Гигабайты опасностей

Без тормозов

«Я ехал со скоростью 70 миль в час по Сент-Луису, когда внезапно кондиционер начал работать на полную мощность, обдавая мою спину холодом через систему климат-контроля, а радио переключилось на местную хип-хоп-станцию, где рэпер Skee-lo пел на всю громкость. Я хотел выключить музыку, но ручка управления не работала. Затем включились дворники, а жидкость для очистки стекол залила лобовое стекло. В этот момент на дисплее автомобиля появились лица хакеров, которые взломали мой автомобиль на ходу», — рассказывал журналист издания Wired Энди Гринберг в 2016 году. Это был всего лишь эксперимент, который устроили хакер Чарли Миллер, ранее работавший на службе Агентства национальной безопасности США, и директор отдела автомобильной безопасности компании IOActive Крис Валасек.

Миллер и Валасек в течение года проводили исследование по взлому машин. В ходе эксперимента с автомобилем Гринберга им также удалось отключить тормоза автомобиля. В другом, более раннем эксперименте программисты смогли удаленно отстегнуть ремни безопасности и перехватить управление рулем. Тогда хакеры подключились к автомобилю через диагностический разъем, через который автомеханик скачивает информацию о транспортном средстве. В случае с Гринбергом взломщики находились у себя дома и им уже не нужны были провода.

В ситуации, в которой оказался Энди Гринберг, мог оказаться ничего не подозревающий человек: автомобильная электроника настолько уязвима, что удаленно перехватить управление транспортным средством сегодня почти ничего не стоит.

В том же 2016 году другой группе ученых удалось обмануть датчики автопилота электромобиля Tesla S. Исследователи из Университета Южной Каролины, Чжэцзянского университета и специалисты китайской охранной фирмы Qihoo 360 провели серию атак на датчики и радары электромобиля, у которого был активирован режим автопилота.

В результате радиоволны, звуковые волны, светодиоды и лазеры частично вывели некоторые системы из строя, а Tesla S перестала видеть препятствия на своем пути. Во время эксперимента исследователи также воздействовали на ультразвуковые датчики автомобиля таким образом, что Tesla S видела перед собой несуществующие препятствия и парковалась в соответствии с этими данными. Все оборудование для экспериментов обошлось команде в 40 долл.

Идеальная жертва

Сегодня транспортные средства все чаще начинают напоминать смартфоны, поэтому, как следствие, чаще становятся мишенью для киберпреступников. Риск злоупотребления и краж данных растет тем сильнее, чем быстрее транспортные компании, грузоперевозчики и экспедиторы переводят все свои процессы в цифровую среду.

«Современный транспорт давно не механические агрегаты, а огромные информационные системы на колесах. Все что угодно можно контролировать с помощью компьютера», — говорит антивирусный эксперт «Лаборатории Касперского» Дмитрий Галов. Цикл разработки программного обеспечения для транспорта занимает не менее двух лет: все, что существует сегодня, создавалось несколько лет назад.

Последним оплотом механики в современных автомобилях оставалась педаль тормоза, но и ее в некоторых моделях уже возможно заблокировать удаленно. Не только сам транспорт, но и вся связанная с ним дорожная инфраструктура все чаще подключена к сети Wi-Fi. А где каналы цифровой связи, там и возможность взлома.

Под угрозой действий киберпреступников уже давно находятся не только отдельные автомобили, поезда или даже самолеты. В последнее пятилетие каждый год в мире происходят как минимум три-четыре громкие хакерские атаки на промышленные, транспортные или муниципальные объекты.

Последний такой инцидент случился в сентябре 2019 года, когда исследовательская компания Palo Alto Networks обнаружила хакерскую атаку, нацеленную на транспортные и судоходные компании, которые работают за пределами Кувейта в Персидском заливе. Аналитики выяснили, что группировка киберпреступников xHunt начала устанавливать троянское вредоносное ПО в сеть компании, что позволяло злоумышленникам удаленно сканировать систему, делать снимки экрана пользователей, загружать и скачивать файлы, а также создавать свой протокол удаленного рабочего стола. В своем отчете Palo Alto Networks не дают названий кувейтских организаций, однако подобных инцидентов могло быть множество по всему миру.

Аппетит приходит

На самом деле информация о кибер-атаках нечасто становится достоянием СМИ. Хакеры обычно не нуждаются в рекламе, а пострадавшим компаниям огласка тем более не требуется. Потому оценки ущерба от киберпреступности всегда сильно разнятся. Но известно, что с каждым годом убытки предпринимателей в любом случае увеличиваются, и весьма заметно.

Например, еще в 2018 году директор департамента по вопросам новых вызовов и угроз МИД России Илья Рогачев делился данными, что если в 2016 году потери мировой экономики от преступлений, совершаемых с помощью информационно-коммуникационных технологий, составляли 445 млрд долл., то по итогам 2019 года могли достигнуть 2 трлн долл.

Пока тенденцию переломить не удалось. По оценкам международной консалтинговой компании Oliver Wyman, в 2020 году одной только мировой логистической отрасли может быть нанесен ущерб из-за киберпреступлений на сумму около 6 млрд евро.

Тем не менее отношение к киберпреступности в мире постепенно меняется. Основатель компании CyberKeel, специализирующейся на кибербезопасности, Ларс Дженсен рассказывал агентству BBC, что, когда основал свою компанию в 2014 году и предлагал небольшим транспортным компаниям услугу — тесты на проникновение зло­умышленников в систему, его продукт поначалу не пользовался особым спросом. Большинство потенциальных клиентов отвечали: «Не тратьте свое время, мы в безопасности, в этом нет необходимости».

Те, кто все же соглашался на эксперимент, могли с удивлением узнать, что регулярно теряют весьма значительные суммы. Дженсен вспомнил, в частности, о «судоходной компании среднего размера», которая получила убыток в несколько миллионов долларов. Злоумышленник взломал системы компании и внедрил небольшой вирус, который стал отслеживать письма из финансового отдела. Всякий раз, когда один из поставщиков топлива фирмы присылал электронное письмо с просьбой об оплате, вирус изменял текст сообщения, добавляя другой номер банковского счета.

Сегодня у компании Дженсена и его многочисленных конкурентов уже нет проблем с заказами. Крупный и средний бизнес осознает, уязвим и готов платить за защиту от хакеров. И платить много.

Компания Gartner прогнозирует, что в мире расходы на оборудование, программное обеспечение и услуги, связанные с безопасностью, достигнут 133,7 млрд долл. к 2022 году.

«В среднем организация должна тратить на защиту от хакерских атак и других инцидентов около 10% своего IT-бюджета», — заявлял в 2019 году вице-президент по программным продуктам в области кибербезопасности исследовательской компании IDC Фрэнк Диксон.

Техника безопасности

К сожалению, просто выделить деньги на борьбу с хакерами — еще не значит защититься от них. Большинство компаний, поставляющих решения по безопасности, предлагают несколько стратегий, которые компании могут использовать для правильного управления своими бюджетами на кибербезопасность.

В частности, они рекомендуют адаптировать под специфику деятельности своей компании даже решения, заимствованные у прямых конкурентов. Другой совет — расставить приоритеты и в первую очередь защитить самые важные и конфиденциальные данные.

Также важно выделять часть средств для обучения и образования всех сотрудников, чтобы предотвратить утечку данных из-за человеческого фактора. Как минимум сотрудники должны понимать, почему нельзя скачивать из Интернета какие попало файлы и устанавливать их на рабочий компьютер, а также открывать фишинговые письма.

Распространены случаи, когда преступники рассылают сотрудникам компании письма с почтового адреса, очень похожего на адрес руководителя, подмена заключалась буквально в одной букве. Получатель открывает письмо, переходит по ссылке и компрометирует свой компьютер. Например, в августе 2019 года в ОАО «РЖД» подтвердили утечку персональных данных более 700 тыс. сотрудников. Согласно выводам следствия, злоумышленнику потребовались всего две учетные записи сотрудников, чтобы получить доступ к гигантскому информационному ресурсу.

«Самое слабое звено в любой системе — это человек. Наш с вами процессор, мозг кроманьонцев, выпустили 40 тыс. лет назад и с тех пор ни разу не апгрейдили», — говорит эксперт по конкурентной разведке, президент консорциума «Инфорус» Андрей Масалович.

Особое внимание человеческому фактору уделял и адмирал Хайман Риковер, который был основоположником атомного флота США. Он, к примеру, требовал, чтобы все сотрудники ядерных установок были тщательно обучены и могли исправлять свои ошибки еще до того, как они приведут к настоящим проблемам.

Однако нетрудно заметить, что большинство рекомендаций по борьбе с киберугрозами часто носят общий характер. Многое зависит от мастерства команды, которая займется
внедрением решений по безопасности. Кроме того, очень часто киберзащитники, как и большинство генералов, готовятся к «минувшим войнам». Как следствие, хакеры всегда оказываются на шаг впереди.

Андрей Масалович признается, что ни разу в жизни не подписывал заключение «Утечки не обнаружено». Иными словами, до победы над киберпреступностью еще далеко. Более того, число угроз будет только возрастать. Продолжающаяся четвертая промышленная революция делает бизнес все более уязвимым.

Издержки прогресса

Исследовательская компания Trend Micro отмечает, что в 2020 году распространение сетей 5G приведет к росту числа умных устройств как в жилых домах, так и в офисных зданиях и на транспорте. А это дает преступникам еще больше возможностей для шпионажа и вымогательства. Новой целью преступников станут сотрудники, работающие на компании удаленно, так как они работают в сетях Wi-Fi с низким уровнем защиты от взломов.

Другой объект хакерских атак — беспилотные транспортные средства. Сегодня их активно разрабатывают как самые известные автоконцерны, так и гиганты IT-индустрии. На полностью самоуправляемые модели автомобилей нацелены Google, Volvo, Uber, Hyundai и другие компании. В России беспилотному транспорту тоже официально дали зеленый свет. КамАЗ обещает выпустить беспилотный грузовик, «Яндекс» тестирует беспилотники в Москве и планирует коммерческую эксплуатацию с 2023 года. В «Сколково» беспилотный транспорт уже вызывают как обычное такси, а на полигоне в Подмосковье в декабре 2019 года организовали состязание новых моделей беспилотников с участием 30 команд.

В то же время исследование, проведенное в 2019 году учеными из Технологического института Джорджии и исследовательской компанией Multiscale Systems Inc., предполагает, что, если хакеры обнаружат серьезные уязвимости в беспилотных автомобилях, они могут остановить их движение во всех городах нажатием одной кнопки.

Команда разработчиков обнаружила во время моделирования различных ситуаций, что даже несколько остановившихся на дорогах беспилотных автомобилей способны привести к транспортному коллапсу в целых городах.

Между тем беспилотные аппараты уже активно применяют не только на дорогах, но также и на железнодорожном транспорте или в авиации.

«Чем больше в управлении подвижного состава электроники, чем более цифровым становится транспорт, тем более актуальным будет применение инструментов информационной безопасности», — считает руководитель департамента проектного управления и цифровой трансформации АО «Трансмашхолдинг» Константин Горбач. Наиболее остро вопрос цифровой безопасности встанет, когда человечество будет массово переходить на беспилотные авто, уверен он. «Это случится в течение 10 лет, и тут нужно будет решать одновременно как минимум две задачи: как не допустить несанкционированный доступ к конкретному автомобилю и как надежно ограничить доступ неавторизованных лиц к диспетчерским системам», — отмечает эксперт.

Тем не менее прогресса не стоит бояться. Очевидно, что злоумышленники развиваются вместе с мировой экономикой. Но преступность существовала до появления новых цифровых технологий и не исчезнет вместе с ними. Борцы с хакерами пусть медленно, но тоже совершенствуются.

Кроме того, бизнес уже активно подстраивается под новую реальность. Очевидно, что в ближайшие годы в мире получат распространение множество других продуктов и услуг, которые помогут минимизировать потери от киберпреступности.

Так, в прошлом году аналитики компании «Сбербанк страхование» спрогнозировали, что российский рынок страхования киберрисков вырастет к 2025 году с нескольких десятков миллионов рублей в год до 8–10 млрд руб.