Журнал "Системы Безопасности" № 1‘2024

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 73 мы для национальной безопасности. Они как ковровые бомбардировки: добиваются результатов на больших объемах, перебирают все известные на текущий момент уязвимости и рано или поздно находят своих жертв. не удалось с этим сервером – не беда, еще мил- лион на подходе. Особо острым вопрос кибербезопасности для цифровых ресурсов на территории Российской Федерации стал в свете последних геополити- ческих событий. Появились даже специальные вредители, такие как RuRansom, который шиф- рует данные, не просит деньги, а просто пыта- ется причинить максимальный ущерб [7] ресур- сам только на территории РФ. Только пред- ставьте себе, какие риски в нынешней геополи- тической ситуации несет возможное проникно- вение в сеть РЖД! По данным Ростелекома [8], количество атак в 2023 г. планомерно увеличивалось от кварта- ла к кварталу. Онлайн-ресурсы неизменно остаются одной из основных целей кибератак на компании, но конечные цели злоумышленников меняются. Все чаще ключевым мотивом злоумышленников становится не дефейс, а проникновение в инфраструктуру или попытка хищения данных клиентов компаний. В 2022–2023 гг. персональные данные "утека- ли" у таких крупных организаций, как яндекс [9], ВКонтакте [10], Ашан [11], Глория Джинс [12], СДЭК [13] и многих других. В силу публич- ности таких компаний данные факты быстро предавались огласке. Остается только догады- ваться, сколько было взломов и утечек, о кото- рых мы ничего не слышали. До недавнего времени основной риск таких уте- чек для компаний лежал в репутационной плос- кости. Экономические потери, связанные с недовольством клиентов и отказом от услуг компаний, многократно, на порядки, превыша- ли штрафы за утечку персональных данных в 60–300 тыс. руб. [14]. но ситуация постепен- но меняется. Большой брат следит за тобой В конце 2023-го и начале 2024 г. появилась информация об активной работе по введению оборотных штрафов за утечку персональных данных. По последней информации, возможны штрафы 1–3% от оборота [15] в пределах от 5 до 500 млн руб. [16]. Многие компании, в частности банковские орга- низации, в последние годы активно развивают использование биометрических данных для под- тверждения личности клиентов. и если утечка персональных данных ведет преимущественно к спаму и телефонному мошенничеству ("иван иванович, здравствуйте, это специалист Центро- банка…"), то утечка биометрических данных – это уже возможность для злоумышленника получить прямой доступ к имуществу и средствам жертв. Поэтому неудивительно, что государство с 2023-го требует обязательной интеграции опе- раторов биометрических данных с Единой био- метрической системой и увеличивает штрафы за нарушения при обработке биометрии [17]. Таким образом, возможные взломы и утечки данных – это уже и юридические, и прямые эко- номические риски. Безопасность в опасности Область систем физической безопасности исто- рически является консервативной. Долгое время к системе безопасности на объекте отно- сились (а зачастую и сейчас продолжают отно- ситься) как к необходимому "злу": нужна по смыслу, требуется по правилам, бюджет расхо- дует, но денег не приносит. Поставили "галочку" и забыли. Однако, как сказано ранее, нет ниче- го опаснее для новых истин, чем старые заблуждения. Современная система безопасности – это мощ- ная информационная система, обрабатываю- щая и вырабатывающая большой объем ценной информации. В целях контроля и управления доступом в систе- ме могут обрабатываться персональные данные владельцев пропусков, персонала и посетителей, в том числе биометрические, – имена, должно- сти, паспортные данные, фотографии, отпечатки пальцев и др. Система безопасности может пре- доставить информацию о графике работы сотрудников и времени прихода/ухода посети- телей, сведения о текущем местоположении людей, материальных ценностях, состоянии обо- рудования, инженерных систем. Популярные интеграции системы безопасности с системами кадрового учета, делопроизводства и докумен- тооборота, ERP-, SCADA-системами и системами технологического и технического мониторинга стирают границы между отдельными системами, формируя единое информационное простран- ство организации. Таким образом, несанкционированный доступ к системе безопасности несет репутационные, юридические и экономические риски в части утечки данных, соизмеримые со взломом любой другой системы предприятия. А широкие возможности управления исполнительными устройствами (блокировка дверей, включение автоматики) могут создать прямую угрозу жизни человека и материальным ценностям в случае взлома. Получается, что КСБ фактически не может обес- печить безопасность объекта и свою собствен- ную, если она не отвечает современным требо- ваниям в части киберзащищенности. и к сожалению, таковыми являются почти все системы, представленные на рынке. Безопас- ность в опасности! Почему так получилось? Технический долг В техническом плане система физической без- опасности – это просто программы, работаю- щие на каких-то вычислительных ресурсах. Причем основная логика работы системы сосредоточена в привычных нам программах, работающих на простых компьютерах/серве- рах. Эти программы написаны на обычном языке программирования, с применением популярных/стандартных программных ком- понентов и библиотек, и выполняются под управлением операционных систем. А взаи- модействие пользователей с программами и программ с оборудованием осуществляется по типовым сетевым протоколам. Поэтому с точки зрения кибербезопасности системы физической безопасности принципиально ничем не отличаются от бухгалтерской про- граммы, корпоративного портала или веб- сайта. и к ним должны предъявляться точно такие же требования. При этом по мере развития технологий и ком- муникаций в программных компонентах и опе- рационных системах постоянно вскрываются новые, ранее неизвестные уязвимости, крипто- стойкие в прошлом алгоритмы теряют свою актуальность, появляются новые векторы кибератак, возникают новые киберугрозы. Требования в части кибербезопасности посто- янно расширяются. Программное обеспечение систем физической безопасности – это зачастую программы, раз- работка которых началась десятилетия назад, использующие устаревшие версии программ- ных библиотек. и эти программы после внед- рения работают годы или даже десятилетия под управлением "старых" версий операционных систем. но что самое неприятное – почти все суще- ствующие системы безопасности исходно спроектированы для работы в закрытых, изоли- рованных локальных сетях. Потому что именно в таких сетях предполагалась эксплуатация систем безопасности на момент их проектиро- вания, много лет назад. Вот только времена изменились, и сейчас система безопасности зачастую "живет" в обычной сети предприятия, а любая локальная сеть перестала быть дове- ренной и защищенной. В результате на рынке почти нет решений, кото- рые исходно спроектированы и реализованы в соответствии с актуальными требованиями кибербезопасности. А был ли мальчик? является ли это проблемой? на взгляд автора – да. иначе бы не было этой статьи. но убедить в этом непросто. "Автомобиль никогда не заменит лошадь", – заявил журнал Motors в 1903 г. и действитель- но, если каждый день своей жизни наблюдать, что все используют только лошадей, а не авто- мобили, то поверить в обратное очень трудно. Вот другой пример – резервное копирование www.secuteck.ru февраль – март 2024 СПЕЦПРОЕКТ РОССийСКиЕ РЕшЕния: PSIM, ССОи, иСБ КСБ практически не может обеспечить безопасность объекта и свою собственную, если она не отвечает современным требованиям в части киберзащищенности Н а рынке почти нет решений, которые исходно спроектированы и реализованы в соответствии с актуальными требованиями кибер- безопасности