На волне хайпа про РЖД я заметил, что много людей, даже из тех, кто "в теме", имеют странное представление о ситуации.
А большая часть тех, кто с безопасностью не связан вообще, высказывает какие-то уж совсем фантастические мнения, граничащие с теорией заговора.
В данной статье я сделаю попытку разобраться, без упора на информационную безопасность и поделиться своими мыслями, так что надеюсь, воспринято это будет правильно.
Под катом — мой личный анализ и попытка расставить точки над "ё".
А также несколько эксклюзивных железнодорожных фоточек...
Безопасность
If the goal of security is to protect against yesterday's attacks, we're really good at it.
Bruce Schneier
Безопасность — это, по определению, состояние защищенности от угроз и способность системы сохраняться при их реализации.
Известно, что безопасность — всегда компромисс между стоимостью осуществления атаки, размером ущерба и стоимостью принимаемых мер.
Потому, чтобы оценить степень безопасности, строится комплексная модель угроз, в которой рассматриваются:
- Поверхность атаки, состоящая из набора векторов, по которым может провести атаку нарушитель.
- Риски, являющиеся математическим ожиданием вероятности реализации атаки по вектору и суммы урона от успешной проведённой атаки.
- Модели нарушителя — собственно, те, кто будет атаковать, и что им это будет стоить.
Риски
Далее я буду рассматривать вопрос угроз и нарушителя предельно упрощённо.
В таких случаях, как с РЖД и прочей инфраструктурой, возможно рассмотреть три основных риска:
- Гибель людей.
- Повреждение инфраструктуры, и последующий серьёзный экономический ущерб, как от её восстановления, так и от задержек работы транспортной системы.
- Изменение процессов, влекущее задержки, которые приводят к серьёзному экономическому ущербу: если домна вовремя не получит сырьё и остановится, перезапуск обойдётся дорого.
Модели нарушителя
День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке.
Для получения перца процедуру следует повторить.
"Хакер в столовой"
Для упрощения разобьём нарушителей на следующие группы:
- Нештатные и чрезвычайные ситуации. Пожары, взрывы, дожди...
- Инсайдеры. Злонамеренный инсайдер — это либо злой сотрудник, либо кто-то из групп ниже.
- Случайные люди — различные "зайцы", пьяные, грабящие вокзалы, "взломщики Сапсанов", взломщики билетов на электрички и более крупные, например, ворующие рельсы незаконно.
- Иностранные спецслужбы — вдруг украинцы или американцы устроят диверсию?
- Ну и конечно, террористы — под это клише обычно загоняют всех, кто не подходит в другие категории.
Нештатные ситуации
Хотя они не являются "активными нарушителями", для полноты картины надо их тоже упомянуть.
Железная дорога — долгое время была основной транспортной сетью
государства, и построена она так, чтобы нештатные ситуации не могли его парализовать.
Про дублирование систем управления, различные уровни системы, при отказе которых будут работать предыдущие и способы устранения нештатных ситуаций возможно рассказывать очень долго.
Но это не тема данной статьи, и останавливаться на этом я не буду.
Инсайдеры
Для простоты будем считать, что инсайдером может быть кто-то из групп ниже.
Возможность работы внутри и прямого доступа к системе даёт им бонус к ресурсам.
Это, больше, модификатор, и преследуют они разные цели.
Случайные люди
Это наиболее реальные и частые нарушители, хотя обычно и не причиняющие большого экономического ущерба государству.
"Хакеры", желающие "помочь", слить базу или помайнить биткойны относятся именно сюда.
Серьёзных ресурсов не имеют, разве что, энтузиазм. Собственно, защита от них уже давно есть.
Это не те люди, ради которых надо ставить три кольца охраны, металлодетектор и анализатор запаха.
Если это инсайдер, он может продавать на сторону ресурсы или секреты (например, возможность доступа в сеть РЖД), либо наносить экономический ущерб компании из эмоциональных побуждений.
Есть внутрикорпоративный СКУД и DLP, которые хотя бы как-то помогают бороться с инсайдерами данной категории.
Театр, описанный ниже, строится не вокруг них: это всё слишком банально и недостаточно зрелищно.
Другой вопрос: если даже они могут проникнуть в сеть, то что же говорить про остальных?
Службы
Подготовленные и обученные люди, которые сначала проведут разведку и будут действовать одновременно по нескольким векторам атаки.
За ними стоит мощное государство, т.е. их ресурсы и ресурсы атакуемой системы вполне сопоставимы.
При этом, ещё и могут работать в организации на должностях, полезных для "основной работы".
Зрелищность в их работе, чаще всего нежелательный побочный эффект. Человеческие жертвы их не интересуют, если они и есть, это либо "collateral damage", либо нужно для того, чтобы достигнуть цели.
А цель у них — быстрее завершить войну победой своего государства, чего они добиваются путём нанесения максимального экономического ущерба государству в котором работают.
Действовать будут в случае войны или сильного обострения противостояния между государствами.
Поэтому, шпиономания была в моде в СССР.
Сейчас такого ещё нету, мода прошла, и про них мало вспоминают.
СБ РЖД, охраны и даже полиции недостаточно для защиты от таких нарушителей, и заниматься ими должна, прежде всего, контрразведка.
Террористы
The real targets of terrorism are the rest of us: the billions of us who are not killed but are terrorized because of the killing. The real point of terrorism is not the act itself, but our reaction to the act.
And we're doing exactly what the terrorists want.
Bruce Schneier
Собственно, это те, кого меньше всего.
Эти люди имеют ограниченные ресурсы, хотя и большие, чем у случайных одиночек.
Серьёзного экономического ущерба они не создают.
В их работе главное — зрелищность и эффект в СМИ. Для этого им нужны человеческие жертвы.
Именно эта группа нарушителей является теми, от кого "модно защищаться".
Причины для этого вполне очевидны:
- Зрелищность терактов. Залитые кровью вагоны, раскиданные человеческие органы, которые СМИ показывают крупным планом, смакуя детали, — это действительно впечатляющее зрелище.
- Вызываемое терактами "бурление масс", на котором возможно наработать "политический капитал". Следующий за терактом стихийный мемориал, всероссийский траур и грозно размахивающий кулаками на их фоне политик вызывают желание "что-то быстрее сделать".
- Популизм — то, что из этого следует.
Реальность же такова, что вероятность погибнуть в теракте крайне мала. И не потому что "хорошо защищают". Но об этом ниже.
Поддержка власти здесь до сих пор держится на мнении большинства. А мнение большинства формируется по обложке и по тому, что на виду. Поэтому, вместо того, чтобы с чем-то бороться, надо делать вид, что ты борешься.
Защита
Technical problems can be remediated. A dishonest corporate culture is much harder to fix.
Bruce Schneier
Что сделано
Каждый может посмотреть в газетах и почитать в Интернете, что у нас сделано:
- Вокзалы стали режимными объектами, и для того, чтобы пройти на поезд надо себя ощутить немного в тюрьме, а каждый охранник имеет чуть больше прав, чем ты.
- Везде заборы и камеры, отслеживающие всех и каждого, так что пройти через город, зачастую становится квестом для паркурщика.
- Над понятием "неприкосновенности личной жизни" или "частной собственности" здесь лишь посмеются и покрутят у виска.
- Коррупция. Во имя защиты возможно создавать секретные статьи расходов, права чьи-то ущемить, да и грохнуть без суда прямо в стране (во имя
общегоблага), а то и чрезвычайное положение ввести с комендантским часом. Какой уж там аудит и борьба с ворами, когда последние "борются" с убийцами? - Страна, как одна большая зона, в которой граждане, с точки зрения властей, — потенциальные массовые убийцы. Не доверяют им. А за охрану себя от себя граждане платят из своего кармана.
Причина из-за которой на сообщение различных White Hat реагируют только после того, как была публикация в прессе, уже должна быть понятна:
- Никакого серьёзного ущерба наносить он не будет. Даже пропажа БД клиентов — несерьёзный ущерб, потому что таких баз от МВД и разных Сбербанков уже столько, что пробивом не занимается только ленивый. А поезда пускать под откос не будет он, потому что "White Hat" же.
- Никакой защиты нет, и все, кому надо и так уже имеют
РЖДв эту сеть доступ. Он же лишь показал то, что и так известно руководству. - После того, как была публикация, надо во-первых людям показать, что "мы работаем", во-вторых закрыть доступ недалёким script-kiddies, которые могут рвануть в сеть "по горячим следам".
Поможет ли
Сначала мне бы хотелось разобрать комментарий уважаемого tnt4brain.
Изначально системы централизации создаются на принципах «защитного отказа», то есть возможность состояния «никто никуда не едет» — она штатная, и именно в это защитное состояние переходят системы во внештатных ситуациях.
Да, плохо, да задержки, но принимается, что сохранность жизней и грузов важнее, чем потраченное время. Собственно, многое в регламентах поездной работы написано вокруг порядка действий во внештатных ситуациях — вплоть до отправления и приёма поездов по путевым запискам, то есть при полностью недействующих средствах СЦБ.
Связь для этого, конечно, требуется, но сугубо в духе «физическая пара проводов».
Это абсолютно верно, но больше относится не к целенаправленным атакам.
Управление стрелками и сигналами на станции может быть дистанционным, от поездного диспетчера за 700 км.
Выглядеть такой центральный пункт может, например, так:
Здесь действительно осуществляется более или менее серьёзный контроль доступа.
Но физические приборы, проверяющие допустимость тех или иных сочетаний стрелок/сигналов, по-прежнему находятся в релейных помещениях.
Релейное помещение выглядит примерно так:
И находится оно прямо на станции.
То есть после них — что угодно, хоть старые кнопочные пульты, хоть компьютеры с мышками, хоть ПЛК и свитчи, но первичные зависимости, которые определяются согласно техническо-распорядительному акту станции при проектировании — по-прежнему 100% локальные, и для их «взлома» нужен физический доступ в режимные помещения.
А вот и одно из таких помещений изнутри:
Это самая, что ни на есть обычная станция, которых тысячи.
Из людей там, кроме диспетчера, изредка приходящий электромеханик, двери часто открыты, ведь посторонних там не бывает.
Пройти туда очень просто. Есть же вообще безлюдные станции.
И в этом нет государственного секрета: нельзя поставить взвод охраны на каждую станцию.
Ну и это ещё не считая того, что по рельсам от сигнальной точки на локомотивные устройства передаётся кодированная информация как минимум о допустимой скорости на данном участке и закрытом/открытом состоянии след. светофора.
Кодированная, однако не шифрованная и не подписанная..
Короче говоря, на самом деле в СЦБ целый мир безграничных чудес и крайне остроумных технических решений, о которых можно долго и увлекательно рассказывать, но в комментарий это, конечно, не влезет.
Конечно это так, но есть и человеческий фактор, вот например, предупреждение электромеханикам:
Это означает, что если кто-то замкнёт реле (оно работает на размыкание и "красный" загорается, когда закорачивается рельсовая цепь колёсной парой, в результате чего питание реле пропадает), будет "вечно зелёный".
С учётом этого, перевести стрелки "навстречу" уже не кажется такой уж нереальной задачей.
Что касается предмета статьи — интранета РЖД — я учился по другой специализации, и могу только предположить, что описанная история — всё же вопрос недосмотра. Думаю, полнее/точнее смогут прокомментировать их официалы, полностью знакомые с ситуацией.
Это не "вопрос недосмотра", и сеть управления не полностью изолирована, по крайней мере была.
Изо всего перечисленного вытекают ответы на следующие вопросы:
- Поможет ли защита против случайных нарушителей? Не поможет, разве частично. Меры защиты, принимаемые сейчас для такой задачи избыточны, как "из пушки по воробьям".
- Поможет ли такая защита против служб? Однозначно нет. Ведь по сути это видимость защиты, "серьёзных людей" она не остановит.
- Поможет ли такая защита от "террористов". Поможет террористам. Ведь теперь не обязательно ждать у вокзала, изучать его, по камерам возможно понять, где больше народу, где удобнее пройти, где стоит охрана, ну а если доступ с роутера, через который всегда ходил, закроют, есть просто очередь на входе.
Напомню, что поезда здесь не взрывают относительно давно, ещё до "введения мер", а в "самом защищённом" метро "классический теракт" был последний раз лишь 4 года назад.
Театр безопасности
More people are killed every year by pigs than by sharks, which shows you how good we are at evaluating risk.
Bruce Schneier
Картинка в заголовке честно слита отсюда, и как возможно заметить это выражение давно не новое.
Далее, я подробнее остановлюсь на разборе "театра", применительно к РФ, для тех, кто не был с данной темой знаком.
Его запустил в обиход Брюс Шнайер, в тесной связи с принятием Патриотического акта.
Проблемы "театра"
- Театр до́рог.
- Театр понижает уровень жизни.
- Театр опасен лично для вас.
- Театр не решает проблемы безопасности.
- Театр создаёт новые проблемы, серьёзнее предыдущих.
Театр дорог
На его организацию тратится много средств, которые могли бы пойти на решение проблем:
- Мультизональные арочные металлодетекторы имеют цену 60-100 тысяч рублей. Их ставят, обычно, два на вход и два на выход с вокзала. Часто ставят больше, в метро, например.
- Носимые детекторы ВВ и наркотических средств, типа "электронный нос" имеют цену в районе 1.5-2.5 млн.
- Рентгеновские интроскопы стоят от 800 тысяч до 10 миллионов.
- Взрывозащитные контейнеры в метро стоят порядка 1.2 миллиона.
Каждая открытая станция требует дополнительной переделки:
- Заборы.
- Пункты контроля.
- Дорогие системы видеонаблюдения, часто с распознаванием лиц, иногда с распознаванием эмоций и т.п..
Затем на станцию нанимается большое количество персонала:
- Как низкооплачиваемого, для каждой станции, такого, как охрана.
- Так более дорогого, такого, как психологи-профайлеры.
- Периодически делается проверка качества работы этого персонала, что тоже — деньги за эмуляторы, время сотрудников и т.п..
Пропускная же способность каждой "обезопашенной" станции из-за проверок снижается. Да и число людей, которые захотят данным транспортом воспользоваться, снижается тоже, хотя может и незначительно.
Также, неизвестно, распиливается ли на этом что-то, и если да, то какой процент...
Театр понижает уровень жизни
- Снижается уровень комфорта из-за пустой траты времени на стояние в очередях там, где их может не быть, из-за снятых урн на станциях метро, и металлодетекторов пищащих на мелочь.
- Чужие люди пытаются лезть в личное пространство. Да, "вам нечего скрывать", но может вы там везёте меховые наручники для подружки? Я был несколько раз свидетелем того, как охрана на Савёле кричала вслед нестандартно выглядящим подросткам: "Вон смотри, пидарасы снова пошли!"
- Некомпетентный персонал, которым являются охранники, не знает правил и законов, потому может не пропустить вас, даже если вы не везёте ничего запрещённого.
Театр опасен лично для вас
- Вас могут попытаться заставить нарушить закон, и вы будете за это отвечать. Часто из-за некомпетентности охраны. Отвечать вы можете по тяжёлой уголовной статье.
- В очереди могут присутствовать люди, заражённые контагиозными инфекциями. Туберкулёз в открытой форме, COVID-19, грипп, сифилис (при бытовом контакте может передаваться), любые тропические болезни, которые могли привезти "туристы", — всё здесь рядом.
- Вас могут просто обокрасть люди, работающие группой.
Театр не решает проблемы безопасности
- Создаётся ложное ощущение безопасности, в результате чего, часть людей может не заметить реальных проблем.
- Другим же обстановка "как в тюрьме" непривычна, и ещё неизвестно, сколько лет жизни отбирает такой постоянный стресс.
- Принятые "меры" действуют лишь на симптомы, а средства на решение проблем не выделяется, и так как "меры приняты", вроде и решать нечего.
- Многократно сказано про то, что принятые меры не уменьшают число жертв, в случае взрыва, например, в очереди. И чужое тело не сильно задержит осколки, имеющие поражающую способность. Если вы думаете иначе, и не понимаете, что это такое, лучше увидеть пример для всего-лишь РГД-5 с зарядом в 110 г. и без осколков (осторожно, изображения с кровью). Теперь посмотрите на взрывы метро.
Театр создаёт новые проблемы, серьёзнее предыдущих
- Вероятность смерти от теракта порядка 0.0000001-0.00005, и это не потому, что "хорошо защищают", а так было всегда, как в мире, так и в РФ.
- А вероятность смерти на пожаре уже около 0.00015.
Возьмём два вокзала:
- Ярославский в Москве.
- Главный вокзал Екатеринбурга.
Ярославский
На Ярославском вокзале пассажир, минуя здание, мог пройти к поездам дальнего следования.
На электрички такого контроля нет.
Затем нужно подождать, когда придёт очередная электричка, а специально обученный человек откроет ворота между пригородными и дальними поездами.
Куда идут пассажиры дальше — всем плевать, да и не уследишь.
Ещё вариант — пролезть через одну из дырок в заборе (где-то "электричковые зайцы" даже вели их реестр).
Безопасность, как здесь:
Сейчас нельзя пройти к поездам, не обойдя вокзал, а между проходом сразу от метро — забор.
Пройти напрямую из метро тоже нельзя — приварен забор.
Я не могу говорить с точки зрения пожарной безопасности, и что-то мне подсказывает, что в случае пожара, даже если ворота не откроют, пожарные их выбьют.
Но что насчёт давки? Ведь там бывают толпы, особенно когда приходит несколько поездов.
Если до "безопасности" в случае паники и возникшей давки затоптали бы несколько людей, скольких задавит сейчас толпа, которая упрётся в забор?
Екатеринбургский
Раньше это был красивый вокзал и выглядел он так:
Теперь он выглядит так:
Хорошо, что там хотя бы люди вежливые: уронил выкидной нож из кармана, охрана сразу мне показала на это и посоветовала не торопиться.
Увы, это не могло длиться достаточно долго...
Кто виноват?
Ведь, если звезды зажигают — значит — это кому-нибудь нужно?
Значит — кто-то хочет, чтобы они были?
Значит — кто-то называет эти плевочки жемчужиной?
В.В. Маяковский
Театр существует, потому что он нужен.
Он нужен:
- Людям, продающим оборудование. У них — бизнес.
- Службе, которую давно пора расформировать. У них — бюджет.
- Политикам. У них — рейтинги.
- "Террористам". Они частично добились своего.
- Множеству людей, которые бегут от реальности и предпочтут иллюзию безопасности реальной безопасности и свободе.
Ещё когда-то высказывалось такое мнение, что если инцидент произошёл на улице, транспортная полиция может сказать, что "это не наша зона ответственности".
Но, вокзал, как я понимаю, находится полностью в зоне ответственности транспортной полиции.
Что делать?
Об этом говорить не мне. Я лишь могу немного углубиться в тему напоследок.
Надо делать точно не то, что делается сейчас. Для начала, убрать заборы.
А деньги с продажи металла пустить на борьбу с терроризмом, например.
Когда по телевизору показывают очередное "маски шоу" с задержанием таджиков в Петербурге, стоит задуматься о том почему они:
- Задерживают его уже в Петербурге, а не прямо на границе?
- Вообще его задерживают? Показывают, как "хорошо" работают населению? Запугивают людей потенциальных "террористов"?
- Вообще нуждаются в том, чтобы кого-то задерживать? Не имеют достаточно агентуры в сопредельных государствах? Не имеют возможности создать в приграничных государствах лояльное отношение?
Террористы не берутся из воздуха:
- Если людям закрывать рот, не давать высказаться и плевать на то, что они хотят, продвигая лишь интересы меньшинства у власти, людям не остаётся ничего, кроме применения силы.
- Если разрушать чужую страну, в которой были школы и университеты, поддерживать там диктатора и понижать уровень жизни людей до невозможного, а при этом ещё и продавать туда оружие, рано или поздно там появятся озлобленные вооружённые люди.
- Если человек ходил только в медресе, и радикальному исламу вокруг нет альтернативы, негде учиться, а чтобы прокормить семью, он должен взять оружие в руки, — это единственный путь для него.
Более подробный разбор причин возможно найти в одной из книг специальной литературы, например.
Думаю, что нужно делать, понятно из того, что написано выше.
Я не буду писать об этом, потому что во-первых, это не приведёт к действиям, влекущим изменения.
Во-вторых, решение конкретных проблем намного сложнее, чем возможно описать в статье общего плана.
Но руководствоваться нужно принципом "бороться с причинами, а не симптомами".