Теперь про операционные системы. Мы собираем информацию о вредоносных программах для всех операционных систем, которыми пользуются люди. Microsoft пока в лидерах с большим отрывом. В нашей коллекции свыше 400 миллионов уникальных вредоносных программ, компьютерных вирусов и троянов для Windows. Android догоняет, но пока находится на уровне ниже 20 миллионов. Следующий – Mac – 30 000. Почему так мало? Не потому, что продукт лучше. Не потому, что это безопасная операционная система – она так же уязвима, как и Windows. Это просто потому, что очень трудно найти разработчиков программ для Mac. И я думаю, то же относится к киберпреступности: они не разрабатывают вредоносное программное обеспечение для Mac, потому что для этого нет разработчиков. И я не думаю, что iOS – очень безопасная операционная система. Она относительно безопасна, но все же уязвима, что периодически становится заметно, когда атакам подвергаются айфоны и айпады.
Во что же это обходится мировой экономике, все эти миллионы вредоносных программ и огромное число зараженных компьютеров? На самом деле… я не знаю. Никто точно не знает, потому что мы имеем дело с преступниками. Они плохие ребята. Они не платят налогов. Они не отчитываются о своих доходах. Но есть оценки, которые говорят, что киберпреступность обходится мировой экономике в сумму от 400 до 500 миллиардов долларов в год: полтриллиона.
Но насколько это много? Например, это примерно 40 % ВВП Испании или 100 % ВВП Австрии. Я решил сделать расчеты для астрофизиков. Есть новый проект – возможно, вы о нем слышали – телескоп «Гагарин». Планируется построить 60-метровый оптический телескоп – это в 6 раз больше, чем Большой Канарский телескоп. Если проект будет запущен, о чем я молюсь неустанно, он обойдется в 2 миллиарда долларов. Так что киберпреступность каждый год обходится мировой экономике в 250 телескопов «Гагарин»[19]. Это очень много очень больших телескопов.
Позвольте проиллюстрировать, куда деваются все эти миллиарды… Как киберпреступники делают это? Как они все это воруют? Первый пример: банда киберпреступников «Карбанак». Это была очень профессиональная банда. Была, потому что большинство ее участников уже арестованы. Хотя некоторые этого избежали. Эти ребята были очень профессиональными хакерами, профессиональными преступниками. Я вовсе не хочу говорить добрых слов об их работе, но они в самом деле разработали фантастические программы. Они смогли заразить не кого-нибудь, а хорошо защищенные банки. Сначала они заразили компьютеры клиентской системы банков, их системы поддержки расчетных счетов и компьютеры отделов продаж. В результате, они смогли наблюдать, что происходит с компьютерными сетями. Они следили за поведением сотрудников, делая скриншоты их экранов. Тихо наблюдали и собирали информацию. В итоге они пробрались в компьютер системного администратора. После этого сеть была у них в руках. Они забрались в самое ядро банковской компьютерной сети. «Управляли» банком, отправляя переводы и выдавая деньги из банкоматов. В точно установленное время банкомат выплевывал наличные, а предупрежденные заранее уличные преступники подбирали их и убегали! Они платили фальшивые зарплаты фальшивым сотрудникам фальшивых компаний. Они совершили массу сумасшедших преступлений. Суммы, украденные в ходе этой атаки, в совокупности подобрались к одному миллиарду. Хотя, в конце концов, кого-то арестовали, и получилось подобие счастливого конца.
Следующий случай еще продолжают расследовать, но это тоже ограбление банка на миллиард. Нападению подвергся Центральный банк Бангладеш. Оно не было особенно замысловатым, но банк оказался на невысоком уровне кибербезопасности. В итоге провести хакерскую атаку оказалось проще, чем грабить в масках с дробовиками. Хакеры внедрились в сеть банка и осуществили перевод на сумму 81 миллион. Они собирались перевести еще 870 миллионов, но в этом переводе им было отказано. Почему? Опечатка: они собирались заплатить компании, в названии которой написали Fandation вместо Foundation. Вот вам самая дорогая опечатка в истории!
Но такие истории – всего лишь верхушка айсберга. Такие вещи происходят постоянно по всему миру, может быть, даже на Канарских островах.
Теперь о промышленных системах управления. Они очень компьютеризированы. Все, от электростанций и электросетей до транспортных систем и… телескопов, управляется компьютерами. Технологические процессы настолько сложны, что справляются только компьютеры, и к тем временам, когда Homo sapiens мог управлять процессами вручную, нет возврата.
В конце концов, если верить ученым, Homo sapiens представляет собой довольно старую «систему» – «систему», которая была изобретена примерно полмиллиарда лет назад. Компьютерные системы, с другой стороны, намного надежнее. Они лучше и точнее. Они не спят. Им не нужно платить зарплату. Нет отпусков. Нет профсоюзов! Они просто работают, и работают, и работают. Автоматизированные системы управляются компьютерной логикой, которая преобразуется в электрические сигналы, которые управляют физическими объектами. Телескоп вращается медленно – потому что компьютер посылает ему сигнал, заставляющий вращаться медленно.
Это называется SCADA[20]. Попросту говоря, это система преобразования данных в обоих направлениях между компьютерными и физическими системами. Как выглядит SCADA? Как комната управления на немецкой атомной станции; очень сложно, очень впечатляет, очень круто. Это SCADA.
Или как австралийская домашняя пивоварня; это тоже автоматизированная система, компьютер плюс ПЛК (программируемые логические контроллеры; по сути, специализированные компьютеры, которые прямо управляют определенными технологическими процессами) в белом шкафчике возле пива. Это тоже система SCADA.
Так или иначе, SCADA тоже делает ошибки.
Но я не буду говорить об ошибках SCADA. Я буду говорить о плохих парнях, которые вмешиваются в автоматизированные системы «обычным» преступным путем. К сожалению, эти «обычные» преступники проникли в киберпространство, но они не кибер-грабят банки, они не взламывают потребительские устройства. Они совершают кибератаки на автоматизированные системы, транспортные системы, производственные системы. Думаю, лучше будет привести несколько реальных примеров.
Первая разворачивается в Сибири – так я сам впервые услышал о такого рода атаках. Плохие парни сумели взломать автоматизированные системы сибирской угольной шахты. Зачем? Чтобы передать сообщение об объемах загруженного в вагоны угля, отличных от фактических объемов. (Я полагал, что в Сибири такие вещи все еще делают вручную, без этих модных компьютерных управляющих систем. И ошибался, но только в некоторой степени: там все полуавтоматическое). После этого соучастники преступников украли неучтенный уголь, а затем другая компания продала его!
Позвольте рассказать вам еще одну историю. Объем бензина зависит от его температуры – чем выше температура, тем больше объем. Несколько инженеров и менеджеров, вставших на путь киберпреступлений, взломали SCADA на нефтеперерабатывающем заводе, где они работали, чтобы подменять измеренную величину температуры бензина в системе, и таким образом, в цистернах оказывалось больше топлива, чем показывали измерения. Затем на заправочных станциях они сливали объем бензина, соответствующий реальной (более низкой) температуре, оставляя два-четыре процента «лишнего» топлива в цистернах.
Но самая яркая история об атаках на промышленные системы связана с морским портом в Антверпене. Латиноамериканские наркокартели экспортируют кокаин, зачастую используя, помимо прочего, морские контейнеры. Но как им обойти таможню и проверки безопасности? Вот новый способ, который был использован в Антверпене. Они наняли хакеров, чтобы внедриться в SCADA порта и удаленно управлять процессом выгрузки. Они знали, какие контейнеры содержат наркотики, и выгружали их в той зоне порта, к которой у них был доступ.
Теперь поговорим о будущем автоматизированных систем в терминах безопасности. Боюсь, что в будущем – то же, что в настоящем, только хуже, потому что кибертерроризм и киберсаботаж вещи не новые. Атаки на автоматизированные системы и инфраструктуру или очень похожи на кибертерроризм/саботаж, или фактически им являются.
В 2007 году была совершена кибератака на Эстонию, которая вызвала отключение Интернета по всей стране. Только представьте, сколько компаний были парализованы из-за невозможности выхода в Сеть. Потому что Интернет – это не только Facebook и тому подобное. Это еще и правительственные службы, финансовые службы и многое другое, что попросту остановилось.
В 2011 году была атака на саудовскую «Арамко», крупнейшую нефтегазовую компанию мира. С 30 000 ее компьютеров, серверов и архивов стерли все данные. Компания была парализована на две недели. Они продолжали добывать нефть, работники выходили на работу, танкеры приходили и уходили, но они не знали, что делать со всей этой нефтью. Они потеряли все данные!
Пару лет назад было сообщение об атаке на немецкий сталелитейный завод. К сожалению, у меня нет подробностей – только основные данные из отчета. Говорилось, что была заражена автоматизированная система (SCADA) и что хакеры дали команду на аварийную остановку. Аварийный капут.
В прошлом году из-за кибератаки произошло отключение электричества в нескольких областях Украины. В конце концов украинские электростанции и электросети послали инженеров вручную включать трансформаторные станции. Это было возможно только потому, что оборудование было старое. А в Европе – конечно, современные системы без возможности ручного управления.
Итак, это был путь от плохих новостей к новостям еще хуже и просто ужасным новостям. Вопрос в следующем: почему мы живем в средневековье кибербезопасности? Вот хорошо известный цикл научной революции Куна: преднаука – нормальная наука – дрейф модели – кризис модели – смена модели – смена парадигмы. Сначала появляется гениальная идея и что-то изобретается – колесо, например. И все счастливы, потому что это великая инновация. Великая технология. На ее основе создаются прекрасные продукты. Но когда что-то идет не так, начинаются проблемы. Нарушения безопасности при использовании колеса – ой, о них не подумали те, кто создал гениальную идею и модель. То есть следующий шаг – улучшить систему, сделать ее насколько возможно безопасной и надежной по конструкции. Это цикл инновации.