на примере одного конкретного решения, предназначенного именно для финансовых организаций, рассмотрим особенности защиты сетевой коммуникации в КИИ. Целесообразно рассмотреть именно эту задачу, поскольку она охватывает практически все аспекты технической защиты информации. Так происходит потому, что в подавляющем большинстве КИИ (не только финансовых организаций) непременной частью системы защиты сетевого взаимодействия являются СКЗИ, поскольку объекты КИИ в основном взаимодействуют по сетям общего доступа, причем с использованием стандартных цифровых каналов типа WiFi, BlueTooth и LTE. Изменение порядка взаимодействия с построением выделенных защищенных каналов не всегда возможно в принципе, а когда возможно – то влечет за собой весьма продолжительные и дорогостоящие работы, несопоставимые с внедрением СКЗИ (откровенно говоря, даже не смешно представить себе такую постановку задачи для стоящего «в чистом поле» банкомата). Со стороны СКЗИ же, в свою очередь, предъявляются требования к среде функционирования криптографии (СФК), условиям хранения и применения ключей и т. п.: об этом уже говорилось немало.

Так, к основным особенностям, которые существенно влияют в том числе на обеспечение защиты сетевой коммуникации, в КИИ (в частности, при осуществлении переводов денежных средств [44], но также и на транспорте, в АСУТП и т. д.) относятся:

– жесткие требования к времени и порядку выполнения автоматизированных функций;

– наличие разнородных, территориально и пространственно распределенных элементов (мобильных и стационарных) с сочетанием разнообразных информационных технологий (банкоматы, терминалы оплаты, информационные киоски, автомобили инкассации, фронт-офис, ДБО и пр.);

– крайняя нежелательность отключения систем для проведения мероприятий по обеспечению безопасности информации, а также другие требования аналогичного плана.

Кроме этого:

– основной защищаемой информацией является технологическая (обеспечивающая управление технологическими или чувствительно важными процессами), программно-техническая (программы системного и прикладного характера, обеспечивающие функционирование системы), командная (управляющая) и измерительная;

– существует опасность последствий вывода из строя и (или) нарушения функционирования системы (в этом смысле опасность для жизни и здоровья обычно стоит особняком, однако при выходе из строя системы обеспечения платежей той же финансовой организации, если она категорирована как КИИ, заметным образом пострадают интересы большого числа граждан).

Большая часть этих особенностей определяет по существу лишь одно требование общего характера к используемым СЗИ: они должны создаваться с повышенным вниманием к качеству на всех этапах – от проектирования до производства. Как правило, гарантия особенно высокого качества связана с более высокой ценой продукта, а значит, данный сегмент должен быть крайне привлекательным для производителя, что, в свою очередь, обеспечит конкуренцию, та повысит общий уровень качества и т. д.

К сожалению, на деле так происходит не всегда. И в основе клубка причин находятся именно те особенности объектов КИИ, которые характеризуют их техническую, а не организационную, уникальность. Первая особенность заключается в том, что большая часть вычислительных ресурсов объектов КИИ – это не офисные компьютеры общего назначения, на работу с которыми в основном и ориентированы производители средств защиты информации. И смежная с нею особенность – особенность обрабатываемых на этих вычислительных ресурсах данных.

Иметь в своей продуктовой линейке варианты исполнения СЗИ с огромным разнообразием интерфейсов, в том числе довольно экзотических, производителю сложно и невыгодно, ведь многотысячные продажи делают стандартные интерфейсы, свойственные офисным компьютерам. Аналогично обстоит дело с форматами данных, файловыми системами, поддержкой подключаемого оборудования. Поэтому эксплуатирующая или подрядная организация при создании проекта подсистемы защиты информации вынуждена использовать то, что есть, и за ту цену, которую назначит подчас единственный поставщик, а не то, что соответствует высоким требованиям к качеству, надежности и живучести.

Однако это наиболее оптимистичный сценарий, предполагающий, что система достаточно стабильна по составу и есть определенный накопленный опыт ее защиты. Хуже обстоит дело для тех систем, которым еще только предстоит приводить свои объекты в соответствие с требованиями к КИИ.

Какие существуют решения?

Структурно в таких системах могут быть выделены совокупность подконтрольных объектов (ПКО) и совокупность каналов связи, по которым передаются информационные и управляющие сигналы. Все информационные и управляющие сигналы, сформированные ПКО, должны защищаться на месте выработки, доставляться в защищенном виде и расшифровываться перед обработкой (использованием) другим ПКО. Это достаточно очевидная для любой сетевой коммуникации схема, и нетривиальной задачу делает не что иное, как необходимость внедрения в уже функционирующие инфраструктуры средств защиты, которые должны обеспечивать:

– криптографическую защиту информации о состоянии ПКО и управляющих сигналов для ИС;

– информационное взаимодействие с ПКО (USB, Ethernet и др.);

– возможность использования стандартных цифровых каналов (WiFi, BlueTooth и др.);

– информационное взаимодействие с каналообразующей аппаратурой (RS232, RS435 и др.).

Если рассматривать в качестве примера объекта КИИ банкомат, то там сегодня все устроено на первый взгляд довольно просто. В его составе есть диспенсер (где лежат деньги и откуда они выдаются), компьютер и периферийное оборудование. Компьютер взаимодействует с процессинговым центром (например, по IP-протоколу) и USB-кабелями соединен с диспенсером и другим периферийным оборудованием.

При работе с банкоматом с пластиковой карты считывается ее номер, с клавиатуры – PIN, все это передается в процессинговый центр, где и выполняется авторизация. Если все в порядке – проверяется запрашиваемая сумма. Затем компьютером банкомата формируется команда на выдачу денег, которая передается в диспенсер. Из защитных механизмов здесь используется только один – диспенсер размещен в сейфе.

Такого очень упрощенного описания уже достаточно, чтобы рассмотреть возможные атаки и методы защиты от них.

Атака на канал взаимодействия с процессинговым центром.

Атака может быть реализована примерно так: вставляется любая карточка, вводится любой PIN, из процессингового центра приходит сигнал отказа в авторизации, но он подменяется сигналом успешной авторизации. При этом злоумышленнику достаточно иметь возможность вмешаться в работу канала, изменять логику работы банкомата необходимости нет.

Атака имитацией сигнала на выдачу денег.

Обращаем внимание на абзац, где условно описана работа банкомата, а именно на ту часть, где говорится, что команда на выдачу денег, которую исполняет диспенсер, формируется компьютером банкомата. А почему бы тогда злоумышленнику не использовать другой компьютер? Например, принести с собой ноутбук, отключить USB-кабель диспенсера от компьютера банкомата, подключить его к принесенному ноутбуку и подавать команды вида «дай 5000 рублей»? Естественно, диспенсер выполнит команду, если ее подать в нужном формате. Но это, конечно, дело техники и никакого труда не представляет.

Эта же атака может быть реализована и по-другому. Так, злоумышленник может внедрить закладку в компьютер банкомата (это несложно сделать, например, при выполнении профилактических работ). Логика работы вредоносной программы может быть любой, например при предъявлении определенной легальной карты может запрашиваться подтверждение на выдачу 100 руб., а выдаваться вполне может значительно больше.

Казалось бы, разные атаки, но они отличаются только нюансами реализации. Суть одна: на диспенсер подается команда, сформированная нештатными программными средствами.

Атака имитацией сигнала на прием денег.

Современные банкоматы не только выдают деньги, но и принимают их: подсчитывают купюры, размещенные в приемнике купюр, вычисляют сумму – эта информация передается в процессинговый центр, и деньги зачисляются