FAQ по информационной безопасности компаний медиарынка

Наступление новой реальности, в которой мы живем и работаем в последние месяцы, принесло и новые вызовы всем участникам медиарынка. Один из главных — участившиеся кибератаки на вещателей и аудиовизуальные сервисы. Пообщавшись с экспертами "Лаборатории Касперского", и представителем компании Haivision — поставщика решений для IP-передачи видео, я подготовил материал в формате наиболее актуальных вопросов об обеспечении ИБ и ответов на них.
 
Q: Действительно ли компании медиаотрасли стали больше подвергаться кибератакам?
 
A: Да, количество атак на российские компании из всех секторов бизнеса увеличилось. Не является исключением и медиарынок. Но, если раньше основными мотивами хакеров были вымогательство, кража данных и пиратство, то сейчас они в основном связаны с созданием препятствий в работе того или иного сервиса или подменой контента.
 
Руководитель программы сетевой безопасности АО "Лаборатория Касперского" Максим Каминский называет это "хактивистским вандализмом", когда действия атаки направлены на то, чтобы разрушить инфраструктуру различных компаний для демонстрации приверженности той или иной идеологической или политической позиции. В этом смысле медиакомпании являются наиболее привлекательной целью, так как атака на них дает больший эффект с точки зрения охвата аудитории. Если же атакуют компанию из другого сектора, то широкой аудитории это может быть вообще неизвестно.
 
Q: Кто находится в большей зоне риска — крупные медиахолдинги или небольшие региональные вещатели?
 
A: Менеджер по сопровождению корпоративных проектов "Лаборатории Касперского" Денис Поршин, пояснил, что для злоумышленников остановка вещания крупной компании является более привлекательной целью по сравнению с другими видами ущерба, так как это вызовет больший резонанс. Поэтому такие попытки будут предприниматься постоянно. В то же время небольшие вещатели, как правило, гораздо более уязвимы, потому что на их взлом требуется меньше усилий. Поэтому однозначно сказать, что риск атаки напрямую зависит от масштаба компании нельзя.
 
Q: Можно ли сказать, что у участников медиарынка более низкий уровень ИБ, чем у компаний их других секторов бизнеса?
 
A: Однозначно так говорить нельзя. В любом секторе все зависит от конкретной компании, ее финансовых возможностей и отношения к собственной безопасности. Отдельно можно выделить игроков финансового и нефтегазового сектора, где требования к кибербезопасности априори максимально высоки.
 
В то же время медиарынок отличается от других тем, что на нем существуют сложные цепочки производства и доставки контента. Чем больше звеньев в себя включает такая цепочка, тем больше возможностей открывается для осуществления атаки.
 
По опыту Максима Каминского, повышенная уязвимость медиакомпаний связана со сложной цепочкой поставок контента, в которую кроме производителя, вещателя, дистрибутора, платформы доставки и оператора может входить большое количество субподрядчиков. Он напомнил случай со взломом электронного телегида (EPG), поставщиком которого для большого количества медиаресурсов являлась сторонняя компания. Когда зрители увидели вместо наименования телепередач другой текст, они решили, что атаке подверглись телеканалы. На самом же деле взломали компанию, которая находилась в конце цепочки поставки контента для EPG. Таким образом ни вещатели, ни операторы никак не могли повлиять на эту ситуацию с точки зрения обеспечения информационной безопасности.
 
Q: Какие звенья в цепочке поставки контента наиболее уязвимы?
 
A: Атаке может подвергнуться любая компания в цепочке. Чаще всего хакеры осуществляют взлом через корпоративную сеть, так как она обычно меньше всего защищена. В офисе работает много людей, каждый из которых может поневоле стать "помощником" при осуществлении атаки.
 
Денис Поршин привел статистику, по которой в 2020 году атаки на компании в 49% случаев происходили через корпоративную почту. Поэтому руководителям и сотрудникам компаний крайне важно крайне ответственно относиться к работе с электронной почтой — не открывать сомнительные письма и не переходить по неизвестным ссылкам.
 
Учитывая, что в вещательном тракте участвует много компаний, любая из них может оказаться такой точкой входа. Злоумышленники ищут место в цепочке, которое проще всего атаковать. Перед каждой атакой на любую компанию происходит ее изучение на предмет уязвимостей. Собрав всю информацию, принимается решение, как проще осуществить атаку. Даже если вся цепочка передачи контента качественно защищена, но одна компания будет уязвима, атака придется на нее. Поэтому важно, чтобы все участники медиарынка ответственно относились к обеспечению ИБ.
 
Q: Не все компании обладают финансовыми и кадровыми ресурсами для обеспечения высокого уровня ИБ. Какие варианты решения этой проблемы есть у них?
 
A: Стоимость решений по обеспечению ИБ напрямую зависит от масштаба компании. Крупный медиахолдинг с распределенной инфраструктурой и тысячами рабочих мест вынужден будет потратить значительную сумму на кибербезопасность. Если говорить о небольшой компании с одним офисом, то затраты будут пропорционально ниже.
 
Существуют различные подходы к обеспечению безопасности. Если у компании в штате есть собственные специалисты, возможно ей будет проще приобрести решение, которое они сами установят и настроят. Если же таких специалистов нет, то можно рассмотреть вариант с привлечением аутсорсинга, когда информационной безопасностью будет заниматься сторонний подрядчик, имеющий соответствующие компетенции. Но в перспективе этот подход может оказаться дороже, чем поиск штатных специалистов и покупка собственной ИБ-системы.
 
По словам Максима Каминского, прежде чем принимать решение о выборе того или иного варианта, собственник бизнеса должен просчитать финансовые риски. Вполне может оказаться так, что потери от возможных перебоев в вещании будут ниже, нежели затраты на конкретные решения для обеспечения безопасности.
 
Q: Существуют три способа доставки телесигнала от вещателя до оператора: спутник, закрытые оптоволоконные сети и открытый интернет. Какой из них более уязвим с точки зрения ИБ?
 
A: Существует расхожее мнение, что если большинство атак производится через открытый интернет, то и способ доставки контента через IP-сеть наиболее уязвим. Но это заблуждение.
 
Директор по развитию бизнеса в СНГ компании Haivsion Александр Грицук выделил три основных вида угроз: подмену контента, DDoS-атаки с целью блокирования трансляции и перехват сигнала.
 
Чтобы осуществить подмену контента, необходимо получить доступ к настройкам платформы, которая осуществляет его передачу. Как уже говорилось выше, проще всего это сделать через взлом корпоративной сети. При этом IP-протокол передачи видео, в нашем случае SRT, не играет никакой роли, так как используется непосредственно в момент передачи готового контента, а не при его формировании.
 
DDoS-атаки более актуальны, когда речь идет об осуществлении трансляции через открытый интернет. Если злоумышленник знает IP-адреса, по которым ведется трансляция, он может их атаковать. Но и в этом случае проблема заключается не в IP-протоколе, а в общем уровне ИБ компании. Протокол передачи видео начинает работать в момент, когда установилось соединение по порту.
 
Александр Грицук пояснил, что оборудование, которое осуществляет отдачу и прием SRT-протокола должно находиться внутри периметра сетевой защиты. Кроме того, оно позволяет использовать энное количество IP-адресов и быстро переключаться между ними или осуществлять параллельный прием по разным физическим входам. Это означает, что компания может подключить к серверу сразу несколько интернет-провайдеров и разные пулы IP-адресов. Если по какому-то из них идет атака, автоматически будет производиться переключение на другой порт.
 
Также протокол SRT может инициировать передачу данных в обе стороны — как от передатчика к приемнику, так и от приемника к передатчику. Если IP-адреса компании находятся под угрозой, можно инициировать сессию в обратную сторону, что является дополнительной защитой.
 
Проблема с перехватом сигнала сейчас наименее актуальна, так как требует наибольших затрат от злоумышленников. Тем не менее, это вариант взлома имеет место. Уже в момент создания протокола SRT, в нем была реализована функция закрытия потока с помощью шифрования AES-256 или AES-128. Это значит, что на передающей стороне задается ключ, без которого принять поток невозможно. Теоретически сигнал можно перехватить в публичной сети, но его невозможно будет дешифровать.
 
Перехват возможен и при его передаче со спутника. Злоумышленник может поднять несущую в тех же частотах на которых работает спутник. При этом найти локацию, из которой это происходит — очень нетривиальная задача. Но даже, если вы ее найдете, она может находиться, например, на территории другого государства, поэтому оперативно пресечь такое вмешательство будет крайне сложно.
 
Наиболее сложно осуществить перехват потока в закрытой оптоволоконной сети. Для этого потребуется больше усилий и наличие дорогостоящего оборудования. А отследить такой взлом и перенаправить данные по резервному каналу совсем не сложно.
 
Максим Каминский резюмировал, что в целом получается, что не так важно, каким видом доставки пользуется вещатель, если взлом производится не с помощью перехвата сигнала, а через корпоративную сеть компании. Например, если сотрудник спутникового оператора откроет письмо с вредоносной программой, произойдет точно такое же проникновение в сеть, как и у условного домового оператора. Просто масштабы возможных последствий будут разными.
 
Q: Каковы примерные сроки внедрения мер, позволяющих компании защититься от взломов?
 
A: Все зависит от масштабов, размера инфраструктуры и бюрократии внутри компании. Внедряя средства защиты, подрядчику нужно согласовывать доступы, выделение ресурсов внутри заказчика и так далее. Поэтому все индивидуально. По словам Дениса Поршина, в неких идеальных условиях в небольшой компании на 20-30 компьютеров можно подключить все средства защиты за 2-3 недели.
 
Q: Каковы базовые рекомендации по обеспечению ИБ в медиакомпании?
 
A: В целом они ничем не отличаются от рекомендаций для компаний из любой сферы деятельности. Во главе угла так называемая "цифровая гигиена" сотрудников. Они должны понимать, что нельзя использовать простые пароли на рабочих компьютерах, нельзя хранить их в общедоступных местах, нельзя открывать письма с сомнительным содержанием и переходить по непонятным ссылкам.
 
Если брать более профессиональные уровень, то Александр Грицук советует не устанавливать оборудование с внешними IP-адресами вне защищенного периметра сети компании, регулярно менять пароли на доступ к управлению оборудованием, использовать шифрование IP-потока и вести журнал портов, чтобы знать какой из них для чего задействован. 
 
Денис Поршин добавил к этому, что сейчас при выборе системы безопасности однозначно стоит рассматривать решения по защите от целенаправленных атак, защите почты от спама и фишинга и антивирусные программы. Это та база, которая должна быть в любой компании, которая беспокоится о собственной ИБ.