Эрик Страйд — о кибербезопасности суперяхт

Во время Monaco Yacht Show голландская компания Van Berge Henegouwen (VBH), интегратор AV/IT-систем, провела семинар, посвященный кибербезопасности суперяхт, в рамках которого анонсировала стратегическое партнерство с американской Atlas Cybersecurity (AC). Мы поговорили с Эриком Страйдом, одним из основателей AC, о том, насколько актуальна опасность кибератак для владельцев яхт и как этому противостоять.

В последнее время число компаний, предлагающих обеспечить кибербезопасность суперяхт, существенно выросло, и подобные услуги оказывают даже некоторые классификационные общества. Как сделать правильный выбор в этой ситуации?

Рост предложений в сфере кибербезопасности судов в основном продиктован ответом на новые резолюции IMO, и большинство этих компаний предоставляют консультационные услуги, помогая владельцам выстроить системную защиту от киберугроз. Как правило, они предлагают имеющиеся в продаже готовые коммерческие продукты вроде «волшебных коробочек», на которых в случае проблем начинает мигать красный огонек. Нюанс здесь заключается в том, что эти решения предупреждают лишь об известных им типах кибератак, поскольку основаны на сигнатурах и обеспечивают только реакционную защиту. В итоге к моменту, когда вы получаете предупреждение об атаке, взломщики, возможно, просидели в вашей сети уже полгода и за это время, скорее всего, прочно закрепились там, полностью картировали сеть, выяснили, где хранится особо важная информация, выгрузили и продали ее.

Мы же предлагаем не готовый физический продукт, а услугу круглосуточного мониторинга бортовых сетей на предмет подозрительной активности, что позволяет на ранних стадиях обнаруживать и предотвращать комплексные и доселе неизвестные кибератаки. Мониторинг подразумевает комбинацию сетевой аналитики и анализ хостов с привлечением разведданных, поиск индикаторов угроз, анализ на поведенческом уровне, обнаружение аномалий и реагирование на инциденты. То есть мы ищем не столько атаки, о которых уже известно, сколько прежде не описанные способы взлома.

По словам некоторых специалистов, доказанных примеров взлома суперяхт пока нет. Так ли это?

Я не соглашусь с таким утверждением, поскольку считаю, что в этой индустрии целями атакующих по большей части становятся очень обеспеченные, заботящиеся о личной конфиденциальности люди. У них нет необходимости сообщать о том, что их взломали, тогда как, скажем, публичные компании обязаны извещать клиентов о взломе. Сотрудничая с VBH, мы не раз устанавливали случаи попыток компрометирования деловой переписки на яхтах, когда, например, капитану приходило электронное письмо с реквизитами для оплаты только что принятого на борт топлива и он переводил деньги на счет злоумышленников, не подозревая, что e-mail подложный. В итоге и деньги потеряны, и топливо не оплачено.

Кроме того, я не раз наблюдал активное заражение бортовых сетей на яхтах: когда такое случается, мы напрямую взаимодействуем со специалистами IT-интегратора и ответственными за IT членами экипажа, обеспечивая им инструкции для устранения проблем. Если мы работаем в режиме полного развертывания, то на борту обязательно должен присутствовать ITO (Information Technology Officer, судовой IT-инженер. — Прим. ред.). Скажу, что навыки ITO варьируются от яхты к яхте: одни больше сфокусированы на мультимедиа, другие на IT, и далеко не все из них глубоко понимают аспекты обеспечения кибербезопасности. Поэтому мы совместно со специалистами из VBH обучаем их.

Представим, что кибератака была успешной и часть критической информации утекла… Если клиент потребует выследить киберпреступников, узнать их имена и местонахождение, вы займетесь этим?

У нас есть возможность проводить глубокий цифровой криминалистический анализ в пределах сети клиента с привлечением партнеров и собственных источников информации, а также осуществлять разведку на основе открытых источников. Однако мы не станем наносить ответный удар и взламывать хакеров. Но мы можем собрать существенный объем данных и, если потребуется, передать их правоохранительным органам.

Бытует мнение, что спутниковые соединения более безопасны. Так ли это?

Если я поставлю себя на место киберпреступника, то спутниковые коммуникации будут для меня весьма заманчивой целью, поскольку их пользователи — это, как правило, люди или организации с большими деньгами. В поисках жертвы я бы начал с диапазона IP-адресов VSAT, который достаточно легко выявить, так как он принадлежит ограниченному числу провайдеров. Для этого могут быть использованы различные инструменты, включая поисковик Shodan, позволяющий обнаруживать подключенные к Интернету устройства и являющийся своего рода «гуглом» для хакеров.

С технической точки зрения проблема с VSAT заключается в развертывании: слишком часто на терминалах не меняют установленные по умолчанию имя пользователя и пароль, поэтому хакеры легко получают через них полный доступ к сети. Необходимо не просто защищать оборудование, но активно мониторить сеть и проводить ее комплексный анализ, чтобы выявлять возможное несанкционированное изменение файлов. Поэтому не стоит думать, что, используя спутниковый Интернет, вы в безопасности.

Ряд разработчиков бортовой электроники использует Android в качестве базовой операционной системы для своих устройств, тогда как другие пишут собственное программное обеспечение. Какой вариант лучше в плане кибербезопасности?

Лично я бы предпочел Android, но при условии своевременного получения обновлений безопасности. Проприетарные операционные системы тоже могут быть достаточно защищенными, но они больше полагаются на то, что мы называем «безопасность за счет безвестности». Android мне нравится тем, что он все время на виду: систему постоянно исследуют, находят уязвимости, сообщают о них в Google, которая оперативно выпускает патчи. Хотя, конечно, хакер может успеть провести атаку еще до того, как «заплатка» дойдет до конечного пользователя.

Если разработчики проприетарной операционной системы уделяют много внимания обеспечению безопасности, то она может быть гораздо более защищенной. Однако в жизни это, к сожалению, встречается редко. Обычно никто особо не тестирует защиту таких систем, и все, включая создателей, ошибочно полагают, что они безопасны… А дальше преступникам достаточно просто заполучить код, найти в нем дыры и затаиться, эксплуатируя уязвимости в течение многих лет.

Хороший специалист по киберзащите должен быть немного параноиком. Но на суперяхте невозможно, например, временно запретить гостям пользоваться мобильными устройствами или настроить их так, как того требует безопасность. Как решается эта проблема?

Да, это так, поэтому прибегают к сегментации сетей, и это касается не только разделения IT и OT, но также создания виртуальных сетей для владельца, экипажа и пассажиров. К этим сетям можно применять дополнительные ограничения, фильтрацию, защиту и мониторинг. В целом гостям на борту нужно не так много: web-доступ и, возможно, VPN, — а все остальное можно заблокировать, чтобы свести риск к минимуму. Разумеется, необходимо вовремя менять пароли доступа, чтобы пассажиры завершившегося чартера не могли вернуться позже и подключиться к бортовой Wi-Fi-сети, когда яхта стоит в марине. Но как часто меняют эти пароли? Да почти никогда…

А что в отношении страхования киберрисков?

О, это очень интересная тема, и она еще в зачаточном состоянии! Мне доводилось встречать полисы как с поистине смешными ценами, так и весьма дорогие, а разница между нами заключалась в положениях, напечатанных мелким шрифтом. Поскольку реальной практики еще нет, компании используют исключительно собственные предположительные оценки, и нужно очень детально разбираться в том, что покроет страховка в случае взлома, а что нет. Поэтому будьте осторожны и внимательно читайте мелкий шрифт. Есть примеры, когда следы взлома организаций привели к государственным спецслужбам, а страховые компании разводили руками со словами «извините, это исключение, мы не будем платить». Думаю, спустя пару лет, когда появится больше информации о взломах и страховых выплатах, рынок немного стабилизируется, но пока все слишком противоречиво.

Если клиент намерен страховать риски, но не хочет переплачивать, можете ли вы вместе с VBH провести аудит защиты, чтобы снизить страховую премию?

Мы вели переговоры на этот счет с несколькими страховщиками, которые готовы снизить премию при условии постоянного мониторинга сетевой активности с нашей стороны, но в целом это сильно варьируется от компании к компании. Так или иначе, я бы рекомендовал обзавестись страховкой: это все-таки полезно, так как в случае серьезного взлома расходы могут быть колоссальными, и страховка частично снизит их. Но не страхуйтесь абы у кого — изучите вопрос, проконсультируйтесь с юристами этого профиля. В нашем нью-йоркском офисе есть такие специалисты, и они проводили анализ рынка страхования для нескольких клиентов.

Одна из проблем кибербезопасности — клонирование SIM-карт, благодаря которому преступники легко могут получить доступ к ценной информации. Каковы ваши рекомендации на этот счет?

Постарайтесь избегать двухфакторной аутентификации с использованием SMS. Если это единственный вариант, то вы становитесь открытым для потенциальных атак. Клонирование SIM-карт — это лишь один из инструментов обмана сотового оператора для получения доступа к чужому номеру телефона. В любом случае, используйте сообщения в связке с паролем, а лучше откажитесь от SMS в пользу аутентификации с использованием TOTP-приложений, генерирующих одноразовые короткоживущие пароли вроде Google Authenticator и подобных. Более того, если поставщики услуг используют только SMS-аутентификацию, мы рекомендуем посылать им запросы на введение альтернативных способов аутентификации.

Для оказания ваших услуг вам необязательно находиться на борту?

Да, и это здорово! У нас два режима работы: полное развертывание и кратковременная проверка статуса кибербезопасности яхты, которую мы проводим в течение одной-двух недель совместно с VBH. Во втором случае мы подключаем компактный сканер сети к центральному коммутатору, анализируем трафик, выявляем уязвимости и формируем отчет. Обычно проблемы вылезают уже в первые сутки, и мы сразу начинаем работать с ITO, выясняя, например, зачем те или иные устройства на борту обмениваются информацией с какими-то неизвестными компьютерами в Интернете. Так как для анализа трафика мы используем в том числе облачные технологии, на этой стадии на яхте необходим быстрый доступ в Интернет.

При полном развертывании используется уже более серьезный сканер формфактора 1U, который ставится в серверную стойку. Это такая мощная машинка с 10-ядерным процессором и 32 гигабайтами оперативной памяти, которая собирает логи устройств, проводит аналитику, получает данные из облака и посылает предупреждения о подозрительной активности в наш дата-центр в Нью-Йорке, где аналитики сразу приступают к расследованию и определению характера активности. В этом режиме мы смотрим не только на сеть, но и на хосты, задействуя инструменты обнаружения проникновения и выявления аномалий. Бывают вещи, которые сами по себе не выглядят вредоносными, но в контексте нормального поведения оказываются подозрительными и привлекают внимание.

Что происходит, когда вы обнаруживаете нечто опасное? Сразу же отключаете судно от Интернета?

Нет, вместо этого мы тесно работаем с IT-инженером, поскольку это его сеть, а мы лишь их партнеры — своего рода продолжение экипажа. Поэтому мы не предпринимаем никаких действий без согласования с ITO и коллегами из VBH, ведь в это время на борту могут протекать какие-то критические процессы и передаваться важная информация. Мы ищем способ ликвидировать атаку и восстановить защиту системы, затем предоставляем эту информацию IT-инженеру, но если он хочет, чтобы мы исправили ситуацию за него, то нет проблем.

Повышает ли риск отказ от установки обновлений программного обеспечения?

Да, менеджмент обновлений — это критический момент. Проводя поиск уязвимостей, мы часто обнаруживаем, что в системе не установлены «заплатки», выпущенные еще года три назад.

Недавно мы провели аудит безопасности на одной яхте, где, просканировав всего четыре системы, нашли шесть тысяч незакрытых уязвимостей, причем одна из этих систем была напрямую связана с Интернетом!

Это серьезная проблема, и когда сталкиваешься с такими случаями, нельзя просто так взять и сказать IT-инженеру: «Вот ваши шесть тысяч дыр, залатайте их немедленно». За один присест это сделать практически невозможно, поэтому наши специалисты изучают отчеты и применяют, как я его называю, «анализ посредством серого вещества»: сначала вычленяют, скажем, десять самых критических уязвимостей, которые нужно устранить в первую очередь, затем проводят повторное сканирование, выбирают следующие десять и так далее. Естественно, исправления в системах, напрямую подключенных к Интернету, будут в приоритете.

Текст и фото Антон Черкасов-Нисман

Новости

boot Düsseldorf 2020 продолжается

По завершении первой половины выставки можно уже смело утверждать: боат-шоу удалось!

Новости

boot Düsseldorf 2020

Яхтенная выставка, на которой собрались представители всех ведущих верфей мира и брокеры, — в самом разгаре.

Яхты

В круге света

Одним из самых интересных экспонатов среди многочисленного флота Amels на Monaco Yacht Show 2019 стала новая суперяхта Aurora Borealis.
По теме

Вкус моря

Сразу же после свадьбы Дмитрий и Ирина отправились на гулете в солнечное и увлекательное путешествие по греческим островам. Молодожены рассказали MBY, чем отличается морская Греция от сухопутной, каково проводить медовый месяц на яхте и как отведать все самое вкусное из богатых даров Ионического моря.

Петербуржцы на пьедестале RC44 Valetta Cup

29 марта завершился первый этап нового сезона гонок класса RC44 – Valetta Cup. «Ника» и «Броненосец» уверенно начали новый сезон гонок класса RC44

Вопрос о флаге

Выбор государства, чей флаг будет нести ваша новая яхта, — процесс не столь увлекательный. Однако флаг, под которым ходит судно, сильно влияет на конфиденциальность владения яхтой, ее налогообложение, ответственность собственника и даже на востребованность в чартере.

Испанский путь

7000 километров исключительной береговой линии и чудесный климат обеспечили Испании место среди лучших стран Средиземноморского региона в плане яхтинга. Но может ли здоровая индустрия держаться только на этом?