Как изменились отношения в мире кибербезопасности? Эксперт рассказал об изменениях в этике раскрытия уязвимостей после начала СВО.

В сообществе специалистов по информационной безопасности действует ряд этических принципов, которые влияют на их работу. Так, исследователь, обнаруживший уязвимость в системе какой-нибудь компании, не может просто взять и рассказать о ней всему миру — сначала нужно попытаться связаться с разработчиком проблемной системы и дождаться, пока он не исправит ошибку.

Однако после начала СВО за рубежом начали появляться специалисты, которые пренебрегают этическими нормами в отношении России. Почему их считают «балбесами», и как они рискуют своей карьерой, в интервью «Газете.Ru» рассказал эксперт «Лаборатории Касперского» по исследованиям киберугроз в сфере промышленной безопасности Владимир Дащенко.

– Изменилось ли после февраля 2022 года отношение иностранных исследователей информационной безопасности (ИБ) к России?

– Да. Знаю про как минимум один такой случай. Как-то раз исследователь, испанец, нашел уязвимость в программном обеспечении каких-то контроллеров, примитивных микропроцессоров российского производства.

Нашел и опубликовал под гул и улюлюканье с призывом: «Я нашел уязвимость! Россия! Ломать!».

Что, разумеется, дикость – никто так не делает. Неважно, что происходит и где – ты всегда должен оставаться профессионалом.

– А как это – «оставаться профессионалом»?

– Любой уважающий себя исследователь кибербезопасности всегда неукоснительно должен следовать принципам responsible disclosure, то есть ответственного раскрытия информации. Это значит, что, если вы находите какую-то уязвимость или изъян в безопасности, вы первым делом сообщаете об этом производителю уязвимой системы.

– А что делать, если разработчик не ответил кибербезопаснику?

– Иногда производитель действительно может проигнорировать такое сообщение. К сожалению, это случается. Причем не только в России – по всему миру.

В таком случае киберэксперт должен обратиться в так называемый CERT (Computer Emergency Response Team – «компьютерная группа реагирования на чрезвычайные ситуации», – прим. ред.). Они есть практически во всех странах: частные и государственные.

Например, в России есть частный Kaspersky ICS CERT. Мы можем связаться с производителем и нас послушают, потому что мы знаем, как общаться, чтобы нас услышали. Государственные – «ФинЦЕРТ» при Банке России, Energy CERT при Минэнерго…

Государственные CERT уже с позиции регулятора могут связаться с производителем и сказать: «Друзья, вам нужно исправить эту уязвимость. Вы обязаны».

– Как долго в рамках хорошего тона исследователь должен ждать ответ от производителя, перед тем как с чистой совестью публиковать уязвимость?

– Обычно компаниям дается 90 дней на закрытие уязвимости. Если по разным причинам производителю это сделать не удалось, то исследователь может выложить информацию в открытый доступ.

Ко второму сценарию склоняются, если, например, уязвимость уже использовалась злоумышленниками. Тогда важно предупредить другие компании и пользователей, чтобы они как можно раньше предприняли компенсирующие меры. К первому – когда важно, чтобы производитель выпустил патч, и все его успели установить.

Тут безопасность важнее хайпа. Мы всегда стараемся идти навстречу вендору и, если требуется больше времени на устранение уязвимости, то мы, конечно же, не спешим выйти в публичное поле с описанием.

Но если уязвимость критичная и лежит «на поверхности», мы готовим комплекс компенсационных мер: прописываем правила по детектированию эксплуатации уязвимости, оповещаем наших заказчиков и партнеров в частном порядке, чтобы они могли защититься или найти признаки компрометации.

– Все эти шаги: написать производителю, обратиться в CERT, подождать 90 дней… Они как-то регламентированы или носят исключительно устный формат договоренности?

– Это этические принципы. Они регламентируются компаниями из сферы информационной безопасности, но не являются законом. Например, у нас в «Лаборатории Касперского» есть утвержденная политика разглашения уязвимостей, в которой как раз прописаны все основные шаги и этапы, которые должны быть выполнены исследователем в рамках раскрытия информации об уязвимостях. И там как раз прописаны в том числе и сроки раскрытия – 90 дней, если ни по одному из каналов связи производитель не ответил.

– С какими последствиями в будущем может столкнуться специалист, нарушивший эти правила?

– Сложно сказать наверняка. Вряд ли его кто-то будет искать, чтобы высказать все лично. Скорее всего, это плохой эпизод в биографии, который может отразиться на карьере. Например, если он придет трудоустраиваться в компанию с хорошей репутацией, доверия к нему будет мало, и в числе претендентов на ответственную должность он вряд ли окажется первым.

– Как работодатель узнает о эпизодах неэтичного поведения в прошлом?

– Очень часто исследователи в своем резюме указывают номера уязвимостей, которые они нашли, из CVE (Common Vulnerabilities and Exposures – «распространенные уязвимости и риски», – прим. ред.), международной базы данных уязвимостей. Исследователь пишет, что за ним зарегистрированы, например, 10 определенных CVE. Работодатель проверяет: стоит ли в описании CVE фамилия кандидата.

Если да, значит исследователь следовал принципам этичного разглашения информации. А если нет, то это так называемый балбес.

– Чем в итоге закончилась история с испанцем-русофобом?

– История закончилась хорошо. Во многом благодаря нашему вмешательству. Мы увидели сообщение товарища из Испании, связались с вендором, они посмотрели свою аналитику и увидели подключения извне. То есть, возможно, люди, начитавшись постов испанского специалиста, действительно начали пытаться что-то ломать.

Оказалось, что, к счастью, исследователь нашел уязвимость не в промышленном оборудовании, а в малых системах автоматизации, каких-то контроллерах, связанных с лифтами. Вендора никто не предупредил об обнаружении проблемы, а пост в блоге иностранного специалиста они не видели, так как компания небольшая и не может мониторить весь интернет.

Мы помогли компании распутать историю, они быстро исправили уязвимость и уведомили о ней своих клиентов. Мы же, кстати, в итоге и зарегистрировали на себя обнаруженную проблему в CVE. А потом еще обличающую статью написали, где призвали больше так не делать.

– А были случаи, когда вы находили какие-то уязвимости в промышленных объектах других стран?

– Были, конечно.

Поехали мы как-то на пивзавод.

Крупное, знаменитое предприятие, с множеством брендов…

– Звучит как начало классной истории…

– Так и есть! Мы приехали туда. Причем именно с целью проверки их системы безопасности внутри непосредственно производственной части предприятия. Задание такое было – пробраться в производство и понять, как варить крафтовое пиво.

Ищем. Приходит время обеда. Все идут не в местный ресторан, а в столовку за периметром предприятия, – там едят офисные работники соседних бизнес-центров, потому что дешево и вкусно. Пошли и мы.

Заходим. Вижу – на стене большой сенсорный экран с меню. Там можно посмотреть состав блюда, энергетическую ценность, стоимость и все в этом духе. У меня глаза загорелись, потому что моим хобби раньше было выводить такие экраны из так называемого режима киоска. То есть программу с едой можно свернуть и получить обычный интерфейс Windows или Linux.

– Так-так…

– Говорю коллеге: «Пойдем посмотрим. Я прям чувствую – там что-то есть».

Подходим, тыкаем, выходим из режима киоска и видим, что есть и выход в интернет, и подключение к корпоративной сети нашего пивзавода. Вот это удача!

Дело в том, что компьютер-экран не контролируется предприятием, но при этом имеет с ним связь. Получается, злоумышленнику не надо проникать на территорию завода и обходить защиту корпоративной сети для доступа к ней. Злоумышленник может зайти в столовую, вывести экран из режима киоска, загрузить со своего сайта вредоносное ПО и все. Уже дома он подключается при помощи установленного ПО к экрану и переходит в сеть пивзавода.

Правда, доступ этот будет только к корпоративной сети, а не к производственной системе. Но это вопрос времени, поскольку, закрепившись в корпоративной сети, можно найти компьютеры местных айтишников и уже через них, проэксплуатировав одну-другую уязвимость, войти и в производственную систему. Собственно, мы смогли сымитировать такой взлом и описали его в отчете для руководства пивзавода.

– И не было никаких проблем?

– Нет, конечно. Мы же узнали про этот вектор в рамках заказанного компанией пентеста (пентест – это контролируемый взлом системы для выявления и последующего исправления слабых мест в ее защите, – прим. ред.). Нам были только благодарны. Мы нашли проблему, и мы же помогли ее исправить.

– А как изменились отношения российских кибербезопасников с иностранными клиентами после 24 февраля 2022 года? Стали ли вас реже звать на объекты?

– Поначалу было такое: нас исключали из различных рабочих групп, отказывались от нашей экспертизы… Но это были спонтанные и необдуманные решения. К текущему моменту почти все вернулось на круги своя.

У нас как были, так и есть клиенты почти по всему миру: в Латинской Америке, Азиатско-Тихоокеанском регионе, на Ближнем Востоке и не только. В этих регионах есть локальные представители нашей компании, которые общаются с клиентами буквально на одном языке. Они имеют доступ к той инфраструктуре, которую клиенты доверяют своим ИТ- и ИБ-специалистам.

Во многом высокая степень доверия к нам сохраняется за счет наших так называемых центров прозрачности. Все, кто сомневаются в работе систем «Лаборатории Касперского», могут приехать в специальное место, сесть, изучить исходный код наших продуктов и убедиться в их надежности.