет-страницы – это некая обложка, визитная карточка предприятия. И на самом деле даже если ее взломают, осуществят дефейс, то есть подменят страницу, вставят какие-то свои пропагандистские лозунги, что часто бывает, то для предприятия никакого ущерба не будет.
— Скорее репутационный ущерб…
— Да, репутационный. То есть, возможно, если это не очень публичное предприятие, этого никто и не заметит. Но происходят и атаки другого характера, более опасные. Первые – самые распространенные и опасные – это атаки на систему банковского обслуживания. У каждой компании есть финансовые операции, им необходимо что-то оплачивать. Сейчас это происходит через систему банковского обслуживания. Как у физических лиц, через систему "клиент – банк". Похожие вещи есть в каждой организации.
То есть организация платит по своим договорным обязательствам через "клиент – банк". Очень много вирусов и атак направлено именно на эти системы для незаметного вывода средств.
— Так это же получается ответственность банков, которые должны обеспечивать безопасный канал между собой и клиентом?
— Это не совсем так. Банк выдвигает некоторые требования, в соответствии с которыми рабочая станция, с которой осуществляется вход в систему "клиент – банк", должна быть определенным образом защищена. Но это никак не гарантирует, что это рабочее место нельзя взломать. Как правило, ущерб остается на стороне организации.
— А хакеры пытаются вмешиваться в производственные процессы?
— Да, это вторая опасность. Это связано с вмешательством в производственный цикл. Таких атак меньше, но они наиболее опасны. Можно внести изменения в производственную систему и таким образом изменить характеристики выпускаемой продукции. Положим, получится большее количество брака, который не сразу будет видно. Можно остановить производство. Технически это возможно в случае вмешательства в такие системы.
— А прецеденты есть?
— У нас, в Госкорпорации, прецедентов не было.
— Я объясню, почему спрашиваю. Как я себе представляю, работаете вы в "РТ-Информе", Ростехе. Вы создаете некую угрозу, запугиваете того же Чемезова, рассказываете, как страшно жить и как нужно защищаться: "Мы вам сейчас такую программу сделаем!.. Она будет стоить столько-то…" Чемезов потом идет в правительство или к Путину и говорит: "Нам нужно столько-то денег, чтобы бороться с угрозой…" Которой на самом деле нет. То есть вы создаете такую угрозу, которой нет, и говорите, что можно повлиять каким-то образом на производство и что предприятие будет выпускать какие-то кривые танки, которые будут стрелять не вперед, а назад. А может быть, это все и невозможно?
— Нет, в мире прецедентов достаточно много. Первое, о чем заговорил мир, – это когда появился нашумевший вирус Stuxnet, связанный с ядерной программой Ирана.
— Вот этот один случай… На вашем месте в этой же программе спикеров пять говорили об этом же.
— Потому что это самый яркий, громкий прецедент. Из последних событий – это событие месячной давности: вывод из строя в результате хакерской атаки электростанции в Киеве. Что это была хакерская атака – уже доказанный факт. В результате часть города и области осталась без электричества на какое-то время. Это атака на интернет-провайдеров в США, где Восточное побережье на какое-то время осталось без интернета. Примеров достаточно много.
— Если вернуться к России, к предприятиям и компаниям внутри Ростеха, пока они в этом плане были защищены? То есть это ваша заслуга?
— Не только моя. Это заслуга и Госкорпорации, и нас – "РТ-Информа" – как центра компетенции, и предприятий, которые понимают, что такое информационная безопасность и вмешательство в их системы. Большинство предприятий Ростеха связаны с критичным производством, с производством военного комплекса. Они входят в ОПК, и меры защиты, применяемые там, достаточно серьезны. Эти сети изолированы, проникнуть туда невозможно, и даже физический доступ туда ограничен, не говоря уже о том, что полностью отсутствует взаимодействие с сетью Интернет, через которую, как правило, атаки и происходят. То есть вмешаться здесь довольно сложно.
— Спрашивает вас слушатель: "Какой антивирус сегодня лучший в России?" А я от себя добавлю: зачем вы создаете некую систему для Ростеха специально, если можно на каждый компьютер у вас в корпорации поставить по известному прекрасному антивирусу, который себя отлично зарекомендовал? И все! И не изобретать велосипед!
— Сложно сказать, что такое "самый лучший антивирус". Российский, или международный, или в целом?
— Спрашивают, лучший в России. Наверное, российского производства.
— В России есть самый крупный производитель, который известен, – "Лаборатория Касперского", которая делает антивирус. На самом деле, антивирус уже как таковым просто антивирусом перестал быть. Просто антивирус уже не работает. Если вы посмотрите состав того, что входит внутрь программы, там очень много средств, про которые пользователь не знает. Там система предотвращения вторжения, там межсетевые экраны, фильтрация, много разных технических средств. Вместе они собираются в некий технический комплекс, а сам антивирус работает как привычная программа. "Лаборатория Касперского" получает образцы вирусов, которые присылают со всего мира. И они эти вирусы определяют и добавляют в свои продукты. То есть сам антивирусный модуль, он фактически ловит только то, что он знает.
Сейчас есть статистика, по которой в день в мире производится несколько тысяч вирусов. И эти вирусы разной степени опасности и критичности. Их антивирусы не знают и никак не могут поймать стандартными средствами. Как происходят целенаправленные атаки на разные предприятия и организации? Если это действительно целенаправленная атака, кто-то очень хочет добиться какой-то цели, он тратит месяц, два или даже несколько лет для того, чтобы изучить предприятие, какие средства защиты у него используются, сколько у него сотрудников, где они сидят, какие у него вообще информационные технологии. И разрабатывает специальный уникальный вирус, который никем не обнаруживается. Основная задача – посадить этот вирус на один из компьютеров. И дальше получается некая точка, начало атаки, откуда уже получается ее развить, получить доступ в сеть, больше полномочий и совершать все что угодно и бесследно для сотрудников компании. Есть статистика, по которой время пребывания злоумышленника на предприятии незамеченным в случае целенаправленной атаки составляет более 250 дней! Представляете?! Это речь о крупных организациях, у которых есть чем поживиться: данные, деньги, какие-то ноу-хау, секреты. И здесь речь о том, чтобы себя не выдать и как можно дольше сидеть в организации с целью сбора данных или подготовки к чему-то существенному. Например, в банках на подготовку может уйти несколько лет. Потом в один прекрасный момент деньги переводятся.
— Где "РТ-Информ" берет специалистов для работы по предотвращению этих кибернападений?
— Это хороший вопрос, потому что готовых специалистов на рынке достаточно мало, несмотря на то что вузы их выпускают. Именно специалистов, имеющих практический опыт по предотвращению угроз, очень мало. Как правило, берут специалистов технических с уклоном в IT. И есть ряд тренингов и курсов, которые помогают им специализироваться в этой области. Плюс к этому, безусловно, коллеги, которые обладают неким опытом. Соответственно, человек начинает с чего-то малого и дальше развивается в этом направлении.
— То есть если хочет человек к вам попасть в скором времени, в "РТ-Информ", например будущий студент того или иного вуза… куда надо идти, чтобы в перспективе оказаться у вас? На какую специальность?
— Лучше всего, конечно, информационная безопасность. Это самое очевидное. Сейчас ряд вузов имеет свои кафедры и целенаправленно готовит таких специалистов.
— А у вас таких специалистов сколько?
— У нас сложная структура: есть специалисты, которые работают в центре компетенции по информационной безопасности, некие эксперты, к которым все предприятия обращаются с вопросами. Они вырабатывают стратегию, их пять человек.
И также есть специалисты, которые занимаются сопровождением технических средств, выявлением вторжения. То есть у них чуть-чуть другая специализация.
— Я представил: это сидят важные люди, к которым, может быть, раз в день кто-нибудь подойдет и спросит что-то. Остальное время они предоставлены сами себе: пьют чай…
— У нас 700 предприятий. Это очень большой объем работы. Они без дела не сидят. И технических специалистов, которые занимаются сопровождением работы с самими средствами, их у нас более 20. У нас есть центр сопровождения, который занимается этими средствами.
— Среди них есть бывшие хакеры, которые встали на путь исправления?
— Нет.
— Почему?
— Смотрите, хакеры бывают разные.
— Разве хакер не является тем человеком, который понимает логику другого хакера?
— В данном случае человек с темным прошлым для нас не особо подходит, потому что неизвестно, что у него на уме. Это мое мнение. Хотя бывают разные случаи. Хакеры делятся на black hat и white hat. То есть на людей, которые занимаются хакерством нелегально, нарушают закон целенаправленно и знают об этом. И на "белые шляпы" – хакеров, которые действуют, помогая улучшать информационную безопасность. Это исследователи, которые изучают специализированные средства, программное обеспечение, различные средства информационной безопасности, находят в них изъяны, уязвимость и помогают их улучшить. Проводят тесты на проникновение. То есть организация сама добровольно нанимает таких "белых" хакеров и говорит им: "Попробуйте взломать мои системы".
— Facebook, Telegram периодически выступают с такими объявлениями.
— У них немножко другая программа, но суть та же, смысл тот же самый. У них это называется "баг баунти". Для разработчиков и больших систем считается, что это достаточно эффективный способ, нежели самим заниматься поиском. И организация безопасной разработки стоит очень много денег. А здесь фактически весь мир тестирует вас бесплатно. Кому-то нужно платить, если они находят какую-то уязвимость.
— Вот смотрите, если какой-то хакер обращается к вам лично, может быть, после эфира напишет: "Я в такой-то системе внутри Ростеха обнаружил изъян и готов уладить и рассказать подробности за определенную сумму или за возможность работать вместе с вами", вы как будете реагировать на такое предложение? В ФСБ побежите сразу?
— Это хороший вопрос, сложный. Многие думают об этом. Тут и морально-этические соображения… Во-первых, это называется вымогательством, когда фактически сотрудник хочет получить от вас что-то за какие-то свои данные и вымогает у вас какие-то деньги либо хорошую работу.
— Но это же ваша ошибка, если изъян в вашей системе. А он предлагает вам помощь.
— Я бы лично не взял такого человека на работу. Но заплатить какое-то вознаграждение за работу – это возможно.
— Какой порядок цен?
— Все зависит от тех рисков, которые несет в себе эта уязвимость. Например, если организация имеет простой веб-сайт, на котором содержится информация о компании, и человек находит в нем уязвимость, по которой можно его сломать, но внутри там ничего нет, просто чтобы поменять в нем обложку, картинку начальную, в этом случае риски минимальные. И платить здесь особо не за что.
Другое дело, если человек говорит, что у него есть доступ к вашей банковской системе и он знает, как ее сломать. Тут уже совершенно другие риски.
— Сколько в среднем получают ваши специалисты по информационной безопасности?
— Это зависит от уровня. Для Москвы начальный уровень – меньше 100 000.
— Перед новостями спрошу ваше мнение по поводу российских хакеров, которые влияли на американские выборы.
— Такой политический вопрос, да?
— А куда вы пришли-то?
— Есть отчет, который представили спецслужбы США. Они его рассекретили, и там есть подробные данные, якобы доказательства причастности российских хакеров к атакам. Но все доказательства являются косвенными. На самом деле даже специалисты из Штатов, которые находятся в Европе, там тоже все это активно обсуждается, – все признают, что эта информация не является доказательством. Там доказательства такого рода, как то, что основная активность была тогда, когда в Москве рабочее время. Либо что используемые средства и программное обеспечение ранее применялись российскими хакерами. Хотя это программное обеспечение могут все скачать, оно в свободном доступе. Либо что в коде программного обеспечения нашли русскоязычные комментарии. Все эти доказательства только косвенные, прямых – нет.
— Про США я вас спросил перед перерывом. Ответьте мне вот на какой вопрос. Мы сейчас все-таки здесь, в России, живем в надежде на то, что Трамп выстроит более дружеские отношения с Владимиром Путиным, нежели это делал Обама. Если представить… Давайте пофантазируем, что Трамп обращается к России и говорит: "Путин, Медведев, пожалуйста, меня мои американцы достали с этими хакерскими атаками. Клинтон до сих пор мне компостирует мозги. Расследуйте вы сами эти хакерские атаки". Представьте, что вам, компании "РТ-Информ", поручают этот кейс расследовать: кто там влиял на американские выборы, кто взламывал электронные системы демократов. С чего бы вы начали? Как эта работа может строиться?
— Прошло уже достаточно много времени. Тем более что атака была не на нашу систему. Это достаточно тяжело расследовать.
— А срок здесь имеет какое-то значение?
— Срок может иметь значение в зависимости от того, как собираются доказательства. Возможно, какие-то данные уже были стерты и, когда было нужно, их не собрали и они уже потерялись, пропали.
— Представим, что все доказательства находятся в нетронутом виде, таком же как и несколько месяцев назад.
— Сейчас, учитывая техническую подготовку хакеров, а это профессионалы высокого уровня с достаточно большой мотивацией и большими ресурсами, провести атрибуцию – найти доказательства того, кто совершил атаку, кто за ней стоит, кто является заказчиком – крайне тяжело. Есть специализированные исследования, разные компании этим занимаются, пишут отчеты о разных преступных группировках. Очень редко, когда удается собрать доказательную базу, которая бы четко доказывала, что эта группировка принадлежит определенной стороне или у нее какой-то заказчик, определенное лицо. В этом случае, если это доказать, это является преступлением, практически во всех странах, и такого человека можно привлечь к ответственности. Но это крайне тяжело доказать и в нашей стране, и во всем мире.
По поводу кейса, который вы привели. Есть отчет, который представили спецслужбы США, есть несколько разных позиций. Кто-то говорит, что это явно идет политическое нагнетание ситуации и просто хотят дискредитировать Трампа и отношения с Россией. Есть вторая теория, согласно которой американские спецслужбы представили неполный отчет, потому что если представить полный отчет, то будет понятно, какие средства они используют и что им доступно. А они это держат в тайне, чтобы использовать в дальнейшем.
— Вы имеете в виду контроль, слежки?
— Да, да.
— То есть, возможно, боятся, что будет та же история, как с разоблачениями Сноудена? Что все под колпаком у американцев...
— В конце прошлого года было еще одно достаточно большое событие. Одна хакерская группировка взломала, как она говорит, информационный ресурс АНБ. И сначала выставила на продажу, а потом начала частями выкладывать в общий доступ информацию о технических спецсредствах, которые использует АНБ в своей работе. Там много средств, много специализированного ПО. Одно из них в сфере информационной безопасности имело очень высокий резонанс. Это уязвимость в сетевом оборудовании всемирно известного производителя Cisco, которую уже несколько лет, три года, можно было эксплуатировать и получать доступ к данным предприятий.
— Хакерские группировки сейчас каким-то образом ранжируются? Более известные или менее известные? Вы можете их распределить по значимости? Какие влиятельные?
— По значимости – достаточно тяжело. Есть просто наиболее активные. Та, что взломала ресурс АНБ, – это Shadow Brokers. Есть Fancy Bear, есть APT 29. Есть группировка, которая специализируется именно на финансовом секторе, то есть на краже денег.
В России их пять-шесть. Причем у них тоже у каждой своя специализация. Кто-то специализируется на краже денег из банков. Они взламывают банки, пытаются проникнуть туда. Кто-то взламывает системы юридических лиц. Кто-то специализируется на физических лицах. И вот сейчас идет тренд в сторону кражи денег не у банков, а у простых пользователей. То есть у каждой хакерской группировки есть определенные направления и определенный ряд клиентов, которых они обрабатывают.
— А кто самый крутой?
— Тяжело сказать, потому что у каждого свой навык, у каждого свои цели.
— "Анонимус", есть такая группировка?
— Да, есть. Последнее время мы, наверное, меньше о них слышим. Но, опять же, члены одной группировки могут входить сразу в несколько группировок. Об этом никто не знает, об их составе. Если бы знали, то уже поймали бы.
— Давайте ближе подойдем к вашей компании. Я напомню: Александр Евтеев, директор по информационной безопасности компании "РТ-Информ", в программе "Арсенал". Вы вот эти продукты, которые обеспечивают безопасность, только для себя, для Ростеха, разрабатываете? Или, может быть, есть уже на "Горбушке" что-то, что можно купить под вашим брендом? Или планы есть такие?
— В первую очередь, если мы говорим о нашем центре, мы должны обеспечивать безопасность как на наших предприятиях, так и на сторонних. Мы не так давно организовали этот центр, поэтому сейчас нацелены больше на Госкорпорацию. Потому что сейчас основная задача, которая стоит перед Ростехом и нами как центром компетенции по информационной безопасности, – это обеспечение информационной безопасности для наиболее критичных наших предприятий. То есть мы сейчас занимаемся ими. Дальше идут предприятия второго эшелона, менее критичные, но тоже значимые для Ростеха. И дальше мы будем готовы к взаимодействию с внешними предприятиями. В первую очередь это другие госкорпорации, у которых тоже есть такие же потребности.
— А для правительства сейчас что-нибудь делаете, для министерств?
— Конкретно мы не делаем. Про правительство я не готов прокомментировать. Но такие задачи у них в любом случае стоят. Они точно так же взаимодействуют с органами, которые курируют эту тему в нашей стране, – это ФСБ – и точно так же этим занимаются.
— А у вас как дела с ФСБ?
— Мы с ФСБ сотрудничаем, находимся в тесном контакте, обмениваемся информацией об угрозах. Для нас они являются очень ценным источником информации, и мы – для них. Это обоюдный обмен информацией. Мы действуем на благо Госкорпорации и нашей страны.
— Они вам чем могут помочь?
— Они предоставляют нам очень ценную информацию об угрозах, которые они, со своей стороны, по своим каналам связи видят на наших предприятиях. Они видят диапазон IP-адресов, они знают, что эти адреса относятся к нам. Говорят: "Там какая-то проблема есть. Мы точно сказать не можем, но видим, что есть проблема". Мы уже более детально начинаем разбираться, обращаемся на предприятие, проводим комплекс мер.
— Слушайте, а тут не получается, что они занимаются работой, которой должны заниматься вы? И отвлекаются от своих прямых обязанностей? Зачем ФСБ будет заниматься вашим конкретным предприятием, вашими IP-адресами? Тут вся Россия?
— Есть средства автоматизации, которые это позволяют делать достаточно быстро и с минимальным количеством затраченных ресурсов. Во-вторых, у них есть задача государственная. Есть указ президента по наделению ФСБ особыми полномочиями. Есть ГосСОПКА. Расшифровывается как "Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак". И мы в этом случае являемся частью этой системы. То есть мы помогаем им реализовывать их госпрограмму и в то же время обеспечиваем безопасность наших предприятий.
— Хотел еще спросить вот что: а вы ФСБ как помогаете? Были ли случаи? Когда вы, например, ловили каких-то хакеров, злоумышленников и сдавали их ФСБ?
— Мы предоставляем ФСБ информацию об инцидентах, которые у нас произошли. Они их у себя ведут, накапливают, анализируют для выработки стратегии, применимой ко всей стране, потому что мы видим Госкорпорацию, а они видят всю страну. А также мы им предоставляем информацию об уровне защищенности наших предприятий и информационной инфраструктуре, которая используется. Они эту информацию накапливают, обрабатывают и понимают, где наиболее критичные предприятия, с какими угрозами, что можно им посоветовать, какие стратегии выработать, какие законодательные акты…
— То есть сами вы никакие черные списки не составляете, не передаете?
— Что такое черные списки?
— Какой-нибудь Вася Иванов из Реутова сидел за компьютером и напал на какой-нибудь сайт…
— В данном случае мы предоставляем максимально возможную информацию об инциденте, со всеми техническими подробностями…
— Как это выглядит?
— Это некий отчет: произошло то-то в результате неких действий…
— Это таким скучным текстом, как в уголовных делах?
— Нет, мы все-таки говорим об информационных технологиях. У нас часть процесса автоматизирована. Есть стандартные формы, которые наполовину заполняются автоматически. Это техническая информация, куски кода, которые попали. И есть описательная часть, которая тоже важна, потому что без нее тяжело понять сухие цифры. В определенной форме это заполняется и отправляется им. А дальше уже решение о том, что делать с этой информацией – просто сохранить либо запросить более подробную и провести оперативные мероприятия, это вне нашей компетенции.
— А какова судьба жалоб, которые вы отправляете?
— Это не жалобы. Это информация, которая накапливается. Если они посчитают, что она критичная, то уже предпримут дальнейшие шаги.
— А вам потом известно о результатах расследования?
— Нет.
— Ради любопытства, по секрету даже не говорят?
— Нет. В рабочем порядке контакты, конечно, есть. Но все же там люди на службе, со своей спецификой. Выдают минимум информации.
— Ответьте еще раз: есть ли у вас на работе хакеры?
— Есть люди, которые обладают навыками для этого. Хакер – это тот человек, в моем понимании, который что-то злонамеренно делает, нарушает закон.
— Ваши хакеры могут только обороняться или тоже могут нападать?
— В первую очередь мы подготавливаем и держим специалистов, которые занимаются обороной. Они нападением не занимаются. Они представляют, как это делается, но практического опыта у них нет.
— А от ФСБ не приходят вам какие-нибудь задачи? Давайте мы этот сайт проверим, его живучесть…
— Нет. Таких задач нет. Единственное, мы можем собрать информацию об имеющихся на сайте уязвимостях. Но никаких активных действий проявлять не будем. Пробовать его взламывать – этим мы не занимаемся.
— А когда вы собираете такого рода информацию, вы следы оставляете?
— Я думаю, что любое действие, направленное на сканирование, получение информации, даже любой запрос страницы, он оставляет следы на серверах, на которых расположена эта страница. Но таких запросов, как правило, за день проходит очень много, и они в общем потоке теряются. И в этом нет ничего криминального, запрещенного.
— Что вам известно о хакерах, которые служат в ФСБ, которые нападают?
— Мне о них неизвестно.
— Приходилось ли вам сталкиваться с тем, что толковые программисты не хотят у вас работать в связи с секретностью и ограничениями на выезд за рубеж?
— Есть определенный порядок ограничений при выезде за рубеж. Но у нас таких ограничений нет. Нужно просто поставить в известность о том, что ты куда-то собираешься выехать. Но явных ограничений у нас нет. Есть такой миф, что сотрудники госкомпаний не могут выезжать за рубеж. Но такое бывает крайне редко. Необходимо быть ознакомленными с определенными сведениями.
— Хочу вернуть вас к отчетам, которые вы направляете в ФСБ. ФСБ – единственное ведомство, которое принимает от вас эту информацию?
— Да. И еще сама Госкорпорация, конечно.
— Как часто вы направляете туда документы?
— Речь, наверное, о количестве событий, которые происходят? Это такой завуалированный вопрос [смеется]. Подробно прокомментировать я не могу. Есть общая статистика: в среднем по тем предприятиям, которые мы отслеживаем, происходит несколько сотен событий в месяц, связанных с информационной безопасностью. Причем это могут быть совершенно разные события: прощупывание системы безопасности, попытка переборов паролей, аномальная нестандартная активность…
— Каждое предприятие Ростеха в течение месяца подвергается нескольким сотням атак?
— Да, все эти события – это атаки.
— Еще раз можете их перечислить: что вы считаете атаками?
— Атака – это событие, которое может привести к инциденту в информационной безопасности. Это попытка воспользоваться какой-то уязвимостью на ресурсе в сети Интернет. Попытка проникновения, попытка получения специализированного доступа, попытка активности, которой не было.
— DDoS – это тоже такая попытка?
— Да. В среднем в месяц реальных инцидентов один-два. Остальные являются фоном, ложными событиями. Их необходимо тоже анализировать. Это происходит отчасти автоматизированными средствами, отчасти – вручную. Это большая, сложная работа аналитиков. И есть часть, которая реально приводит к каким-то инцидентам. То есть какая-то машина реально оказывается зараженной, и к ней имеет доступ какой-то командный центр, который ей управляет. И наша задача – вовремя выявить эти случаи. Потому что установленная на предприятиях система безопасности по какой-то причине не сработала. И наша задача – вовремя выявить и ликвидировать это заражение.
— В "РТ-Информе" могут понять, с какой стороны эти атаки? Из какого города, региона?
— Мы можем понять, с какого IP-адреса происходит атака. Этот адрес определяет регион и, может быть, даже город, интернет-провайдера, за которым он закреплен. Но сказать, что кто-то атаковал наш сайт из Украины или, скажем, США, это будут поспешные выводы. Потому что кто-то мог заразить какую-то рабочую станцию на территории страны и воспользоваться ей, с нее осуществлять атаку.
— То есть точно так могут сделать американцы: могли атаковать себя сами, а нас обвинить?
— Именно. Возвращаясь к теме нашего обсуждения. Говорят, что IP-адреса, с которых были атаки, принадлежали оператору Yota. Хотя там было много адресов, которые принадлежали закрытой сети Tor и американским операторам. Выводы были явно поспешными. Как правило, если злоумышленник хочет скрыть свое реальное местоположение, он будет использовать подменные адреса. Или, может быть, если хочет кого-то подставить.
— Эта информация была бы полезна, если бы вы знали ее: откуда, из какой страны?
— В данном случае эта информация имеет какое-то значение, но не критичное. Потому что без разницы, из какой страны мира произошла атака.
— Обеспечение информационной безопасности, чем занимается "РТ-Информ", насколько это дорогая игрушка для бюджета? С учетом того что ФСБ следит за безопасностью каждого предприятия, как вы сказали ранее?
— Во-первых, ФСБ следит не за всеми предприятиями. У нее просто ресурсов не хватит, чтобы следить за всеми критичными предприятиями в нашей стране. Поэтому она часть полномочий и делегирует таким центрам, как наш. Они с себя часть нагрузки снимают. Они знают, что если что-то случится с Ростехом, то им проще обратиться к нам, как будто в службу "одного окна". Это гораздо легче, чем следить за всеми предприятиями. Второй вопрос: сколько это стоит… Безусловно, это каких-то денег стоит. Внедрение средств защиты – это штат, люди, зарплаты. В первую очередь в вопросах целесообразности мы анализируем, что и от чего мы защищаем. Безусловно, применяемые средства защиты и их стоимость не должны превышать риски, которые есть.
Опубликовано на сайте "Ростеха"