Кто и как обеспечивает кибербезопасность ЧМ по футболу
5 мин
77
5
Архитектура и периметры: когда стадион превращается в город
Когда проводят такие масштабные события, как чемпионат мира по футболу, то кибербезопасность каждого отдельного стадиона превращается в защиту целого города. Ведь в общий периметр входят и городской транспорт, и аэропорты, и вокзалы, и объекты энергетики и т. д. с многоуровневой защитой: закрытые каналы для трансляций, резервные серверы, системы защиты от DDoS.
Возникает логичный вопрос: как всё это контролировать? Есть два подхода: максимально изолировать все объекты, отключая подрядчиков. Или, наоборот, попытаться всё увязать в единый контур. Но чаще получается гибрид. На чемпионате мира в России, например, FIFA использовала свою инфраструктуру — обработка данных велась в швейцарском облаке, но всё равно нужно было состыковывать этот контур с местным телекомом и энергетикой «на земле».
В итоге защита такого события никогда не ложится на плечи одной компании. Это масштабная коллаборация, объединяющая 15–20 команд ИТ и ИБ, к которым тянутся цепочки подрядчиков. Суммарно в процесс вовлечено 40–50 различных организаций, и руководить ими — это сверхзадача. Тем более что на каждом объекте «Солар» был представлен разным составом сервисов: комплексной безопасностью под ключ, мониторингом и оповещением, где-то защищали отдельные объекты инфраструктуры, например веб-сайты. Нужно понимать специфику, на таких мероприятиях не существует твоей или чужой зоны ответственности и зачастую приходится страховать соседа или даже «перетягивать на себя одеяло» для достижения более эффективного взаимодействия и высокого уровня защищённости объектов.
Три кита уязвимостей спортивного мегасобытия
Когда общая архитектура выстроена, на первый план выходят три критические зоны, провал любой из которых ведет к ИБ-катастрофе.
Во-первых, ключевое мерило работы — это трансляция. Для пресс-конференций и прямых эфиров футбольных матчей действует жесточайший SLA: ни единого разрыва вещания, никаких миганий или задержек.
Во-вторых, архитектурные просчёты. Они обходятся очень дорого. Особенно в системах контроля доступа (СКУД). Типичная ошибка — объединить в общую инфраструктуру сайт-визитку, платформу для регистрации и систему проверки доступов. Нужно их разделять. Та же система аккредитации должна закрываться и отвязываться от регистрации, чтобы атака на сайт не заблокировала проход сотрудников и журналистов на объект.
В-третьих, нужно понимать, что будь то крупная выставка или большое спортивное событие, сама площадка — это уже фактически открытый интернет, где на стендах стоят плазмы, работают чужие флешки и Wi-Fi. Заражение одного стенда может по цепочке обрушить всю сеть. Худшее, что может случиться, — это если на большом экране вместо красивой графики появится провокационная картинка или синий экран. Именно поэтому на таких мероприятиях физический контроль доступа к оборудованию и элементам инфраструктуры крайне важен.
Кто и зачем атакует спорт
Зачем вообще атакуют спорт? Монетизации в таких взломах минимум, поэтому классические коммерческие хакеры редко заходят на это поле. В основном работают хактивисты, а также молодые группировки. Ведь одна успешная атака получает мировое освещение, что повышает статус преступников в хакерском сообществе.
Один из последних примеров из спорта — это атаки на зимнюю Олимпиаду в Италии. Казалось бы, событие политически нейтральное, но его очень сильно «бомбили». За этими действиями не обязательно стоит конкретное государство. Часто это подрыв со стороны антиглобалистов или идейных хактивистов. Их логика проста: пока весь мир устраивает праздник и отвлекается на развлекательные события, они напоминают о том, что главные проблемы до сих пор не решены.
Хакер-игры: как Олимпиада в Италии стала мишенью для кибератак
Кейсы чемпионата мира в России
Реальность всегда сталкивается с человеческим фактором, порождая курьёзы. Например, прямо перед началом чемпионата мира в России на одном из объектов энергетики местные айтишники решили провести киберучение, не предупредив ИБ-службы заказчика. Поскольку работа публичная, по договору, пентестер не маскировался — просто указал свой домашний адрес. У нас его действия отразились как реальная боевая атака. Мы передали данные по линии силовиков. Те очень быстро и аккуратно выставили дверь «злоумышленнику» и положили его лицом в пол за попытку атаковать объект энергетики. Ситуация разрешилась, когда он смог показать авторизационное письмо и договор.
Другой пример связан с проблемой понимания метрик. На чемпионате наша команда защищала около 30 объектов и зафиксировала около 700 реальных боевых инцидентов. В то же время заказчик поставил у себя базовые сенсоры (IPS-IDS) и выдал в отчёте цифру — 7 млрд инцидентов. Никто не мог понять, как это можно сопоставить. А разгадка была в том, что ведомство посчитало каждое базовое, атомарное событие в сети.
Стоит отметить, что базовая ИБ-гигиена на таких объектах тоже требует постоянного контроля. Инфраструктура подрядчиков может по умолчанию уже поставляться заражённой вирусами и стилерами. А на одном из мероприятий, где нас уверяли в полной изоляции отдельного сегмента для каждого стенда, нашему пентесту хватило получаса, чтобы получить доступ ко всему. Причина? На маршрутизаторе ядра висел открытый админский интерфейс с паролем «admin-admin».
120 часов ВКС и штабная культура
Справиться с потоком угроз на крупных мероприятиях привычными методами не выйдет. Очевидно, что управлять всей инфраструктурой защиты в чатах невозможно: если их будет пять, запросы там просто утонут. Реальная работа — это 72- или 120-часовые непрерывные ВКС, где все участники общаются голосом. Для эффективного управления требуется диспетчерская функция и единый ответственный — виртуальный CISO.
Что касается штаба, то это обычно структура на 60–70 человек, где все должны жить в едином контуре. Часть специалистов работает прямо на площадке, чтобы сократить время реакции, часть действует удалённо. Кто всем этим руководит? Бывает по-разному. Иногда это организатор или регулятор (например, Национальный координационный центр по компьютерным инцидентам). А иногда работает «право сильного» — полномочия дают компании, у которой уже есть опыт. Сюда же добавляются и нестандартные задачи по кадрам: на мегасобытиях не место новичкам. Нужны люди, прошедшие два-три подобных проекта. Более того, порой приходится, например, срочно привлекать специалистов со знанием разных иностранных языков просто потому, что таковы жёсткие требования международных организаторов.
Зачем мы это делаем?
Для ИБ-компаний защита подобных мегасобытий — это социальная ответственность, а не только способ заработать. Как правило, такие проекты ни для одной из компаний не превращаются в значимый процент годовой выручки. Главный бенефит здесь — это статус партнёра и узнаваемость.
Но как бы ни строилась экономика проекта, в момент старта крупного события всё это отходит на второй план. Для организаторов и для нас с точки зрения финального эффекта важно только одно: мероприятие должно пройти успешно. И если после окончания трансляции миллионы зрителей даже не задумались о том, что спортивный праздник могли атаковать, значит, мы сделали свою работу хорошо.
