Количество атак на инфраструктуру РЖД выросло в 20 раз по сравнению с 2021 годом

Средствами обнаружения атак в 2023 г. выявлено свыше 600 000 попыток кибервоздействия на инфраструктуру РЖД, что в 20 раз превышает показатели 2021 г. Об этом на круглом столе по безопасности объектов критической информационной инфраструктуры (КИИ) на транспорте, организованном комитетом Совета Федерации (СФ) по конституционному законодательству и госстроительству, заявил директор департамента цифрового развития Минтранса Дмитрий Скачков.

Всего с начала года, по его словам, было зафиксировано более 30 «крупных инцидентов» в ходе целенаправленных атак на объекты транспортной отрасли. Скачков уточнил, что рост количества попыток атак «применим не только к РЖД».

DDoS-атаки на сайты российских компаний участились после начала СВО на Украине. По данным компании StormWall, в 2022 г. количество таких атак на все секторы увеличилось на 74%, писали «Ведомости». По итогам III квартала 2023 г. наибольшее количество DDos-атак шло на сети телекомоператоров, говорится в отчете компании «Гарда». На 2-м месте оказалась сфера транспорта и перевозок: были заметны показатели атак на ресурсы авиаперевозчиков и системы бронирования авиабилетов, хотя и ресурсы железнодорожной отрасли также оказались под значительным давлением.

Одна из наиболее заметных DDos-атак на инфраструктуру РЖД произошла 5 июля, в разгар туристического сезона. Сайт и мобильное приложение компании работали со сбоями, сообщали «Ведомости». В сентябре мощной DDoS-атаке подверглась крупнейшая российская авиакомпания «Аэрофлот». Атака была направлена на систему бронирования авиабилетов Leonardo (разработка компании «Сирена-трэвэл» совместно с «Ростехом»). Из-за сбоя было задержано более 16 рейсов в московском аэропорту «Шереметьево».

Транспорт входит в тройку отраслей, наиболее подверженных кибератакам, подтвердил представитель Минтранса. Он уточнил, что основными угрозами для объектов КИИ являются получение несанкционированного доступа к информации, заражение вредоносным программным обеспечением и DDoS-атаки.

«Атаки приобрели не механический оттенок, а более интеллектуальный, спланированный, который сложно остановить классическими решениями», – пояснил Скачков в своем выступлении. В ходе проверок объектов КИИ на транспорте был выявлен ряд типовых нарушений, основными из которых являются несоблюдение парольной политики и высокое доверие к подрядчикам, обеспечивающим критические задачи. По словам Скачкова, более 60% организаций имеют значительные риски из-за устаревших паролей.

Начальник департамента управления информационной безопасностью РЖД Юрий Ногинов в ходе круглого стола в СФ заявил, что в 2022 г. «в пиках отражали более 270 000 компьютерных атак в сутки». Теперь пиковые значения снизились, но общее количество компьютерных атак не уменьшилось, уточнил он. «Сейчас мы наблюдаем не массовое использование противником DDoS-атак на информационную инфраструктуру ОАО «РЖД» во всем диапазоне, а таргетированные атаки, направленные на нарушение работы отдельного сервиса (сервис по продаже билетов, веб-сервис)», – пояснил Ногинов.

По его словам, «под этой точечной, очень высокоинтенсивной DDoS-атакой прячутся таргетированные атаки другого типа, например попытки внедрения вредоносного программного обеспечения либо попытки внедрения вредоносного кода в базы данных (SQL-инъекции)».

Для оптимизации расходов на средства защиты информации и более эффективной работы РЖД предложила создать типовые защищенные контуры безопасности центров обработки данных (ЦОД). В силу распределенной инфраструктуры объектов КИИ на железной дороге обеспечить безопасность активов очень сложно, пояснил Ногинов. При этом количество таких объектов постоянно увеличивается в силу импортозамещения и создания новых систем.

Создание типовых защищенных контуров безопасности ЦОДов потребует дополнительного финансирования. Этот вопрос, уточнил Ногинов, «прорабатывается в соответствии с поручением правительства» и совместно с Минцифры изыскиваются источники средств. По его словам, практика создания таких контуров может распространяться на любые ЦОДы, не только в РЖД.

«Такие проекты не являются чем-то новым. Подобные решения можно реализовать в большом диапазоне вариантов с существенно разной стоимостью: это могут быть миллионы, десятки миллионов и сотни миллионов рублей. У нас нет информации, как именно это планируют делать коллеги из РЖД, поэтому дать стоимостную оценку сложно», – говорит генеральный директор 3data Илья Хала.

«Создание выделенного контура не потребует новых затрат от РЖД, более того, позволит их оптимизировать», – рассуждает собеседник в одном из крупнейших операторов ЦОДов. Он пояснил, что, если не обособлять системы КИИ в ЦОД, то весь ЦОД «целиком придется считать КИИ и выполнять требования ФСТЭК в масштабах всего ЦОДа». Средства для ИБ-защиты объектов КИИ более сложные и в обязательном порядке проходят сертификацию ФСТЭК. Например, в полномочиях службы – утверждение требований к сертификации средств защиты, установка классов средств защиты, уровней доверия. «Класс системы в том числе зависит от ее масштабов, поэтому дробление на отдельные более мелкие системы позволяет снизить классы и затраты», – пояснил собеседник «Ведомостей».

Но защищенный контур ЦОД не защитит от DDoS-атак, предупреждают опрошенные эксперты. Такая атака предполагает исчерпание доступного ресурса (ширины канала, памяти сервера, свободных подключений), и ее факт не говорит о слабой защите контура, подчеркивает замдиректора центра компетенций НТИ «Технологии доверенного взаимодействия» на базе Томского госуниверситета систем управления Руслан Пермяков. «При достаточном ресурсе можно удачно атаковать практически любую, даже самую защищенную систему», – отмечает он.

ЦОД обеспечивает физический контур безопасности, подтверждает ведущий консультант iKS-Consulting Станислав Мирин: проникновение, контроль доступа и т. д. Что касается информационной безопасности – это забота владельцев систем, заключил он.