Кибератака, которая обрушилась на Турцию на прошлой неделе, выявила серьезные проблемы безопасности в этой сфере. Корреспондент турецкой газеты Radikal Барчин Йинанч на эту тему побеседовал с преподавателем отделения международных отношений Университета Кадира Хаса Салихом Бычакчи, который обращает внимание на киберпотенциал стран, с которыми Турция состоит в политической борьбе: «Россия или Иран, если захотят, могут вернуть Турцию в каменный век».
Бычакчи неоднократно выступал с докладами в Центре передового опыта по защите от терроризма НАТО (COEDAT), а также вел учебные занятия по вопросам кибербезопасности и кибервойн в Академии вооруженных сил. Бычакчи отмечает, что соседи Турции способны организовать серьезные кибератаки. Но у Турции, полагает Бычакчи, чрезвычайно скудные возможности противостоять им.
Как вы оцениваете последние кибератаки?
Налицо атака типа «распределенный отказ в обслуживании (DDoS)». Началась она 14 декабря. При таком нападении вы не можете быть уверены в том, что IP, от которого исходит такая атака, и есть настоящий адрес преступника. И поначалу из-за политического конфликта, который происходит между нами, а также послужного списка российских хакеров мы подозревали именно Россию.
Ответственность за эту атаку взяла на себя группа Anonymous. Насколько я смог отследить, о кампании #OpTurkey Anonymous объявила 25 ноября. Однако непонятно, почему она не атаковала до 14 декабря. С другой стороны, то, что к этим атакам присоединились Redhack (группа хакеров, созданная в 1997 году, придерживается марксистско-ленинской идеологии), а также кириллица на скриншотах, которые нападавшие выложили в интернете, лично у меня создали впечатление, что нападавших было несколько, что Anonymous лишь возглавляли группу.
В своем списке атак Anonymous указала только государственные учреждения. Тем не менее, 24 декабря мы видели, что, кроме государственных органов, под атакой оказались и банки. И хотя из-за большого числа участников атаки предсказать их дальнейшие действия сложно, можно предположить, что мишенью последующих нападений станут важные экономические инструменты и сервисы: авиалинии, биржа, а, возможно, и сервисы в сфере коммунальных услуг. Масштаб атаки на серверы Ближневосточного технического университета (ODTÜ) в виде «200+ Gbps», а также интенсивность атаки 24 декабря позволяют утверждать, что эти нападения займут важное место в истории кибербезопасности.
Как вы оцениваете ответные меры и процесс управления кризисом?
Этот процесс происходил через ODTÜ, поскольку в структуре этого учреждения находятся все серверы nic.tr. Благодаря этому институту в Турции и появился первый интернет.
Что касается регулирующих органов в этой сфере, у нас действует следующая структура. Подразделение самого высокого уровня — Управление по связям и телекоммуникации (TİB). Также есть связанный с TİB национальный центр реагирования на киберпроисшествия (USOM). В его составе есть группа реагирования. Она и дает рекомендации.
В первый день эта команда сказала: закройте доступ иностранным IP. Когда мы это сделали, мы оказались отрезаны и отключены от всего, что происходит в киберпространстве. Это был ошибочный шаг, так как, отключив внешний трафик, мы сделали то, что и хотела от нас противоположная сторона. После этого доступ был открыт, что уже не возымело должного эффекта. А значит, USOM плохо справился со своей задачей. ODTÜ использовал все свои технические возможности и сделал то, что ему было под силу. Пробовал ли USOM раньше управлять таким кризисом?
Правительство обвинило ODTÜ. Оно настаивает на том, что ответственность ODTÜ должна перейти к другому ведомству — Управлению информационных технологий и коммуникаций (BTK). Решит ли это проблему?
ODTÜ — государственное учреждение, но у него другие функции. У него есть свои серверы. ODTÜ заботился о том, как сохранить их в рабочем состоянии. Это он и должен делать.
Мне неизвестно, как ODTÜ и министерство транспорта и связи решали вопрос о том, где должны находиться серверы nic.tr. Я знаю, что ODTÜ давно выполняет эти задачи. Минтранспорта настаивает на том, чтобы эти серверы перешли под контроль BTK в его составе, но в ходе недавних атак сервисы министерства тоже вышли из строя, хотя и ненадолго. На этом этапе забыли, что каждое государство, где бы оно ни находилось, должно защищать все серверы и сервисы на своей территории. Отныне существуют национальные границы киберпространства, и их нужно охранять. Поэтому ответственность за защиту серверов ODTÜ, как и серверов банков, несет государство. Конечно, перенос серверов в BTK может принести определенную пользу и расширить некоторые технические возможности. Но реорганизация всегда чревата еще большими проблемами. Полагаю, что о таком переходе следовало бы говорить до возникновения кризиса, при этом в момент кризиса не стоит обсуждать такие провалы.
Иными словами, с кризисом не удалось справиться должным образом, и налицо, кажется, отсутствие координации.
— И очень существенное. Кто и как будет управлять киберкризисом — совершенно не ясно. Какой-либо координационный центр антикризисного управления отсутствует. Управлять кризисом якобы должен USOM, но его компетенция и область специализации очень ограничены. Еще есть совет по кибербезопасности. Он был создан под эгидой Минтранспорта. Он вообще не вникал в эти события. Но и это неправильно. Нужен эффективный антикризисный центр, который сможет быстро связаться со всеми ведомствами в составе министерства.
В конечном счете стало очевидно, что у нас нет культуры мышления, которая позволила бы грамотно управлять киберкризисом.
Общественность почти ничего не знала о произошедшем. Почему? Кибермир невидим, и государства склонны скрывать происходящие в нем атаки. Ведь это показатель слабости. Однако мир совершает переход от безопасности на основе неопределенности к безопасности на основе прозрачности. И так называемое сдерживание происходит с упором на открытость.
Какая угроза нависла над нами?
Мы говорим об угрозе, которая способна вернуть нашу страну в каменный век. Встать может все: электричество, вода, транспорт, здравоохранение, банковская система.
С каких-то пор число таких угроз заметно возросло.
За последние десять лет произошел колоссальный рост. Америка, например, заложила первые основы своей киберармии еще в 1993 году. Вспомним атаку Stuxnet. Израиль и США разработали вирус и заразили им компьютерную систему ядерной программы Ирана. В результате ее реализация запоздала на два года. До того времени (2010) мы и не догадывались, что такая квалифицированная атака вообще возможна. После того, как это произошло, Иран наряду с США, Россией, Китаем и Израилем вошел в пятерку ведущих киберсил в мире. Подозреваю, что проблема, которая 31 марта этого года возникла в наших системах электропередач, могла явиться результатом кибератаки, потому что Иран существенно усовершенствовал свой потенциал в сфере нападения на промышленные объект.
Три из крупнейших киберсил — наши соседи. Но в кибермире географическая близость почти ничего не значит. США могут быть нашим союзником, но при этом они могут использовать свою киберсилу для перехвата разведданных.
У всех стран, с которыми Турция состоит в политической борьбе, есть киберпотенциал, включая и сирийскую электронную армию.
У Рабочей партии Курдистана (РРК) тоже есть своя hack team. В 2008 году в Диарбекире задержали хакера, раскрывшего планы Генштаба и турецкой разведки. Отныне поле этой деятельности так расширилось, что обладать подобным потенциалом может каждый. Уже нет ясной фигуры врага, как это было раньше. В этих условиях государственные структуры крайне уязвимы. Нам нужна трансформация на ментальном уровне. У исследователя по имени Марк Пренски (Marc Prensky) есть такое выражение: поскольку дети появляются на свет с iPad в руках, они — коренные жители цифрового мира, а те, кто, как мы, находится в состоянии перехода, — иммигранты, мы не понимаем этот мир до конца.
Проблема в том, что совершают кибератаки аборигены цифрового мира, а управлять киберкризисами пытаются иммигранты с гораздо более высоким средним возрастом.
Например, я говорю об этом и военным. Молодежь по-другому смотрит на мир. В зависимости от того, у кого информация, один командир, другой — рядовой. Структура в мире меняется радикальным образом.
О чем же, в конечном счете, говорят эти последние атаки?
24 ноября, когда был сбит российский самолет, я написал в Twitter: блокировала ли Турция российские IP? Израиль, например, в день инцидента с турецким судном «Mavi Marmara» закрыл доступ к своим сайтам с турецких IP.
Если есть политическая проблема, мы должны понимать, что она может найти отражение и в киберпространстве. Делая некоторые политические шаги, Турция не принимает в расчет их возможные киберпоследствия. Говорят, у нас есть стратегия, но на самом деле ее нет. Планы действий, о которых говорилось в 2013, 2014 годах, устарели. Когда что-то происходит, и на повестке дня возникает какой-нибудь вопрос, Турция вроде не бездействует, но о том, что действительно следовало бы сделать, почему-то всегда забывают. Кибервойны — весьма близкая для нас угроза, но мы к ним совершенно не готовы. Важно создать правильную инфраструктуру. Без координации политических событий и киберпроисшествий защитить страну невозможно.
В Турции есть богатейшие человеческие ресурсы. Но этого недостаточно. Например, с частным сектором, банковской системой все в порядке. Но стоит коснуться координации частного сектора и государства, как здесь уже проблемы. Энергетический сектор, например. Ведь он тесно связан с национальной безопасностью государства.
Самая слабая сторона в этой схеме — государство. Есть такие нуждающиеся в защите сферы, как электронное государство, электронное здравоохранение. Но поскольку кибермир неосязаем, государственные чиновники могут отбрасывать этот вопрос на второй план.
Есть много стран, которые недовольны Турцией. Оказывается, мы крайне уязвимы перед кибератаками, но тогда почему мы еще не вернулись в каменный век? Атаку такого масштаба еще не организовали? Или же организовали, но Турции удалось ее предотвратить?
Думаю, ни то, ни другое. Просто сейчас таких намерений нет, ведь подобная атака будет иметь определенные последствия. Например, в ответ на кибератаки НАТО может задействовать пятый пункт договора. Конечно, потенциал НАТО тоже ограничен, но, тем не менее, это сдерживающий фактор. Вместе с тем Россия или Иран, если захотят, могут вернуть Турцию в каменный век.
У нас нет культуры кибербезопасности. Нам нужно кардинально изменить наше мышление. Речь идет о структуре, в которой есть множество подразделений, не координирующих свои действия друг с другом. Мы невероятно далеки от знания и понимания текущей ситуации.
Если вы чиновник, ваш рабочий день начинается в девять и заканчивается в пять. Рабочий день хакера начинается после пяти. Необходимо управление кибербезопасностью, а также центр координации, который будет работать круглосуточно и иметь представление о текущей ситуации.
Он будет знать, какие меры нужно предпринять еще до того, как возникнет кризис. Этот центр будет понимать, можем ли мы блокировать Россию в случае такого кризиса. Центр должен быть осведомлен о политической ситуации, получать разведданные и сообщать необходимые сведения населению. Тогда возникнет совершенно иная культура безопасности.
Источник – Inosmi.ru.
