Развитие национальной системы кибербезопасности Ирана (2021)
Полковник Н. Турчин
Развитие национальной системы кибернетической безопасности Исламской Республики Иран (ИРИ) обусловлено следующими факторами:
- необходимостью обеспечения внутриполитической стабильности;
- постоянным кибернетическим воздействием (кибератаками) в отношении критической инфраструктуры Ирана;
- необходимостью создания и развития национальных структур информационной и кибербезопасности.
ИРИ находится в сложном геополитическом положении и глобальном противостоянии с основными внешнеполитическими соперниками - США, Израилем и государствами Персидского залива, прежде всего Саудовской Аравией и ОАЭ.
Этому способствует все возрастающая зависимость функционирования системы государственного и военного управления, социальной, экономической и транспортной составляющей Ирана от устойчивости и дееспособности обеспечивающей их информационной инфраструктуры.
При этом для республики спектр угроз в киберпространстве, исходящих от внешних источников, дополняется внутренним фактором: устойчивость иранской государственной системы зависит от внутриполитической ситуации, что, в свою очередь, связано с внутриэкономическими проблемами и сложной общественно-политической атмосферой, подверженной негативному информационному воздействию.
Постоянное использование внешними силами интернет-сетей для информационного воздействия на внутриполитическую ситуацию в стране также ориентирует Тегеран на приоритетное развитие эффективных механизмов по обеспечению контроля за интернет-пространством, мониторингу размещаемого контента и активности пользователей.
 |
| Сегменты киберопераций КСИР, иранских спецслужб и аффилированных кибергрупп |
 |
| Самой разрушительной по последствиям кибератакой против Ирана стала операция "Олимпик геймс", которая, как предполагает большинство исследователей, была спланирована и проведена США и Израилем |
 |
|
Эмблема киберполиции Ирана |
Иран, официально причисленный США к "оси зла", является одним из главных объектов кибератак со стороны американских спецслужб и их союзников - в первую очередь Израиля. Это не могло не побудить Тегеран к созданию собственного потенциала в сфере кибербезопасности как в части противодействия киберугрозам, так и в части развития систем по кибершпионажу и кибератакам на объекты критической инфраструктуры вероятных противников.
Поэтому потенциал в сфере кибербезопасности рассматривается Ираном в качестве одного из ключевых и эффективных инструментов (так называемой мягкой силы), а объектами иранских киберопераций являются США, Израиль, государства Персидского залива, а также ведущие западноевропейские государства.
Развитие национальных компетенций в сфере обеспечения кибербезопасности отображено в государственных программных документах. В частности, в рамках реализации национального плана экономического развития на 2016-2021 годы ИРИ планирует выйти на ведущее место в регионе по уровню кибербезопасности.
Иранские официальные лица при оценке системы национальной кибербезопасности указывают на ее поступательный рост, при этом неизменно отмечают ее защищенность от иностранного вмешательства.
Так, по оценкам, сделанным еще в 2013 году, потенциал ИРИ в этой области находился на четвертом месте в мире. Руководством генерального штаба ВС страны неоднократно отмечалось, что "республика в полной мере готова к противоборству в киберпространстве" и подчеркивалось, что несмотря на постоянные угрозы США в адрес Тегерана, Вашингтон вынужден учитывать потенциал Ирана в сфере информационных технологий. Как правило, высоко оценивают возможности страны большинство западных экспертов, относящих ее к числу шести государств мира с наиболее развитыми структурами кибербезопасности, наряду с США, Россией, Китаем, Израилем и Великобританией.
Израильский исследовательский центр INSS отмечал, что ИРИ имеет значительный потенциал для проведения кибератак и в случае начала противостояния между Ираном и западными странами он может быть использован в отношении критически значимых объектов инфраструктуры США и их союзников.
По данным доклада, опубликованного в 2015 году американской компанией по кибербезопасности LLC, Иран позиционировался в числе пяти ведущих стран мира с наиболее развитыми компетенциями в области кибербезопасности и проведения киберопераций. Не менее высокая оценка была дана в 2016 году руководителем АНБ и киберкомандованием ВС США, который отметил, что ИРИ становится одним из наиболее опасных противников в этой сфере наряду с Россией и Китаем.
В 2017 году научный совет министерства обороны США опубликовал отчет с выводом о возрастающем потенциале Ирана и КНДР по проведению кибератак в отношении США, а также о необходимости принятия усилий для их сдерживания, аналогичных мерам противодействия развитию ядерной программы этих стран.
Согласно оценкам американских специалистов, Иран готов к проведению киберопераций для блокирования систем управления критически важных военных объектов США. Аналогичные оценки приводились представителями администрации США, заявлявшими, что Тегеран подготовил почву для проведения масштабных кибератак на соответствующие объекты инфраструктуры США, западноевропейских и ближневосточных стран.
В то же время, несмотря на очевидный потенциал Ирана по противодействию кибератакам и проведению собственных акций, ряд иностранных специалистов отмечает ограниченные возможности Тегерана в этой сфере по сравнению с США, Россией и Китаем, в первую очередь из-за значительного технического отставания.
Большинство зарубежных исследователей указывало на то, что кибератаки, проводившиеся в отношении информационных ресурсов американских оборонных компаний, имели весьма ограниченный успех. Не подтверждались и сообщения о краже Ираном чувствительной информации. Аналогичные оценки давались и при анализе потенциала иранских хакеров при атаках на Израиль.
При оценке реальных возможностей Ирана в сфере кибербезопасности зарубежные эксперты отмечают два основных момента. Во-первых, несмотря на подчеркиваемую необходимость всего лишь обеспечить собственную кибербезопасность,
Тегеран стремится позиционировать свои возможности по киберпротивоборству в качестве весомого фактора воздействия на геополитических соперников. Во-вторых, западные, прежде всего американские, политики стремятся представить рост иранского киберпотенциала (как и его ядерной программы) в качестве национальной угрозы для обоснования наращивания давления на Тегеран и истребования дополнительных ассигнований для реализации собственных программ по развитию киберпотенциала.
При этом очевидно, что проведением довольно масштабных киберопераций против правительственных, военных и научных учреждений в США, Саудовской Аравии, западноевропейских и прочих государствах Иран продемонстрировал наличие дополнительного спектра возможностей ответного реагирования на возможную внешнюю агрессию.
Зарубежные источники признают, что иранские кибероперации могут служить примером довольно успешного противодействия стран третьего мира ведущим мировым державам в данной сфере. Также указывается, что достигнутый потенциал в сфере кибервозможностей вполне может использоваться Тегераном в качестве существенного довода в переговорном процессе с Вашингтоном и другими геополитическими оппонентами.
В то же время отмечается определенный спад киберактивности против Соединенных Штатов после заключения в 2015 году международного соглашения по иранской ядерной программе. При этом увеличилось количество киберопераций на региональном уровне против союзников США (в первую очередь Саудовской Аравии и Израиля), что отдельными западными наблюдателями воспринималось как сохранение косвенного давления на Вашингтон. После фактического демарша в мае 2018 года администрации Д. Трампа по отказу от соблюдения "ядерной сделки" американские спецслужбы прогнозировали риск возобновления Тегераном масштабных кибератак против Вашингтона.
Ранее самой разрушительной по последствиям (первой крупной) кибератакой против Ирана стала операция "Олимпик геймс", которая, как предполагает большинство исследователей, была спланирована и проведена США и Израилем. В рамках этой операции в 2010 году было осуществлено внедрение вирусного программного обеспечения "Стакснет" (Stuxnet) на один из важнейших объектов ядерной инфраструктуры страны - предприятие по обогащению урана. В результате перенастройки вирусом "Стакснет" систем управления объекта из строя вышли 1 368 из 5 000 имевшихся центрифуг по обогащению урана. Программа в теневом режиме изменяла их работу до критических значений, что в конечном итоге привело к износу и выходу из строя.
При этом операторы получали генерировавшиеся вирусом искаженные данные о работе оборудования, соответствовавшие нормальным показателям. Как отмечалось зарубежными экспертами, атака отбросила развитие ядерной программы Ирана на два года. При дальнейшем распространении этого вируса, по данным Совета по информационным технологиям Ирана, было пораженно более 30 тыс. промышленных компьютерных систем.
Операция по внедрению вируса "Стакснет" была кибератакой в классическом смысле (то есть дистанционной), поскольку исходно имело место внедрение программного обеспечения в информационную сеть с носителя, выполненное внедренными или завербованными агентами.
На это указывает тот факт, что информационная сеть объекта была локальной без какой-либо возможности внешнего доступа.
Считается, что кибератака против ядерной инфраструктуры Ирана стала пороговым моментом для иранского военного и политического руководства по форсированному развитию собственного потенциала в сфере кибербезопасности.
Следующим масштабным инцидентом стало выявление в 2012 году Национальной группой реагирования на чрезвычайные ситуации в киберпространстве (MAHER) и оказывавшими им техническую помощь специалистами российской компании "Лаборатория Касперского" новой вредоносной программы - "Флейм" (Flame). По их оценке, эта программа предположительно была связана с вирусом "Стакснет" ввиду ориентированности на поиск аналогичных уязвимостей.
Как сообщалось иранскими источниками, "Флейм" первоначально поразил порядка 1 000 компьютеров иранских госведомств, высших учебных заведений и частных компаний.
На протяжении 2012 года иранские официальные лица неоднократно заявляли о выявлении массированных кибератак на информационные ресурсы иранских организаций, в частности ядерных объектов, Центрального банка Ирана и нефтяных компаний. Например, сообщалось, что осенью 2012 года иранские финансовые учреждения подверглись атаке вредоносным программным обеспечением. В октябре того же года министр информации Ирана заявил, что специалисты ежедневно выявляют порядка 500 кибератак на свои информационные ресурсы.
После серии кибератак в 2012 году Тегераном периодически декларировался поступательный рост потенциала и возможностей противодействия внешним киберугрозам. Тогда было отмечено, что Иран входит в число стран, наиболее успешно противодействующих киберугрозам. Выявляется до 60% кибератак, тогда как в других странах этот показатель не превышает 25%
Иранскими официальными лицами отмечалось, что в 2014 году ежедневно отражалось более 1 000 кибератак, а в 2015-м уже до 10 000. В феврале 2015-го иранскими СМИ сообщалось об успешном отражении серии кибернападений на объекты научной и промышленной инфраструктуры, а в марте 2015-го центром реагирования на киберугрозы СОП были успешно отражены кибератаки США на иранские производственные объекты.
Как отмечают иностранные источники, при этом отмечалось, что иранские спецслужбы не смогли предотвратить кибероперацию, проведенную в мае-июне 2016 года (как указывалось саудовскими хакерами), в результате которой были блокированы и взломаны сайты статистического центра Ирана, министерства культуры, а также ряда посольств (в частности, России, Украины, Аргентины и Кыргызстана).
Наиболее заметной кибератакой на Иран стал взлом в июне 2017 года саудовской кибергруппой Team Bad Dream сайта министерства иностранных дел страны.
Тегеран также сообщал о серии кибератак, проведенных в феврале 2018 года и нацеленных на веб-сайты и серверы иранских СМИ, которые велись с IP-адресов в США и Великобритании. В апреле кибератаке подверглись серверные центры ряда иранских IT-компаний, в результате которых на части коммутаторов и маршрутизаторов производства американской компании Cisco был зафиксирован сброс настроек до уровня заводских (атаке подверглось порядка 35 000 маршрутизаторов). В ноябре того же года Ираном сообщалось о серии кибератак на телекоммуникационную инфраструктуру. При этом отмечалась высокая вероятность причастности к этим атакам Израиля.
Рост негативного информационного воздействия на внутриполитическую ситуацию в стране, вооруженные силы и другие структуры побудили иранское руководство к формированию национальных специальных служб информационной и кибернетической безопасности и кибертехнологий, кибервоздействие на иностранные объекты.
В конце 2002 года были созданы комитет по принятию мер в отношении запрещенных интернет-ресурсов, комитет по надзору за запрещенными веб-ресурсами, в который входили представители министерства разведки, культуры и исламской ориентации. В 2003 году высшим советом по информационной безопасности был разработан план по кибернадзору, ставший программным документом по комплексному мониторингу и контролю над киберпространством; в 2005 году для разработки политики и стратегии технологического развития создан высший совет по технологическим инновациям.
В рамках дальнейшей политики усиления контроля над киберпространством в 2009 году высшим советом культурной революции при главе государства был создан комитет по идентификации несанкционированных сайтов. В его состав входили генеральный прокурор, командование СОП, министры разведки, юстиции, телекоммуникаций и науки.
Позднее был создан комитет по выявлению криминального интернет-контента, также формируемый из представителей профильных министерств и ведомств.
Обеспечение кибербезопасности и проведение киберопераций изначально возлагалось на КСИР и министерство информации, однако деятельность их киберслужб носила автономный и довольно изолированный характер, преимущественно ориентированная на решение задач в ведомственных интересах, зачастую без уведомления и согласования с остальными госструктурами.
Создание сил кибербезопасности в структуре КСИР относится к 2008-2009 годам. Такое решение инициировалось на уровне Высшего совета по национальной безопасности. К этому же периоду относится установление со стороны Корпуса непосредственного контроля над деятельностью идентифицированных иранских хакерских групп.
Предложение о необходимости формирования централизованной системы обеспечения национальной кибербезопасности при ведущей роли КСИР было озвучено в декабре 2010 года. Помимо киберструктур, подчиненных непосредственно Корпусу, также предлагалось сформировать кибергруппы в структуре Сил сопротивления "Басидж".
В числе крупнейших базовых организаций по исследованию проблем кибербезопасности и профессиональной подготовки специалистов относятся Центр информационных технологий и кибербезопасности при Тегеранском университете, Исследовательский институт по киберпространству при Университете имени Шахида Бехешти, Центр перспективных информационных и телекоммуникационных технологий и Институт перспективных коммуникационных исследований, созданные при Технологическом университете имени Шарифа.
Несмотря на организацию в национальном масштабе иерархически выстроенной вертикали управления информационной и кибербезопасностью, ключевые компетенции, ресурсы и потенциал (особенно в части проведения киберопераций) в данной сфере по-прежнему сосредоточены в КСИР.
Непосредственное решение вопросов кибербезопасности и проведения киберопераций возлагается на командование по кибербезопасности. В его составе имеются база Ammar Cyber Base, подразделения киберопераций, специальные структуры по радиоэлектронной борьбе и кибербезопасности. Численность этих подразделений около 2 400 специалистов, а годовой бюджет оценивался в 76 млн долларов.
В структуре Сил сопротивления "Басидж" создана собственная координирующая структура - Совет по кибербезопасности, который ориентирован на обеспечение информационной безопасности и мониторинг сети Интернет.
В министерстве информации Ирана вопросы обеспечения кибербезопасности находятся в компетенции департамента технологий. Аналогичная собственная структура также имеется и в "Организации электронной промышленности Ирана".
В январе 2011 года в СОП создано специальное подразделение по борьбе с киберпреступностью - киберполиция (FATA). В начале 2016-го командующим СОП Ирана заявлено о создании в FATA специального центра реагирования на киберпреступления. Позднее сообщалось о создании Центра реагирования на чрезвычайные ситуации в киберпространстве, в функции которого входит отражение кибератак. В начале 2018 года в целях правового и законодательного обеспечения национальной политики в области кибербезопасности планировалось создание парламентской комиссии по национальной безопасности и внешней политике.
Помимо развития информационных сетей и ресурсов, серьезные усилия прилагаются Ираном в разработке программного обеспечения, в том числе антивирусных программ.
Зарубежными исследователями указывается на все большее смещение акцента иранских спецслужб на проведение киберопераций для сбора данных об антииранских зарубежных партиях, диссидентах, неправительственных организациях и национальных диаспорах.
При этом приоритетными целями являются Соединенные Штаты Америки (в первую очередь американские высокотехнологичные и оборонные компании, которые осуществляют поставки вооружений Израилю и Саудовской Аравии), практически все ближневосточные страны (особенно Израиль и Саудовская Аравия), западноевропейские и североафриканские государства, а также некоторые страны Центральной и Южной Азии.
Таким образом, развитие системы кибернетической безопасности Ирана направлено на совершенствование соответствующих национальных структур, расширение потенциала и диапазона их задач с одновременным информационным воздействием на интересующие объекты.