Пленарная сессия «День оператора» на отраслевом форуме CSTB.PRO.MEDIA посвящена информационной безопасности, которая в последние годы стала одной из наиболее острых проблем для медиаиндустрии. Спикеры рассказывали о широком спектре угроз — от пиратства до применения боевых средств РЭБ против спутниковых вещателей.
- Введение
- Специфика DDoS в медиасегменте
- Атаки на операторов спутникового телевидения
- Атаки на инфраструктуру
- Вечная проблема пиратства
- Специфика защиты
- Выводы
Введение
Двадцать седьмой форум CSTB.PRO.MEDIA 2025 прошёл в Москве 25 и 26 февраля. Событием стала специальная сессия по информационной безопасности. Темы ИБ и раньше обсуждались на этом мероприятии, но ключевыми не были.
Дискуссию «Вопросы кибербезопасности. Как операторам защитить каналы связи и инфраструктуру от DDoS-атак» модерировал президент ассоциации «Ростелесеть» Олег Грищенко. Обращаясь к аудитории, он отметил, что в отрасли долгое время практиковался подход к ИБ по остаточному принципу. Только после вала атак на проблему начали обращать внимание представители профессиональной сферы, регуляторы и бизнес. В лучшую сторону ситуация меняется не так быстро, как того хотелось бы.
Генеральный директор «Синтерра Медиа» Григорий Урьев отметил, что в медиакомпаниях специалистам по ИБ не хватало умения работать с имеющимися ресурсами, что усугубляло проблемы.
Поскольку отрасль производит свои продукты для чрезвычайно широкой аудитории, случившиеся инциденты вызывали широкий резонанс.
Специфика DDoS в медиасегменте
Участники дискуссии назвали DDoS-атаки бичом отрасли. По данным Selectel, которые привели «Ведомости», в 2024 году одна из самых мощных атак (более 1,14 Тбит/с) была направлена именно против медиа — ВГТРК.
Всего против клиентов Selectel было проведено более 112 тысяч DDoS-атак. Многие сталкивались с ними ещё до 2022 года. Как напомнил директор по продуктам кибербезопасности EdgeЦентр Максим Большаков, были попытки сорвать трансляции матчей с помощью DDoS-атак мощностью до 2 Тб, очень высокой даже по нынешним временам.
Как отметил Григорий Урьев, по сравнению с мировыми российские медиа находятся под меньшим давлением. Выступающий сослался на данные Cloudflare по итогам 2024 года: медиа впервые вошли в топ-10 самых атакуемых отраслей, и соответствующий показатель растёт опережающими темпами (рис. 1). В России же, по интегральной оценке, сегмент медиа находится лишь на 15-м месте (рис. 2). В первую десятку, по прогнозу докладчика, он попадёт лишь через полтора-два года.
Рисунок 1. Ситуация с DDoS-атаками в мире
Рисунок 2. DDoS-атаки в России
В комментарии для Anti-Malware.ru Григорий Урьев обратил внимание на очевидный сезонный характер атак на медиа:
«Часто такие атаки связаны со значимыми событиями или трансляциями особо важных мероприятий (парада 9 мая, единого дня голосования, прямой линии президента, его послания Федеральному Собранию), которые проходят примерно в одно и то же время. Связано это с тем, что у таких событий очень большой охват, общественная значимость и, как следствие, самый высокий медийный эффект».
Такую же тенденцию обнаружила и RED Security. Например, в феврале 2024 года доля сегмента СМИ и медиа в общем объёме атак превысила 15 %, тогда как в остальные месяцы удельный вес был втрое ниже.
Участники дискуссии сошлись во мнении, что для достижения эффекта злоумышленникам нет необходимости полностью «забивать» канал. Достаточно довести сетевую задержку до такого уровня, чтобы передача сигнала или потоковое вещание стали невозможными. Для этого нужно меньше ресурсов.
Злоумышленники постоянно меняют техники и тактики атак. В существующих условиях борьба с ними является серьёзным вызовом. В итоге, как предупредил директор по вещательным и информационным технологиям «Триколора» Денис Филипишен, к DDoS-атаке нельзя быть готовым, по крайней мере на все 100 %.
По мнению Максима Большакова, значительная часть атак остаётся политически мотивированной. По-прежнему в них вовлечены большие массы людей, прежде всего молодых. На различных онлайн-ресурсах много инструкций, как можно присоединиться к атакам. Даже изменение геополитической ситуации вряд ли приведёт к снижению количества атак, по крайней мере в ближайшем будущем. Плюс ко всему, есть прогнозы, что место хактивистов быстро займут финансово мотивированные злоумышленники.
Атаки на операторов спутникового телевидения
Нападения на российские вещательные каналы стали представлять заметную угрозу примерно через год после начала СВО. Так, 28 февраля 2023 года в 15 российских регионах в радио и телеэфире прошли ложные сообщения о воздушной тревоге. МЧС России объяснило инцидент кибератакой.
Через два месяца российские спутниковые операторы столкнулись с нарастающей волной помех, инициированных на территории Украины. 5 апреля соответствующее заявление выпустил российский МИД. Стоит отметить, что попытки противодействия работе аппаратов «Ямал» и «Экспресс» были и раньше, с апреля 2022 года.
Атаки достигли пика к июню 2023 года. Тогда мощность помех оказалась настолько высокой, что бороться с ними радиосредствами стало невозможно. Проблему признали все операторы спутникового вещания: «Триколор», «НТВ Плюс», «МТС ТВ», «Орион Экспресс» (торговая марка «Телекарта»). По словам Дениса Филипишена, противоборствующая сторона использовала даже военные средства радиоэлектронной борьбы.
Полностью устранить проблемы удалось только через несколько месяцев, к ноябрю 2023 года. Как отметил Денис Филипишен, пришлось менять спутник, с которого идёт вещание, инвестировать средства в строительство нового центра космической связи (телепорта). Затраты «Триколора» составили сотни миллионов рублей. Тем не менее, представитель оператора подчеркнул, что для устранения угроз данного вида оказалось полезным импортозамещение.
По словам Григория Урьева, в 2023 году помехи на спутниковых каналах связи оказались основным драйвером роста наземной доставки. Вещатели и операторы стали массово переходить на наземные каналы связи, оставив спутники в качестве резерва (рис. 3). Наземные каналы, отключенные от публичного интернета, практически не подвержены DDoS-атакам, заметил директор проекта «Медиалогистика» MSK-IX Григорий Кузин.
Рисунок 3. Основные показатели российского B2B-рынка доставки ТВ-сигнала
Атаки на инфраструктуру
По мнению Григория Урьева, целью злоумышленников становятся производственные комплексы создателей контента и вещателей, а также ИТ-инфраструктура конечных операторов. Григорий Кузин назвал последних главным слабым звеном во всей цепочке, поскольку многие из этих компаний традиционно пренебрегают информационной безопасностью. По его оценке, для атак уязвима и инфраструктура вещателей.
Как отметили участники дискуссии, в ходе атак злоумышленники стремятся нанести максимальный ущерб. Атаки направлены на шифрование данных, к которым удаётся получить доступ, в том числе резервных копий. В ходе атак сведения всё чаще полностью уничтожаются, утверждает Григорий Урьев.
Олег Грищенко дополнил, что при атаках на конечных операторов злоумышленники часто сбрасывают настройки сетевого оборудования, что приводит к длительным простоям и большим убыткам. Впервые такой подход использовали проукраинские злоумышленники в ходе атаки на провайдера «Миранда-медиа», работающего в Крыму, в мае 2023 года. На полное восстановление его функционирования ушло более месяца, причём большую часть этого времени биллинговая система простаивала.
Конкретные векторы нападений участники дискуссии не назвали. Если обобщить данные разных ИБ-компаний, основными причинами инцидентов являются фишинг, нарушение сотрудниками политик ИБ, заражение вредоносными программами, эксплуатация уязвимостей и взлом учётных записей.
В сегменте медиа пока нечасто разворачиваются атаки через цепочки поставок, но их количество быстро растёт. Такие инциденты опасны тем, что, взломав конкретную компанию, злоумышленники получают доступ ко всем её клиентам, предупредил Григорий Урьев.
Как обратил внимание Олег Грищенко, злоумышленники часто комбинируют разные виды атак. Например, DDoS часто используют для маскировки других действий.
Вечная проблема пиратства
Фактически речь идёт о двух разных явлениях: краже контента и неправомерном доступе к сигналу с помощью специально сконструированного или модернизированного клиентского оборудования. Итог один — прямые финансовые потери. В случае с контентным пиратством к ним добавляются репутационные и имиджевые.
Григорий Кузин назвал утечки контента главной угрозой для компаний, которые занимаются его доставкой. То же самое касается вещателей и конечных операторов. Риск утечки существует на всех участках и узлах, где есть взаимодействие с публичным интернетом. Минимизировать риск утечки позволяют шифрование и специальные платформы распространения контента, куда посторонним доступ максимально затруднён.
К слову, шесть из восьми утечек популярных сериалов произошли как раз по вине вещателей. Объектами хищения стали эпизоды сериалов «Шерлок» (к слову, причиной оказалась халатность сотрудника российского «Первого канала»), «Доктор Кто», «Флэш», «Супергёрл», «Карточный домик». Пятый сезон «Оранжевый хит сезона» и часть эпизодов того же сезона «Игры престолов» были украдены с целью вымогательства. После того как владельцы отказались платить выкуп, похищенные серии выложили в открытый доступ.
Проблема неправомерного доступа к спутниковым каналам актуальна и для операторов. Как отметил Денис Филипишен, любители бесплатного просмотра воспользовались тем, что иностранные вендоры ушли с российского рынка. Отсутствие поддержки и обновлений их оборудования и ПО доставило много проблем российским спутниковым операторам.
Как отметил Денис Филипишен, «Триколору» пришлось разработать собственную версию сервиса CAS (Conditional Access System, система условного доступа), с помощью которого обеспечивается безопасность сигнала. Такие сервисы, как и смежные DRM для защиты контента, являются стратегически важными для медиаотрасли. Спикер ожидает, что на рынке будут предложены отечественные аналоги.
Специфика защиты
По словам Максима Большакова, «умным» атакам должны противостоять адекватные средства защиты. Это касается всех видов нападений, как DDoS, так и направленных на уничтожение данных в инфраструктуре. Максим Большаков высоко оценил российские технологии защиты от DDoS, которые за три года доказали свою эффективность.
Григорий Урьев напомнил, что у отрасли очень высокие требования к сетевой задержке. Защиты от DDoS на уровне оператора недостаточно. Для построения эффективной обороны необходимы периметровые NGFW, которые нейтрализовали бы «мусорные» пакеты, пропущенные фильтрами на стороне оператора. Однако такие средства только появляются на рынке, и их цена довольно высока.
Инвестиции в оборудование Григорий Урьев оценил в 46 млн рублей в расчёте на три года. На закупку оборудования потребуется 10 млн рублей, остальные средства будут направлены в фонд оплаты труда (рис. 4). Из-за дефицита кадров и зарплатной гонки стоит ожидать увеличения соответствующих расходов. Например, за второе полугодие заработная плата ИБ-специалистов в России выросла на 20 %, такова «средняя температура по больнице». Опытные специалисты в предметной области рассчитывают на более существенное вознаграждение.
Рисунок 4. Структура затрат на построение защиты от DDoS-атак
Решением может стать использование сервисной модели, что позволит снизить затраты более чем втрое. Кроме того, уменьшатся и регуляторные риски. Все компании, которые занимаются доставкой телесигнала, относятся к критической информационной инфраструктуре. Стоит учитывать, что в случае серьёзного инцидента в её периметре виновные несут ответственность вплоть до уголовной.
Максим Большаков назвал важнейшей задачей формирование сценариев реагирования на угрозы. Также он выразил надежду, что появятся инструменты, где используется искусственный интеллект и продвинутая аналитика.
Денис Филипишен возразил, что технические средства не всегда могут выявить те или иные виды атак, например связанные с подменой контента. Надёжным способом остаётся традиционный визуальный мониторинг, о чём нельзя забывать.
Олег Грищенко назвал важной задачей формирование стратегии кризисного PR в случай инцидента. Это позволит сократить возможный ущерб от оттока клиентов, который может достигать 20 % в случае серьёзного перерыва вещания.
Выводы
В плане DDoS и атак на инфраструктуру для медиа-отрасли во многом характерны те же угрозы, что и для всех остальных. Значимы специфичные угрозы в отдельных сегментах, например помехи в работе спутниковых каналов или злонамеренные действия инсайдеров, связанные с неправомерным доступом к контенту.
Серьёзным фактором остается недостаточная зрелость ИБ-служб в медийных компаниях, что усугубляется кадровым дефицитом. Выходом должно стать широкое использование ИБ-сервисов от внешних компаний.
К сожалению, признаков сокращения атак на отрасль не просматривается. Даже в случае снижения геополитической напряжённости атак вряд ли станет меньше. Скорее всего, их организаторы будут мотивированы не столько политическими соображениями, сколько финансовыми.
