CNews: Президент России Владимир Путин заявлял, что во время проведения Чемпионата мира по футболу 2018 удалось отразить около 25 миллионов кибератак. Какие атаки велись на объекты ФГУП «Спорт-Инжиниринг»? Сколько было атак? Можете дать, если возможно, статистику и привести примеры кибератак?

Сергей Купцов: Понятно, что всех интересуют яркие примеры и большие цифры, но информационная защита строится не только и не столько на отражении атак, столько на подготовке к их отражению. Наше предприятие занималось строительством и защитой инфраструктуры на 7 новых стадионах в Калининграде, Ростове-на-Дону, Екатеринбурге, Самаре, Саранске, Нижнем Новгороде и Волгограде, а непосредственно мониторингом кибератак занимался национальный координационный центр по компьютерным инцидентам и региональные центры мониторинга.

Непосредственно на стадионах центры мониторинга не создавались, но мы использовали центр менеджмента компьютерных инцидентов НПП «Гамма». По нашим данным, из серьезных атак я бы отметил 6 попыток DDoS NTP-amplification в Калининграде. Это происходило прямо на первых матчах, потом, видимо, злоумышленники поняли, что работает защита, и прекратили атаки.

Пресечены десятки попыток удаленного подключения к защищаемым информационным системам, на более чем 200 хостах выявлено несколько тысяч уязвимостей прикладного и системного ПО, сотни единиц телеком оборудования использовали незащищенные протоколы, имели слабые пароли, все это было исправлено до чемпионата. Такого рода уязвимости в конфигурациях и настройках не злонамеренные. Когда система безопасности разворачивается поверх готовых ИТ-подсистем, в процессе ее настройки специалисты выявляют проблемы, на которые системные инженеры просто не обратили внимания: слабые пароли, открытые порты, удаленные сессии разработчиков и пр. Эти риски минимизируются, сети подстраиваются, уязвимые объекты прячутся, их просто снаружи трудно обнаружить.

CNews: Проводили ли вы расследование, из каких стран велись эти атаки? Кто за ними стоял?

Сергей Купцов: Атаки были из России и из Европы, впрочем, принадлежность IP-адреса в наше время вещь условная. По характеристикам и количеству атак я не хотел бы отвечать, это просто не наша компетенция. Наша основная задача была не в подсчете и мониторинге, а в технической защите и проведении мероприятия без сбоев. Волновались, если честно. Я особенно переживал за атаки на системы отображения на поле, публичный Wi-Fi, и особенно за критические инженерные системы: систему контроля доступа (входные турникеты), пожарную сигнализацию, оповещение, видеонаблюдение, лифты и пр. По результату отработали нормально. Критические узлы хакерами обнаружены не были, сбоев в результате атак не было, это главное.

Сергей Купцов: Информационная защита строится не только и не столько на отражении атак, столько на подготовке к их отражению

CNews: Работали ли вы во время чемпионата мира над интеграцией ваших систем с системами информационной безопасности FIFA? Если да, то, как была достигнута эта интеграция?

Сергей Купцов: Это хороший вопрос. Мы очень плотно работали с Оргкомитетом 2018, хочется выразить им искреннюю благодарность за сотрудничество. ИТ-подсистемы FIFA замыкались на сервисы и операторов связи FIFA, для стадиона это была фактически изолированная сеть Интранет, которая была надежно защищена их средствами. Тем не менее, некоторые элементы нашей инфраструктуры с ней тесно взаимодействовали, например, средства отображения, системы контроля доступа и др. Все понимают, что для классического безопасника идеально защищенная система – это система, через которую не идет трафик и сервисы заглушены. Чтобы наша защита не повлияла на сервисы ФИФА, пришлось на время чемпионата снимать некоторые средства и обеспечивать безопасность другими методами.

CNews: После чемпионата число кибератак снизилось? Часто ли сегодня атакуют вашу инфраструктуру?

Сергей Купцов: Да, количество атак резко снизилось. Угрозу на таком публичном гражданском объекте, как стадион, представляет скорее не взлом и кража информации, а выведение жизнеобеспечивающих систем из строя. Поэтому к чемпионату мира был повышенный интерес. Сейчас попытки атак есть, но их существенно меньше.

CNews: Какие решения вы используете в области кибербезопасности?

Я расскажу, что представлял собой проект по информационной защите стадионов. На каждом объекте создано более 20 взаимоувязанных ИТ-подсистем. Присутствуют практически все крупные операторы связи. Под все объекты были разработаны и согласованы модели угроз и спецтехзадания. Поскольку наши строительные подрядчики не обладают необходимыми лицензиями и компетенциями, было решено провести общий конкурс на все стадионы, чтобы решение было унифицировано. Генподрядчиком по работам было выбрано ФГУП «Гамма» Важным критерием выбора стало то, что они отдали предпочтение российским сертифицированным системам, аппаратно-программные комплексы шифрования «Континент» от «Кода Безопасности» и другие защитные средства этого производителя. Если говорить о системах стадионов, то они включают в себя непосредственно техническую защиту, организационные мероприятия и настройки сети под эшелонированную оборону. Пользуясь случаем, хочу поблагодарить всех вендоров и технологических партнеров, особенно «Гамму», проект был действительно очень сложный, с минимальными сроками и максимальной ответственностью. Все отработали отлично.

CNews: Какие данные имеют самую большую ценность, и как вы их защищаете?

Сергей Купцов: Как я уже говорил, ИТ-подсистем более 20 на каждом стадионе. Часть данных хранится во внешних системах, в случае с FIFA это все персональные данные болельщиков, билеты, медиаконтент и пр. В режиме «Наследие» эта ответственность переходит к стадионам. Также представляют ценность данные с камер видеонаблюдения, СКУД, все, что связано с физической безопасностью посетителей.

CNews: Используете ли вы системы резервного копирования данных?

Сергей Купцов: Да, используем, но, как я уже говорил, характер эксплуатации стадиона таков, что угрозу представляет скорее не взлом и кража информации, а выведение жизнеобеспечивающих систем из строя.

CNews: Какие тенденции сегодня есть на рынке кибербезопасности? Становятся ли умнее хакеры?

Сергей Купцов: Я не специалист в ИБ, а только заказчик, но меня волнует неопределенность в уязвимостях операционных систем. Ни для кого не секрет, что эксплойты у лидеров рынка это массовое явление, к которому все уже привыкли и вендоры даже не оправдываются, тихо и не спеша латают дыры, которые появляются вновь и вновь в открытом доступе. В этой логике «приоткрытых дверей» на первый план выходит именно организационная составляющая. Профилактика и гигиена, по аналогии с физической охраной: какой бы ни был охранник, главное не его физическая подготовка и вооружение, а предупреждение проблемы, регламент действий в случае выявления.

Александр Столяров