ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ НА РАДИО

На самом деле, инциденты в области ИБ на радиостанциях были всегда, причём это были как атаки с целью хулиганства, так и атаки с целью мошенничества. Просто никто не придавал этому большого значения. Когда началась СВО, взламывать стали активнее, поменялась цель - теперь злоумышленники предпочитают не парализовывать работу радиостанции (останавливать вещание или запускать шифровальщика), а выдавать слушателям свой контент: запускать сообщения гражданской обороны или украинский гимн. Это мы видим на практике среди своих клиентов и в новостях. Так же считает 81% опрошенных нами радиостанций.

По данным Национального координационного центра по компьютерным инцидентам (ФСБ), СМИ вошли в пятёрку самых атакуемых структур в 2022 году. Было зафиксировано много случаев дефейсинга (подмены контента главной страницы) интернет-изданий, взломов интернет-вещания телеканалов и радиостанций (вставляли проукраинский контент). В основном взломы происходят через сетевую инфраструктуру за счёт эксплуатации уязвимостей на периметре организации. Когда говорят об уязвимостях, это не означает, что уязвимость внутри кода программы (хотя и такое бывает), это еще и стандартные пароли или их хранение в общедоступных местах, отсутствие VPN, несегментированная локальная сеть и др. По данным того же НКЦКИ, на этот вектор проникновения приходится почти 50% атак.

Чтобы понять, как обстоят дела с ИБ в российском радиовещании, мы провели собственное исследование. В нём приняли участие радиостанции из Москвы, городов-миллионников, небольших региональных городов как с приграничных территорий, так и из российской глубинки.

По общей статистике почти 40% радиостанций вообще не сталкивались с проблемами в области информационной безопасности. Сначала мы подумали, может, и проблем никаких нет? Но когда стали анализировать результаты, оказалось, что они сильно зависят от региона и уровня зрелости ИБ на каждой радиостанции.

Проблемы есть, но большая их часть - в Москве. Это понятно: крупные московские радиостанции - более ценная добыча для злоумышленников, чем небольшие региональные: в столице с проблемами сталкивались 92%. При этом доля взломов с целью подменить радиопрограмму в Москве составляет более 30%, а на крупных радиостанциях Москвы - 46%!

Несмотря на то, что радиостанции во всех региональных группах сталкивались с подменой или попыткой подмены радиопрограммы, на большинстве крупных радиостанций это было интернет-вещание, в то время как подмена в FM происходила в основном на небольших станциях в небольших городах, особенно на приграничных территориях. Стоит отметить, что подмена FM-программы - технически более сложная задача, чем подмена интернет-потока, и требует большей глубины проникновения в инфраструктуру радиостанции. Для подмены интернет-потока существуют способы, которые вообще не требуют проникновения. Поэтому мы связываем такое распределение с тем, что многие региональные радиостанции менее внимательно относятся к обеспечению безопасности или не имеют на это ресурсов.

Ни одна из опрошенных радиостанций пока не сталкивалась с кражей цифровых активов или персональных данных - проблемой, которая является основной для многих других отраслей. Это неудивительно - радиостанции не являются операторами большого количества персональных данных, а значит, вряд ли представляют интерес для организованных хакерских группировок, для которых кража информации - основное направление деятельности. Контент, даже уникальный, также вряд ли представляет для злоумышленников особый интерес - монетизация радиостанций построена на рекламе, а не на контенте, так что его просто некому продать.

С другой стороны, зафиксировать кражу информации при отсутствии специализированных систем и политик безопасности практически невозможно, поэтому отсутствие проблемы может означать и то, что инциденты были, но остались незамеченными.

Итак, взломать радиостанцию с целью подменить радиопрограмму.

Признаемся честно, наша компания не специализируется на информационной безопасности. Но мы досконально знаем всю радиовещательную инфраструктуру и процесс производства программ, а также то, что никаких "кодов доступа от американцев", которые позволят зайти в вашу систему автоматизации как к себе домой, не существует. Зато существует много других способов.

Сначала мы думали, что получится выявить несколько самых критичных звеньев в радиовещательной экосистеме и дать конкретные рекомендации по их защите. Пока мы анализировали инфраструктуру на уязвимости и изучали опыт наших клиентов, оказалось, что, к сожалению, взломать радиостанцию и подменить программу можно буквально где угодно! Более того, на каждую потенциальную точку взлома можно воздействовать разными способами.

В этой статье мы не будем перечислять все способы взлома, которые нам удалось придумать исходя из знаний производственного процесса, чтобы не привлекать внимание и не давать почву для размышлений тем, кто находится по ту сторону баррикад.

Мы также не сможем дать рекомендации, как защититься от взлома спутника - эта проблема находится вне зоны влияния каждой конкретной радиостанции, а значит, на уровне точки вещания предотвратить такой взлом не получится. Одно из возможных решений, которое обсуждалось после февральского инцидента, - использовать автоматизированное сравнение приходящего потока с неким "шаблонным" контентом, чтобы вовремя отключить вещание в случае расхождения. Кроме того, рассматривался вариант использования audio watermark. Но на данный момент готовые решения не реализованы, хотя мы и прорабатывали этот вопрос совместно с регуляторами.

В текущей ситуации транспортировать потоки через интернет может быть чуть более надёжным решением, чем через спутник. Но только при условии хорошей защищённости сетей и интернет-каналов на радиостанциях.

Чтобы ещё раз напомнить, как выглядит радиовещательная инфраструктура, мы нарисовали такую схему.

С точки зрения подходов к кибербезопасности современная радиостанция не отличается от любой другой организации и даже мелкой домашней сети - всё, что в основе имеет информационную систему, равнозначно и подвержено одинаковым векторам атаки (способам взлома).

Однако это не означает, что для взлома домашней сети и крупного банка потребуется одинаковое количество ресурсов: технических инструментов, времени, усилий и компетенций. Чем выше риски, тем сильнее организация будет защищаться, а чем сильнее защита, тем больше времени и умений понадобится злоумышленнику. С этим, на наш взгляд, связана одна из причин невнимательного отношения к ИБ на небольших радиостанциях - риски взлома высоки, но риски каких-то измеримых последствий минимальны. Во-первых, сейчас за взлом радиостанции владелец не несёт никакой административной или уголовной ответственности (о правоприменительной практике напишем далее), во-вторых, охват вещания в маленьком городе незначителен в масштабах страны.

По мнению наших коллег из компании "Т1 Интеграция", взломать можно всё, что подключено к интернету. Поэтому первое правило, которое стоит запомнить, может звучать так:

Когда сетевая инфраструктура радиостанции, а точнее её эфирных и производственных мест, не имеет выхода в интернет, мы называем её изолированной. В этом случае радиопрограмма производится в своём маленьком замкнутом мирке, потом выводится во внешнюю сеть через аналог или цифру. Далее по оптике доставляется в точку вещания. Это идеальный вариант, потому что проникнуть в этот эфирный мирок из большого внешнего мира очень сложно - требуется физический доступ к оборудованию.

Согласно нашему исследованию, 27% радиостанций (35% в Москве и 22% в регионах) используют полностью изолированную сеть на эфирной и производственной инфраструктуре. Это очень неплохой показатель.

Но гораздо чаще на радиостанциях используют условно-изолированную сеть или комбинацию различных сетей (более 50% радиостанций). Всё-таки в нашем динамичном мире производство контента без постоянного доступа к оперативной информации из интернета практически невозможно. Также иногда невозможно использовать оптику (там, где ее нет).

Условно-изолированные сети имеют выход в интернет с определённых рабочих мест или оборудования, позволяют подключаться с определённых IP-адресов, в качестве дополнительной защиты используют VPN-соединения. Такая сеть необходима и в случае, если требуется организовать удалённый доступ к эфирным и производственным местам.

При комбинированном подходе используются две и более независимых сетей, имеющих разное назначение: например, эфирный компьютер в студии находится в изолированной сети, но рядом стоит ещё один компьютер, подключённый к интернету, для оперативного доступа ведущего к новостям и социальным сетям. Именно такой вариант мы рекомендуем использовать своим клиентам.

Но не спешите радоваться. Из общего правила, как всегда, есть исключения. А именно – отсутствие интернета всего лишь обрезает одну из точек входа для злоумышленников – проникновение через взлом сети. Это значит, что, скорее всего, вас не посетит "Анонимус". Но другие риски – внутренние взломы и взломы с помощью социальной инженерии – остаются.

Отсюда второе правило:

Любую систему можно взломать. Или просто попросить, купить, украсть к ней доступ.

Допустим, злоумышленник не нашёл никакой уязвимости на внешнем периметре. Так бывает, когда компания очень внимательно относится к своей информационной безопасности. Тогда в дело вступают другие методы - направленные на человека.

Опыт многих компаний, занимающихся кибербезопасностью, говорит о том, что основной вектор атаки злоумышленников в настоящее время - человек. Чаще всего причиной нарушения ИБ умышленно или непреднамеренно становится именно человек. Даже если взлом произошёл из-за стандартного пароля на устройстве, нужно понимать, что это заслуга не хакера, а сотрудника, который безответственно относится к безопасности.

Интересный факт: в 2022 году в 4 раза возросло количество запросов со стороны злоумышленников на покупку учётных записей с доступом. Теперь для этого используется не только так называемый "даркнет", но и обычные телеграм-каналы. Идти напролом становится всё сложнее, и у злоумышленников тоже появляются всё новые и новые способы.

Интересно посмотреть на статистику причин, по которым возникали инциденты в области ИБ на радиостанциях. Лидирует неосторожность сотрудников. И это практически единственный показатель, который остаётся стабильно высоким, независимо от региональной группы респондента и размера радиостанции. Забегая немного вперёд, можем сказать, что внутренние тренинги и обучение сотрудников проводят только 5% опрошенных радиостанций.

Многие наши клиенты сталкивались с шифровальщиком. В одном случае причиной стали безответственные действия сотрудника, который хотел перепрошить свой личный телефон через рабочий компьютер. Вирус прошёлся по доступным сотруднику шарам и зашифровал рабочие файлы. Инцидент не имел значимых последствий, потому что у сотрудника были ограничены права, а IT-отдел вовремя сделал резервные копии. На восстановление пришлось потратить какое-то время, к сотруднику были применены дисциплинарные меры, но этим всё и ограничилось.

В наши дни на радиостанциях огромное количество оборудования и софта, которое не просто работает в IP-сети, но и имеет возможность полноценного доступа через интернет: веб-интерфейсы для удалённой настройки и управления практически любым оборудованием, собственные стриминговые серверы и системы управления маркетинговыми ресурсами (сайты, приложения), кодеры, роутеры, системы удалённого доступа. Это лишь малая часть того, что можно перечислить. Но всё это может стать точкой взлома.

Например, если каким-то образом получить доступ во внутреннюю инфраструктуру радиостанции, можно работать прямо с эфирным компьютером или базой данных: подложить "недружественный" файл в расписание, заменить файл на другой прямо в базе данных системы автоматизации, отключить систему автоматизации и запустить на эфирный выход любой проигрыватель с любым контентом.

Вы скажете, что это трудно не заметить? Не заметить это очень легко. А вот сделать - не очень легко. Как минимум, потребуются знания производственного процесса и базовые навыки работы с системой автоматизации, а значит, для атаки потребуется кто-то, кто имел дело с радиовещанием. Но таких найти несложно: практически весь бывший СНГ сидит на двух отечественных системах - Дигиспот и Synadyn.

Мы знаем целых 2 случая среди клиентов, когда каналом проникновения стали незаблокированные учётные записи уволенных сотрудников с удалённым доступом. Вероятно, они сами передали доступ, а может, даже сами участвовали в процессе, об этом нам неизвестно. Но результат один - файлы с недружественным гимном прямо в расписании радиостанций.

При этом надо понимать, что искать уязвимости в самой системе автоматизации бессмысленно: доступ к ней можно получить, взломав сетевую инфраструктуру или просто попав на эфирный компьютер. Гораздо важнее работать с учётными записями пользователей и политиками доступа, чётко разграничивать права в соответствии с выполняемыми функциями. Это же касается другого аспекта, про который многие забывают - физической доступности критического оборудования и серверов.

Внутри инфраструктура передающего центра мало отличается от самой радиостанции. Такая же сеть, которая чаще всего находится в ведении и зоне ответственности самой радиостанции. От точки приёма радиопрограммы до выхода на передатчик может быть установлено оборудование, которое также имеет доступ к интернету для удалённого управления.

Хорошо, когда радиопрограмма передаётся в передающий центр по оптическому кабелю, который можно "взломать", только механически его повредив. Однако для того чтобы повредить кабель, необходимо знать, где и как он проложен. Это даже инженеры радиостанции не всегда знают, поэтому такой вариант крайне маловероятен. Кроме того, повреждение кабеля приведёт не к подмене радиопрограммы, а к остановке вещания, которая будет быстро устранена за счёт резервирования.

Менее безопасный, но более распространённый способ передачи - через интернет - используя связку кодер-декодер или по технологии РБД, если говорить о системе автоматизации Дигиспот. В этом случае средой передачи данных служит интернет с проложенным VPN-каналом или без него. Мы всегда рекомендуем клиентам использовать VPN, потому что подменить поток, взломав сам VPN-канал, крайне сложно, легче прервать VPN-соединение. Тем не менее VPN-сервер - это такая же информационная система, и она подвержена всё тем же угрозам. Например, можно использовать надёжный VPN-сервер без уязвимостей, но поставить простой пароль.

Необязательно взламывать VPN-канал и подменять радиопрограмму в момент передачи.

Если получить доступ в сеть передающего центра или доступ к веб-интерфейсу FM-процессора или декодера, можно просто подменить интернет-поток и пустить его в эфир или подложить файлы в резервный плеер. Известен такой случай: взломали FM-процессор со стандартным паролем, закинули файл в резервный плеер и переключили на него эфирный выход. Результат - "недружественная" музыка в эфире.

Ещё один случай на другой радиостанции: произошёл перехват управления процессором обработки звука, через который злоумышленники получили доступ к вещанию. Но благодаря мониторингу эфира и хорошей квалификации IT-специалистов практически моментально удалось обнаружить проникновение и заблокировать доступ. После этого была проведена дополнительная проверка инфраструктуры для усиления защиты.

Сложнее подменить радиопрограмму при использовании технологии РБД. Для этого надо не только получить доступ к серверу, но и знать технологический процесс сборки расписания. Технология Дигиспот РБД имеет клиент-серверную архитектуру и позволяет доставлять аудиофайлы и расписания через интернет в виде пакетов, которые затем автоматически собираются в плейлист на клиентском устройстве. Клиентское устройство может быть установлено прямо в передающем центре (региональный автомат) или на региональной радиостанции. Сейчас мы используем серверы на Windows, но скоро запустим новый продукт - систему доставки аудиоконтента Плексус. Это современная альтернатива РБД, которая может работать на Linux и поддерживает отечественные ОС.

Если каким-то образом получится проникнуть в сеть передающего центра, а потом на сервер, взлом РБД всё равно нецелесообразен - гораздо легче закрыть систему автоматизации и запустить своё вещание с любого другого плеера.

Инфраструктура передающего центра похожа на внутреннюю инфраструктуру радиостанции, но имеет одно ключевое отличие: здесь необходим удалённый доступ. Конечно, можно и без него. К примеру, у нас есть клиент из региона, который когда-то каждые два дня ездил с флешкой на РТПЦ, чтобы залить туда новые расписания. Но в наше время это, скорее, исключение, чем правило.

Организация удалённого доступа тоже должна быть осмысленной. Надо помнить, что VPN-каналы, а также ограничения доступа по IP в идеале должны действовать не только в отношении передачи радиопрограммы, но и для сотрудников, работающих удалённо, которые подключаются по RDP, TV и с помощью другого софта. Многие забывают об этом, хотя это самая настоящая точка входа для хакеров.

Чтобы слушатель мог получить радиопрограмму через интернет, используются стриминговые серверы типа Icecast. Самостоятельно содержать и обслуживать стриминговый сервер и канал достаточной ширины слишком затратно, особенно если речь идёт о тысячах слушателей. Тогда пользуются услугами стриминговых сервисов - подрядчиков, предоставляющих стриминговые серверы в аренду. Одним из самых популярных стриминговых сервисов в России является "Микро-ИТ".

Стриминговые сервисы берут на себя вопросы балансировки нагрузки от радиостанций и слушателей и тиражируют интернет-потоки. Слушать такой поток можно через плеер в мобильном приложении или на сайте. Ссылку потока на свои интернет-ресурсы чаще всего добавляет сама радиостанция через CMS сайта или личный кабинет в приложении.

Теоретически возможность подменить интернет-поток у оператора стримингового сервера есть, если получить доступ к его сетевой инфраструктуре. Например, можно подменить ссылку через config-файл Icecast-сервера или взломать веб-интерфейс сервера. Это нетривиальные задачи, потому что хостинги обычно достаточно серьёзно озадачены вопросами информационной безопасности. Одна из классических рекомендаций - держать свои ресурсы в дата-центре, если у компании нет возможности нанять квалифицированного IT-инженера или специалиста по безопасности.

Самым уязвимым местом при подмене интернет-потока всё же остаются не стриминговый сервис, а интернет-ресурсы радиостанции, откуда идёт вещание. Получить доступ к личному кабинету в мобильном приложении радиостанции или админке сайта, где установлен плеер, для квалифицированного хакера или специалиста по социальной инженерии не составит труда. Это связано ещё и с тем, что люди, обслуживающие эти ресурсы, обычно не погружены в вопросы информационной безопасности - это творческий персонал, который необходимо обучать и просвещать.

Так как все системы постоянно развиваются, появляется очень большое количество уязвимостей. Особенно это актуально для опенсорс-решений с большим комьюнити, где вы заранее не можете знать, насколько квалифицированные люди создавали тот или иной плагин, расширение. Но проприетарные системы тоже не защищены на 100%. Например, в 2021 году была громкая история с уязвимостями на CMS Bitrix, когда были взломаны тысячи сайтов. Сейчас различные CMS тоже в зоне риска, поэтому надо внимательно относиться к своим интернет-ресурсам.

Сотрудники компании Т1 Интеграция подчеркивают, что самым простым и распространённым способом доступа к сайтам и приложениям остаётся утечка паролей. Иногда достаточно узнать только несколько паролей, а потом воспользоваться человеческой ленью - подавляющее большинство людей использует одни и те же пароли на разных сайтах, в том числе на своих личных и корпоративных ресурсах.

Атаку на спутник в феврале никто не ожидал, но это тоже оказалось возможным. Причины так и не установлены. Взлом серверов и внутренней инфраструктуры, взлом спутникового оператора или всё-таки перебивка сигнала более мощным? Все версии уже много раз обсуждались в профсообществе и СМИ, но единого мнения нет. Однако и так понятно: это была задача посложнее, чем подобрать пароль от админки сайта, и, возможно, в ней не обошлось без участия военных.

Мы не будем анализировать это и давать рекомендации по защите от взлома спутника, потому что сами не имеем достаточно компетенций по этому вопросу. Нам также не удалось найти квалифицированных специалистов, которые могли бы официально прокомментировать этот вопрос. Поэтому просто озвучим версии причин из открытых источников для ознакомления, если кто-то пропустил.

Официальная версия, о которой говорили в СМИ, - это взлом серверов на радиостанциях и телеканалах, подмена контента для вещания. Для этого надо знать производственный процесс, программы вещания, то есть должны были участвовать инженеры с хорошими знаниями в области телерадиопроизводства.

Версия радиосообщества - это перебивка сигнала на спутник более мощным сигналом. При этом необходимо было сформировать аналогичный по параметрам мультиплексированный поток, взломать шифрование телевизионного потока (в данном случае использовался просто BISS-код, радиопоток не шифруется) и иметь реально мощный передатчик, который перебьёт сигнал. Версия подкрепляется диаграммой мощности приёма сигнала на спутнике - в момент взлома зафиксирован сильный всплеск мощности.

Векторы атаки могут отличаться в зависимости от того, кем является злоумышленник. Говорят же, что если знаешь врага в лицо, защититься легче.

Хакер-любитель - так характеризуют тех, кто занимается взломами ради хулиганства, мелкого мошенничества или хайпа. Обычно они не располагают серьёзными ресурсами для взлома и работают с лёгкими жертвами, например, теми, кто не сменил стандартные пароли, легко ведётся на переходы по фишинговым ссылкам и открывает неизвестные файлы из писем от незнакомцев. Обычно у них есть какая-то конкретная цель, при достижении которой атака останавливается. Например, запустить вирус-шифровальщик и требовать выкуп или подменить интернет-поток радиостанции.

Профессиональная хакерская группировка - это уже серьёзные ребята, которые располагают различными инструментами для взлома, а также ресурсами и финансами. Они работают в группе, где каждый имеет свою специализацию. По мнению наших коллег из компании Т1 Интеграция, такие хакеры не занимаются подменой интернет-потоков, это несерьёзно. Обычно группировка начинает сканировать внешний периметр в поисках наиболее уязвимых мест (слабых паролей или параметров доступа в общем доступе, брешей безопасности в программном коде оборудования или серверов). Взлом происходит поэтапно, длительно, чтобы никто не заметил. Злоумышленники могут сидеть в сети годами, никак себя не проявляя и ожидая подходящей задачи. Группировка всегда стремится стать суперпользователем и администратором сетей, систем, потому что она преследует какие-то масштабные, финансово значимые цели.

Специалист по социальной инженерии - один из самых опасных элементов. Во-первых, потому что их по количеству больше, чем хакеров и тем более профессиональных хакерских группировок. Во-вторых, они не будут ничего ломать, а просто попробуют сподвигнуть ваших сотрудников сделать то, что им нужно. Атака на человека - это общепризнанный и самый эффективный метод современных хакерских атак. Это подтверждают статистика и экспертный опыт наших коллег из Т1 Интеграции.

Ваш сотрудник - это самое опасное звено. Он знает о вас всё и ко всему имеет доступ, в том числе к другим сотрудникам. Он один может поставить под угрозу целую корпорацию с гигантской службой безопасности. И он не всегда делает это со злым умыслом, иногда - по незнанию или по неосторожности.

Одно дело, какие причины были реально зафиксированы в прошлых инцидентах ИБ. Другое - во что мы верим, когда говорим о будущих проблемах. Мы подумали, что интересно будет узнать, какие угрозы безопасности участники исследования считают более вероятными, а какие - менее вероятными.

Наиболее вероятной точкой взлома со стороны внешних злоумышленников кажется инфраструктура спутников и передающих центров. Это влияние того резонансного случая со спутником. Интересно, что всего лишь один (на момент опроса), но очень громкий случай сыграл значительную роль в формировании общественного мнения.

Взлом стриминговых сервисов - следующая точка взлома. И это тоже неудивительно - на слуху массированные подмены интернет-потоков радиостанций. Здесь надо помнить о том, что не все подмены интернет-потоков стали результатом взлома стримингового сервиса - как мы уже писали ранее, гораздо проще подменить ссылку, взломав админку сайта или приложения.

Нарушение информационной безопасности в результате случайных действий сотрудников считают в разной степени вероятной около 40% радиостанций. Похоже на правду - примерно столько же респондентов реально сталкивались с этой проблемой. А вот в злоумышленные действия своих сотрудников не верит почти никто. И это тоже похоже на правду. Статистика установленных причин взломов радиостанций действительно говорит о том, что злоумышленные действия сотрудников встречались только в 9% случаев.

Надеемся, что в радиовещании это действительно так. Мы тоже верим в честность своих сотрудников. Но всё же добавим ложку дёгтя в бочку меда. В своём аналитическом отчёте за 2022 год компания InfoWatch говорит о том, что почти 80% утечек данных, в том числе данных доступа, произошедших по вине внутренних нарушителей, были умышленными.

Но!

В этом же отчёте компании InfoWatch фиксируется тот факт, что отличить умышленные действия от случайных, а внутренние от внешних в России становится всё сложнее. Играют роль политизированность многих инцидентов (то есть отсутствие очевидной выгоды, мотива), а также слабые системы внутреннего контроля.

И тут важно вспомнить ещё об одном направлении - работе с подрядчиками.

Подрядчики есть у всех, и у многих из них есть доступ в вашу инфраструктуру. По утверждению наших коллег из Т1 Интеграции, сейчас фиксируется тренд на supply chain атаки - когда злоумышленник пытается получить доступ через подрядную организацию. Часто к подрядчикам не предъявляются строгие требования, даже если в самой организации с информационной безопасностью всё хорошо.

Просто имейте это в виду.

Информационная безопасность - это не перечень каких-то конкретных инструментов. Нет волшебных таблеток. Информационная безопасность - это регулярный процесс. Это как чистить зубы - чтобы зубы были здоровы, их надо чистить каждый день, а не просто купить щётку и пасту и поставить всё это в ванной.

К процессу нужно подходить комплексно. И если вы сейчас с помощью каких-либо средств защитите свою инфраструктуру, но забудете про неё на год, вы подвергнетесь взлому так же, как если бы вообще ничего не делали.

Независимо от размера компании, подход к информационной безопасности делится на 2 части: организационную и техническую. Ни организационную, ни техническую часть работы нельзя поручить неквалифицированному сотруднику, который раньше никогда не занимался ничем подобным.

Организационная часть - это не просто написание регламентов в попытке формализовать процесс, это ещё и постоянный контроль, постоянное обучение, отслеживание и разбор инцидентов, оперативное реагирование и ответственность. Должна быть единая политика и следование этой политике на всех уровнях организации. Задача - не усложнить жизнь пользователю, а создать прозрачные правила, которым легко следовать и которые легко отслеживать.

Если кибербезопасность - это процесс, то в компании должен быть назначен ответственный, который может вовремя принять нужное (а иногда трудное) решение. Даже если это остановка вещания или изоляция сетевой инфраструктуры, такие решения нужно принимать оперативно. Оперативность - один из ключевых факторов, если возникает какой-то инцидент.

Но чаще всего нужно не принимать трудные решения, а просто следить за исполнением инструкций: вовремя предоставлять, изменять или удалять права доступа, контролировать внесение изменений в информационную систему, отслеживать подозрительные действия, обучать сотрудников и помогать им соблюдать элементарную цифровую гигиену.

Мы были рады увидеть, что в радиовещании информационной безопасностью в основном занимаются IT-отделы, инженеры и собственные службы ИБ. В регионах выделилась ещё одна группа - инициативные сотрудники, часто занимающие творческие специальности. Что ж, имеет место быть на маленьких радиостанциях, где один и тот же человек часто совмещает несколько должностей. Лучше так, чем вообще никак: в 11% случаях в регионах нет никого, кто бы занимался ИБ. Для сравнения - в Москве этот показатель равен 0%.

Ответственные есть, но есть и безответственные. Несмотря на "укомплектованность" специалистами, организационная часть оставляет желать лучшего.

Регламент есть только у 1/3 радиостанций: в регионах этот показатель - менее 20%, в Москве - более 60%. А тем временем регламент позволяет внести ясность в процессы: когда у человека есть понимание и даже инструкция, как ему действовать в той или иной ситуации, шансов совершить нелегитимное действие, причём как неумышленно, так и умышленно, у него меньше.

Тренинги для сотрудников, можно сказать, не проводит вообще никто. Но, учитывая тот факт, что одной из основных причин нарушения безопасности является неосторожность сотрудников, а основным методом взлома - атака на человека, просвещение и обучение персонала - тот метод, который устранит огромный пласт проблем. Надо помнить: вы обучаете сотрудников для компании, для себя. Им это неважно, а вам - важно. И если тётя Маша не поменяет свой пароль qwerty123, ей не будет ничего, а вот компания может пострадать.

Организационная часть должна строиться сверху вниз - сначала создаётся политика (регламент в целом), на основании которой затем выстраиваются процедуры и внедряются технические средства. Политика помогает не только формализовать процесс, но и ответить на вопросы зачем и как обеспечивать безопасность, от ответов на которые значительно зависит стоимость внедрения и обслуживания процессов и инструментов ИБ.

Но надо сказать, что включение даже некоторых мероприятий организационной части в регулярный производственный процесс поможет устранить много проблем. Почему - мы уже написали выше.

Техническая часть - это конкретные средства и инструменты защиты. Они делятся на средства для внешней и внутренней защиты. Например, есть технологии, которые позволяют увидеть интерес хакеров к компании ещё на этапе разведки. Есть технологии, с помощью которых можно отследить активность хакеров в каком-то сегменте и их интерес к компаниям с определённым профилем. Есть инструменты для трёх уровней внешней защиты (защита на этапе сканирования внешнего периметра, защита на этапе взлома, устранение последствий взлома), внутренней защиты и защиты от утечек информации.

Коллеги из Т1 Интеграции рассказали нам, что на каждом проекте при проведении пентеста они могут найти, как правило, от 10 до 50 разных уязвимостей и провести от 5 до 10 разных атак, которые позволят им стать администратором сети. Количество возможных атак имеет значение: если вы закроете одну атаку, всегда можно зайти с помощью другой. Успех любой атаки будет зависеть от того, насколько правильно администрируется сеть и какие средства защиты используются.

Частый способ взлома - через обнаруженные уязвимости в конкретных программах. Уязвимости обнаруживаются каждый день, но чаще всего становятся известны только после того, как кого-то уже взломали. Обнаруженную уязвимость быстро закрывают, но злоумышленники находят следующую. Это непрерывный процесс.

Обнаруженные бреши в безопасности закрываются через обновления. Именно поэтому так важно держать все системы в постоянном патче. При этом надо помнить, что с обновлениями могут прилетать и проблемы - это палка о двух концах. Известны случаи с опенсорс-решениями, когда в обновления внедряли вирусы. Известны и другие случаи, когда патчи с вредоносными закладками предоставлял недобросовестный импортер, поставляющий софт или оборудование по параллельному импорту. Но это мелочи по сравнению с количеством случаев, когда иностранный вендор просто отказывал в обслуживании и обновлении, причём как среди программных продуктов, так и среди аппаратных. Надо понимать, что уязвимости в коде, даже если их не делали специально, находятся постоянно. Это перманентный процесс, как и процесс по их устранению. Если вы остались без обновлений, рано или поздно вас взломают через обнаруженные уязвимости.

Надеяться на порядочность иностранных производителей становится всё сложнее. Выход, конечно, есть: в каких-то случаях пакеты обновлений можно проверить на безопасность, изучив код. Если сложно сделать это своими силами, можно привлечь подрядчика, который верифицирует обновления. Но это сложный и дорогостоящий процесс. Гораздо более безопасным в текущей ситуации всё-таки выглядит переход на системы отечественного производства.

Определить, какие именно инструменты и средства защиты потребуются на радиостанции, заранее невозможно - это зависит от многих факторов, в том числе от размера, производственного процесса и формы работы с сотрудниками, финансирования и отношения руководства к ИБ в принципе. Не последний фактор - насколько радиостанция привлекательна с точки зрения злоумышленников, насколько много ресурсов потенциальный хакер готов вложить в её взлом.

Может достаточно, а может нет. Мы рекомендуем условно поделить мероприятия по ИБ на элементарные и специальные. Разница в том, что элементарные практически не требуют опыта и большого количества специалистов, но требуют внимательности и ответственности каждого отдельно взятого сотрудника. Такие меры легко внедрить на радиостанции любого размера без каких-то финансовых вложений.

Специальные меры - это мероприятия, которые нужны для защиты конкретной радиостанции, исходя из её бизнес-целей и привлекательности с точки зрения киберпреступников. Часто они требуют усилий, системного подхода и денег. Но надо готовиться к тому, что в каких-то случаях без вложений не обойтись - современные и надёжные инструменты стоят недешево.

С финансированием мероприятий кибербезопасности в радиовещании дела обстоят неплохо. При том, что более 70% радиостанций считают проводимые меры ИБ недостаточными, финансирование выделяется лишь в 60% случаях. В Москве показатели выше - мероприятия ИБ финансируют на более 80% крупных радиостанций. В регионах ниже - несмотря на полную идеологическую поддержку со стороны руководства, часто ссылаются на то, что денег нет.

Финансирование в информационной безопасности занимает далеко не последнее место, но есть ряд мероприятий, которые можно проводить дешево и сердито, с минимальными вложениями денег, но с максимальными вложениями собственных сил и внимания. Бесплатные методы, безусловно, повысят уровень зрелости ИБ на предприятии и в каких-то случаях их будет абсолютно достаточно. Бывают случаи, когда надо применять весь арсенал технических решений для защиты, а иногда и вовсе менять элементы инфраструктуры, потому что они перестали быть безопасными.

Здесь важно понимать: чем крупнее компания, чем больше у неё потенциально ценных активов, тем больше ресурсов злоумышленники будут использовать для проникновения. Именно поэтому до сих пор самыми атакуемыми сферами остаются банки и правительственные предприятия. И, может быть, эта мысль покажется крамольной, но прежде чем вкладывать сотни тысяч в ИБ, надо спросить себя, есть ли что защищать за эти деньги. Только не забудьте про репутацию, это тоже ценный актив, который может пострадать.

На диаграмме ниже видно, как распределяются элементарные меры безопасности среди радиостанций, которые их используют. Резервные копии данных делают более 90% радиостанций. Просто убедитесь, что они лежат не в общем сегменте сети, а надёжно спрятаны где-то в глубине или на отдельном физическом носителе.

Радует то, что сознательность по элементарной безопасности практически не отличается ни в Москве, ни в регионах. Различается только процент тех, кто вообще не предпринимает никаких мер: 22% радиостанций в регионах используют неизолированные каналы передачи данных, а 11% вообще не предпринимают никаких мер по защите.

Это меры, которые необходимо вводить в зависимости от ситуации и ценности активов компании в глазах злоумышленников. Чем больше денег компания может вложить в мероприятия ИБ, тем, конечно, более защищённой получится система. Но эти мероприятия не могут быть рекомендованы и показаны всем подряд. Чем больше компания, тем больший вред ей можно причинить. Злоумышленников всегда интересуют сначала большие компании, а уже потом - компании поменьше. Поэтому к подбору специальных инструментов нужно подходить осознанно, в соответствии с политикой безопасности и целями бизнеса.

Подбором таких мер защиты занимаются специалисты по кибербезопасности. Для начала рекомендуется провести пентест. Никто не поможет защититься лучше, чем человек, который сам пытается вас взломать, чтобы продемонстрировать бреши в системах. Это позволит точно понять, каких инструментов не хватает для защиты.

Так выглядит статистика по некоторым дополнительным мерам безопасности, которые проводят на радиостанциях. Самая распространенная из них - контроль за перемещением информации, в Москве это делают почти 50% опрошенных радиостанций. Зато ни одна московская компания не проводит пентесты. Это может быть связано с тем, что большая часть крупных радиостанций в Москве имеет свою собственную службу ИБ и траты на сторонних специалистов выглядят нерациональными. При этом наличие собственной службы не умаляет ценности пентестов, так как позволяет испытать систему на прочность.

Ранее мы говорили, что низкий уровень внимания к проблемам ИБ на радиостанциях может быть связан ещё и с тем, что владельцы и сотрудники не несут за это никакой ответственности. Мы решили, что это очень смелое заявление, и оставлять его голословным нельзя. Поэтому запросили комментарий у практикующих адвокатов.

Юристы из Адвокатского бюро "ИНВИКТУМ" утверждают, что на сегодняшний день устоявшейся правоприменительной практики по вопросам взлома радиостанций и телеканалов нет. Поэтому заключение носит вероятностный характер (т. е. не подтверждено конкретными судебными прецедентами). В описанных случаях все обстоятельства взлома и круг лиц, подлежащих ответственности, будут определяться правоохранительными органами.

Если будет выявлено, что взлом действительно произошёл в результате действий третьих лиц (хакеров и т. п.), риски привлечения к ответственности руководителя или кого-либо из сотрудников радиостанции минимальны. Однако нужно иметь в виду, что в случае возбуждения уголовного дела будет проводиться предварительное расследование, которое может включать в себя обыски в помещениях радиостанции, допросы сотрудников и иные подобные мероприятия.

Учитывая, что радиостанции по общему правилу являются СМИ, наиболее вероятным последствием может быть приостановление деятельности радиостанции по требованию генерального прокурора или его заместителей. Перечень оснований для приостановления деятельности содержится в статье 56.2 Закона РФ от 27.12.1991 № 2124-1 "О средствах массовой информации". Туда входит, в том числе распространение под видом достоверных сообщений недостоверной информации об обстоятельствах, представляющих угрозу жизни и безопасности граждан, и недостоверной информации о действиях ВС РФ.

Также теоретически возможна ситуация, когда правоохранительные органы придут к выводу, что взлом был осуществлён при содействии руководителя или сотрудников радиостанции или что подмена интернет-потоков произведена самими сотрудниками. В таком случае возможно привлечение руководителя или сотрудников к административной и уголовной ответственности. Например, за трансляцию гимна Украины возможно привлечение к ответственности по статьям о "дискредитации ВС РФ" (статья 20.3.3 КоАП РФ, статья 280.3 УК РФ). За сообщение о призыве вступить в украинскую армию - к ответственности за публичные призывы к осуществлению террористической или экстремистской деятельности (статьи 205.2, 280 УК РФ). За сообщение об опасности ракетного удара - к ответственности за "публичное распространение заведомо ложной информации об обстоятельствах, представляющих угрозу жизни и безопасности граждан" (статья 207.1 УК РФ).

Для привлечения к ответственности по статьям о дискредитации ВС РФ, о публичных призывах к осуществлению террористической/экстремистской деятельности, о публичном распространении заведомо ложной информации по общему правилу необходимо наличие у виновного лица прямого умысла. К примеру, если трансляция гимна Украины стала следствием неосторожных действий сотрудников (случайно включили и тут же выключили), то уголовная ответственность исключена. Однако нужно иметь в виду, что в текущих реалиях в любом случае сложно предсказать возможные последствия.

Если взлом произошёл по вине третьих лиц, но с допущения сотрудников, то теоретически возможно привлечение к уголовной ответственности по статьям 285 УК РФ ("Злоупотребление должностными полномочиями") и 293 УК РФ ("Халатность"). Но субъектом ответственности по этим статьям выступают должностные лица, т. е. лица, выполняющие организационно-распорядительные либо административно-хозяйственные функции в организации (например, генеральный директор, главный бухгалтер). Поэтому вероятность привлечения к ответственности рядовых сотрудников невысокая.

Хочется подвести небольшие итоги, хотя мы надеемся, что краткое введение в информационную безопасность на этой странице заставило задуматься о важных вещах. Прямо в то время, когда мы готовили эту страницу, была совершена атака ещё на один спутник, были взломаны радиостанции в Воронежской и Свердловской областях, Ульяновске и Калининграде. Сообщения злоумышленников, которые выходят в эфир, становятся всё страшнее (раньше была "недружественная" музыка, а теперь - призывы к насилию). И если взлом спутников чаще всего не находится в зоне ответственности владельцев и персонала радиостанций, то так называемые взломы серверов и подмена интернет-потоков - это то, на что можно влиять и что можно предотвратить.

Несколько базовых вещей, которые стоит выполнить прямо сейчас, если вы ещё не сделали этого.