Компьютерные технологии уже давно стали неотъемлемой частью любого производства, функционирования любой компании или организации. Арабские монархии Персидского залива стремятся в этом отношении идти в ногу со временем и, незначительно отставая от развитых стран Запада, пользуются всеми плодами современных технологи и, вместе с этим, подвергаются тем же вызовам и угрозам, которые связаны с полноценным использованием цифровых технологий и сетевой инфраструктуры. К основным угрозам, относящимся к кибер-безопасности учреждения, относятся вирусы и прочие вредоносные программы, сетевые атаки, спам, фишинг (незаконный доступ к конфиденциальным данным пользователей), утечка информации, взлом Интернет-сайтов и т.д. Исследование, проведенное в конце 2011 г. Лабораторией Касперского, выявило, что 88% компаний в странах Совета сотрудничества арабских государств Персидского залива (ССАГПЗ) в той или иной степени подвергались нарушению кибер-безопасности(1).
Компании и предприятия целого ряда отраслей стали всецело зависимы от компьютерных технологий, и сбой в работе инфраструктуры может парализовать деятельность организации на долгое время и нанести серьезный материальный ущерб. К направлениям деятельности, наиболее чувствительным к киберугрозам относятся энергетическая и финансовая сферы, логистика и коммуникации. Очень чувствительными к подобного рода угрозам являются также госструктуры.
Рассматривая вопрос кибер-безопасности в регионе Персидского залива, имеет смысл выделить два типа кибер-атак и более внимательно познакомиться с примерами и особенностями каждого из них.
1. Повреждение критической инфраструктуры предприятия
В целях автоматизации производства подавляющее большинство крупных предприятий в сфере энергетики и промышленности внедрили системы управления SCADA – компьютерные системы мониторинга и контроля, которые охватывают все стадии функционирования завода, электростанции и проч. Они обеспечивают операторский контроль за технологическими процессами в реальном времени. Однако высокий уровень автоматизации влечет за собой высокий уровень уязвимости, т.к. поражение хотя бы одного элемента системы угрожает всей ее целостности и работоспособности.
Вопрос необходимости защищать SCADA-системы стал по-настоящему актуален в странах Персидского залива после 2010 г., когда был обнаружен вирус Stuxnet, поразивший лабораторию по обогащению урана в иранском г. Натанз. Несмотря на то, что основной целью вируса был ядерный объект в Иране, именно этот случай породил волну беспокойства и стремительный рост интереса к вопросам кибер-безопасности в арабских государствах Персидского залива. Все обсуждения о компьютерной безопасности, которые ведутся на региональном уровне, так или иначе касаются Stuxnet. Следует выделить особенности этого вируса, которые сделали его столь важным для региональной и глобальной проблематики.
В первую очередь, практически сразу после обнаружения вируса стали высказываться мнения о том, что он слишком сложен, чтобы быть результатом работы отдельных хакеров или даже группы программистов. Ресурсы, которые необходимо потратить на разработку и внедрение подобной программы, могут быть доступны лишь государству. Мгновенно стали звучать обвинения в адрес США и Израиля. Позднее, уже в июне 2012 года, обозреватель The New York Times Дэвид Зангер опубликовал результаты своего расследования, длившегося полтора года, в ходе которого он провел интервью с целым рядом как бывших, так и действующих официальных лиц из США, Израиля и Европы, а также сторонних экспертов(2). В его статье приводятся свидетельства того, что основная работа над вирусом была проведена Агентством национальной безопасности Соединенных Штатов при помощи израильских специалистов. По оценкам участников проекта, вирус отбросил иранскую ядерную программу на полтора-два года назад. Впервые средствами компьютерных технологий была достигнута цель, которая прежде потребовала бы военной операции или прямого физического воздействия на инфраструктуру объекта противника.
Таким образом, виртуальный, компьютерный аспект стал полноценной составляющей военно-политического противостояния. Подтверждая эту новую тенденцию, год спустя после непосредственной атаки Stuxnet официальные представители иранских вооруженных сил сказали о формировании специального подразделения, ответственного за кибер-безопасность, а в июне 2012 было объявлено о создании специального стратегического плана по обороне в компьютерной сфере(3). Иранская активность в сфере кибер-вооружения, как наступательного, так и оборонительно, признается на международном уровне. Так, в своем выступлении 11 октября 2012 г. министр обороны США Л. Панетта выступил с речью, в которой заявил, что Иран предпринимает шаги для использования кибер-пространства в своих национальных интересах(4).
Аналогичными вопросами в странах ССАГПЗ занимаются специальные организации, называемые «Команда по экстренному компьютерному реагированию» (Computer Emergency Response Team, CERT). Подобные структуры функционируют в Саудовской Аравии, Катаре, ОАЭ и Омане, и в круг их обязанностей входит обнаружение и реагирование на нарушение компьютерной безопасности государства, а также координация действий всех заинтересованных сторон и учреждений по противодействию угрозам в кибер-сфере(5). Помимо непосредственной борьбы со случаями кибер-атак данные структуры занимаются просветительской деятельностью в сфере компьютерной грамотности и компьютерной безопасности.
Вирус Stuxnet оказался первым в череде сложных, тщательно разработанных вирусов, которые атаковали инфраструктурные объекты в регионе. Основная проблема заключается в том, что в отличие от традиционного оружия, вредоносные программы легко выходят из-под контроля, и, даже при наличии центра управления и конкретной цели для атаки, способны заражать все новые компьютеры и системы. Так, к примеру, и был обнаружен Stuxnet, который попал на личный ноутбук сотрудника атомной станции Натанз, и когда тот подключился к Интернету, вирус начал свой путь по сети, и в итоге был обнаружен.
Другим отличием от традиционного оружия является возможность копирования. Код, используемый при написания вируса, после обнаружения часто оказывается доступным в сети, и его элементы могут быть использованы для создания нового вируса. По заявлению одного из ведущих консалтинговых агентств в сфере кибер-безопасности Langer Communications, тот факт, что код вируса Stuxnet оказался доступен в Интернете, предоставляет блестящую возможность для хакеров любого уровня использовать уже имеющуюся программу для разработки нового поколения кибер-оружия(6).
Вслед за Stuxnet компании и предприятия на Ближнем Востоке стали жертвой новых высококлассных вирусов, каждый из которых в своем коде имел элементы предшественника. Следующим нарушителем спокойствия в регионе стал вирус Duqu, обнаруженный в октябре 2011 г. и целью которого был сбор информации и данных с предприятий, а также копирование информации со SCADA-систем с тем, чтобы в дальнейшем атаковать данные системы.
Однако наиболее совершенное кибер-оружие, потрясшее пользователей на Ближнем Востоке, было обнаружено в мае 2012 г. Ему было присвоено имя Flame. Его выявили эксперты из Лаборатории Касперского в ходе проекта по поиску вируса-шпиона, собиравшего информацию с компьютеров в странах по всему региону. По написанию этот вирус представляет собой наиболее совершенную вредоносную программу, известную к настоящему времени. В результате деятельности вируса не взламывались банковские счета, не происходило кражи денег, а имел место лишь разносторонний сбор информации государственных, организаций и предприятий, а также частных лиц в определенной группе стран. Наибольший ущерб был причинен семи странам (в порядке убывания): Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия, Египет(7). Из данного списка мы видим, что среди пострадавших стран есть представители всех «лагерей» ближневосточного противостояния. Это может быть как следствием того, что вирус в определенный момент вышел из-под контроля и начал сбор данных за пределами своей главной цели, либо что он изначально был создан для сбора информации по всему региону. При этом эксперты в сфере компьютерной безопасности сходятся во мнении, что столь высококлассный и чрезвычайно сложный вирус не мог быть написан без хотя бы частичного участия государства. Если он и не был полностью создан в стенах госструктуры, то, по меньшей мере, его научно-исследовательская составляющая была проинвестирована со стороны государства. Специалисты расходятся во мнении относительно того, сколько вирус собирал конфиденциальную информацию, прежде чем был обнаружен. Оценки варьируются от двух до пяти лет(8). К тому же для различных целей и задач могли быть использованы разные версии данного вируса. Так, например, в результате действия программы, схожей с Flame по содержанию и функционалу, была поражена работа компьютеров в Министерстве нефти Ирана и Иранской национальной нефтяной компании(9).
Следующий серьезный удар по цифровой инфраструктуре в регионе Персидского залива был нанесен в августе 2012 года, и в этой связи стоит уделить внимание другой составляющей кибер-преступности, а именно сетевому политическому активизму.
2. Сетевой политический активизм (hacktivism)
Жертвой мощного вируса стала крупнейшая нефтяная компания мира, саудовская Saudi Aramco, которой пришлось поставить на карантин три четверти (ок. 30 000) своих компьютеров. Ответственность за создание вируса, атаковавшего Saudi Aramco в середине августа 2012 г., взяла на себя организация «Рубящий меч правосудия» (Cutting Sword of Justice), опубликовавшая заявление, в котором возлагает на правящую семью Саудовской Аравии вину в преступлениях и притеснениях, которые терпят граждане Йемена, Сирии, Бахрейна, Ливана и Египта. Активисты обещали, что за атакой на Saudi Aramco, которая является главным источником дохода для семьи Аль-Саудов, последуют и другие. В конце сообщения они призвали всех хакеров, болеющих за справедливость, примкнуть к их борьбе с тиранией(10). В дополнении к данному сообщению хакеры опубликовали список IP-адресов и другую информацию об атакованных компьютерах. Вирус парализовал работу почтовых серверов, и на протяжении нескольких дней трейдеры из Европы и США связывались со штаб-квартирой Saudi Aramco, используя лишь факс и телекс.
Особенностью этой атаки является тот факт, что впервые он-лайн активисты прибегли к тщательно и качественно написанной вредоносной программе. Прежде их действия сводились к DDoS-атакам (на веб-сайт отсылается такое число запросов, что в конечном итоге он перестает работать) или к взлому сайтов и неавторизованному доступу к информации пользователей. С обоими видами преступлений столкнулся Бахрейн во время проведения в апреле 2012 г. этапа Формулы-1. Среди атакованных сайтов были страницы целого ряда министерств (Министерства юстиции, Таможенного министерства, Агентства гражданских услуг и проч.) Также с официального сайта гонок была украдена и впоследствии опубликована личная информация зарегистрированных там зрителей соревнований(11). Ответственность взяла на себя известная хакерская группировка Anonymous, прежде уже атаковавшая сайты правительственных учреждений в Китае, Великобритании и США. Помимо деятельности международной группы Anonymous, в Бахрейне существует и местный сетевой активизм. Так, антиправительственные протесты порой переходят в виртуальную сферу, и целью хакеров становятся сайты Министерства внутренних дел, Бахрейнского новостного агентства, Министерства по жилищным вопросам и других учреждений. В течение последних нескольких лет эти сайты подвергались атакам со стороны хакеров, главным образом, находящихся на территории Ирана.
Спустя всего несколько дней после кибер-атаки на Saudi Aramco, схожему нападению подвергся другой энергетический гигант – RasGas, базирующийся в Катаре один из мировых лидеров по производству сжиженного газа. Вирус, аналогичный атаковавшему Saudi Aramco и названный Shamoon, целенаправленно удалял файлы на компьютерах, находящихся в центральном офисе компании RasGas. По заявлению представителей компании, вирус не затронул процесс производства, и урон от него был минимальным.
Тем не менее, наблюдая за активностью в кибер-пространстве, можно сделать вывод о том, что целые направления политической деятельности постепенно переходят в он-лайн среду. Это вовсе не означает, что традиционные отношения становятся менее важны, но к ним добавляется новый пласт, новый уровень, который уже нельзя списывать со счетов.
В конфликтных межгосударственных отношениях кибер-оружие становится одним из элементов давления на противника. По масштабам своего воздействия оно может быть по-настоящему мощным. Скажем, вирус, аналогичный Stuxnet, при иной задаче, мог бы спровоцировать крупную аварию на атомной электростанции, последствия которой были бы непредсказуемы. При современном уровне автоматизации центров водоснабжения, больниц, транспортных служб целенаправленная кибер-атака может нанести серьезный ущерб. В связи с этим, кибер-оружие, как наступательное, так и оборонительное, постепенно становится частью арсенала государств. При этом мы можем наблюдать, что Ближний Восток и регион Персидского залива становится своего рода площадкой для экспериментов.
Кибер-пространство превращается также в территорию антиправительственных и антикорпоративных выступлений. На волне революционных настроений, начавшихся в конце 2010 г. в арабском мире, активность в сети стала одним из средств политической борьбы. Как международная деятельность Anonymous или Wikileaks, так и местная Интернет-активность в странах Ближнего Востока представляют собой важнейший элемент текущего процесса.
При этом нельзя забывать о классическом виде нарушений кибер-безопасности, а именно краже персональных данных и сведений о банковских счетах, что ведет к прямым финансовым потерям как физических, так и юридических лиц. Согласно имеющейся статистике, ущерб от подобного рода преступлений в 2011 г. только в Объединенных Арабских Эмиратах составил 55 миллионов долларов США(12).
Как государственные, так и коммерческие структуры региона находятся пока на начальной стадии развития мер по регулированию, контролю и предотвращению кибер-преступлений. Для этого вносятся поправки в законодательство, создаются специальные органы, утверждаются соответствующие нормы и правила. В этом направлении совместно работают министерства (внутренних дел, связи, юстиции, обороны), производители программного обеспечения, консалтинговые агентства, спецслужбы, органы местной власти и телекоммуникационные компании.
Идея о том, что кибер-пространство не имеет границ, на самом деле не совсем верна. Любая сетевая инфраструктура основывается на физическом оборудовании, а сервера расположены на территории государства и вынуждены подчиняться его законодательству. В связи с этим национальные, региональные и международные усилия по обеспечению кибер-безопасности становятся все более активными. Страны-участницы ССАГПЗ, опираясь в первую очередь на национальные механизмы защиты, все более расположены к сотрудничеству и обмену опытом как между собой, так и на глобальном уровне. Кибер-пространство становится новым уровнем межгосударственных отношений, на котором с равным успехом может быть реализован как конфликтный потенциал, так и возможность сотрудничества и взаимовыгодного существования.
1) Kaspersky Lab Survey on Corporate IT Security: Nine out of Ten Companies Encounter External Cyber Threats URL: http://me.kaspersky.com/en/about/news/business/2011/Kaspersky_Lab_Survey_on_Corporate_IT_Security_Nine_out_of_Ten_Companies_Encounter_External_Cyber_Threats
2) Sanger, David. Obama Order Sped Up Wave of Cyberattacks Against Iran. The New York Times, June 01, 2012
URL: http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pagewanted=all
3) Iran is formulating strategic cyber defense plan: official. Tehran Times, June 15, 2012
URL: http://tehrantimes.com/politics/98761-iran-is-formulating-strategic-cyber-defense-plan-official-
4) Remarks by Secretary Panetta on Cybersecurity to the Business Executives for National Security, New York City, October 11, 2012. URL: http://www.defense.gov/transcripts/transcript.aspx?transcriptid=5136
5) В качестве примера – Saudi Arabia CERT. URL: http://www.cert.gov.sa/
6) Langer Communications website blog. URL: http://www.langner.com/en/2010/12/31/year-end-roundup/
7) Alexander Gostev. The Flame: Questions and Answers. Securelist, May 28. 2012. URL: https://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers
8) Mark Sutton. Major cyber attack against ME region detected. ITP.net, May 29, 2012. URL: http://www.itp.net/589253-major-cyber-attack-against-me-region-detected
9) Mark Sutton. Iran oil plants hit by malware. ITP.net, April 23, 2012. URL: http://www.itp.net/588770-iran-oil-plants-hit-by-malware#.UHwVnlF2CrY
10) URL: http://pastebin.com/HqAgaQRj
11) Cyber security is stepped up. Gulf Daily News, April 25, 2012. URL: http://www.gulf-daily-news.com/NewsDetails.aspx?storyid=328760
12) Combating Cybercrime in the Gulf. The Edge, June 2012. URL: http://www.theedge.me/combating-cyber-crime-in-the-gulf/