14 сентября Минфин США объявил о новом пакете санкций против российских физических и юридических лиц. В их число попала российская компания «Солар», работающая в сфере ИБ.
14 сентября Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело около 100 санкций против российских руководителей и ряда российских промышленных компаний, финансовых институтов и вендоров. В число пораженных в правах попал ряд российских компаний, в том числе тех, кто выпускает продукцию для гражданского применения. Среди них оказалась компания ООО «Solar Security». Это – прежнее название, которое до 14 сентября носила компания «РТК-Солар».
Официальная причина для наложения санкций – «оказание давления и введение экономических ограничений для подрыва потенциала России для ведения боевых действий против Украины».
Если конкретно, то в вину компании ООО «Солар Секьюрити» («Солар Секьюрити») поставлена ее сфера деятельности: «анализ угроз и предотвращение вторжений, участие в строительстве и поддержке систем кибербезопасности, а также обладание лицензией ФСБ России на разработку, производство и распространение средств шифрования». Такой набор предъявленных обвинений выглядит более чем странным.
Как сообщает ТАСС, в пресс-службе «Ростелеком-Солар» уже отреагировали на появление в санкционном списке Минфина США и отметили, что это «не отразится на ее операционной деятельности. <…> На сегодняшний день все решения и технологии компании импортозамещены. <…> «Солар» продолжит работать в штатном режиме».
Ребрендинг «Солар» не связан санкциями
Отметим также, что в этот же день (14 сентября) группа компаний «Солар» презентовала свой обновленный бренд и сообщила о разделении бизнеса на два направления с созданием двух автономных подразделений: работа 1) с коммерческими и 2) государственными заказчиками. Каждая из новых компаний будет функционировать под собственным брендом. Отдельно будет запущен Центр исследования киберугроз Solar 4RAYS, сформирована система доменов экспертизы; набор продуктового предложения будет дополнен услугой управленческого консалтинга.
Проводилось ли разделение компании с учетом предстоящего появления в санкционном списке? Ни во время ребрендинга, ни в кулуарах мероприятия не сообщалось об этом.
Интервью с топ-руководителем «Солар»
В кулуарах мероприятия по ребрендингу мы задали несколько вопросов Владимиру Дрюкову, директору центра противодействия кибератакам Solar JSOC. Как минимум, мы (издание Anti-Malware.ru) не знали на тот момент о предстоящих изменениях (введении санкций). Но полученные в интервью ответы позволяют лучше понять позицию компании «Солар». Они также позволяют оценить объективность выдвинутых против нее обвинений и наложении санкций.
Anti-Malware.ru: В последнее время в мире встречаются две различные доктрины безопасности: наступательная и оборонительная? Какой модели придерживаются в «Солар»?
Владимир Дрюков: Выбор доктрины не меняет принципиально то, что происходит в реальности. Он скорей характеризует «импульс», который потом трансформируется в принятие тех или иных решений при реализации оборонительных мер в ИБ.
Здесь очень важна граница. Когда мы говорим о наступательной кибербезопасности, то речь идет о том, что внутри страны могут создаваться команды, которые нацелены на профессиональный взлом чужих (иностранных) инфраструктур, шпионаж, добычу данных, осуществление деструктивных действий, атаку на опережение и т. д.
Можно рассмотреть гипотетический пример: давайте взломаем электростанцию, чтобы в городе случился блэкаут (системная авария в энергосистеме, сопровождаемая массовым отключением потребителей). Это позволит выполнить другие наступательные действия.
Но данная концепция бесконечно далека даже от нашей текущей доктрины (которой придерживается «Солар»).
Но есть другая история. Если вас «ломают» с определенного хакерского ресурса и вы знаете местонахождение его центра управления, то в распоряжении защищающихся есть инструменты, которые позволяют взломать и удалить «вирусное тело» нападающих, т. е. <совершить> инвазивные действия против атакующего. Но это уже другая, «серая» область в системах безопасности.
Действительно, некоторые <за рубежом> активно используют именно эту модель. Например, известны случаи, когда ФБР пропатчила все роутеры, взломав их и установив свои обновления. Таким путем был обезврежен центр управления нападающей стороны, что позволило удалить «вирусное тело» отовсюду в сети – они запускались «от кнопки» в центре управления.
Эта функциональность была бы полезна для тех, кто занимается практической кибербезопасностью. Но мы сейчас не имеем права применять воздействие против атакующего. Возможно, эта доктрина будет изменена через какое-то время (но пока этого не произошло).
С другой стороны, американская сторона не просто применяет, а предлагает размещать соответствующие инструменты в продуктах. Это позволяет иметь возможность реализовать подобные защитные действия. Нечто похожее наблюдается в российской зоне ответственности.
Пока мы («Солар») видим «серое поле» – инвазивное воздействие на атакующую инфраструктуру. Фактов предварительного захвата оборудования (со стороны атакующих) пока не видно. Эта «зона» для нас по-прежнему остается под запретом.
Что можно добавить к сказанному?
Вернемся к событиям 2010 года. Тогда стало известно о кибероружии в виде червя под названием Stuxnet.
Сначала нападающая сторона сумела подбросить вредоносный код на USB-накопитель иранского рабочего. Он занес код в государственные компьютерные сети. В результате вирус распространился, заразив в общей сложности 15 крупных государственных объектов, в том числе главную цель — иранский ядерный объект в городе Нетензе (Natanz).
После «нажатия кнопки» установленные на предприятии центрифуги вышли из-под контроля и перешли в ускоренное вращение. Процесс продолжался до их разрушения. Согласно обнародованным данным, было выведено из строя более 900 центрифуг, при этом рабочие предприятия могли только беспомощно наблюдать за происходящим.
Уже в 2012 году американское издание The Washington Post опубликовало не только информацию о создателе первого экземпляра «кибероружия», но и объявило о законности данного вида воздействия.
Как оказалось, решение о применении было выдано в рамках действующей Президентской политической директивы (PPD-20). В соответствии с духом того времени она ограничивала использование деструктивного наступательного кибероружия только контролем со стороны первого лица государства (на тот момент, президента Барака Обамы). Это была первая публичная демонстрация того, что в США перешли на наступательную доктрину безопасности.
«Солар» и санкции
Изложенные в этой статье факты позволяют дать оценку попаданию компании «Солар» в санкционные списки.
При отсутствии прямых доказательств в совершении каких-либо деструктивных действий и, наоборот, существовании прямых подтверждений применения наступательной доктрины безопасности со стороны США, похоже, происходит раскачка рынка ИБ. Включение «Солар» в санкционный список выглядит как попытка навязать ложное мнение о компании и опорочить ее бизнес-деятельность.
Но остается вопрос: на кого будут распространяться санкции. Дело в том, что после ребрендинга такой компании, как Solar Security, не существует. Более того, компания с таким названием уже была переименована еще задолго до начала подготовки санкций. Против кого тогда они направлены?
Этот вопрос остается открытым, хотя, думается, речь идет скорей о политическом давлении, чем о практической стороне. Но придется подождать и посмотреть, как в реальности будут воплощаться санкции. Пока создается впечатление, что ничего особенно не произошло.