«Эта железка умнее меня!...»

Обычно мы (девушки) ругаем «железки» глупыми или умными в одних и тех же обстоятельствах – когда не можем с ними справиться и они делают что-то «не то». Не то, что мы ожидаем. Популярная сегодня тема – разнообразных осложнений, ожидающих нас, когда искусственный интеллект получит безоговорочное превосходство над естественным – не может не захватывать воображение всех, у кого оно есть. Однако на сегодняшний день более остро стоит проблема осложнений, связанных с тем, что мы переоцениваем «ум» так называемых «умных» технологий, доверяя им слишком многое – принятие решений.

Как мыслящему человеку не стать луддитом

Не станем тратить слова на аргументацию того, что технология никогда не виновата, и человеку (в собирательном смысле) всегда полезно поискать причину в себе – чего он в этой технологии не доделал. Примеры всегда ярче абстрактных аргументов, приведем же примеры на материале критических информационных инфраструктур, во-первых, потому, что это тема номера, а во-вторых, потому что такие примеры всегда впечатляют больше.

Безопасный город

Нас окружают камеры, данные с которых оказывают непосредственное влияние на принятие множества критически важных или просто значимых для конкретных граждан решений. Изображение с этих камер передается по каналам передачи данных общего пользования, и вмешательство в этот процесс «человека посередине» не представляет для злоумышленника сложности.

Такая атака дает злоумышленнику возможность подменять данные на те, что позволят ему решить какие-то свои задачи, либо, что не менее опасно, особенно в условиях движения к биометрической идентификации, – накапливать данные о гражданах в целях дальнейшего использования в собственных целях.

Есть два варианта «доделать» эту технологию, они очевидны – заменить все камеры на такие, в которые по умолчанию встроены средства шифрования класса защиты КС2 и выше, или встроить в уже установленные повсеместно камеры СКЗИ на универсальной платформе (такие сегодня существуют, например, специализированный микрокомпьютер с аппаратной защитой данных m-TrusT), что сделает процесс сбора данных с камер защищенным с максимально возможным сохранением инвестиций. Стоимость оборудования камер СКЗИ будет ощутимо ниже замены всех камер. «Безопасный» город становится безопасным.

Умный дом

Умный дом сейчас едва ли не в большей степени ассоциируется с опасностью, чем с прогрессом. Приборы, взаимодействующие по сети, в лучшем случае разовьют искусственный интеллект и взбунтуются (это оптимистический сценарий, потому что случится это очень нескоро), а в худшем – попадут под управление не собственного хозяина, а его недоброжелателя. Можно рисовать много сценариев развития этой ситуации – как смешных, так и страшных. Оставив эту задачу сценаристам, можно решить проблему радикально – защитить взаимодействие вещей, поскольку от него зависят люди.

Если концентратором потоков информационного взаимодействия в системах IoT (так называемого «Интернета вещей») будет аппаратный криптошлюз, преступник больше не сможет отключить ваш холодильник и включить кипяток в душе. Умный дом становится безопасным. Далее вопрос снова сводится к тому, что под что будет подстраиваться – защита под технологию, или технология под защиту. Ответ зависит от того, больше или меньше денег необходимо потратить.

Надежный банк

Если рассматривать в качестве примера объекта КИИ банкомат, то там сегодня все устроено на первый взгляд довольно просто. В его составе есть диспенсер (в нем лежат деньги и из него деньги выдаются), компьютер и периферийное оборудование. Компьютер взаимодействует с процессинговым центром (например, по IP-протоколу), и USB-кабелями соединен с диспенсером и другим периферийным оборудованием. 

При работе с банкоматом с пластиковой карты считывается ее номер, с клавиатуры – PIN, все это передается в процессинговый центр, где и выполняется авторизация. Если все в порядке – проверяется запрашиваемая сумма. Затем компьютером банкомата формируется команда на выдачу денег, которая передается в диспенсер. Из защитных механизмов здесь используется только один – диспенсер размещен в сейфе.

Такого очень упрощенного описания уже достаточно, чтобы понять «Что делать?». Надо защитить каналы – как от процессингового центра к компьютеру, так и от компьютера к диспенсеру, и обеспечить целостность программно-аппаратной среды компьютера. Сделать это в соответствии с 187-ФЗ, нетравматично для функционирования системы и с сохранением инвестиций можно также с помощью решения на универсальной платформе специализированного компьютера с аппаратной защитой данных.

Финансовые коммуникации становятся безопасными.

Безопасный транспорт

Представим себе железную дорогу как некоторый обобщенный эталонный макет транспорта вообще.

Если рассматривать ее с точки зрения сетевого взаимодействия объектов КИИ, то мы увидим три глобальных типа объектов: подвижные составы, станционное оборудование и некоторый центральный вычислительный центр (ведь мы рассматриваем условную модель, а не конкретную КИИ).

Основное взаимодействие происходит между подвижными составами и центральным вычислительным центром (назовем его ЦВЦ). Он рассылает расписание, аккумулирует данные от подвижных составов и рассылает сделанные на основании этих данных корректировки. Станционное оборудование также отправляет в ЦВЦ данные о движении подвижных составов и получает корректировки расписания, которые передает подвижным составам, а также выполняет различные вспомогательные функции, прописывать которые на уровне такой контурной обрисовки условной транспортной системы нет смысла. Подвижные составы также параллельно взаимодействуют со станционным оборудованием и с ЦВЦ, отправляя данные о своем движении и получая указания и корректировки. Очевидно, что нарушения этого взаимодействия может иметь крайне неприятные последствия, и так же очевидно, что средства защиты этого взаимодействия должны быть унифицированы, но в то же время адаптированы к работе в совершенно разных условиях. Бортовой компьютер подвижного состава работает в условиях вибрации и нагревания, и в целом он абсолютно не похож на ПК или сервер. На станциях оборудование представляет собой стойку серверов, ЦВЦ – это ЦОД с серверами огромной производительности. Задача решается или сложной интеграцией, или универсальной платформой для СКЗИ. Реализация СКЗИ на универсальной платформе, с одной стороны, не имеет никаких ограничений по работе «навстречу» с реализациями этого же СКЗИ на любых других платформах, а с другой – позволяет организовать защищенное взаимодействие параллельно по разным каналам. Транспорт становится безопасным.

Умная энергетика

Объекты энергетики рассмотрим на примере электрических подстанций. Это объекты, предназначенные для приема, преобразования и распределения электричества. Многие из них расположены «в чистом поле» – на открытых пространствах, вдалеке от какой-либо инфраструктуры, и функционируют относительно автономно.

Такие объекты неизбежно вызывают повышенный интерес злоумышленников, о чем писал еще А. П. Чехов[1]. Подключение к подстанции с целью решения каких-то бытовых задач, предельно опасно, так как объект не имеет ресурсов, позволяющих различать легальные и нелегальные запросы. Негативный эффект от таких действий не исчерпывается бесконтрольным потреблением электроэнергии. Цифровые подстанции, имеющие в составе управляющего комплекса противоаварийную систему, могут расценить изменение нагрузки как аварию и включить противоаварийную автоматику – в этом случае целевые функции подстанции могут быть не выполнены в нужный момент, а к чему конкретно это приведет – зависит от того, в рамках какой инфраструктуры и для чего предназначена данная конкретная электроустановка.

Очевидно, что необходимо средство защиты, которое позволит отличать аутентифицированный и гарантированно неизмененный управляющий сигнал от воздействия «народных умельцев».

Умное производство

Про «классические АСУТП» как проявление КИИ написано больше всего статей и даже книг, необходимость установки в них СКЗИ высоких классов, а также все связанные с этим сложности – хорошо понятны.

Особенность ряда крупных производств сегодня состоит еще в одном очень существенном обстоятельстве: их управляющие инфраструктурные элементы находятся за рубежом. А это означает, что при неблагоприятных внешнеполитических обстоятельствах эти элементы могут стать рычагами управления не только производственными процессами. Система безопасности таких объектов должна строится в предположении, что центр управления может перестать быть доверенным источником, и его команды должны интеллектуально обрабатываться, а не просто без искажений передаваться на исполнение.

Умный учет

Приборы учета всегда представляли собой цель для «улучшений» как со стороны недобросовестных пользователей учитываемых ресурсов, так и со стороны недобросовестных взимателей платы за эти ресурсы. Самого разного рода «скручивания» и «накручивания» самого разного рода счетчиков возникло, вероятно, одновременно с самими счетчиками. Каждый, кто брал в аренду автомобиль, который надо вернуть «с тем же количеством топлива», наверняка замечал, что датчик топлива ведет себя удивительно, а Интернет полнится советами по обходу любых счетчиков – от воды до трафика.

«Умные» приборы учета имеют два существенных отличия:

• ими можно управлять удаленно, без непосредственного «личного» контакта с каждым, и
• они несут в себе функциональность не только непосредственно учета, но и управления.

Это совершенно логично – закончился лимит, превышена просрочка по оплате, или наступило еще какое-то заранее назначенное граничным событие – и в установленном порядке отключается подача того, использование чего считает «умный» счетчик. Никакого произвола или человеческого фактора.

За исключением того, что подать эту команду может хакер. А учитывая природу учитываемых ресурсов, трудно преувеличить общественную значимость ситуации, которую сможет создать злоумышленник, буде в его планах резкое повышение уровня социальной напряженности.

Эффект будет, впрочем, похожим, если предложить гражданам за свой счет заменить приборы учета на новые, защищенные. Аргумент о том, что это для безопасности, скорее всего, вызовет только раздражение. Средство защиты, которое возможно установить в существующую систему, очевидно предпочтительнее и в этом случае.

Защищенный бизнес

В защите нуждаются не только КИИ. Потребность в защите собственной информационной инфраструктуры, даже если она не является критической с точки зрения государства, все более осознана бизнесом – и уже не только крупным. И для таких информационных систем особенно важным становится баланс цены и качества. Создавая систему защиты «для себя», одинаково неверно переплачивать за правильное название (с какой бы точки зрения «правильным» оно ни было бы) и избыточную функциональность, ни покупать за небольшие деньги ненадежную защиту.

Вывод, который проступает так явно, что его было бы нечестно не сделать, заключается в следующем. Умные технологии могут быть защищенными. Прекрасно, если сразу защищенными они проектируются. Но если при проектировании эти вопросы были упущены, защита системы не должна привести ни к нарушениям ее функционирования, ни к потерям инвестиций. Умная технология во всем должна остаться умной.

[1] Чехов А. П. Злоумышленник // Полное собрание сочинений и писем в 30-ти томах. Сочинения. Том 4. М., «Наука», 1984.

Автор: Конявская С. В.

Дата публикации: 11.03.2020

Библиографическая ссылка: Конявская С. В. «Эта железка умнее меня!...» // Information Security/Информационная безопасность. М., 2020. № 1. С. 4–5.

---