Без учений — тьма
Как готовят рунет к автономной работе в случае его отключения извне
Российские власти в 2022 году несколько раз заявляли, что ведется подготовка российского сегмента интернета к возможному отключению от глобальной сети. Для этого регулярно проводились киберучения с участием банков, операторов связи и крупнейших интернет-компаний, которые подтвердили, что российский сегмент сети сможет работать автономно. Подобные действия властей потенциально могут свидетельствовать о подготовке к новым санкциям и в целом эскалации ограничения доступа к информации, считают аналитики.
Российский сегмент интернета в случае отключения от общей сети сможет работать автономно, заявил в конце октября Сергей Хуторцев, директор Центра мониторинга и управления сетью связи общего пользования Главного радиочастотного центра (ГРЧЦ, подведомственен Роскомнадзору). По его словам, такой результат показали учения, которые были проведены в августе. Список их участников в текущем году был расширен, в него вошли в том числе владельцы крупных интернет-ресурсов: СМИ, финсектор, RuTube.
Учения актуальны, признают власти, тем более в свете геополитической ситуации. Число кибератак на Россию увеличилось в нынешнем году на 80%, докладывал президенту РФ 24 октября вице-премьер РФ Дмитрий Чернышенко: «Причем если в прошлом году основной целью кибератак был финансовый сектор, то в этом году — госсектор». По его словам, более 25 тыс. кибератак на госресурсы и 1,2 тыс. инцидентов на критической инфраструктуре были «успешно ликвидированы»: «Понятно, что эта борьба будет продолжаться всегда — против нас воюют кибервойска всех недружественных стран».
На сентябрьской конференции в Сочи Kaspersky Industrial Cybersecurity Conference 2022 представитель Национального координационного центра по компьютерным инцидентам при Федеральной службе безопасности (ФСБ) Алексей Новиков открыто заявил, что в текущем году был период, когда в правительстве всерьез обсуждалось отключение рунета от остального интернета: «Настолько серьезной была ситуация». По его словам, волна кибератак на пользовательские интернет-ресурсы и инфраструктурные элементы российского сегмента сети началась 24 февраля. С тех пор, отметил эксперт, атаки с переменной успешностью продолжаются по сей день, причем подавляющее большинство инцидентов пришлось на DDoS-атаки. Они представляют собой огромный объем трафика, генерируемого легитимными интернет-пользователями. «Надо отдать должное той стороне: им удалось очень быстро построить эффективный механизм вовлечения пользователей в эту деятельность»,— сообщил господин Новиков.
Косвенно сценарий отключения подтверждал весной и глава Минцифры Максут Шадаев, указывая, что, если Россию отключат от европейских точек обмена, она перенаправит интернет-трафик через Азию. По его словам, такой план рассматривал «Ростелеком». Он напомнил, что несколько международных точек обмена трафиками уже отключили российских операторов. В частности, на фоне СВО точка обмена интернет-трафиком LINX отключила от своих сервисов «Ростелеком» и «МегаФон». Минцифры уверяло, что это не повлияет на скорость интернета. Один из крупнейших магистральных провайдеров — американский Cogent — также стал отключать российских операторов, тогда как американский же облачный провайдер Cloudflare, напротив, отказался прекращать работу в РФ. Госдеп США, в свою очередь, призывал не отключать Россию от интернета, чтобы у россиян оставался свободный доступ к информации.
“Ъ” решил разобраться, из каких этапов состоят учения по отключению российского сегмента интернета от глобальной сети и какие последствия для пользователей они могут иметь.
Зачем проводят учения
Учения проводят в рамках реализации закона о суверенном рунете («О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"»), принятого в 2019 году. Он в том числе обязывает операторов связи, интернет-компании и владельцев технологических сетей и точек обмена трафиком принимать участие в мероприятиях «по целостности и устойчивости функционирования интернета к негативным внешним воздействиям на территории России не реже одного раза в год». План таких «маневров», которые могут проводиться как на федеральном, так и региональном уровне, утверждает Минцифры совместно с ФСБ, Минобороны, Федеральной службой охраны, МЧС и Федеральной службой по техническому и экспортному контролю (ФСТЭК). Предусмотрено проведение и внеплановых учений в случае появления угроз устойчивости сети — таким образом, они могут проходить несколько раз в год.
Если возникнет опасность нормального функционирования рунета, Роскомнадзор может взять на себя централизованное управление трафиком в утвержденном правительством порядке. Для этого на сетях связи операторов с 2019 года ведомство устанавливает технические средства противодействия угрозам, которые фактически представляют собой оборудование DPI (Deep Packet Inspection — глубокая фильтрация трафика). В случае угрозы операторы должны будут руководствоваться маршрутизацией трафика с учетом точек его обмена из специального реестра. С 1 января 2021 года для операторов связи вступило в силу требование пользоваться национальной доменной зоной. С этой же даты действует положение об обязанности госорганов использовать отечественные средства шифрования информации. Как отметил господин Хуторцев, чтобы российские ресурсы сети функционировали надежно, необходимо обеспечить их независимость от зарубежных программных библиотек и массовое использование отечественных сертификатов ключей шифрования для доступа к российским ресурсам.
Учения по кибербезопасности, объясняет источник, близкий к Минцифры, позволяют проверить, насколько качественно, эффективно и безопасно работают ключевые элементы интернета в стране: реестр адресно-номерных ресурсов, национальная система доменных имен, национальный удостоверяющий центр, который выпускает TLS-сертификаты, а также сети связи общего пользования. К участию в них приглашаются федеральные органы исполнительной власти, операторы связи и организации отрасли связи, например интернет-провайдеры, добавили в министерстве.
Что известно про учения
Первые учения по изоляции российского сегмента интернета в рамках закона о суверенном рунете были проведены в декабре 2019 года. Их задачей было обеспечение устойчивого функционирования интернета в России при любых обстоятельствах. Итоги в Минкомсвязи подвели в тот же день, признав учения успешными. По словам занимавшего на тот момент должность замглавы Минкомсвязи Алексея Соколова, в ходе них было проработано несколько сценариев.
Первый предусматривал обеспечение безопасности абонентов сотовой связи, включая защиту персональных данных и возможность перехвата их трафика и СМС, раскрытия сведений об их местонахождении. Во втором сценарии исследовались риски и уязвимости «умных» устройств, в том числе при использовании на объектах критической информационной структуры. Тогда источники «Ведомостей» рассказывали, что часть учений, в которой были задействованы федеральные операторы связи, прошла не слишком успешно: условному злоумышленнику удалось осуществить 62,5% атак через протокол SS7 и 50% атак через протокол Diameter. Через несколько дней в работе сетей сразу нескольких российских аэропортов возникли сбои.
В 2020 году Минцифры несколько раз переносило учения, которые по плану должны были проводиться в конце каждого квартала. В том году они должны были отрабатывать противодействие атакам с использованием уязвимостей узкополосных сетей интернета вещей, работу в условиях неисправности одного из фрагментов сети связи, а также «внешние дестабилизирующие воздействия техногенного и природного характера», противодействие атакам с использованием уязвимостей протокола BGP (Border Gateway Protocol — протокол граничного шлюза), который применяется для прокладки маршрутов передачи данных между автономными сегментами сети. Примечательно, что именно с помощью последнего механизма украинский оператор Lurenet в апреле после начала специальной военной операции на Украине перехватывал трафик крупнейших российских провайдеров. Из-за атаки сервисы, базирующиеся на этих сетях, были недоступны из разных стран в течение десяти часов (см. “Ъ” от 27 апреля).
В прошлом году, как ранее заявлял Дмитрий Чернышенко, учения проходили на пяти киберполигонах. Он заявлял, что будет расширяться как география, так и количество отраслей, защиту которых предстояло отрабатывать. В 2021 году усилия были сосредоточены на энергетическом, кредитно-финансовом секторе и инфраструктуре государственных органов. Весной 2021-го директор департамента информационной безопасности (ИБ) ЦБ Вадим Уваров сообщил, что киберучения для оценки защищенности российских банков от хакеров будут проходить дважды в год. ЦБ в 2021 году провел киберучения, в которых приняли участие 70 кредитных организаций, сообщил первый замглавы департамента ИБ ЦБ РФ Артем Сычев на «Инфофоруме-2022».
В 2022 году учения стали масштабнее относительно прошлых лет, говорит источник, близкий к Минцифры: «Они отличились числом привлеченных организаций (более 30) и количеством отработанных угроз. Эти учения показали готовность российского сегмента к устойчивой автономной работе». На учениях провайдеры выявляли угрозы и отрабатывали методы противодействия. Также рассматривали ситуацию отзыва/отказа в выдаче зарубежными центрами сертификации российским компаниям TLS-сертификатов. Учения показали, что российские ИБ-специалисты готовы отражать кибератаки и обеспечивать устойчивое функционирование российского сегмента, подчеркнул собеседник “Ъ”. В частности, “Ъ” в феврале узнал, что на фоне сообщений о возможных санкционных ограничениях США по поставкам в Россию новой электроники и поддержке существующей технологические учения проводил Сбербанк. На них моделировалось отключение IT-инфраструктуры банка от поддержки Microsoft, Nvidia, VMware, SAP и других компаний. С 15 июня по 15 июля, по данным РБК, «тестировалась возможность физического отключения российской части интернета».
В текущем году также проводились масштабные учения на сетях операторов связи и инфраструктуре СМИ: проверялись сценарии работы в условиях DDoS-атак, изменения маршрутизации трафика, атаки на DNS-серверы, рассказал “Ъ” источник, знакомый с ситуацией. По его словам, всегда используется реальная инфраструктура при участии регуляторов в лице ФСБ, ФСТЭК, ГРЧЦ, Роскомнадзора и Минцифры. Не только моделируются атаки и угрозы, но и отрабатываются сценарии процессов, необходимых для предотвращения последствий — речь идет, в частности, о коммуникациях с регуляторами, ответственными лицами, формировании документации и отчетов, прописывании механизма, что каждый должен делать в конкретной ситуации.
Ключевой параметр, по которому оценивается успешность учений,— время реагирования и предотвращения инцидента, объясняет собеседник “Ъ”: «Второй важный показатель — количество неучтенных сценариев и уязвимостей, необходимо подготовить список рекомендаций по их устранению». По итогам готовится доклад в правительство.
А это поможет?
Поэтапные шаги по защите госсайтов от отключения начались еще в марте. Правительство поручило всем государственным сайтам и сервисам до 11 марта перейти на использование российской системы доменных имен, отказаться от иностранных хостингов и счетчиков посещаемости сайтов, а также усилить «парольную политику». Но спустя полгода после предписания Минцифры убрать коды, загружаемые из-за рубежа, региональные госсайты продолжали ими пользоваться (см. “Ъ” от 28 октября). Эксперты связывали это с тем, что нарушение грозит всего лишь штрафом 5 тыс. руб., а использование иностранного кода в целом не несет рисков безопасности.
Более чувствительной является проблема использования зарубежных доменов. «Хотя единой кнопки блокировки России нет, можно разделегировать домен .ru — этого будет достаточно как эффективной базовой меры, чтобы наши сайты перестали открываться извне»,— объясняет заместитель гендиректора Zecurion Александр Ковалев. По его словам, в случае перехода на российскую систему доменов внутри страны интернет работать будет, но может потребоваться время на переключение: «При этом большая часть внешних посетителей не сможет получить доступ к таким сайтам, только если будет знать их IP-адрес».
У международного сообщества есть множество инструментов для отключения российского сегмента интернета от всемирной сети, говорит директор АНО «Информационная культура» Иван Бегтин: «Например, можно отрезать доступ в интернет для россиян на уровне оборудования магистральных провайдеров». Но в таком случае последствия для связности всей глобальной сети, отмечает эксперт, будут ощутимыми: «Через РФ идет трафик Казахстана и части азиатских стран». По мнению господина Бегтина, внешнее отключение маловероятно, но не исключено внутреннее ужесточение ограничений доступа и блокировок: «Для этого существуют так называемые белые и черные списки ресурсов». По похожей схеме работает закрытая модель интернета в Китае или Иране, обращает внимание Иван Бегтин: «В этих странах происходит усиленная централизованная модерация контента в сети».
К подобным событиям стали готовиться еще в конце 2018 года, когда был внесен законопроект о суверенном рунете, говорит независимый IT-специалист Филипп Кулин. По его мнению, отключение России от глобальной сети невыгодно ни российским, ни зарубежным разведывательным службам, поскольку это осложнит сбор информации. Тем не менее, говорит он, технически такая возможность есть, и наиболее жестким вариантом будет разделегирование доменов. «Одной из возможных целей киберучений могла быть как раз проверка ключевых информационных сервисов, например "Госуслуг", банков на возможность работы в подобных условиях»,— отмечает господин Кулин.
Также, полагает он, власти формируют список таких критически значимых ресурсов, работа которых в случае отключения рунета будет обеспечена. Не исключено также, что идет подготовка к новым санкциям, которые осложнят работу телекоммуникационного бизнеса, говорит Филипп Кулин: «Если ГРЧЦ продолжает упоминать тренд на возможное отключение рунета, значит, возможна эскалация этого процесса».