лекційний курс Кібербезпекаdocx

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ХЕРСОНСЬКА ДЕРЖАВНА МОРСЬКА АКАДЕМІЯ
КАФЕДРА ІННОВАЦІЙНИХ ТЕХНОЛОГІЙ ТА ТЕХНІЧНИХ

ЗАСОБІВ СУДНОВОДІННЯ
Шифр №
Реєстр. №
КОНСПЕКТ ЛЕКЦІЙ
Кібербезпека суднових комп’ютерних систем і

з дисципліни мереж
факультет Судноводіння
ступінь вищої
освіти бакалавр
галузь знань 27 Транспорт
спеціальність 271 Річковий та морський транспорт
Освітньо-науковий
рівень
Спеціалізація 271.01 Навігація і управління морськими суднами
курс 2
форма навчання денна
м. Херсон – 2022
1
Конспект лекцій з дисципліни «Кібербезпека суднових комп’ютерних
систем і мереж» розробили згідно з робочою навчальною програмою
доценти кафедри інноваційних технологій та технічних засобів
судноводіння к.т.н. Людмила КРАВЦОВА, к.п.н. Тетяна ЗАЙЦЕВА.
Конспект лекцій розглянуто та

ухвалено на засіданні кафедри ____ ______________ 2022 р.
_____________________________ протокол №____
Завідувач кафедри ________ Сергій ВОЛОШИНОВ

(підпис)
Гарант освітньо-професійної
(наукової) програми
Олег ТОВСТОКОРИЙ
______ _________________
підпис
Завідувач навчально-методичного
відділу
Власне ім’я
(підпис)
ПРІЗВИЩЕ
2
ЗМІСТ
Лекція 1. Закон України «Про основні засади забезпечення

кібербезпеки». Міжнародні норми кібербезпеки на морському
транспорті. Джерела кібернебезпеки. Сучасні загрози інформаційній 4
безпеці (2год.)
……………………………………………………………….
Лекція 2. Інформаційна безпека. Атрибути кібербезпеки. Стійкість
суднових систем та інфраструктури. Суднові активи і кібербезпека.
15
Системи захисту інфраструктури (2год.)
………………………………….
Лекція 3. Вектори кібератак в морській транспортній системі. Типи
кіберзагроз. Класифікація кібератак. Файлові системи, відновлення
38
даних (2год.)
…………………………………………………………………
Лекція 4. Ідентифікація, оцінка, вибір і пріоритезація заходів безпеки.
Аналіз прийнятності загального ризику. Комп'ютерні віруси та засоби 66
захисту (2 год.)……………………………………………………………..
Лекція 5. Розробка плану реагування на інциденти кібербезпеки
86
(CSP). Моніторинг і аудит CSP (2 год.)….………………………………
Лекція 6. Управління кібербезпекою. Усунення порушень безпеки і
інциденти. Антивіруси: технології, індустрія, практичне застосування
93
(2 год.)…………………………………………………………………….
…
Лекція 7. Цільові системи, обладнання та технології. Бортові мережі.
Проблеми забезпечення безпеки в комп'ютерних системах і мережах 116
(2год.)……………………………………………………………………….
Лекція 8. Складання плану на випадок непередбачених обставин.
Система управління безпекою. Реагування на інциденти кібербезпеки
124
і відновлення після них. План відновлення. Розслідування
кіберінцидентів……………………………………………………………..
Лекція 9. Проблеми забезпечення безпеки в комп'ютерних системах і
мережах. Мережеві загрози, вразливості і атаки. Засоби захисту мереж 133
(2 год.)………………………………………………………………………
Лекція 10. Шифрування даних. Системи виявлення атак. Безпека
141
хостингу (2год.)…………………………………………………………….
Список рекомендованої літератури до курсу………………………… 154
3
Лекція 1. Закон України «Про основні засади забезпечення
кібербезпеки». Міжнародні норми кібербезпеки на морському
транспорті. Джерела кібернебезпеки. Сучасні загрози інформаційній
безпеці (2год.).
Мета: формування у здобувачів вищої освіти компетентностей стосовно
методів розпізнавання кібернебезпеки;, запобігання кіберризикам.
Компетентності, що здобувачі ВО отримають після опанування
матеріалів лекції:
Інструментальні (ІКТ–предметні): здатність використання методів
розпізнавання кібернебезпеки; здатність виявлення джерел кібернебезпеки;
здатність виявляти ризики та кіберзагрози;
Системні: володіння принципами системного підходу до проблем
кібербезпеки; знання міжнародних норм кібернебезпеки на морському
транспорті;
Загально-професійні: Вміння розпізнавати основні канали проникнення
кібернебезпечних джерел.
План лекції.
1. Закон України «Про основні засади забезпечення кібербезпеки».
Визначення термінів.
2. Міжнародні норми кібербезпеки на морському транспорті.
3. Джерела кібернебезпеки.
4. Сучасні загрози інформаційній безпеці.
Теоретичні відомості.
1. Закон України «Про основні засади забезпечення кібербезпеки»
(Відомості Верховної Ради (ВВР), 2017, № 45, ст.403).
Цей Закон визначає правові та організаційні основи забезпечення захисту
життєво важливих інтересів людини і громадянина, суспільства та держави,
національних інтересів України у кіберпросторі, основні цілі, напрями та
принципи державної політики у сфері кібербезпеки, повноваження
державних органів, підприємств, установ, організацій, осіб та громадян у цій
4
сфері, основні засади координації їхньої діяльності із забезпечення
кібербезпеки.
Стаття 1. Визначення термінів
У цьому Законі наведені нижче терміни вживаються в такому значенні:
1) індикатори кіберзагроз - показники (технічні дані), що використовуються
для виявлення та реагування на кіберзагрози;
2) інформація про інцидент кібербезпеки - відомості про обставини
кіберінциденту, зокрема про те, які об’єкти кіберзахисту і за яких умов
зазнали кібератаки, які з них успішно виявлені, нейтралізовані, яким
запобігли за допомогою яких засобів кіберзахисту, у тому числі з
використанням яких індикаторів кіберзагроз;
3) інцидент кібербезпеки (далі - кіберінцидент) - подія або ряд
несприятливих подій ненавмисного характеру (природного, технічного,
технологічного, помилкового, у тому числі внаслідок дії людського фактору)
та/або таких, що мають ознаки можливої (потенційної) кібератаки, які
становлять загрозу безпеці систем електронних комунікацій, систем
управління технологічними процесами, створюють імовірність порушення
штатного режиму функціонування таких систем (у тому числі зриву та/або
блокування роботи системи, та/або несанкціонованого управління її
ресурсами), ставлять під загрозу безпеку (захищеність) електронних
інформаційних ресурсів;
4) кібератака - спрямовані (навмисні) дії в кіберпросторі, які здійснюються
за допомогою засобів електронних комунікацій (включаючи інформаційно-
комунікаційні технології, програмні, програмно-апаратні засоби, інші
технічні та технологічні засоби і обладнання) та спрямовані на досягнення
однієї або сукупності таких цілей: порушення конфіденційності, цілісності,
доступності електронних інформаційних ресурсів, що обробляються
(передаються, зберігаються) в комунікаційних та/або технологічних
системах, отримання несанкціонованого доступу до таких ресурсів;
порушення безпеки, сталого, надійного та штатного режиму функціонування
5
комунікаційних та/або технологічних систем; використання комунікаційної
системи, її ресурсів та засобів електронних комунікацій для здійснення
кібератак на інші об’єкти кіберзахисту;
5) кібербезпека - захищеність життєво важливих інтересів людини і
громадянина, суспільства та держави під час використання кіберпростору, за
якої забезпечуються сталий розвиток інформаційного суспільства та
цифрового комунікативного середовища, своєчасне виявлення, запобігання і
нейтралізація реальних і потенційних загроз національній безпеці України у
кіберпросторі;
6) кіберзагроза - наявні та потенційно можливі явища і чинники, що
створюють небезпеку життєво важливим національним інтересам України у
кіберпросторі, справляють негативний вплив на стан кібербезпеки держави,
кібербезпеку та кіберзахист її об’єктів;
7) кіберзахист - сукупність організаційних, правових, інженерно-технічних
заходів, а також заходів криптографічного та технічного захисту інформації,
спрямованих на запобігання кіберінцидентам, виявлення та захист від
кібератак, ліквідацію їх наслідків, відновлення сталості і надійності
функціонування комунікаційних, технологічних систем;
8) кіберзлочин (комп’ютерний злочин) - суспільно небезпечне винне діяння
у кіберпросторі та/або з його використанням, відповідальність за яке
передбачена законом України про кримінальну відповідальність та/або яке
визнано злочином міжнародними договорами України;
9) кіберзлочинність - сукупність кіберзлочинів;
10) кібероборона - сукупність політичних, економічних, соціальних,
військових, наукових, науково-технічних, інформаційних, правових,
організаційних та інших заходів, які здійснюються в кіберпросторі та
спрямовані на забезпечення захисту суверенітету та обороноздатності
держави, запобігання виникненню збройного конфлікту та відсіч збройній
агресії;
6
11) кіберпростір - середовище (віртуальний простір), яке надає можливості
для здійснення комунікацій та/або реалізації суспільних відносин, утворене в
результаті функціонування сумісних (з’єднаних) комунікаційних систем та
забезпечення електронних комунікацій з використанням мережі Інтернет
та/або інших глобальних мереж передачі даних;
12) кіберрозвідка - діяльність, що здійснюється розвідувальними органами у
кіберпросторі або з його використанням;
13) кібертероризм - терористична діяльність, що здійснюється у
кіберпросторі або з його використанням;
14) кібершпигунство - шпигунство, що здійснюється у кіберпросторі або з
його використанням;
15) критична інформаційна інфраструктура - сукупність об’єктів
критичної інформаційної інфраструктури;
16) критично важливі об’єкти інфраструктури (далі - об’єкти критичної
інфраструктури) - підприємства, установи та організації незалежно від форми
власності, діяльність яких безпосередньо пов’язана з технологічними
процесами та/або наданням послуг, що мають велике значення для економіки
та промисловості, функціонування суспільства та безпеки населення,
виведення з ладу або порушення функціонування яких може справити
негативний вплив на стан національної безпеки і оборони України,
навколишнього природного середовища, заподіяти майнову шкоду та/або
становити загрозу для життя і здоров’я людей;
17) національна телекомунікаційна мережа - сукупність спеціальних
телекомунікаційних систем (мереж), систем спеціального зв’язку, інших
комунікаційних систем, які використовуються в інтересах органів державної
влади та органів місцевого самоврядування, правоохоронних органів та
військових формувань, утворених відповідно до закону, призначена для обігу
(передавання, приймання, створення, оброблення, зберігання) та захисту
національних інформаційних ресурсів, забезпечення захищених електронних
комунікацій, надання спектра сучасних захищених інформаційно-
7
комунікаційних (мультисервісних) послуг в інтересах здійснення управління
державою у мирний час, в умовах надзвичайного стану та в особливий
період, та яка є мережею (системою) подвійного призначення з
використанням частини її ресурсу для надання послуг, зокрема з
кіберзахисту, іншим споживачам;
18) національні електронні інформаційні ресурси (далі - національні
інформаційні ресурси) - систематизовані електронні інформаційні ресурси,
які містять інформацію незалежно від виду, змісту, форми, часу і місця її
створення (включаючи публічну інформацію, державні інформаційні ресурси
та іншу інформацію), призначену для задоволення життєво важливих
суспільних потреб громадянина, особи, суспільства і держави. Під
електронними інформаційними ресурсами розуміється будь-яка інформація,
що створена, записана, оброблена або збережена у цифровій чи іншій
нематеріальній формі за допомогою електронних, магнітних,
електромагнітних, оптичних, технічних, програмних або інших засобів;
19) об’єкт критичної інформаційної інфраструктури - комунікаційна або
технологічна система об’єкта критичної інфраструктури, кібератака на яку
безпосередньо вплине на стале функціонування такого об’єкта критичної
інфраструктури;
20) система управління технологічними процесами (далі - технологічна
система) - автоматизована або автоматична система, яка є сукупністю
обладнання, засобів, комплексів та систем обробки, передачі та приймання,
призначена для організаційного управління та/або управління
технологічними процесами (включаючи промислове, електронне,
комунікаційне обладнання, інші технічні та технологічні засоби) незалежно
від наявності доступу системи до мережі Інтернет та/або інших глобальних
мереж передачі даних;
21) системи електронних комунікацій (далі - комунікаційні системи) -
системи передавання, комутації або маршрутизації, обладнання та інші
ресурси (включаючи пасивні мережеві елементи, які дають змогу передавати
8
сигнали за допомогою дротових, радіо-, оптичних або інших
електромагнітних засобів, мережі мобільного, супутникового зв’язку,
електричні кабельні мережі в частині, в якій вони використовуються для
цілей передачі сигналів), що забезпечують електронні комунікації (передачу
електронних інформаційних ресурсів), у тому числі засоби і пристрої зв’язку,
комп’ютери, інша комп’ютерна техніка, інформаційно-телекомунікаційні
системи, які мають доступ до мережі Інтернет та/або інших глобальних
мереж передачі даних.
Терміни "національна безпека", "національні інтереси", "загрози
національній безпеці" вживаються в цьому Законі у значенні, визначеному
Законом України "Про основи національної безпеки України".
{Статтю 1 доповнено частиною третьою згідно із Законом № 1591-IX від
30.06.2021 - вводиться в дію з 01.08.2022}
2. Міжнародні норми кібербезпеки на морському транспорті.
Міжнародна морська організація до уразливих суднових систем
відносить:
• системи ходового містка;
• системи обробки і управління вантажем;
• системи управління двигунами, машинами і живленням;
• системи контролю доступу;
• системи обслуговування і менеджменту пасажирів;
• публічні інтернет-мережі судна, призначені для використання пасажирами;
• адміністративні системи та мережі;
• системи зв'язку.
Виходячи з цього, можна зробити висновок, що судно вкрай вразливе
перед спланованою кібератакою.
Комітет з безпеки на морі ІМО в червні 2017 року прийняв Резолюцію
MSC.428 (98) - управління морськими кіберризиками в системах управління
безпекою. Резолюція закликає адміністрації забезпечити належний облік
кіберризиків в існуючих системах управління безпекою не пізніше першої
9
щорічної перевірки документа компанії відповідно після 1 січня 2021 року.
Міжнародна морська організація (ІМО) випустила вже 3-ю і 4-у,
оновлені, версії «Посібника з управління морськими кіберризиками», а також
рекомендоване «Керівництво з кібербезпеки на суднах», розроблене
провідними морськими транспортними асоціаціями. Міжнародна палата
судноплавства спільно з BIMCO в 2019 році підготували
«Cyber Security Workbook for On Board Ship Use» (Навчальний посібник з
кібербезпеки для використання на борту судна).
До об'єктів критичної інформаційної інфраструктури відносять
інформаційні системи, інформаційно-телекомунікаційні мережі,
автоматизовані системи управління суб'єктів критичної інформаційної
інфраструктури. До критичної інформаційної інфраструктури водного
транспорту може бути віднесений досить широкий круг об'єктів, включаючи
суднові, берегові і портові системи.
З 1 січня 2021 р. морські адміністрації ряду країн почали перевірки
суден які заходять в їх порти на предмет виконання рекомендацій ІМО з
кібербезпеки. Як було відзначено, резолюція ІМО MSC.428 (98) закликає
адміністрації забезпечити облік кіберризиків в системах управління безпекою
суден. На виконання резолюції, Регістру доручено з 01 січня 2021 року при
продовженні або отриманні нового Свідоцтва про відповідність здійснювати
спостереження за виконанням зазначеної резолюції в компаніях. Однак поки
далеко не всі судновласники і оператори суден знають, що робити і,
найголовніше, не розуміють, як.
Звідси можна зробити логічний висновок про те, що у деяких суден в
іноземних портах, починаючи з 1 січня 2021 р. можуть виникнути ризики
санкцій за невиконання рекомендацій ІМО з кібербезпеки. Невиконання
рекомендацій з кібербезпеки може послужити причиною відмови судну в
комерційному контракті з боку фрахтувальника. Тарифні ставки страхування
морських вантажів, ймовірно, будуть відрізнятися для суден, що виконують і
не виконують рекомендації з кібербезпеки, що може знизити конкурентну
10
здатність у таких судновласників.
З 2021 р. кіберінциденти у мережі - судно / порт вже розглядаються
через призму рекомендацій з кібербезпеки. В результаті деякі порти можуть
визнаватися небезпечними з точки зору кібербезпеки (аналогія з переліком
небезпечних з точки зору охорони портів) і суднам, що заходять в такі порти
або котрі побували в них, будуть рекомендуватися підвищені заходи
кібербезпеки. Відповідно, це вплине на економічну привабливість портів і
вартість перевезень з і в них. Крім того, невиконання міжнародних норм
може служити приводом для санкцій як щодо судновласницької компанії -
члена ІМО, так і відповідних портів.
Стали доступні перші підтвердження прогнозу про можливі санкції по
відношенню до суден, які не виконують вимоги ІМО, в іноземних портах.
Так, 27 жовтня 2020 року Берегова охорона США опублікувала Робочу
інструкцію CVC-WI-027 "Управління кіберризиками суден", яка містить
керівництво для інспекторів та посадових осіб з оцінки кібергігієни на борту
як суден під прапором США, так і іноземних по відношенню до США суден,
а також варіанти дотримання вимог при виявленні недоліків.
В інструкції визначено дії інспекторів у разі виявлення недоліків.
Зокрема, для іноземних по відношенню до США суден в разі виявлення будь-
якого з 2-х недоліків (загальна кількість 3 нестачі) передбачено затримання
судна.
Кібербезпека - це не тільки запобігання доступу хакерів до систем та
інформації, який потенційно призводить до втрати конфіденційності та / або
контролю. Вона також стосується підтримання цілісності та доступності
інформації і систем, забезпечення безперервності бізнесу і постійної
корисності цифрових активів і систем.
При цьому необхідно враховувати не тільки захист суднових систем від
фізичних нападів, форс-мажорних обставин і т. д., а також забезпечення
проектування систем, що підтримують стійкість процесів і доступність
відповідних реверсивних режимів в разі компромісу.
11
3. Джерела кібернебезпеки.
Виявлення загрози
Кіберризик залежить від компанії, судна, операції та / або торгівлі. При
оцінці ризику компанії повинні враховувати будь-які конкретні аспекти своєї
діяльності, які можуть підвищити їх уразливість перед кіберінцидентами.
На відміну від інших областей безпеки, де доступні історії доказів,
управління кіберризиками ускладнюється через відсутність будь-якої
остаточної інформації про інциденти та їх вплив. Поки не будуть отримані ці
докази, масштаб і частота атак залишаться невідомими.
Досвід судноплавства та інших секторів бізнесу, таких як фінансові
установи, державна адміністрація і повітряний транспорт, показав, що
успішні кібератаки можуть привести до значної втрати послуг. Активи також
можуть поставити під загрозу безпеку. У організацій і приватних осіб є
мотиви використовувати уразливості в кіберпросторі. Наступні приклади
дають певне уявлення про створені загрози та потенційні наслідки для
компаній і суден, якими вони управляють:
Активісти (в тому числі незадоволені співробітники): репутаційний
збиток; порушення роботи; - знищення даних, публікація конфіденційних
даних, увага ЗМІ, відмова в доступі до цільової послуги або системи;
злочинці: фінансова вигода.
Комерційне шпигунство: промислове шпигунство, продаж вкрадених
даних, викуп вкрадених даних, працездатність системи викупу, організація
незаконного перевезення вантажів, збір розвідданих для більш складних
злочинів, точне місцезнаходження вантажу, плани транспортування і
обробки суден і т. д.
Крім того, існує ймовірність того, що персонал компанії на борту і на
березі може поставити під загрозу кіберсистеми і дані. В цілому компанія
повинна усвідомлювати, що це може бути ненавмисним і викликано
людською помилкою при експлуатації і управлінні системами ІТ і ОТ або
недотриманням технічних і процедурних заходів захисту. Однак існує
12
ймовірність того, що дії можуть бути зловмисними і являти собою навмисну
спробу невдоволеного працівника завдати шкоди компанії і судну.
Виявлення уразливості. Рекомендується, щоб судноплавна компанія
спочатку провела оцінку ризиків, з якими можна реально зіткнутися. Після
цього повинна бути проведена оцінка систем і бортових процедур, щоб
скласти карту їх стійкості для боротьби з поточним рівнем загрози. Цьому
можуть сприяти внутрішні експерти або сторонні експерти, знайомі з
морською галуззю і її ключовими процесами. Результатом повинна стати
стратегія, зосереджена на ключових ризиках.
Автономні системи будуть менш уразливі для зовнішніх кібератак в
порівнянні з системами, підключеними до неконтрольованих мереж або
безпосередньо до Інтернету. Слід подбати про те, щоб зрозуміти, як важливі
суднові системи можуть бути підключені до неконтрольованих мереж. При
цьому слід враховувати людський фактор, так як багато інцидентів
ініціюється діями персоналу.
4. Сучасні загрози інформаційній безпеці.
Бортові системи можуть включати:
 системи управління вантажами;
 мостові системи (системи навігаційного містка);
 системи управління рухом і допоміжними механізмами, а також системи
управління потужністю (PMS);
 системи контролю доступу;
 системи обслуговування та менеджменту пасажирів;
 мережі загального користування, для обслуговування пасажирів;
 адміністративні системи і системи соціального забезпечення екіпажу. Ці
системи слід розглядати як неконтрольовані, і їх не слід підключати до будь-
якої суднової системи, критичної для безпеки;
13
 комунікаційні системи - доступність підключення до Інтернету через
супутник і / або інший бездротовий зв'язок може підвищити вразливість
суден.
Сучасні технології можуть підвищити вразливість суден, особливо
якщо існують небезпечні конструкції мереж і неконтрольований доступ в
Інтернет. Крім того, береговий і судновий персонал може не знати, як деякі
виробники устаткування підтримують віддалений доступ до суднового
обладнання і його мережеві системи. Невідомий і нескоординований
віддалений доступ до працюючого судна слід брати до уваги як важливу
частину оцінки ризику.
Відносно виробників і третіх сторін, включаючи підрядників і
постачальників послуг, слід враховувати наступне:
1. Проінформованість виробника і постачальника послуг з управління
кіберризиками і процедурами: таким компаніям може не вистачати навчання
кібер-обізнаності та управління в їх власних організаціях, і це може
представляти більше джерел уразливості, що може привести до
кіберінцидентів. Ці компанії повинні мати оновлену політику компанії з
управління кіберризиками, яка включає процедури навчання та управління
доступними судновими системами ІТ і ОТ.
2. Поширені уразливості:
- застарілі і такі, що не підтримуються, операційні системи;
- застаріле обладнання систем навігаційного містка, систем управління рухом
судна та інших систем, та, головне, визначенням міри відповідальності
кожного члена екіпажу за його дії, які можуть привести до тяжких наслідків
кібератак.
Питання для самоконтролю
І. Визначте основні терміни Статті 1 Закону України «Про основні
засади забезпечення кібербезпеки».
1) Індикатори кіберзагроз
2) Кібератака
14
3) Кібербезпека
4) Кіберзагроза
5) Кіберзахист
6) Кіберзлочин
7) Кібероборона
8) Кіберпростір
9) Інцидент кібербезпеки
10) Кіберрозвідка
11) Кібертероризм
12) Кібершпигунство
ІІ. Назвіть суднові системи, які Міжнародна морська організація
відносить до уразливих.
13) Назвіть найбільш розповсюджені джерела кібернебезпеки.
14) Яким чином проводиться виявлення уразливості?
15) Які елементи можуть включати бортові системи?
Лекція 2. Інформаційна безпека. Атрибути кібербезпеки. Стійкість

суднових систем та інфраструктури. Суднові активи і кібербезпека.
Системи захисту інфраструктури (2год.).
методів розпізнавання кібернебезпеки; організації системи захисту
інфраструктури.
здатність виявляти ризики та кіберзагрози; вміння будувати плани реагування
на інциденти кібератак.
15
транспорті; здатність управління інформацією та аналізу інформації.
кібернебезпечних джерел, вміння логічно розподіляти етапи обробки
інформації, використовувати методи комутації інформації.
1. Інформаційна безпека. Атрибути кібербезпеки.
2. Стійкість суднових систем та інфраструктури.
3. Суднові активи і кібербезпека.
4. Системи захисту інфраструктури.
1. Інформаційна безпека. Атрибути кібербезпеки.
Що таке кібербезпека? Кібербезпеку можна визначити як «набір
інструментів, політик, концепцій безпеки, заходи безпеки, керівні принципи,
підходи до управління ризиками, дії, навчання, кращі практики, гарантії і
технології, які можуть бути використані для захисту кіберсередовища і
організації та активів користувача.
В рамках цього визначення «кіберсередовище» включає
взаємопов'язані мережі як ІТ, так і кіберфізичних систем, що використовують
електронні, комп'ютерні та бездротові системи, включаючи інформацію,
послуги, соціальні та бізнес-функції, які існують тільки в кіберпросторі. На
судні комп'ютерні системи будуть включати в себе ряд компонент
інформаційних технологій (наприклад, персональні комп'ютери (ПК),
ноутбуки, планшетні пристрої, сервери і мережеві компоненти, такі як
маршрутизатори, комутатори і т. д.), і експлуатаційну техніку (наприклад,
системи управління, датчики, виконавчі механізми, радари і т.д.). «Активи
організації і користувача» включають підключення обчислювальних
пристроїв, персоналу, інфраструктури, додатків, послуг, телекомунікаційних
систем та сукупність переданих, оброблюваних і / або збережених даних і
інформації в кіберсередовище.
16
Кібербезпека прагне досягти і підтримувати вісім загальних цілей
безпеки, (рис.1.1), а саме:
- конфіденційність;
- доступність (включаючи надійність);
- безпека людей & ресурсів;
- остійність;
- контроль доступу до судна та суднових операційних систем;
- володіння (або Control);
- справжність;
- корисність (безперервність суднових операцій);
- чесність.
Різний характер загроз кібербезпеки означає, що не існує єдиного
підходу, який здатний усунути всі пов'язані з цим ризики. Швидкість зміни
технологій і постійний потік серйозних вразливостей в операційних
системах, програмних бібліотеках і додатках, означає, що будь-яка стратегія
повинна регулярно переглядатися.
Загрози, якими кібер-охорона прагне зайнятися
Мотивація кібератаки на суднову систему, як показано на рис.1.2, може
бути для однієї з наступних шести цілей.
17
Конфіденційність
Честністьь Доступність (включаючи

надійність)
Корисність (Непрерервність
судновихоперацій) Безпека (Безпека людей &
ресурсів)
Справжність
Остійність
Володіння Контроль доступу до судна і

(абоControl) судновихопераційнихсистем
Рисунок 1.1. Атрибути та цілі кібербезпеки
Організована
злочинність (у
тому числі
шантаж)
Тероризм Кібер-
зловживання
Мотиватори
атаки
Шпіонаж (у тому
числі промисловий Воєнна справа
шпіонаж)
Групи активістів
(також знані як
хактивізм)
Рисунок 1.2. Мотивація кібератаки на суднову систему
18
(а) неправомірне використання кіберпростору (кібер зловживання) -
включає злочинну діяльність низького рівня, в тому числі вандалізм, і
порушення роботи систем, пошкодження веб-сайтів і несанкціонований
доступ до системи. Дії можуть бути здійснені недосвідченими сценаристами
або інсайдерською діяльністю (інсайдери - співробітники, яким доступна
конфіденційна інформація організації, де вони працюють), незадоволеним
персоналом і підрядниками, де дослідники отримують доступ до системи без
дозволу власника системи, їх дії можуть бути не зловмисними, але тим не
менш, відповідно до Закону про неправомірне використання комп'ютерів,
вони вважаються кримінальним злочином.
(б) групи активістів (також відомі як «хактивізм») - прагнуть до
публічності або створюють тиск з боку певної мети або справи, наприклад,
щоб перешкоджати обробці певних вантажів, або порушують роботу судна.
Метою може бути саме судно, оператор судна або третя особа, така як
постачальник або одержувач вантажу.
(c) шпигунство - пошук несанкціонованого доступу до конфіденційної
інформації (інтелектуальна нерухомість, комерційна інформація,
корпоративні стратегії, особисті дані, структура life) і руйнування в
державних або комерційних цілях.
(d) організована злочинність - в основному керується фінансовою
вигодою, в тому числі злочинне пошкодження, крадіжка вантажу,
контрабанда товарів і людей і спроби ухилитися від податків та акцизів.
(е) тероризм - використання судна для навіювання страху і заподіяння
фізичного та економічного збитку, зриву.
(f) війна - конфлікт між національними державами, мета якого - порушення
транзитного перевезення, системи / інфраструктури, щоб заборонити
оперативне використання або відключити певні суднаі, такі як танкери або
перевізники нафто-продуктів.
Таким чином, суб'єкти загроз можна розділити декілька категорій, які
докладно описані далі:
19
(а) окремі особи, наприклад, «сценаристи» і інсайдери;
(б) групи активістів, також відомі як «хактивісти»;
(в) комерційні конкуренти;
(г) кіберзлочинці;
(д) терористи;
(е) національні держави і суб'єкти, спонсовані державою.
Які наслідки того, що зловмисники намагаються домогтися?
Незалежно від мети і мотивації нападу на судно або флот, у суб'єктів
загрози буде результат, якого вони намагаються досягти. Ці ефекти можуть
бути спрямовані на спільний бізнес, судно та його підсистеми, і згруповані в
наступні категорії:
(а) знищення - приклади можуть включати знищення вантажу, судна або
порту таким чином, що вони будуть більше не придатні для використання.
(б) погіршення - приклади можуть включати вплив на швидкість або
маневреність судна, здатність точно орієнтуватися або точно відстежувати
місцеве середовище до такої міри, що здатність судна виконувати свої
функції значно погіршується.
(с) відмова - приклади можуть включати відмову в доступі до суднових
систем або інформації / даних, можливо, через такі причини, як вимагання з
метою отримання фінансової вигоди або здійснення фізичного нападу на
судно з метою викрадення і викупу.
(d) затримка - приклади можуть включати затримку своєчасної експлуатації
судна та його підсистем, які можуть вплинути на бізнес-операції або
потягнути за собою накладення штрафів.
(е) заборона - приклади можуть включати в себе вплив на бізнес від
діяльності в певних районах світового океану, що працюють на певних
ринках або мають доступ до конкретних портів з комерційної точки зору.
(f) виявлення - приклади можуть включати виявлення людей, вантажу та
місцезнаходження суден, і відслідковувати такі випадки, коли запланована
фізична крадіжка або маніпуляції з вантажем можуть мати місце.
20
(g) відволікання - приклади включають здатність змінювати стан датчика,
щоб забезпечити відволікання під час отримання даних / інформації.
Наведені приклади не є вичерпними, і відповідні ефекти вибираються, з
огляду на особу загрози і мотивацію кібератаки.
Атрибути кібербезпеки
Морське середовище включає в себе безліч технологій, як існуючих,
так і нових, і прийнятий підхід до кібербезпеки буде варіюватися від судна до
судна, в залежності від складності, володіння, використання і ланцюжків
поставок, що підтримують проектування, будівництво, експлуатацію та
захоплення судна. Тому питання кібербезпеки найкраще вирішувати за
допомогою розгляду набору атрибутів безпеки, що дозволяє приймати
відповідні рішення, в залежності від характеру кіберфізичної системи
(наприклад, судно, високошвидкісний судно або MODU) і потенційних
загроз.
Нижче позначені ключові атрибути кібербезпеки стосовно
кіберфізичних систем. При розгляді цих атрибутів слід враховувати
прийнятий підхід до управління ризиками, що буде інформувати про ступінь,
в якій будь-які превентивні або захисні заходи реалізовані, і ступінь
прийнятності залишкового ризику.
(а) Конфіденційність - контроль доступу і запобігання несанкціонованого
доступу для відправки даних, які можуть бути конфіденційними окремо або в
сукупності. Суднові системи і пов'язані з ними процеси повинні бути
спроектовані, впроваджені, експлуатуватися і підтримуватися таким чином,
щоб запобігти несанкціонованому доступу, наприклад, до конфіденційних
фінансових, комерційних або особистих даних.
Всі особисті дані повинні бути оброблені відповідно до Закону про захист
даних і додатковими заходами, які можуть знадобитися для захисту
конфіденційності через об'єднання даних, інформації або метаданих.
(b) Володіння та / або контроль - розробка, реалізація, функціонування та
обслуговування суднових систем і пов'язаних з ними процесів з метою
21
запобігання несанкціонованому контролю, маніпуляції або втручання.
Суднові системи і пов'язані процеси повинні бути спроектовані, впроваджені,
повинні експлуатуватися і підтримуватися, щоб запобігти несанкціонованому
контролю, маніпуляції або втручанню.
Прикладом може бути втрата зашифрованого пристрою зберігання - немає
втрати конфіденційності, оскільки інформація недоступна без ключа
шифрування, але власник або користувач позбавлені його вмісту.
(c) Цілісність - підтримка послідовності, узгодженості та конфігурації
інформації і систем, а також запобігання несанкціонованих змін до них.
Суднові системи і пов'язані з ними процеси повинні бути спроектовані,
впроваджені, експлуатуватися і обслуговуватися таким чином, щоб запобігти
внесенню несанкціонованих змін в активи, процеси, стан системи або
конфігурацію самої системи.
Втрата цілісності системи може статися через фізичні зміни в системі,
такі як несанкціоноване підключення точки доступу Wi-Fi до захищеної
мережі або через помилки, такі як пошкодження бази даних або файлу через
помилки сховища мультимедіа.
(d) Автентичність - забезпечення того, щоб вхідні та вихідні дані суднових
систем і будь-яких пов'язаних процесів і даних про судно, є справжніми і не
були підроблені або змінені. Також повинна бути можливість перевірити
справжність компонентів, програмного забезпечення і даних в системах і
будь-яких пов'язаних процесах. Проблеми з достовірністю можуть бути
пов'язані з такими даними, як підроблені сертифікати безпеки або до
обладнання, наприклад до клонованому пристрою.
(e) Доступність (включаючи надійність) - забезпечення того, щоб
інформація про активи, системи і пов'язані процеси були постійно доступні і
могли використовуватися в відповідному і своєчасному етапі. Для
досягнення необхідної доступності може знадобитися кожен з елементів,
який має відповідний і пропорційний рівень стійкості. Втрата доступності
може статися через збій системного компонента, такого як збій диска, або від
22
зловмисної дії, такої як атака відмови в обслуговуванні, яка перешкоджає
використанню системи підключення до Інтернету.
(f) Корисність - інформація про активи та системи що залишаються
придатними для використання в життєвому циклі суднового активу. Суднові
системи і пов'язані з ними процеси повинні бути спроектовані, впроваджені,
експлуатуватися і обслуговуватися таким чином, щоб використання суднових
активів підтримувалося протягом усього їх життєвого циклу. Прикладом
втрати корисності може бути ситуація, коли система судна була змінена або
оновлена, а формат файлу історичних даних більше не доступний для
системи. Не було втрат доступності, але дані непридатні для використання.
(g) Безпека - проектування, реалізація, експлуатація і технічне
обслуговування судна, систем і пов'язаних з ними процесів, щоб запобігти
створенню шкідливих станів, які можуть призвести до травм або загибелі
людей, а також до випадкового фізичного або екологічного пошкодження.
Проблема безпеки може виникнути через шкідливе ПО, яке не може
відображати або повідомляти про аварійний стан суднових систем.
Наприклад, система сигналізації головного двигуна судна, сенсори осадки
судна або інші датчики можуть завдати шкоду матеріальним цінностям або
втраті життя.
(h) Стійкість - здатність інформації про активи та системи до перетворення,
своєчасного оновлення та відновлення у відповідь на несприятливі події.
Дизайн, впровадження, експлуатація та обслуговування суднових систем і
пов'язаних з ними процесів повинні бути такими, щоб уникнути каскадних
відмов. У тому випадку, якщо система або пов'язаний процес страждають
збоями, ушкодженнями або відключеннями, виникає проблема можливості
відновлення нормального робочого стану або прийнятного стану
безперервності бізнесу.
2. Стійкість суднових систем і інфраструктури
Стійкість суднових систем тісно пов'язана з безпекою і чим більше
ризик, тим вище повинна бути потенційна безпека, тому потрібен більш
23
високий рівень резервування і недоступності критично важливих систем. Ці
системи контролюються, щоб забезпечити постійну ситуаційну обізнаність
на основі даних отриманих від ряду типових датчиків. Тому цілісність і
доступність таких даних мають вирішальне значення для безпечної і надійної
експлуатації судна і його систем, особливо якщо системи інтегровані в
SCADA, кожна з яких взаємозалежна одна від одної для збору даних,
обчислювального аналізу або фізичного спрацювання.
Розуміння цих взаємозалежностей і відносин між системами і даними
або інформаційний рівень важливий для підтримки цілісності всієї SCADA
системи. Крім суб'єктів, що створюють загрозу для людини, виникають
загрози стійкості суднових систем від природних причин, в тому числі:
сонячних явищ; погоди; флори і фауни. Їх ефекти можуть призвести до
пошкодження, відмови або значного пошкодження суднових систем, що
може привести до втрати або пошкодження даних про судно і подальшої
втрати цілісності або доступності підсистем. Приклад впливу природних
причин на системи судна - земна або сонячна буря, створення перешкод в
системах зв'язку і втрата зв'язку судно-берег. Крім того, необхідно реагувати
на помилкові дані датчика через несправність. Відсутність даних може мати
таке ж значення, як і постійний потік даних, при розгляді стійкості різних
систем.
3. Суднові активи та кібербезпека
Складність систем на борту суден зазвичай пов'язана з розміром і
роботою, яку судно виконує відповідно до контракту. Однак судну потрібні
сучасні інформаційні системи для забезпечення і управління рухом,
рульовим управлінням, баластом і т. д., як тільки додаються пасажири,
збільшується кількість і складність систем для забезпечення об'єктів і
управління людським вантажем. Судно за своєю природою має працювати
без прив'язки до суші, і єдиний зв'язок надається в морі по одному з багатьох
можливих каналів зв'язку, які забезпечують як голосовий, так і файловий
обмін даними.
24
Таким чином, судно з точки зору кібербезпеки може розглядатися як
«система систем», що працює в замкнутому середовищі.
Кількість класових суспільств у всьому світі, різноманітність
конструкцій суден і кількість виробників підсистем представляє значну
складність при розробці кібернетичної моделі, яка є репрезентативною і
придатною для використання на всіх класах суден.
З метою розробки відповідних і пропорційних заходів кібербезпеки,
кожна з наявних технічних систем може розглядатися як така що знаходиться
в основній або безпосередньо відноситься до однієї з наступних категорій:
(a) зв'язок - системи, передбачені для внутрішнього зв'язку, зв'язку судно-
берег і судно-судно. Сюди можуть входити системи віддаленого
моніторингу, такі як реєстратори даних про рейс і системи, які контролюють
роботу суднових підсистем. Такі системи часто підключаються до ОТ і
навігаційних систем, дані часто передаються через супутник.
(b) навігаційні системи - системи, які або призначені безпосередньо для
навігації, або призначені для підтримки судноплавства.
(с) заводські системи - системи, що використовуються для моніторингу та
управління будь-яким обладнанням і установками, пов'язаними із загальною
експлуатацією судна, не охопленими іншими категоріями.
(d) системи безпеки - системи, які використовуються для підтримки
цілісності, безпеки і / або захищеності судна і його вантажу.
(е) вантажні системи - системи, які використовуються для безпосереднього
контролю і управління вантажем.
(f) системи управління пасажирами - системи, які використовуються для
надання послуг / послуг для пасажирів і для підтримки нормальної
життєдіяльності як пасажирів, так і екіпажу.
(g) системи доступу пасажира / екіпажу - будь-які системи, передбачені
для пасажира / екіпажу, взаємодія, не пов'язана з судновими операціями або
менеджментом пасажирів / екіпажу.
Класифікаційні суспільства встановлюють технічні правила, засновані
25
на досвіді і дослідженнях, підтверджують, що конструкції і розрахунки
відповідають цим правилам, обстежують судна і споруди в процесі
будівництва і введення в експлуатацію, а також періодично обстежують
судна в експлуатації, щоб переконатися, що вони продовжують
дотримуватися правил. Класифікаційні суспільства також несуть
відповідальність за класифікацію нафтової платформи, інші морські споруди
та підводні човни. Цей процес опитування поширюється на дизельне паливо
двигунів, важливі суднові насоси та інше життєво важливе обладнання.
4. Системи захисту інфраструктури
Інфраструктура, яка використовується для підтримки багатьох
систем корабля. Ці загальні переходи для технічного обслуговування
забезпечують середовище, в якому відбувається перехресне забруднення
системи / з'єднання, яке може статися через необережність або зловмисні дії.
Хороша поінформованість, контроль доступу і управління конфігурацією
необхідно для мінімізації будь-якого ризику.
Прагнення скоротити робочу силу на борту призвело до того, що майже
всі системи розробляються з деякою формою зондування для контролю
робочих параметрів механізмів і центральних панелей управління, щоб
забезпечити не тільки централізовану ситуаційну обізнаність, а й центральні
місця, звідки можна управляти системами. Ці централізовані командні і
контрольні позиції можуть мати провідні спеціалісти і відомі блоки для
забезпечення управління з містка або допоміжних контрольних точок
навколо судна.
4.1. Взаємозалежності систем і архітектура
Ідентифікація розгорнутих або тих що підлягають розгортанню систем
повинна бути ідентифікована разом з будь-якими системними
взаємозалежностями по експлуатаційним причинам, доступу до комунікацій
або тому що вони використовують загальну базову інфраструктуру, таку як
Industrial Ethernet або MODBUS. Це буде включати в себе всі різні датчики і
сенсорні системи, що використовуються або безпосередньо системами, або
26
для забезпечення ситуаційної обізнаності про робочі стани системи.
Як тільки взаємозалежності і вимоги до обміну даними або
інформацією ідентифіковані і зрозумілі, може бути розроблена загальна
архітектура системи, яка забезпечує оптимальну безпеку без додавання
додаткових технологій. Це особливо включає забезпечення поділу між
системами, в яких пасажирам не потрібен будь-який доступ.
4.2. Доступ до систем
При ідентифікації та категоризації систем, які розгорнуті на борту, і
ідентифікації взаємозалежності між ними, важливо також визначити, кому
потрібен доступ до систем і з якою метою.
Природна ієрархія суден допоможе визначити, хто вимагає або повинен
мати доступ до найбільш чутливих систем на борту і тим, які заходи
контролю слід встановити. Судна стають все більш і більш
автоматизованими і складними через необхідність відстежувати доступ до
всіх систем, контроль буде збільшуватися для проведення будь-яких
розслідувань у разі виникнення інциденту.
4.3. Розробка заходів захисту і виявлення
Результатом оцінки ризиків компанії та подальшої стратегії
кібербезпеки має стати зниження ризику до практично можливого мінімуму.
На технічному рівні це буде включати в себе необхідні дії, які необхідно
виконати для встановлення і підтримки узгодженого рівня кібербезпеки.
Важливо визначити, як управляти кібербезпекою на борту, і делегувати
обов'язки капітана, відповідальним співробітникам і, при необхідності,
співробітнику служби безпеки компанії.
Глибокий і широкий захист
Важливо захистити критичні системи та дані за допомогою декількох
рівнів заходів захисту, які враховують роль персоналу, процедур і технологій
щоб:
 збільшити ймовірність виявлення кіберінциденту;
 збільшити зусилля і ресурси, необхідні для захисту інформації, даних або
27
доступності ІТ-та OT-систем.
Підключення системи ОТ на борту повинні вимагати більше одного
технічного та / або процедурного захисту. Захист периметра, такий як
брандмауери, важливий для запобігання небажаного проникнення в системи,
але цього може бути недостатньо для боротьби з внутрішніми загрозами.
Такий підхід до глибокого захисту заохочує поєднання дій:
 фізична охорона судна відповідно до плану охорони судна (SSP)
 захист мереж, включаючи ефективну сегментацію
 виявлення вторгнень
 періодичне сканування і тестування вразливостей
 внесення програмного забезпечення в білий список
 доступ і призначені для користувача елементи управління
 відповідні процедури, що стосуються використання знімних носіїв і
політик паролів
 поінформованість персоналу про ризики і знайомство з відповідними
процедурами.
Політика і процедури компанії повинні сприяти тому, щоб кібербезпека
розглядалася в рамках загального підходу до управління ризиками безпеки і
захисту. Складність і потенційна стійкість кіберзагроз означає, що слід
розглянути підхід «глибокоешелонованого захисту». Устаткування і дані,
захищені рівнями заходів захисту, більш стійкі до кібератаки.
При розробці інтеграції між системами слід враховувати модель
кордонів довіри, відповідно до якої системи групуються на ті, між якими
довіра є неявною (наприклад, призначені для користувача робочі станції), і ті,
між якими довіра повинна бути явною (між комп'ютерами-мостами і
корпоративними мережами ). Для великих або складних мереж моделювання
загроз слід розглядати як діяльність, спрямовану на розуміння того, де
повинні бути реалізовані технічні засоби управління між системами, щоб
забезпечити захист в широкому сенсі.
28
Глибокий захист і комплексний захист - це взаємодоповнюючі підходи,
які при спільній реалізації забезпечують основу для цілісного реагування на
управління кіберризиками.
Заходи захисту від кіберризиків можуть бути технічними та
зосереджені на забезпеченні того, щоб бортові системи були спроектовані і
налаштовані таким чином, щоб бути стійкими до кібератаки. Заходи захисту
також можуть бути процедурними і повинні охоплюватися політиками
компанії, процедурами управління безпекою, процедурами безпеки і
засобами контролю доступу.
Необхідно розглянути можливість впровадження технічних засобів
контролю, які є практичними і рентабельними, особливо на існуючих суднах.
Впровадження заходів кібербезпеки має бути пріоритетним,
зосередивши увагу в першу чергу на ті заходи або комбінації заходів, які
приносять найбільшу користь.
Технічні заходи захисту
Центр інтернет-безпеки (CIS) надає керівництво щодо заходів, які
можна використовувати для усунення вразливостей кібербезпеки. Заходи
захисту представляють собою список критичних засобів контролю безпеки
(CSC), які мають пріоритет і перевіряються, щоб гарантувати, що вони
забезпечують ефективний підхід для компаній для оцінки та поліпшення
свого захисту. CSC включають як технічні, так і процедурні аспекти.
Обмеження і контроль мережевих портів, протоколів і сервісів
Списки доступу до мережевих систем можуть використовуватися для
реалізації політики безпеки компанії. Це допомагає гарантувати, що тільки
відповідний трафік буде дозволений через контрольовану мережу або
підмережу в залежності від політики управління цією мережею або
підмережею.
Рекомендується, щоб маршрутизатори були захищені від атак, а
невикористовувані порти повинні бути закриті для запобігання
несанкціонованому доступу до систем або даних.
29
Конфігурація мережевих пристроїв, таких як екранні дисплеї,
маршрутизатори і комутатори.
Слід визначити, які системи слід підключити до керованих або
некерованих мереж. Керовані мережі призначені для запобігання будь-яких
загроз безпеці з боку підключених пристроїв за рахунок використання
міжмережевих екранів, шлюзів безпеки, маршрутизаторів і комутаторів.
Неконтрольовані мережі можуть становити небезпеку через відсутність
контролю за трафіком даних і повинні бути ізольовані від контрольованих
мереж, оскільки пряме підключення до Інтернету робить їх дуже вразливими
для проникнення шкідливих програм. Наприклад:
· мережі, які мають вирішальне значення для роботи самого судна, повинні
контролюватися. Важливо, щоб ці системи мали високий рівень безпеки.
· мережі, які надають постачальникам віддалений доступ до навігаційного і
бортового програмного забезпечення інших систем ОТ, також повинні
контролюватися. Ці мережі можуть бути необхідні, щоб дозволити
постачальникам завантажувати оновлення системи або виконувати віддалене
обслуговування. Берегові зовнішні точки доступу таких підключень повинні
бути захищені для запобігання несанкціонованому доступу.
· системи укладання вантажу, планування завантаження і управління
повинні знаходитися під контролем.
· інші мережі, такі як мережі гостьового доступу, можуть бути
неконтрольованими, наприклад, ті, які пов'язані з розважальними заходами
пасажирів або приватним доступом в Інтернет для екіпажу. Зазвичай будь-
яку бездротову мережу слід вважати неконтрольованою.
Ефективний поділ систем на основі необхідних рівнів доступу і
довіри - одна з найбільш успішних стратегій запобігання
кіберінцидентів.
Ефективно розділені мережі можуть значно ускладнити доступ
зловмисника до систем судна і є одним з найбільш ефективних методів
запобігання поширенню шкідливих програм.
30
Бортові мережі повинні бути розділені міжмережевими екранами для
створення безпечних зон. Чим менше каналів зв'язку і пристроїв в зоні, тим
більш безпечні системи і дані в цій зоні. Конфіденційні і критично важливі
системи безпеки повинні знаходитися в найбільш захищеною зоні.
Фізична охорона
Фізична безпека є центральним аспектом управління кіберризиками, і
ефективна стратегія глибокоешелонованого захисту заснована на
забезпеченні того, щоб технічні засоби контролю неможливо було обійти за
допомогою тривіальних технічних засобів.
Області, що містять чутливі компоненти управління ОТ або ІТ, повинні
бути надійно замкнені, критичне для безпеки обладнання і кабелі повинні
бути захищені від несанкціонованого доступу, а фізичний доступ до
чутливого для користувача устаткування (наприклад, незахищених портів
USB на системах навігаційного містка) повинен бути захищений.
Виявлення, блокування та оповіщення
Виявлення вторгнень і інфекцій - центральна частина процедур
контролю. Необхідно встановити базовий рівень мережевих операцій і
очікувані потоки даних для користувачів і систем, щоб можна було
встановити порогові значення для оповіщення про кіберінциденти. Ключем
до цього буде визначення ролей і обов'язків по виявленню, щоб
забезпечити підзвітність. Крім того, компанія може вибрати включення
системи виявлення вторгнень (IDS) або системи запобігання вторгнень (IPS)
в мережу або як частину брандмауера.
Деякі з їхніх основних функцій включають виявлення загроз /
шкідливої активності і коду, а потім ведення журналу, складання звітів і
спроби заблокувати цю активність. Це допомагає гарантувати, що
спеціалізований бортовий персонал розуміє попередження і їх значення.
Виявлені інциденти слід направляти фізичній особі або постачальнику
послуг, який відповідає за реагування на цей тип попереджень.
Супутниковий і радіозв'язок
31
Кібербезпеку радіо і супутникового зв'язку слід розглядати у співпраці
з постачальником послуг. У зв'язку з цим при встановленні вимог до захисту
суднової мережі слід враховувати специфікацію супутникової лінії зв'язку.
При встановленні з'єднання вихідної лінії зв'язку для суднових систем
навігації і управління з береговими постачальниками послуг слід
враховувати, як запобігти незаконним з'єднанням, які отримують доступ до
систем судна.
За міжоб’єднання доступу відповідає партнер-дистриб'ютор.
Остаточна маршрутизація призначеного для користувача трафіку від точки
доступу до Інтернету до його кінцевого пункту призначення на борту
(«остання миля») є обов'язком судновласника. Призначений для користувача
трафік прямує через комунікаційне обладнання для подальшої передачі на
судно. У точці доступу для цього трафіку необхідно забезпечити безпеку
даних, брандмауер і виділене з'єднання «останньої милі».
При використанні віртуальної приватної мережі (VPN) трафік даних
повинен бути зашифрований відповідно до прийнятого міжнародного
стандарту. Крім того, необхідно встановити брандмауер перед серверами і
комп'ютерами, підключеними до мереж (на березі або на борту судна).
Партнер з поширення повинен порадити маршрутизацію і тип з'єднання, які
найбільше підходять для конкретного трафіку. Берегова фільтрація
(перевірка / блокування) трафіку також є справою між судновласником і
партнером по збуту. Як берегова фільтрація трафіку, так і міжмережеві
екрани / шлюзи перевірки безпеки / блокування на судні необхідні і
доповнюють один одного для досягнення достатнього рівня захисту.
Виробники терміналів супутникового зв'язку та іншого
комунікаційного обладнання можуть надавати інтерфейси управління з
програмним забезпеченням для контролю безпеки, які доступні по мережі.
Це в основному надається у визначених користувачем веб-інтерфейсах. При
оцінці безпеки суднової установки слід враховувати захист таких
інтерфейсів.
32
Контроль бездротового доступу
Доступ до мереж на судні повинен бути обмежений відповідними
авторизованими пристроями і захищений надійним ключем шифрування,
який регулярно змінюється. Для управління бездротовим доступом можна
враховувати наступне:
 використання корпоративних систем автентифікації, що використовують
асиметричне шифрування і ізолюючі мережі з відповідними бездротовими
виділеними точками доступу (наприклад, гостьові мережі, ізольовані від
адміністративних мереж);
 впровадження систем, таких як бездротовий IPS, які можуть
перехоплювати неавторизовані точки бездротового доступу або
несанкціоновані пристрої;
 захист фізичної взаємодії між пристроями бездротового доступу і
мережею, такими як мережеві роз'єми, мережеві стійкі і т. д.), щоб уникнути
несанкціонованого доступу з боку несанкціонованих пристроїв.
Виявлення шкідливого ПЗ
Програмне забезпечення для сканування, яке може автоматично
виявляти і усувати присутність шкідливих програм в бортових системах, має
регулярно оновлюватися.
Як правило, суднові комп'ютери повинні бути захищені на тому ж
рівні, що і офісні комп'ютери на березі. Антивірусне програмне забезпечення
слід встановлювати, обслуговувати і оновлювати на всіх особистих робочих
комп'ютерах на борту судна. Це знизить ризик того, що ці комп'ютери
стануть векторами атак на сервери та інші комп'ютери в мережі судна.
При прийнятті рішення про те, чи слід покладатися на ці методи
захисту, необхідно враховувати, наскільки регулярно оновлюватиметься
програмне забезпечення для сканування.
Безпечна конфігурація апаратного і програмного забезпечення
Профілі адміністратора повинні бути надані тільки старшим посадовим
особам, щоб вони могли контролювати налаштування і відключення
33
звичайних профілів користувачів.
Профілі користувачів повинні бути обмежені, щоб дозволяти
використання комп'ютерів, робочих станцій або серверів тільки для тих
цілей, для яких вони необхідні. Профілі користувачів не повинні дозволяти
користувачеві змінювати системи або встановлювати і запускати нові
програми.
Захист електронної пошти та веб-браузера
Електронна пошта між судном і берегом є життєво важливою частиною
роботи судна. Відповідний захист електронної пошти та веб-браузера
служить для:
 захисту берегового і суднового персоналу від потенційної соціальної
інженерії;
 запобігання використанню електронної пошти як методу отримання
конфіденційної інформації;
 обмін конфіденційною інформацією по електронній пошті або по голосу
належним чином захищений для забезпечення конфіденційності і цілісності
даних, наприклад, захист за допомогою шифрування;
 запобігати виконанню шкідливих сценаріїв веб-браузерами і поштовими
клієнтами.
Ось деякі рекомендації щодо безпечної передачі електронної пошти:
електронна пошта в вигляді zip-архіву або зашифрованого файлу при
необхідності, відключення гіперпосилань в системі електронної пошти,
відмова від використання загальних адрес електронної пошти і забезпечення
того, щоб в системі були налаштовані облікові записи користувачів.
Можливість відновлення даних
Можливість відновлення даних - це можливість відновити систему і /
або дані з захищеної копії або образу, що дозволяє відновити чисту систему.
Необхідна інформація і відповідні програмні засоби резервного копіювання
повинні бути доступні для забезпечення відновлення після кіберінциденту.
Слід встановити періоди зберігання і сценарії відновлення, щоб
34
визначити пріоритетність критичних систем, що вимагають можливості
швидкого відновлення для зменшення впливу. Системи, до яких
пред'являються високі вимоги до доступності даних, повинні бути стійкими.
Системи ОТ, які мають життєво важливе значення для безпечної навігації і
експлуатації судна, повинні мати резервні системи, що дозволяють судну
швидко і безпечно відновити навігаційні та експлуатаційні можливості після
кіберінциденту.
Безпека прикладного програмного забезпечення (управління
виправленнями)
У бортові системи повинні надходити поновлення безпеки і захисту.
Звичайні виправлення безпеки повинні бути включені в цикл періодичного
обслуговування. Критичні виправлення слід оцінювати з точки зору
оперативного впливу на системи ОТ. Ці оновлення або виправлення слід
застосовувати правильно і своєчасно, щоб гарантувати усунення будь-яких
недоліків в системі до того, як вони будуть використані кібератакою. Якщо
критичне виправлення не може бути встановлено, слід оцінити альтернативні
заходи, які допоможуть реалізувати методи віртуального виправлення.
Заходи процесуального захисту
Процедурний контроль зосереджений на тому, як персонал
використовує суднові системи. Плани та процедури, які містять
конфіденційну інформацію, повинні залишатися конфіденційними і
оброблятися у відповідності з політиками компанії.
Приклади процесуальних дій можуть бути:
Навчання і обізнаність
Навчання та обізнаність є ключовими елементами підтримки
ефективного підходу до управління кіберризиками.
Слід враховувати внутрішню кіберзагрозу. Персонал грає ключову
роль в захисті ІТ-та OT-систем, але також може проявляти безпечність,
наприклад, використовуючи знімні носії для передачі даних між системами,
не беручи запобіжних заходів проти передачі шкідливих програм. Навчання
35
та обізнаність повинні бути адаптовані до відповідного рівня для:
 суднового персоналу, включаючи капітана, офіцерів і екіпаж;
 персоналу на березі, який підтримує управління, завантаження і
експлуатацію судна.
Ці керівні принципи передбачають, що інші основні зацікавлені
сторони в ланцюжку поставок, такі як фрахтувальники, класифікаційні
суспільства і постачальники послуг, проводитимуть свої власні передові
методи захисту і навчання з кібербезпеки. Власникам і операторам
рекомендується перевіряти стан готовності до кібербезпеки своїх сторонніх
постачальників, включаючи морські термінали і їх персонал, в рамках своїх
процедур пошуку таких послуг.
Для всього бортового персоналу повинна бути передбачена програма
підвищення обізнаності, що охоплює як мінімум наступне:
- ризики, пов'язані з електронною поштою, і безпечна поведінка.
Прикладами є фішингові атаки, коли користувач натискає посилання на
шкідливий сайт;
- ризики, пов'язані з використанням Інтернету, включаючи соціальні
мережі, чат-форуми та хмарне сховище файлів, де переміщення даних менш
контролюється і відстежується;
- ризики, пов'язані з використанням власних пристроїв. На цих пристроях
можуть бути відсутні виправлення безпеки та елементи управління, такі як
антивірус, і вони можуть передавати ризик середовища, до якого вони
підключені;
- ризики, пов'язані з установкою і обслуговуванням програмного
забезпечення на обладнанні компанії з використанням зараженого
обладнання (знімні носії) або програмного забезпечення (заражений пакет);
- ризики, пов'язані з неякісним програмним забезпеченням і безпекою
даних, коли не проводяться антивірусні перевірки або перевірки
автентичності;
- захист інформації користувача, паролів і цифрових сертифікатів;
36
- кіберризики, пов'язані з фізичною присутністю стороннього персоналу,
наприклад, коли сторонні технічні фахівці залишаються працювати з
обладнанням без нагляду;
- виявлення підозрілої активності або пристроїв і способи повідомлення
про можливі кіберінциденти. Приклади цього - дивні з'єднання, які зазвичай
не видно, чи хтось підключає невідомий пристрій в суднові мережі;
- поінформованість про наслідки або вплив кіберінцидентів на безпеку та
експлуатацію судна;
- розуміння того, як реалізувати процедури профілактичного
обслуговування, такі як антивірус і захист від шкідливих програм, установка
виправлень, резервне копіювання, а також планування і тестування
реагування на інциденти;
- процедури захисту від ризиків зі знімних носіїв постачальника послуг
перед підключенням до суднових систем.
Крім того, персонал повинен бути обізнаний про те, що наявність
програмного забезпечення для захисту від шкідливих програм не
скасовує вимоги до надійних процедур безпеки, наприклад, контролю
використання всіх знімних носіїв.
Крім того, відповідний персонал повинен знати ознаки зламу
комп'ютера. Це може включати наступне:
- не відповідаюча або повільно реагуюча система;
- несподівана зміна паролю або доступ неавторизованих користувачів до
системи;
- несподівані помилки в програмах, в тому числі збій в роботі або
несподіваний запуск програм;
- несподівані або раптові зміни доступного дискового простору або пам'яті;
- листи повертаються несподівано;
- несподівані труднощі з підключенням до мережі;
- часті збої системи;
- ненормальна активність жорсткого диска або процесора;
37
- несподівані зміни в браузері, програмному забезпеченні або призначених
для користувача настройках, включаючи дозволи.
Призначений персонал повинен вміти розуміти звіти систем IDS, якщо
вони використовуються. Цей список не є вичерпним і призначений для
підвищення обізнаності про потенційні ознаки, які слід розглядати як
можливі кіберінциденти.
Доступ для відвідувачів
Відвідувачі, такі як представники влади, технічні фахівці, агенти,
посадові особи порту і терміналу, а також представники власників, повинні
бути обмежені у доступі до комп'ютера на борту судна. Несанкціонований
доступ до чутливих комп'ютерів мережі ОТ повинен бути заборонений. Якщо
доступ користувача до мережі потрібен і дозволений, то він повинен бути
обмежений з точки зору прав користувача. Доступ до певних мереж для
технічного обслуговування повинен бути схвалений і координований згідно з
відповідними процедурами, викладеними компанії / оператором судна.
Якщо відвідувачеві потрібен доступ до комп'ютера і принтера, слід
використовувати незалежний комп'ютер, який ізольований від всіх
контрольованих мереж. Щоб уникнути несанкціонованого доступу слід
використовувати блокувальники знімних носіїв на всіх інших фізично
доступних комп'ютерах і мережевих портах.
1. Перерахуйте вісім загальних цілей безпеки.
2. Які види мотивації кібератаки на суднову систему ви знаєте?
3. Перерахуйте атрибути кібербезпеки.
4. Що таке «Стійкість суднових систем і інфраструктури»?
5. Які системи захисту інфраструктури Ви знаєте?
6. Для чого призначений захист електронної пошти та веб-браузера?
7. Як здійснюється контроль бездротового доступу?
8. Для чого служить захист електронної пошти та веб-браузера?
38
Лекція 3. Вектори кібератак в морській транспортній системі. Типи
кіберзагроз. Класифікація кібератак. Файлові системи, відновлення
даних (2год.).
Мета: формування у здобувачів вищої освіти компетентностей класифікації
кібератак в морській транспортній системі, методів відновлення даних у
випадку їх втрати або пошкодження.
здатність виявляти риски та кіберзагрози; здатність запобігати проникненню в
системи вірусних програм та повідомлень;
транспорті; здатність управління інформацією та аналізу інформації; здатність
працювати з системами менеджменту та з базами даних.
кібернебезпечних джерел, вміння логічно розподіляти етапи обробки
інформації, використовувати методи комутації інформації, налагоджувати її
захист, оцінювати ефективність побудованої моделі.
1. Вектори кібератак в морській транспортній системі.
2. Типи кіберзагроз.
3. Класифікація кібератак.
4. Файлові системи, відновлення даних.
1. Вектори кібератак в морській транспортній системі.
МТС часто називають системою систем. В одній з моделей цього
сценарію МТС включає шість взаємопов'язаних систем: судна, судноплавні
лінії, порти, людей, внутрішні водні шляхи та інтермодальні перевезення
39
(Інтермодальні вантажоперевезення здійснюються різними
логістичними компаніями, з використанням різних транспортних
засобів. Мультимодальні перевезення називають транспортування
вантажів, за яку відповідає одна компанія, але при цьому
використовують різні види транспорту: водного, залізничного,
авіаційного та автомобільного варіанту).
У свою чергу, кожна з цих систем має свої підсистеми:
 Підсистема «Судна» включає аспекти життєвого циклу судна, від
виробництва до технічного обслуговування, експлуатації та утилізації, а
також комунікації, мережі та навігаційні системи;
 Підсистема портів включає будівництво та обслуговування порту,
логістику в порту, управління рухом суден і всі аспекти повсякденної роботи
порту;
 Підсистема «Люди» включає весь ланцюжок поставок, торгових партнерів,
постачальників і клієнтів;
 Підсистема «Судноплавні лінії» включає в себе роботу і управління
компаніями, що володіють суднами, і включає обробку пасажирів і вантажів,
системи бронювання і розкладу, фінанси, операції і зв'язок;
 Підсистема внутрішніх вод включає систему внутрішніх водних шляхів,
супутні засоби навігаційного обладнання, а також днопоглиблювальні роботи
і технічне обслуговування водних шляхів;
 Підсистема інтермодальних перевезень описує, як морський сектор
взаємодіє з іншими видами транспорту, включаючи систему внутрішніх
барж, залізні дороги, автомобільні перевезення та авіацію.
Розмір, масштаби і користувачі МТС (The Maritime Transportation
System, MTS)
Будь-яка країна з береговою лінією і портом може вважати себе
морською країною. Крім того, більшість внутрішніх країн залежать від МТС
щодо більшої частини своїх товарів. Зрештою, приблизно 90 відсотків
світових вантажів перевозиться морем. Приблизно 90 000 суден (включаючи
40
прибережні) займаються перевезенням вантажів і пасажирів; вартість активів
цих суден становить близько 2 трильйонів доларів, і вони щорічно перевозять
вантажів на суму понад 19 трильйонів доларів.
МТС також є важливим економічним двигуном для країни. Це
найбільший вид імпортно-експортних перевезень в світі.
У Сполучених Штатах, наприклад, 40 відсотків всього імпорту йде
тільки через порти Лос-Анджелеса і Лонг-Біч. Крім того, морська галузь
щорічно вносить 5 трильйонів доларів в валовий внутрішній продукт (ВВП)
США і підтримує 30 мільйонів робочих місць, що становить майже 20
відсотків всієї робочої сили.
Тільки в США до складу МТС входять 25 000 миль судноплавних
каналів, 95 000 миль берегової лінії, 361 торговий порт, 50 000 федеральних і
незліченна безліч приватних засобів навігаційного обладнання (ATON), 20
000 мостів над водою, понад 3700 морських терміналів, 200 поромних
переправ і 238 шлюзів. 192 локації.
 Спільнота користувачів MTС також включає сотні тисяч невеликих
чартерних риболовних, екскурсійних, сафарі і дайв-ботів, а також понад 12
мільйонів човнів для прогулянок.
 Морські водні шляхи країни є загальними для багатьох співтовариств
користувачів. Крім портів і комерційних вантажних і пасажирських суден, є
також ціла система прибережних і океанських метеорологічних, навігаційних
і комунікаційних станцій і буїв. У прибережних і внутрішніх водах також
працюють:
 Військові кораблі, судна громадської безпеки та правоохоронні органи;
 Робочі човни, земснаряди, буї-тендери та інші судна, що беруть участь в
обслуговуванні водних шляхів і АТОН;
 Судна комерційного риболовства;
 Персональні човни і парусні судна;
 Бурові платформи, причали, вітряні турбіни та інші стаціонарні морські
об'єкти.
41
Вектори кібератак в МТС
• Повинно бути ясно, що навколишнє середовище МТС складається з
незліченних рухомих частин, кожна з яких грає вирішальну роль в безпеці
морських перевезень і експлуатації. Ми не можемо досить підкреслити той
факт, що кожна з цих частин, що рухаються, являє собою потенційний вектор
кібератаки, тому так важливо мати цілісне уявлення про всю систему
MTS, а не тільки про сегмент, якому відповідає ваша конкретна посада.
Існує величезна кількість векторів кібератак через морське середовище
і всередині нього, наприклад:
• Робота з суднами: сьогодні судна є фактично плавучі мережі, включаючи
оперативні мережі, що керують системами суден, мережі, що з'єднують
системи безпеки та управління вантажами, мостові системи для навігації і
зв'язку, розважальні мережі на пасажирських суднах і мережі управління
озброєнням на військових кораблях. Системи навігації та зв'язку також є
можливими векторами кібератак.
• Робота судноплавних ліній: як вантажні, так і пасажирські судноплавні
лінії мають складні зовнішні мережі, а також безліч внутрішніх мереж. У
загальному доступі, в мережі Інтернет, наприклад, зазвичай розміщується
відкритий веб-сайт компанії, а також портали для клієнтів і партнерів,
можливості електронної комерції, системи бронювання, системи відстеження
суден і вантажів, інформація про продажі і маркетинг та багато іншого.
• Внутрішні мережі керують повідомленням суден, відстеженням пасажирів
і вантажів, управлінням персоналом, розрахунком заробітної плати,
логістикою і постачанням, фінансовим менеджментом, обробкою багажу і
вантажів, відносинами з клієнтами / партнерами, графіком технічного
обслуговування, дотриманням правових норм, управлінням маршрутами і т.д.
Кожна з цих функцій може бути метою і шляхом кібератаки.
• Портові операції. Порти також мають власну присутність в Інтернеті,
системи продажів і маркетингу, системи відстеження суден і вантажів, а
також портали для клієнтів, орендарів і партнерів по ланцюжку поставок.
42
Системи фізичної безпеки портів, такі як камери і датчики, також зазвичай
управляються мережевими контролерами. Зв'язок важливий між штаб-
квартирою терміналу, управлінням рухом суден, суднами, що заходять в порт
і виходять з нього, орендаторамит порту, юридичними органами та
митницею, а також судноплавними лініями.
Як і будь-який інший добре керований бізнес, порти також мають
системи управління персоналом і фінансові системи, а також зв'язок з
митницею і міграційною службою для вантажів, пасажирів і екіпажу. Крім
того, порти мають свої власні системи логістики та інвентаризації, тому що
вони теж є клієнтами своїх власних постачальників обладнання.
• Вантажні та морські перевезення. Пов'язані з вантажем мережі
забезпечують зв'язок з митницею, діловими партнерами і власниками
вантажу, який тимчасово зберігається в порту. Операції, пов'язані з
вантажними операціями, також включають в себе безліч промислових систем
управління і автоматизації для контролю руху вантажів навколо порту і
кранів, які використовуються для навантаження і розвантаження вантажів.
Безпека вантажу також контролюється за допомогою комп'ютерів, а також
передача вантажу інтермодальним перевізникам і від них з необхідними
зв'язками з залізничними, автомобільними і авіаперевізниками.
• Виробництво: виробники стикаються з тими ж проблемами, що і
судноплавні лінії та порти, з загальнодоступними веб-сайтами для
маркетингу, найму і загальної інформації, клієнтським порталом для
продажів, відстеження замовлень і платежів, а також з внутрішніми
системами для управління персоналом, платіжними відомостями.
• Управління ланцюжком поставок неймовірно важливо для виробників,
щоб їх виробничі лінії продовжували працювати, що включає в себе їх
здатність переміщати гроші, а також товари. Крадіжка інтелектуальної
власності являє собою серйозну загрозу існуванню виробників, оскільки
крадіжка конфіденційної інформації конкуруючими компаніями часто
здійснюється через Інтернет.
43
• Управління рухом суден (VTC): управління потоком суден, особливо в
завантаженому порту або вузькій водоймі, вимагає надійного радіозв'язку;
системи визначення місця розташування, навігації та часу (PNT), такі як
Глобальна система позиціонування (GPS); мережі ситуаційної обізнаності,
такі як Автоматична ідентифікаційна система (АІС); актуальні карти і
сповіщення для моряків; та інші функції, що забезпечують безпечний і
ефективний рух суден, вантажів і людей. Кожна з цих систем забезпечує
потенційний вектор кібератаки в географічних областях, що допускають
невелику похибку. Додайте до цього той факт, що, хоча майже всі порти
об'єднують військові, комерційні та / або прогулянкові судна на одних і тих
же водних шляхах, ці човни і судна, як правило, не перебувають під
контролем системи VTC.
• Дистанційне керування і автономність: безпілотні і автономні судна,
транспортні засоби та інші портові операції з'являються в усьому світі через
брак персоналу, економічних імперативів та інших факторів. Ці системи
варіюються від дистанційно керованих до повністю автономних суден,
буксирів, доків, дронів, вантажівок і кранів. Якщо вони не захищені
належним чином, кожен з них може бути в кращому випадку
нефункціональним, а в гіршому - перетворений в фізичну зброю.
Таким чином, хороший кіберзахист захищає не тільки власні системи
організації, але і всі системи, з якими дані цієї організації вступають в
контакт. Пам'ятайте, зловмисникам не потрібні ваші комп'ютери або
мережі, їм потрібна ваша інформація. І це саме визначення партнера в
контексті кібербезпеки. Партнер - це будь-яка особа, яка будь-яким чином
впливає на ланцюжок зберігання ваших даних. Якщо ваші дані ніколи не
покидають вашу корпоративну інтермережу, то партнером є будь-яка особа,
яка має доступ до вашої інтермережі. Якщо ви відправляєте інформацію по
загальнодоступній мережі, то партнером є будь-яка особа, яка може отримати
доступ до ваших даних, має необхідні облікові дані для доступу до ваших
даних або може перешкоджати переміщенню ваших даних.
44
• Корпоративна мережа порту, судноплавної лінії, виробника або
постачальника зазвичай є приватною мережею з власною ІТ-
інфраструктурою. Віртуальні приватні мережі (VPN) часто надають доступ
до внутрішньої мережі через загальнодоступний Інтернет.
• Цивільні судна зазвичай мають кілька бортових мереж. Внутрішня мережа
судна контролює суднові функції, такі як рушійна установка, система
менеджменту потужності, моніторингу стану і контроль баласту. Інша
приватна мережа забезпечує зв'язок з корпоративною мережею. Судно також,
ймовірно, підключено до Інтернету для зв'язку екіпажу, пасажирів і розваг, а
також для корпоративних комунікацій - і забезпечує шлях, через приватні
мережі для зв'язку зі своїми наземними колегами. GPS, AIS і зв'язок з VTS
також використовують громадські радіоканали.
• Портові операції використовують комбінацію приватних мереж для
внутрішнього зв'язку, загальнодоступних мереж для навігації і зв'язку і,
ймовірно, мереж для інтермодальних комунікацій, суднового постачання та
управління вантажами і пасажирами.
2. Типи кіберзагроз.
Цю інформацію цілком можна сприймати як довідник, який визначає
близько 30 різних типів кіберзагроз. В цілому, є дві категорії кібератак, які
можуть торкнутися компанії і судна:
- нецільові атаки, коли системи і дані компанії або судна є однією з багатьох
потенційних цілей.
- цільові атаки, коли передбачуваною метою є системи і дані компанії або
судна.
Нецільові атаки можуть використовувати інструменти і методи, доступні в
Інтернеті, які можна використовувати для виявлення і використання широко
поширених вразливостей, які також можуть існувати в компанії і на борту
судна.
45
Цільові атаки можуть бути більш витонченими і використовувати
інструменти і методи, спеціально створені для націлювання на компанію або
судно.
Соціальна інженерія і шкідливе ПО (програмне забезпечення)
Соціальна інженерія - це форма психологічної маніпуляції, при якій
поганий актор якимось чином переконує хорошого актора зробити щось, що
не відповідає його інтересам. Атаки соціальної інженерії можуть бути дуже
витонченими, і навіть навчені люди можуть стати жертвами добре
організованої кампанії соціальної інженерії. Це основа будь-якого
шахрайства.
У кіберпросторі соціальна інженерія є основним засобом переконання
людей завантажувати різні форми шкідливого програмного забезпечення,
відкривати вкладення до електронних листів, переходити на небезпечні веб-
сайти і іншим чином порушувати належні методи кіберзахисту.
Для кібератаки за допомогою соціальної інженерії не потрібен
комп'ютер або навіть кібернетичний вектор.
Шкідливе програмне забезпечення, також відоме як шкідливе ПЗ,
зазвичай відноситься до програм і додатків, які навмисно порушують роботу
комп'ютерів і систем зв'язку, включаючи користувацькі системи, сервери,
локальні мережі та Інтернет, призначені для доступу до комп'ютера або його
пошкодження без відома власника. Існують різні типи шкідливих програм,
включаючи трояни, програми-вимагачі, шпигунське ПЗ, віруси і черв'яки.
Програма-вимагач шифрує дані в системах до тих пір, поки не буде
виплачений викуп. Шкідливе ПО може також використовувати відомі
недоліки і проблеми в застарілому / не виправленому програмному
забезпеченні для бізнесу.
Експлойти (Exploits) є підвидом шкідливих програм. Термін пов'язаний
з англійським дієсловом "to exploit", що означає «експлуатувати,
застосовувати в своїх інтересах». Втім, експлойт - це не обов'язково окремий
додаток (файл, що виконується): він може мати вигляд невеликого фрагмента
46
шкідливого коду або набору команд, які виконуються в певному порядку.
Використовуючи уразливість будь-якої системної або прикладної програми,
експлойт виробляє на пристрої жертви несанкціоновану дію.
Як правило, воно дозволяє підвищити привілеї в цільовій системі або
виконати довільний код.
Цілі роботи експлойту різноманітні: завантаження і установка
шкідливих програм, підвищення прав доступу, зупинка роботи системи,
розкриття конфіденційних даних. Слід зауважити, що самі експлойти не
здійснюють деструктивних дій безпосередньо: їх завдання - скористатися
вразливістю, щоб забезпечити запуск вкладеного в них коду. Всі наступні
операції виконує саме шкідливе навантаження, і від його змісту залежить те,
якої мети досягне зловмисник.
Класифікація експлойтів
Експлойти (exploits) можуть застосовуватися до будь-яких елементів
комп'ютерної системи. Об'єктом атаки можуть бути модулі операційної
системи, прикладні програми і навіть апаратні компоненти. Для успішної
атаки необхідно змусити жертву перейти за посиланням, завантажити і
відкрити файл, щоб експлойт отримав можливість проексплуатувати
потрібну вразливість. Оскільки експлойти розробляються для здійснення
різних дій на зараженій системі, їх можна класифікувати по об'єкту
призначення: для браузерів і доповнень до них; для операційних систем; для
офісних програм, програвачів і іншого прикладного програмного
забезпечення; для серверного програмного забезпечення; для веб-сервісів,
наприклад WordPress, Joomla, Drupal; для апаратних компонентів.
Експлойти потрапляють в комп'ютер користувача різними способами.
Зокрема, може статися пряме втручання зловмисника в систему. Якщо
мережевого доступу до системі що атакується немає, то надсилається лист на
електронну пошту або повідомлення через месенджер з посиланням на
шкідливий код.
47
Об'єкт впливу. Експлойти, будучи підвидом шкідливих програм,
використовуються для впливу на комп'ютерні пристрої різних користувачів.
Це можуть бути машини комерційних компаній, державних структур, різних
організацій. Також за допомогою експлойтів зловмисники проникають в
комп'ютерні системи рядових користувачів для крадіжки особистої
інформації, особливо що має відношення до фінансів.
Джерело загрози. Створюються експлойти кіберзлочинцями високої
кваліфікації, які продають їх на чорному ринку іншим зловмисникам. Як
елементи кіберзброї вони розробляються і використовуються спецслужбами.
Також експлойти можуть бути результатом роботи фахівців з

інформаційної безпеки, бажаючих показати, яким чином може
експлуатуватися виявлена ними вразливість. У цьому випадку виробники
ПЗ сповіщаються про уразливість до публікації експлойту у відкритому
доступі. Нарешті, експлойти іноді розробляються студентами і молодими
програмістами для вдосконалення своїх умінь.
Аналіз ризику. Незважаючи на старання фахівців, вразливості є
практично у всіх програмах, а значить, для зловмисників завжди є лазівка для
підготовки експлойту. До моменту, коли розробники випустять патч
(невелику програму для виправлення вразливих файлів), шкідлива програма
може завдати величезної шкоди. Під загрозу потрапляють всі користувачі,
включаючи самих обережних і уважних. Наслідки застосування експлойту
можуть бути самими різними. Це залежить від завдання, яке ставилося перед
шкідливими програмами: від порушення роботи системи до втрати великих
грошових сум, секретної інформації. Убезпечити свій пристрій від експлойту
можна, якщо користуватися антивірусними програмами від відомих
компаній, які постійно вдосконалюють свої продукти. Знизять ризики
зараження регулярне оновлення операційної системи і прикладних програм,
відмова від переходів за підозрілими посиланнями, ігнорування спам-
повідомлень, уважне ставлення до фінансових операцій.
48
Термін «експлойт» зазвичай відноситься до використання
програмного забезпечення або коду, який розроблений користувачем в своїх
інтересах і управляє проблемою в іншому програмному або апаратному
забезпеченні комп'ютера. Ця проблема може бути, наприклад, помилкою
коду, вразливістю системи, неправильним дизайном, несправністю
устаткування і / або помилкою в реалізації протоколу. Ці вразливості можуть
використовуватися віддалено або локально.
На локальному рівні шкідливий код часто може бути виконаний
користувачем, іноді через посилання, поширювані у вкладеннях електронної
пошти, або через шкідливі веб-сайти. Шкідливе ПО фактично атакує безліч
характеристик інформації. Майже всі шкідливі програми потрапляють в
комп'ютер або мережу, коли користувач відкриває вкладений файл в
електронному листі, завантажує заражений файл з Інтернет-сайту або іншим
чином відповідає на вказівки, зазначені в повідомленні від «невідомого»
користувача.
Вірус - це шкідлива програма, яка активується користувачем, часто
подвійним клацанням по вкладеному файлу електронної пошти. Після
активації вірус може робити майже все в комп'ютерній системі або
мобільному пристрої, наприклад, повільно видаляти дані, знижувати
продуктивність системи або робити комп'ютер частиною зомбі-мережі,
використовуваної для атак на інші системи.
Шпигунське ПЗ - це тип вірусу, який захоплює дані, збираючи натискання
клавіш, вміст системного буфера обміну, знімки екрану, облікові дані
користувача і іншу інформацію, яка може бути завантажена на сайт
зловмисника.
Черви - це шкідливі програми, які можуть пересилатися в інші системи,
зазвичай шляхом пересилання по всіх адресах в адресній книзі зараженої
системи або просування через відкриті мережеві ресурси.
Як і віруси, черв'яки можуть робити з головним комп'ютером все що
завгодно, якщо вони активні; навіть без шкідливого навантаження вони
49
можуть знизити продуктивність комп'ютера. В даний час черв'яки є найбільш
поширеним способом розповсюдження шкідливих програм в Інтернеті, а
шкідливі програми на основі черв'яків можуть заразити сотні тисяч
комп'ютерів за лічені хвилини або години.
Трояни або троянські коні - це програми, які призначені для виконання
одного завдання, але також містять додаткові шкідливі функції. Після
запуску ці програми дозволяють зловмисникові контролювати всі аспекти
зараженої системи. Віддалений доступ трояни і інші троянські програми
можна знайти в електронній пошті або на сайтах завантаження програмного
забезпечення, але також поширені в якихось іграх, обміну музики, і веб-
сайтах порнографії, де користувачеві сказали завантажити спеціальне
програмне забезпечення перегляду для того, щоб отримати доступ до файлів.
Прикладом може служити CoinTicker, додаток для MacOS X, яке відстежує
поточну ціну біткойнів і інших криптовалют, але також встановлює
шкідливі програми-бекдори, які дозволяють зловмиснику отримати доступ
до гаманця криптовалюти користувача. Шкідлива програма залишається в
системі навіть після видалення основної програми. Хоча більшість
шкідливих програм націлено на системи Windows, проте комп'ютери Linux і
MacOS не захищені від шкідливого програмного забезпечення і зламу.
Віруси і трояни поширені на мобільних пристроях, особливо на тих,
які використовують операційну систему Android і відкритий магазин
додатків. Мобільні пристрої є особливо привабливою метою для
зловмисників через велику кількість особистої інформації, яку вони містять,
включаючи електронну пошту, текстові повідомлення, фотографії, фінансову
та медичну інформацію, облікові дані для входу в робочі мережі та десятки
додатків і багато іншого. Програмне забезпечення для крадіжки інформації з
такою ж вірогідністю націлене на мобільні пристрої, як і на персональні
комп'ютери.
Фішинг-атаки і атаки на водопій
50
Фішинг - це форма соціальної інженерії, при якій з законного джерела
отримано повідомлення, яке запитує у одержувача деяку форму особистої
ідентифікованої інформації (РП), захищеної медичної інформації (PHI) або
облікових даних, що залежать від мережі. Фішинг - відправка електронних
листів великій кількості потенційних цілей з проханням надати певні
фрагменти конфіденційної інформації. В такому електронному листі також
може міститися запит на відвідування підробленого веб-сайту за
гіперпосиланням, що міститься в електронному листі.
Фішинг - це форма шахрайства, і для його успіху використовуються
прийоми, маніпуляції і, в деяких випадках, залякування. Теми фішингових
повідомлень можуть включати:
• Повідомлення про злам кредитної картки або банківського рахунку або про
сумнівне списання коштів.
• Повідомлення про виграш ірландської лотереї, подарункової карти або
іншого призу.
• (незапрошену) пропозицію про роботу.
• Запит інформації для продовження отримання допомоги (наприклад,
соціального забезпечення), зберегти обліковий запис, отримання податкового
кредиту або відновлення / перевірки бази даних паролів.
• Вимога оплати для врегулювання податкового рішення податкової служби
або сплати штрафу, щоб уникнути арешту.
При фішингу метою зловмисника є фінансове шахрайство або крадіжка
особистих даних, але ці ж схеми можуть також використовуватися для
крадіжки інтелектуальної власності, доступу до конфіденційної інформації
або збору розвідувальної інформації. Прості фішингові атаки зазвичай
пов'язані з відправкою одержувача електронною поштою на підроблений, але
той що виглядає цілком законно веб-сайт. Спірфішингова атака спеціально
націлена на людей, що мають ту чи іншу форму взаємних зв'язків або
спільних інтересів, таких як фінансові службовці, співробітники, які разом
відвідували збори або клас і т. д.
51
Повідомлення спірфішингу можуть бути дуже персоналізованими і
виглядати дуже переконливими. Китобійний промисел - це різновид
цільового фішингу, при якому повідомлення надсилаються старшим
керівникам та менеджерам, членам правління або іншим високопоставленим
особам в організації.
Фішинг не обмежується електронною поштою. Голосовий фішинг (він
же вішинг) відправляє неправдиве повідомлення, часто в формі неминучого
арешту правоохоронними або державними органами, з використанням
голосової мережі, зазвичай з використанням синтезованого голосу і роботів.
Таким же чином SMS-фішинг (він же смішинг) використовує текстові
повідомлення як вектор для фішингу. На мобільних телефонах номер
абонента часто підробляється, так що повідомлення виглядає як те що
надійшло з того ж коду міста або країни, що і адресат.
Один з варіантів фішингу - це атака на водопій, цілеспрямована форма
соціальної інженерії, націлена на групи, що мають спільні інтереси.
Зловмисник починає зі збору інформації про жертви, на які він спрямований,
для визначення або спостереження за тим, які веб-сайти часто відвідує група
(наприклад, чи всі відвідують один і той же спортивний або сайт новин
щоранку?). Якщо зловмисник не може знайти такий веб-сайт, витончений
противник може створити такий сайт спеціально для залучення цілей в одне
місце.
Наступним кроком зловмисника є встановлення зловмисного
програмного забезпечення на сайт водопою, який згодом заражає вразливі
призначені для користувача системи. У міру зараження систем зловмисник
може почати отримувати доступ до інформації або іншим чином
маніпулювати скомпрометованими цілями. Навіть групи користувачів, стійкі
до фішингу та цільового фішингу, стануть жертвами атак з водяним отвором
через природну довіру користувачів до безпеки веб-сайтів.
Цільові атаки можуть бути більш витонченими і використовувати
інструменти і методи, спеціально створені для націлювання на компанію або
52
судно. Приклади інструментів і методів, які можуть використовуватися в цих
обставинах, включають:
 Груба сила - атака з перебором безлічі паролів в надії, що в кінцевому
підсумку буде правильно вгаданий. Зловмисник систематично перевіряє всі
можливі паролі, поки не буде знайдено правильний.
 Відмова в обслуговуванні (DoS) - запобігає доступу законних і
авторизованих користувачів до інформації, зазвичай шляхом заповнення
мережі даними. Розподілена атака типу «відмова в обслуговуванні» (DDoS)
бере під контроль кілька комп'ютерів і / або серверів для реалізації DoS-
атаки.
 Цільовий фішинг. Подібно фішингу, люди стають мішенню для
особистих листів, які часто містять шкідливі програми та посилання, що
автоматично завантажують шкідливе ПЗ.
 Порушення ланцюжка поставок - напад на компанію або судно шляхом
компрометації обладнання, програмного забезпечення або допоміжних
послуг, що надаються компанії або судну.
Відмова в обслуговуванні, ботнети і зомбі
Набір зомбі-систем називається ботнетом (роботизованою мережею).
Коли зловмисник готовий запустити DDoS-атаку на жертву, він відправляє
повідомлення скомпрометованим системам всередині ботнету, наказуючи їм
одночасно відправити шкідливо корисне навантаження на сайт жертви;
сукупні вимоги до пропускної здатності всіх зомбі перевищують вимоги
сайту-жертви.
Програми-вимагачі
Програми-вимагачі - це різновид шкідливого ПО, яке блокує доступ
користувача до комп'ютера або файлової системи, якщо користувач не
платить викуп. Атаки програм-вимагачів існують приблизно з 2012 року і
можуть використовуватися для атаки будь-якого типу комп'ютерів,
включаючи мобільні пристрої. З 2016 року ці форми також були однією з
найпоширеніших форм кібер-шкідливих програм.
53
Програми-вимагачі зазвичай поширюються в вигляді вірусів або
черв'яків. Зазвичай вони працюють шляхом шифрування файлів системи,
щоб зробити систему недоступною для користувача, а потім вимагають від
користувача викупу для відновлення ключа дешифрування.
Морська галузь, безумовно, не застрахована від цього. Загальною
тенденцією цих атак є те, що операції припиняються, співробітники
втрачають доступ до Інтернету та електронної пошти, відділи змушені
вдаватися до ручки і паперу, а записи губляться.
Програми-вимагачі - це більше, ніж просто незручність. Кількість
атак програм-вимагачів, як цільових, так і нецільових, зростає
експоненційно.
Майже 40 відсотків жертв платять викуп, і вимоги викупу ростуть; найвищий
викуп склав більше 900 000 доларів. Навіть незважаючи на те, що середній
попит на викуп становить менше 25 000 доларів, загальні витрати на простий
і відновлення можуть обчислюватися мільйонами.
Інші типи загроз для інформації
Короткий опис цих додаткових загроз:
• Атаки методом грубої сили: злам пароля шляхом спроби використання
всіх можливих комбінацій символів, цифр і символів.
• Розширені постійні погрози (APT)
• Подвиги нульового дня ( «експлойт нульового дня»)
• Порушення конфіденційності: втрата корпоративної або особистої
приватної інформації з наслідками, включаючи цивільну або кримінальну
відповідальність, втрату суспільної довіри / довіри клієнтів, крадіжку
особистих даних, доступ до партнерів по ланцюжку поставок і т. д.
• Підроблене обладнання: обладнання Copycat, яке працює як оригінал, але
не відповідає необхідним проектним специфікаціям, наприклад, мікросхеми
процесору і пристрої пам'яті, які можуть несподівано вийти з ладу,
працювати на більш низькій швидкості або споживати дуже багато енергії.
Навіть кабелі можуть бути проблематичними. Кабель OMG виглядає точно
54
так само, як кабель Apple Lightning для зарядки iPhone від джерела USB, але
підозрюється в розповсюдженні шкідливого обладнання і прошивки, яка
дозволяє зловмисникові контролювати кабель і, при підключенні до
комп'ютера Mac, завантажувати шкідливе ПО в Mac.
• Зміна / коригування даних: якщо зловмисник отримує доступ до бази
даних і змінює невеликий обсяг даних кожен день протягом багатьох тижнів
або місяців, хазяїну бази даних не потрібно багато часу, щоб втратити довіру
до всієї бази даних. Перехід до недавньої резервної копії може не вирішити
проблему, тому що може знадобитися копія, що була вироблена кілька
місяців тому, щоб знайти чисті дані; однак це означає, що ви втратите всі
достовірні останні дані.
• Пошкодження даних: навмисна або випадкова передача інформації
недовіреній стороні.
• Витік даних: ненавмисне розкриття інформації, отриманої зловмисником
шляхом логічного висновку; наприклад, вивчення параметрів сценарію веб-
сервера шляхом перегляду вихідного коду сторінки або уніфікованого
покажчика ресурсів (URL), визначення імен «прихованих» файлів шляхом
вивчення імен «видимих» файлів або вивчення секретної інформації шляхом
об'єднання кількох несекретних джерел.
• Крадіжка даних: несанкціонований доступ до даних зловмисником. Це
не те ж саме, що фізична крадіжка, коли предмет відбирається у законного
власника з наміром назавжди позбавити законного власника права володіння
цим предметом, тому що у власника даних все ще є дані.
• Шахрайство з електронною поштою: шахрайство, скоєне за допомогою
електронної пошти, таке як нігерійські повідомлення, підроблені рахунки або
фактури, підроблені попередження від компаній, що випускають кредитні
карти, помилкові запити в службу підтримки і т. д.
• Експлойт хосту: використання шкідливих програм або засобів злому, які
використовують уразливість в операційній системі або програмному
забезпеченні хосту або сервера.
55
• Неефективна утилізація: втрата конфіденційної інформації через
неефективне знищення непотрібних пристроїв зберігання даних. Наприклад,
багато компаній видаляють файли з жорстких дисків з вичерпаним терміном
служби, а потім продають жорсткі диски через Інтернет. На жаль, дані
залишаються на диску після видалення і можуть бути відновлені наступним
власником диска, якщо не буде вжито належних процедури для повного
очищення диска від всього вмісту.
• Неефективне тестування: в поспіху з виведенням продуктів на ринок і
дотриманням графіків тестування апаратного та програмного забезпечення
часто проводиться поверхово або неповно. У деяких випадках з програмним
забезпеченням проблема зводиться до виправлення недоліків у міру їх
виявлення після випуску продукту шляхом установки виправлень. В одному
відомому випадку американська комп'ютерна компанія передала свої
клавіатури китайському виробникові. Коли клавіатури прибули,
комп'ютерна компанія провела функціональні тести, щоб переконатися,
що клавіатури працюють відповідно до обіцянок; тільки пізніше вона
дізналася, що в клавіатуру вбудований реєстратор натискань клавіш -
шкідлива програма, яка передає все, що вводять користувачі, назад
виробникові.
• Внутрішня загроза: дуже складно побудувати систему, що захищає від
недобросовісних користувачів, що мають законний доступ до даних.
Незадоволені співробітники, шпигуни, інформатори або користувачі, які
користуються соціальною інженерією, - все це потенційні загрози безпеки
інформації.
• Фізичний експлойт: фізичний доступ до комп'ютерів, серверів та інших
сховищ інформації є важливим вектором атаки, який часто не береться до
уваги при прагненні до кібербезпеки. Є багато повідомлень про випадки,
коли зловмисники заходили в офіс і виходили з сервером, що містить десятки
тисяч записів про співробітників, клієнтів і фінансових записах, зазвичай не
зашифрованих на жорсткому диску. Безпека периметра, замкнені двері,
56
обмежений доступ, охорона, камери та інші фізичні бар'єри необхідні для
надійної інформаційної безпеки.
• Розвідка: для того, щоб цільова атака увінчалася успіхом, зловмисник
повинен дізнатися якомога більше про цільову організації. Є багато способів
дізнатися про людей (наприклад, об'єктах соціальної інженерії або фішингу)
або мережах (наприклад, об'єктах злому або DoS-атак), використовуючи
загальнодоступну інформацію, таку як власний веб-сайт організації,
пошукові системи в Інтернеті, сайти онлайн-карт.
• Атака салямі: форма фінансової крадіжки, при якій зловмисник краде дуже
невеликі суми грошей за транзакцію, що призводить до дуже великих
кумулятивних сум вкрадених коштів. Як приклад: програміст, який працює в
банку, відповідає за програму, яка розраховує відсотки за рахунками
користувачів.
• Несанкціонований доступ: відноситься до будь-якої особи або процесу,
які використовують ресурс без дозволу. Несанкціонований доступ може
відноситися до людей, що входять в захищений простір всередині будівлі або
об'єкта, до користувача, що входить в обліковий запис комп'ютера, який не
належить йому, або до додатка, що використовує мережевий ресурс, до якого
у нього не повинно бути доступу.
3. Класифікація кібератак.
Не всі кібератаки створені рівними. Деякі компанії страждають від
інциденту, пов'язаного з кібербезпекою, тому що вони сприйнятливі до будь-
якої уразливості, що використовується зловмисником; деякі компанії є
конкретною метою. Інформація про зловмисника дає уявлення про його
мотивацію, ресурс і завзятость.
В цілому кібератаки поділяються на такі категорії:
• Кіберзлочинці: кіберзлочинці мотивовані тим же, що і інші злочинці:
грошима або іншими товарами. Кіберзлочинність, включаючи крадіжку
особистих даних і програми-вимагачі, обходиться світовій економіці в більш
57
ніж 600 мільярдів доларів на рік. Кіберзлочинні банди можуть діяти заради
власної вигоди або бути найманими.
• Кіберактивісти (Hacktwists): подібно до активістів і протестуючих в
фізичному світі, кіберактивісти зазвичай керуються філософією, політикою і
негрошовими цілями. Ці хакерські групи зазвичай беруть участь в таких діях,
як кампанії по дезінформації в соціальних мережах і псування веб-серверів.
• Кібершпигуни: діючи від імені конкуруючих компаній або національних
держав, кібершпигуни займаються фінансовим, промисловим, політичним і
дипломатичним шпигунством, включаючи крадіжку інтелектуальної
власності.
• Кібертерористи: ці групи здійснюють кібератаки з політичних, релігійних,
ідеологічних або соціальних причин з наміром посіяти страх у своїх цільових
жертв. Кібертерористи можуть бути незалежними або працювати в якості
довірених осіб держави.
• Кібервоїни: ці зловмисники зазвичай прямують національною державою
для досягнення своїх стратегічних цілей. Цілями кібервійни зазвичай є
військові або критично важливі об'єкти інфраструктури.
4. Файлові системи, відновлення даних.
ОС – операційна система.
FAT – (File Allocation Table) - таблиця розміщення файлів.
ОП – оперативна пам'ять.
Кеш-пам'ять - це пам'ять для тимчасового зберігання даних, проміжна між
різними типами пам'яті. Використовується для підвищення ефективності
роботи комп'ютера.
Інфографіка або інформаційна графіка (англ. Information graphics;
infographics) — це графічне візуальне подання інформації, даних або знань,
призначених для швидкого та чіткого відображення комплексної інформації).
Дані на диску зберігаються у вигляді файлів. Файл - це частина диска з
іменем. Для управління файлами призначені системи управління файлами.
Можливість мати справу з даними, що зберігаються в файлах, на логічному
58
рівні надає файлова система. Саме файлова система визначає спосіб
організації даних на будь-якому носії даних.
Таким чином, файлова система - це набір специфікацій і відповідне їм
програмне забезпечення, які відповідають за створення, знищення,
організацію, читання, запис, модифікацію і переміщення файлової
інформації, а також за управління доступом до файлів і за управління
ресурсами, які використовуються файлами.
Система управління файлами є основною підсистемою в абсолютній
більшості сучасних ОС.
За допомогою системи управління файлами:
· зв'язуються через дані всі робочі програми;
· вирішуються проблеми централізованого розподілу дискового
простору і управління даними;
· надаються можливості користувачеві: по виконанню операцій над
файлами, з обміну даними між файлами і різними пристроями, можливості
щодо захисту файлів від несанкціонованого доступу.
У деяких ОС може бути декілька систем управління файлами, що
забезпечує їм можливість працювати з декількома файловими системами.
Термін «файлова система» визначає принципи доступу до даних,
організованих у файли.
Термін «система управління файлами» відноситься до конкретної
реалізації файлової системи, тобто це комплекс програмних модулів, що
забезпечують роботу з файлами в конкретній ОС.
Отже, для роботи з файлами, організованими відповідно до деякої
файлової системи, для кожної ОС повинна бути розроблена відповідна
система управління файлами. Ця система управління файлами буде
працювати тільки в тій ОС, для якої вона створена.
Для сімейства ОС Windows в основному використовуються файлові
системи: VFAT, FAT32, NTFS.
У файлової системи FAT дисковий простір будь-якого логічного диска
59
ділиться на дві області:·системну область і область даних.
Системна область створюється і ініціалізується при форматуванні, а
згодом оновлюється при маніпулюванні файловою структурою.
Системна область складається з наступних компонентів:
- сектор завантаження, що містить запис про завантаження (boot
record);
- зарезервованих секторів (їх може і не бути);
- таблиці розміщення файлів (FAT);
- кореневого каталогу (Root directory, ROOT).
Ці компоненти розташовані на диску один за одним.
Область даних містить файли і каталоги, підлеглі кореневому.
Область даних розбивають на так звані кластери. Кластер - це один або
кілька суміжних секторів області даних. З іншого боку, кластер - це
мінімальна одиниця дискової пам'яті яка має адресу, що виділяється файлу.
Тобто файл або каталог займає ціле число кластерів. Для створення і запису
на диск нового файлу операційна система відводить для нього кілька вільних
кластерів диска. Ці кластери не обов'язково повинні слідувати один за одним.
Для кожного файлу зберігається список всіх номерів кластерів, які надані
даному файлу.
Розбиття області даних на кластери замість використання секторів
дозволяє:
- зменшити розмір таблиці FAT;
- зменшити фрагментацію файлів;
- скорочується довжина ланцюжків файлу, таким чином
прискорюється доступ до файлу.
Однак занадто великий розмір кластера призводить до неефективного
використання області даних, особливо в разі великої кількості маленьких
файлів (адже на кожен файл втрачається в середньому півкластера).
В сучасних файлових системах (FAT32, HPFS, NTFS) ця проблема
вирішується за рахунок обмеження розміру кластера (максимум 4 Кбайта).
60
Картою області даних є Таблиця розміщення файлів (File Allocation
Table - FAT). Кожен елемент таблиці FAT (12, 16 або 32 біт) відповідає
одному кластеру диска і характеризує його стан: вільний, зайнятий або є
збійні кластери (bad cluster).
 Якщо кластер розподілений якому-небудь файлу (тобто, зайнятий), то
відповідний елемент FAT містить номер наступного кластера файлу.
 Останній кластер файлу відзначається числом в діапазоні FF8h - FFFh
(FFF8h - FFFFh).
 Якщо кластер є вільним, він містить нульове значення 000h (0000h).
 Кластер, непридатний для використання (зіпсований), відзначається
числом FF7h (FFF7h).
Таким чином, в таблиці FAT кластери, що належать одному файлу,
зв'язуються в ланцюжки.
Таблиця розміщення файлів зберігається відразу після
завантажувального запису логічного диска, її точне розташування описано в
спеціальному полі в завантажувальному секторі. Вона зберігається в двох
ідентичних примірниках, які слідують один за одним. При руйнуванні першої
копії таблиці використовується друга.
У зв'язку з тим, що FAT використовується дуже інтенсивно при доступі
до диску, вона зазвичай завантажується в ОП (в буфер введення / виведення
або кеш) і залишається там настільки довго, наскільки це можливо.
Основний недолік FAT - повільна робота з файлами. При створенні
файлу працює правило - виділяється перший вільний кластер. Це веде до
фрагментації диска і складних ланцюжків файлів. Звідси випливає
уповільнення роботи з файлами.
Для перегляду і редагування таблиці FAT можна використовувати
утиліту Disk Editor.
Детальна інформація про сам файл зберігається в іншій структурі, яка
називається кореневим каталогом. Кожен логічний диск має свій кореневий
каталог (ROOT, англ. - корінь).
61
Кореневий каталог описує файли та інші каталоги. Елементом
каталогу є дескриптор (описувач) файлу.
Дескриптор кожного файлу і каталогу включає його:
- ім'я;
- розширення;
- дату створення або останньої модифікації;
- час створення або останньої модифікації;
- атрибути (архівний, атрибут каталогу, атрибут тома, системний,
прихований, тільки для читання);
- довжину файлу (для каталогу - 0);
- зарезервоване поле, яке не використовується;
- номер першого кластера в ланцюжку кластерів, відведених файлу або
каталогу; отримавши цей номер, операційна система, звертаючись до таблиці
FAT, дізнається і всі інші номери кластерів файлу.
Отже, користувач запускає файл на виконання. Операційна система
шукає файл з потрібним ім'ям, переглядаючи описи файлів в поточному
каталозі. Коли знайдений необхідний елемент в поточному каталозі,
операційна система зчитує номер першого кластера даного файлу, а потім по
таблиці FAT визначає інші номери кластерів. Дані з цих кластерів
зчитуються в оперативну пам'ять, об'єднуючись в одну безперервну ділянку.
Операційна система передає управління файлу, і програма починає
працювати.
Для перегляду і редагування кореневого каталогу ROOT можна також
використовувати утиліту Disk Editor.
Відновлення даних програмними засобами
Існує безліч програм для відновлення даних як платних, так і
безкоштовних. Всі ці програми можна розділити на дві групи: програми
відновлення видалених файлів і програми відновлення пошкоджених даних.
Відновлення видалених даних
62
Розглянемо безкоштовну програму «Recuva».
Можливості програми:
- відновлення даних з будь-яких типів носіїв від жорсткого диска до
електронної пошти;
- відновлення будь-яких типів файлів - документів, музики, відео,
фотографій, і т.д;
- відновлення даних навіть з пошкоджених або відформатованих носіїв;
- надійне видалення файлів, після якого відновити їх 100% не вдасться.
Переваги програми:
- інсталяційний файл «Recuva» важить трохи більше 4 Мб;
- інстальована утиліта займає на жорсткому диску 6 Мб;
- повністю безкоштовна програма;
- наявність зрозумілого інтерфейсу;
- наявність майстра відновлення, що дозволяє гнучко налаштувати
процедуру пошуку видалених файлів;
- можливість додати в «Провідник» і «Кошик» опцію «Пошук видалених
файлів».
Опція «Пошук видалених файлів» в Провіднику дозволяє швидко
запускати сканування певної папки, з якої були стерті дані.
Недоліки програми:
- дуже довгий (кілька годин) процес проведення поглибленого аналізу даних
при пошуку і відновлення файлів, навіть якщо задані спрощені умови пошуку
(по типу файлу і місцю розміщення);
- відновлення тільки файлів, стан яких на момент знаходження програмою
ідентифіковано як «Відмінний» (файли в середньому і поганому стані не
відновляться);
- неможливість відновлення файлів з моменту видалення яких пройшло
досить багато часу;
- неможливість відновлення файлів, поверх яких були записані нові дані.
63
Порядок відновлення:
1. При першому запуску з'являється майстер відновлення. Можна
відмовитися від його використання і одразу отримати доступ до всіх
можливостями «Recuva».
2. Наступне вікно - вибір типу файлів. Оберіть тип даних для відновлення.
Якщо ви, наприклад, хочете відновити тільки музику, видалену з флешки,
вибирайте третій пункт. Якщо ж бажаєте побачити всі знайдені до
відновлення дані, залишайте прапорець на першому пункті Всі файли, і
натискайте Далі (см.рис.3.1).
Рис. 3.1. Діалогове вікно Майстер Recuva. Вибір типу даних
3. Розміщення файлу. Якщо ви точно знаєте місце розташування видалених

файлів, вибирайте п'ятий пункт В зазначеному місці, відзначайте подвійним
кліком в списку потрібний диск / папку і натискайте Далі. (рис. 3.2).
64
Рис. 3.2. Діалогове вікно Майстер Recuva. Розміщення файлу
4. Поглиблений аналіз. Якщо дані були загублені в результаті форматування,
необхідно відзначити опцію Поглиблений аналіз (рис. 3.3). Сканування займе
трохи більше часу, але програма знайде більше файлів.
Рис. 3.3. Діалогове вікно Майстер Recuva. Вибір поглибленого аналізу
5. Вибір файлів для відновлення. Після завершення сканування у вікні

програми відображається список знайдених даних.
Кожен файл позначається кольоровим значком.
Колір позначає ступінь пошкодження:
- зелений - немає пошкоджень, файл готовий до відновлення;
- жовтий - є проблеми, файл може не відкриватися;
- червоний - дані пошкоджені, відновленню не підлягають.
Для відновлення файлів, потрібно відзначити їх прапорцем і натиснути
кнопку Відновити. При відновленні необхідно вказати папку, яка
знаходиться на іншому накопичувачі.
65
6. Використання розширеного режиму. Щоб перейти до розширеного
режиму Recuva, при запуску програми потрібно відмовитися від послуг
майстра. У розширеному режимі необхідно вказати, які носії сканувати.
Кнопка Налаштування відкриває діалогове вікно Сервіс (рис. 3.4). У цьому
вікні на вкладці Дія можна задати параметри: показ прихованих / системних
файлів, файлів нульового розміру, надійно видалених даних і невидалених
даних з пошкодженого носія. Ці опції дозволяють збільшити ефективність
сканування і відновити більше інформації.
Рис. 3.4. Діалогове вікно Сервіс. Вкладка Дії
Питання для самоконтролю.

1. Поясніть що означає поняття «Вектори кібератак в МТС».
2. Дайте визначення терміну «Соціальна інженерія».
3. Що таке «Експлойт (Exploit)»?
4. Класифікація експлойтів.
5. Надайте пояснення терміну «Фішинг-атаки».
6. Категорії кібератак.
7. Дайте визначення терміну «Файлова система».
8. Що таке «Фізичний експлойт».
Лекція 4. Ідентифікація, оцінка, вибір і пріорітезація заходів безпеки.

66
Аналіз прийнятності загального ризику. Комп'ютерні віруси та засоби
захисту (2 год.).
ідентифікації, оцінки, вибору та пріоритезації заходів безпеки, методів
розпізнавання комп'ютерних вірусів та засобів захисту.
матеріалів лекції: Інструментальні (ІКТ–предметні): здатність
використання методів розпізнавання кібернебезпеки; здатність виявлення
джерел кібернебезпеки; здатність виявляти ризики та кіберзагрози;
транспорті;
кібернебезпечних джерел, ідентифікувати та оцінювати заходи безпеки.
1. Ідентифікація, оцінка, вибір і пріоритезація заходів безпеки.
2. Аналіз прийнятності загального ризику.
3. Комп'ютерні віруси та засоби захисту.
1. Ідентифікація, оцінка, вибір і пріоритезація заходів безпеки.
CSA – Cyber security assessment - Оцінка кібербезпеки
До аспектів, які необхідно включити в SSA, відносяться: радіо і
телекомунікаційні системи (в тому числі комп'ютерні системи та мережі), а
також інші області, які можуть бути пошкоджені або використані для
незаконного спостереження, які становлять небезпеку для людей, майна або
операцій на борту судна або в межах портового комплексу. Оцінка
кібербезпеки суднових активів вимагає спеціальних знань і досвіду, і тому
рекомендується, щоб була відповідна кваліфікація і досвід приватних осіб,
які беруть на себе підготовку CSA і CSP.
SSA – Ship security assessment Оцінка безпеки судна
67
SSP – Ship security plan План охорони судна
Метою проведення оцінки кібербезпеки є впровадження системи
управління ризиками, підхід до оцінки і зниження ризиків, пов'язаних з
суб'єктами загроз, які мають відношення до судна або суднам, які
оцінюються.
Переваги прийняття
Цей підхід полягає в тому, що ризики кібербезпеки можуть бути
пріоритетними, що дозволяє відповідні і співмірні інвестиції, які необхідно
зробити в портфель засобів контролю безпеки, щоб пом'якшити ці ризики з
потенційно найбільшим впливом.
Оцінка безпеки суден проводиться відповідно до стандартів безпеки
суден.
Основна мета цих оцінок - виявити вразливості в фізичних системах і
заходи безпеки персоналу та бізнес-процеси компанії / судна, які можуть
привести до порушення безпеки. Передбачається, що там, де це доречно,
CSA (оцінка кібербезпеки) повинна створюватися на основі існуючих оцінок
безпеки.
Як зазначено в стандартах безпеки суден, ці оцінки повинні
охоплювати судно як повну кіберфізичну, інженерно-технічну систему і
будуть залучати:
(A) ідентифікацію та оцінку важливих або вразливих активів і
інфраструктури (для, наприклад, об'єктів, систем і даних), які вважаються
важливими для захисту, і системи зовнішньої інфраструктури, від яких вони
залежать;
(B) ідентифікацію суднових бізнес-процесів з використанням активів та
інфраструктури, щоб оцінити критичність активів і зрозуміти будь-які
внутрішні і зовнішні залежності;
(C) виявлення та оцінку ризиків, пов'язаних з можливими загрозами активів
інфраструктури, вразливостей і ймовірності їх виникнення, щоб встановити
необхідність і розставити пріоритети в заходах безпеки;
68
(D) ідентифікацію, оцінку, вибір і пріоритезацію заходів безпеки і
процедурних змін, виходячи з їх витрат, рівня ефективності в зниженні
ризику, і будь-який вплив на роботу судна;
(E) визначення прийнятності загального залишкового ризику, включаючи
людський фактор і слабкі сторони інфраструктури, політик і процедур,
заснованих на портфелі обраних заходів безпеки.
Якщо ці оцінки не охоплюють весь спектр потенційних загроз
кібербезпеки, компанія / судно повинні підготувати документ CSA, який
включає кожен з аспектів, перерахованих в цьому розділі.
Для отримання додаткових відомостей про процес створення CSA
розглядають оцінки ризиків кібербезпеки, виявлення і пріоритезацію ризиків
обробки (заходи безпеки), щоб забезпечити основу для плану кібербезпеки
(CSP). (CSP - Cyber security plan план кібербезпеки).
Процес розробки оцінки кібербезпеки (CSA)
Примітка. У цьому додатку розглядаються як оцінка ризиків
кібербезпеки, так і ідентифікація і встановлення пріоритетів в обробці
ризиків (заходи безпеки), щоб забезпечити основу для реалізації заходів за
допомогою плану кібербезпеки (CSP).
Офіцер охорони судна (SSO) і офіцер кібербезпеки (CySO) повинні
спочатку оцінити кожну з вразливостей і заходів безпеки, визначених в
оцінці безпеки судна (SSA), щоб встановити, чи пов'язані вони з наслідками
для кібербезпеки.
Потім SSO (офіцер охорони судна) повинен перевірити загальний
бізнес і операції судна, щоб оцінити рівень того, чи є які-небудь додаткові
потенційні кіберзагрози і вразливості в усьому діапазоні суднових систем і
даних (наприклад, навігаційні системи, системи обробки вантажів,
інформаційні системи для пасажирів, системи безпеки, системи
промислового контролю і т. д.), не зазначені в SSA, але, тим не менше, що
впливають на кібербезпеку судна.
69
Якщо SSA (оцінка безпеки судна) не охоплює весь спектр
потенційних загроз кібербезпеки, SSO (офіцер охорони судна) повинен
видати CSA (Cyber security assessment Оцінка кібербезпеки). Цей CSA
повинен охоплювати і документувати ті ж аспекти, що і оцінки безпеки для
судна.
Заповнений CSA може бути додатком до SSA для судна.
Ідентифікація та оцінка: важливі активи і інфраструктура

Спочатку необхідно буде зрозуміти:
(А) як різні засоби підтримують експлуатаційне використання судна, як на
ходу, так і коли в порту або на якорі;
(B) критичність різних частин судна і активів / систем, які вони містять;
(C) системи, які працюють в цих критичних активах або областях,
підтримують або захищають їх.
З точки зору кібербезпеки критичні і / або важливі для бізнесу та
експлуатації елементи судна можуть включати:
(А) ті активи, які були оцінені, можуть бути використані для оцінки значної
шкоди цілісності судна в цілому або здатності певної галузі чи системи до
функціонування в міру необхідності. Слід враховувати наступні компоненти:
1. кабельні траси і їх ізоляція (наприклад, кабельні канали);
2. конфігурація, ідентифікація і використання систем управління;
3. критично важливі постійні установки або механізми;
4. охоронні або інші диспетчерські служби;
5. система безпеки, сигналізації та контролю доступу, відеоспостереження та
обробка відео;
6. ключові приміщення і об'єкти, що використовуються правоохоронними
органами та службою безпеки персоналу, що працює на судні або відвідує
його;
70
(B) дані про судно, що відносяться до місцезнаходження, ідентифікації,
технічної специфікації і управління критично важливими і чутливими
активами;
(C) суднові системи, де б вони не знаходилися, що використовуються для
планування, складання графіків морських перевезень;
(D) активи або системи, на яких знаходяться критично важливі і / або чутливі
елементи бізнесу, які залежать від їх нормальної роботи і стійкості.
Ідентифікація суднового бізнес - процесу
Робота судна буде залежати від набору бізнес-процесів, які залежать
від даних судная для безпечної, надійної і ефективної роботи і дозволяють
підтримувати такі процеси, як управління активами, планування ресурсів,
фінансове та бізнес-планування, закупівлі, процеси управління людськими
ресурсами. Виявивши і оцінивши важливі активи та інфраструктуру,
наступним кроком буде визначення суднових бізнес-процесів, що
використовують активи і інфраструктуру.
Це розуміння бізнес-процесів слід використовувати для оцінки
критичності активів і розуміння взаємозалежностей даних і систем в рамках
загальних операційних і бізнес-процесів судна.
Ідентифікація та оцінка ризиків, що виникають з потенційних
загроз і вразливостей.
Потенційні загрози повинні бути вже визначені в SSA (Ship security
assessment Оцінка безпеки судна) і усунені за допомогою SSP (Ship security
plan План охорони судна). Однак необхідно буде зрозуміти ймовірну
здатність кожної з них вплинути на кібербезпеку судна і суднових систем.
При розгляді сценаріїв загроз і типів небажаних подій Компанія повинна
враховувати такі інциденти, як:
(А) несанкціонований доступ до конфіденційних даних про судно
(комерційних, особистих або пов'язаних з безпекою);
(B) крадіжка конфіденційних даних про судно;
(C) видалення, несанкціоновані зміни або пошкодження даних про судно;
71
(Г) зараження шкідливим ПЗ;
(E) втрата обслуговування систем через втрату можливості підключення або
живлення;
(F) втрата обслуговування систем через збої програмного і апаратного
забезпечення;
(G) злам суднових систем безпеки;
(H) відмова в обслуговуванні - системи із зовнішнім хостингом;
(I) відмова в обслуговуванні - суднові системи;
(J) перешкоди системам позиціонування (GNSS / GPS) (Global navigation
satellite system Глобальна навігаційна супутникова система / Global
positioning system Глобальна система позиціонування);
(K) оцінка ефективності роботи системи (наприклад, охоплення і
продуктивність систем відеоспостереження та виявлення вторгнень).
Виявлення вразливостей має включати розгляд:
(А) відносин між системами;
(B) технічний склад систем з точки зору апаратних і програмних
компонентів, а також збірок або змін;
(C) фізичну міцність корпусів (наприклад, шаф, каналів, коробів і т. д.);
(D) відносини між системами і відповідними бізнес-процесами;
(E) існуючі заходи і процедури безпеки, включаючи наявність і проникність
будь-якого захищеного периметра, який запобігає або обмежує доступ до
судна, суднових систем і пов'язаних з ним вантажів, установок і машин;
(F) використання автоматизації обладнання;
(G) рівень стійкості судна і суднових систем, включаючи рівень залежності
систем від зовнішньої інфраструктури і систем, наприклад глобальних
супутникових навігаційних систем для отримання інформації про
місцезнаходження і часу;
(H) будь-які суперечливі політики між заходами і процедурами охорони і
безпеки;
(I) будь-які обмеження правозастосування та персоналу;
72
(J) будь-які недоліки, виявлені під час повсякденної експлуатації, після
інцидентів або попереджень, повідомлення про проблеми безпеки,
здійснення заходів контролю, аудитів і т.ін.
При оцінці ризику слід враховувати характер шкоди, яку може бути
заподіяно: судну, його персоналу, пасажирам, іншим активам і персоналу; і /
або вигоди, які має приносити судно, соціальні, екологічні та / або
комерційні.
Ризик кібербезпеки буде залежати від ймовірності того, що зловмисник
може використовувати одну або декілька вразливостей і завдати шкоди
різного характеру.
Ідентифікація, оцінка, вибір і пріоритезація заходів безпеки
Для кожної вразливості кібербезпеки, ще не ідентифікованої SSA (Ship
security assessment Оцінка безпеки судна), CySO (Cyber security officer
Офіцер кібербезпеки) повинен ідентифікувати і зареєструвати можливі
заходи щодо пом'якшення або контролю безпеки.
Оцінка кожного заходу протидії повинна ідентифікувати і реєструвати:
(А) вартість контрзаходів і її реалізації.
(B) інші дії, які можуть мати контрзаходи, наприклад, на зручність
використання і ефективність активів або систем, бізнес-процеси і суднові
операції.
(C) всюди, де це можливо, для обґрунтування комерційного впровадження
інвестицій в контрзаходи:
(1) зниження ризику, якого можна досягти;
(2) прогнозована економія витрат або скорочення втрат.
(D) ймовірність контрзаходами створити додаткові вразливості.
(E) чи приносить контрзахід будь-які інші комерційні вигоди, наприклад:
(1) зниження загального бізнес-ризику;
(2) сприяння розвитку ефективних, надійних та повторюваних бізнес-
процесів. Заходи безпеки, вибрані для реалізації, повинні бути придатними і
пропорційними ризику, який вони покликані знизити.
73
Вибрані заходи повинні бути перераховані в CSA (Cyber security
assessment Оцінка кібербезпеки) і складати основу CSP (Cyber security
plan план кібербезпеки).
2. Аналіз прийнятності загального ризику.
Процес оцінки повинен тривати до тих пір, поки не буде досягнуто
момент, коли рівень залишкового ризику не перевищує допустимий ризик
Компанії, тобто повторити кроки, описані в пунктах 3 і 4. Решта залишкові
ризики повинні бути перераховані в CSA.
Огляд CSA (Оцінка кібербезпеки).
Як і у випадку з SSA (Оцінка безпеки судна), CSA слід періодично
переглядати і оновлювати з урахуванням:
(А) зміни раніше ідентифікованих ризиків;
(Б) нові загрози або уразливості;
(C) зміни в судні або його використанні;
(D) успішність реалізованих заходів безпеки;
(E) нові і потенційно більш ефективні заходи безпеки.
Компанія повинна створити відповідний механізм для проведення
спеціальних оглядів ризиків для виявлення і оцінки впливу будь-яких змін на
судно, які повинні бути відображені в CSA. Тригери для ініціювання такого
огляду і графік його завершення повинні бути викладені в CSP (план
кібербезпеки). Тригери повинні включати як мінімум такі події:
(A) значний інцидент, пов'язаний з безпекою порту або портового засобу;
(B) серйозний інцидент безпеки, що впливає на зовнішнє судноплавство;
(C) зміна суднових операцій з відвантаження;
(D) зміна місця розташування, розміщення або підтримки суднових систем;
(E) ініційований проект з значної зміни судна або його операцій;
(F) зміна власника або операційної компанії;
(G) серйозне порушення безпеки на морі.
Якщо на судні є ряд функцій, областей або активів з різними профілями
ризику, може знадобитися більш часта перевірка CSA щодо будь-яких
74
аспектів, які вважаються більш чутливими. Відносно кібербезпеки особливо
вірно те, що будь-яка оцінка ризику являє собою моментальний знімок в
конкретному випадку, який може різко змінитися з появою нової
вразливості.
3. Комп'ютерні віруси та засоби захисту.

Перший вірус був створений для ПК компанії Apple у 1981 році. І
зробив це 15-річний юнак, який не переслідував жодної корисливої мети.
Нічого поганого вірус не робив, він лише виводив на екран зображення, про
те, що комп’ютер заражений вірусом Ель-клоно.
Перші віруси для IBM PC-сумісних комп’ютерів створили у 1987 році у
Пакистані двоє братів-програмістів, які навіть вказали свої імена, адресу та
телефон в коді вірусу. Вони зробили це для того, щоб визначити рівень
піратства в їх країні, тобто просто хотіли виміряти на скільки часто їх
програми будуть копіюватись з одного комп’ютера на інший.
Далі за ідею створення комп’ютерних вірусів вже більш активно
вхопилась молодь, цих підлітків прийнято називати – кіберпанками. Їм
поступово стало не цікаво писати прості віруси, хотілось стати відомими, і
так з’явились перші деструктивні комп’ютерні віруси – головною метою
яких було повне знищення інформації на комп’ютері. Саме цей тип вірусів
дуже сильно налякав світову спільноту і фактично спонукав до створення
антивірусної галузі.
У 1987 році почались перші серйозні епідемії. Наприклад, вірус
«Єрусалим», який отримав назву міста, в якому його було знайдено. Цей
вірус кожну п’ятницю 13-го числа видаляв всі файли, які можуть бути
запущені на комп’ютерах користувачів, а оскільки Інтернету тоді не було, то
і нізвідки було завантажити нові файли. Епідемія була настільки серйозна,
що у багатьох компаніях було заборонено вмикати комп’ютери в п’ятницю
13-го числа.
75
Далі віруси поступово розвивались, з’явились віруси практично для
всіх існуючих операційних систем (ОС). Є віруси для Unix, Linux, Windows,
Android, MacOS, Symbian, iOS та інших. Практично під усі типи операційних
систем, які дають можливість встановлення додаткового програмного
забезпечення, існують віруси. З’явились перші поліморфні віруси, тобто
віруси, які можуть змінювати свій код після зараження нового файлу,
шифровані віруси, з появою мереж, з’явились взагалі нові види шкідливих
програм: мережеві хробаки, троянські програми, завантажувальники,
руткіти.
З появою операційної системи Windows 95, розробники цієї ОС
заявляли, що для неї взагалі не можливо створити віруси і вона буде
найбільш захищеною. Але вже через 3 місяці керівництву Microsoft показали,
що вони досить сильно поспішили з такими гучними заявами.
У 1995 році почалась епідемія вірусу «Чорнобиль», інша його назва –
WinChih. Цей вірус був небезпечний тим, що кожний рік 26 квітня знищував
дані BIOS (первинна операційна система) і фактично виводив з ладу
комп’ютер. Здавалось, що створили вірус який може фізично зламати
комп’ютер. Але все таки фізично комп’ютер не ламався, просто процедура
відновлення BIOS у той час була досить коштовною і інколи простіше було
придбати нову материнську платну ніж відновлювати стару.
Цікавим є той факт, що автор вірусу був знайдений. Ним виявився
мешканець Південної Кореї, він навіть зізнався у скоєному, але оскільки в
Південній Кореї на той час не було відповідного законодавства і
постраждалих від вірусу в самій Кореї, то автор вірусу не поніс ніякого
покарання.
У кінці 90-х років американські компанії активно використовували
електронну пошту як основний засіб документообігу. У 1999 році була
поширена епідемія мережевого хробака «Меліса», який розповсюджувався по
електронній пошті, заражаючи комп’ютери, при чому сам по собі він не
запускався і не завдавав шкоди комп’ютеру. Він просто сам пересилався на
76
всі адреси, із книги контактів.
Виходили нові операційні системи, і створення вірусів для них було і є
досить серйозним викликом для зловмисників. У 2000 році почалась епідемія
вірусу RedLove для операційної системи Linux. Найбільш важливим тут було
те, що вірус використовував для зараження вразливість в самій операційній
системі і міг вільно розповсюджуватись між комп’ютерами в мережі, а
оскільки користувачі Linux не користуються антивірусами, то боротись з
епідемією довелося близько року і зараженими виявились сотні тисяч
комп’ютерів.
БОТ-НЕТ
Найпоширенішим видом кіберзлочинів є створення бот-мереж, та
використання їх зловмисниками на власних розсуд. Що таке бот–мережа? Є
велика група троянських програм, які інфікуючи Ваш комп’ютер роблять
з нього бота, тобто «машину-зомбі», яка буде виконувати накази
зловмисників. Таких заражених комп’ютерів можуть бути десятки та сотні
тисяч або навіть мільйони. І всі вони звертаються в один командний центр за
отриманням інструкцій. Така сукупність заражених комп’ютерів і
називається бот-нетом. У разі потреби вони можуть виконати одну команду,
отже, вони працюють як одна армія.
Найпопулярнішою дією бот-нетів зараз є DDoS-атака, мета якої –
відмова обслуговування сервером. В Інтернет існує безліч сайтів. Якщо
потрібно на певний проміжок часу вивести якийсь з ладу, використовують
DDoS-атаки. Зловмисники дають команду всьому бот-нету зайти на певний
сайт одночасно, відповідно сервери не готові до таких навантажень.
Наприклад, стандартне навантаження на сайт 1000 відвідувань у день, а тут
раптово сайт відвідують 50000 умовних користувачів лише за хвилину.
Реальний користувач, який дійсно хоче зайти на сайт – не зможе цього
зробити, адже сайт просто не буде працювати – це і називається DDoS-
атакою на сайт. Такі види атак популярні серед інтернет-магазинів, особливо
на новорічні свята, використовуються для блокування сайтів державних
77
органів влади: Президента, МВС, інших державних установ.
Тобто якщо на Вашому комп’ютері встановлена така програма-бот, то
Ви і Ваш ПК стаєте співучасником цієї атаки. Ваш комп’ютер – це плацдарм
для атаки на інші ресурси.
Інший спосіб використання бот-нетів – це розсилка СПАМу, який
вже всім набрид і, мабуть, кожен думав чому б не закрити просто сервери, які
займаються розсилкою спаму. Відповідь дуже проста - немає єдиного вузла
для розсилки спаму. Є бот-нет на 10000 ПК, і щоб розіслати мільйон
повідомлень, просто кожен комп’ютер розсилає 100 повідомлень. І в
результаті по 100 з кожного можна розіслати мільйон листів дуже швидко, в
результаті володарі бот-нетів постійно отримують заявки на розсилку
СПАМу і при цьому наші заражені комп’ютери і виступають засобом
розсилки. Бот-нети також можуть виконувати і інші дії, зокрема
збирати інформацію про Вас, і, якщо потрібно, дозавантажувати
додаткові шкідливі програми на Вам комп’ютер.
Здірники
Мабуть, багато з Вас стикались з програмами «здирниками», які
блокують роботу комп’ютера і вимагають сплатити певну суму на
електронний гаманець, начебто за відвідування заборонених сайтів. Часто
такі програми маскуються під повідомлення від органів внутрішніх справ.
Запам’ятайте – це шкідливі програми і навіть якщо ви сплатите кошти ніхто
не буде розблоковувати Ваш ПК, адже в момент передачі коду
розблокування зловмисника можуть спіймати і йому набагато простіше
просто забрати гроші. У разі виникнення подібної ситуації - одразу
зверніться у сервісний центр.
Шифрувальники
Програми шифрувальники, проникаючи на комп’ютер, починають
поступово шифрувати всі данні, а потім вимагають кошти за розшифрування.
І в цьому випадку ризик повної втрати інформації є дуже високим, адже
рівень шифрування є високим і жодна антивірусна компанія чи компанія з
78
відновлення даних не зможе гарантувати відновлення інформації. До того ж,
навіть у разі сплати коштів ніхто не буде Вам висилати код розблокування.
ВІРУС - це частинка коду, яка прикріплюється до іншої частини
коду (програми) та заражає іншу програму. При цьому заражений файл
може бути вилікуваний.
Групи шкідливих програм

Бекдор програми – програми які надають віддалений доступ до комп’ютера
для зловмисників.
Хробаки – окремий вид шкідливих програм, головною задачею яких є
розмноження серед комп’ютерів в мережі.
Адваре – рекламні модулі.
Дропери – по суті, це програми, які встановлюють троянські програми на
комп’ютери користувачів.
Даунлоадери – маленькі троянські програми, у яких є усього одна функція –
завантажити велику троянську програму.
Все це - види шкідливих програм, у світі поширений англійський
термін – malware, malicious software. Однак у вжитку укорінилась загальна
назва «вірус», як синонім до шкідливих програм.
З огляду на це часто виникає плутанина, наприклад користувачі
дивуються: антивірус знайшов троянську програму, чому він її не лікує? Але
не можна вилікувати те, що спочатку не було зараженим. Троянська
програма з самого початку створювалась такою – її можна лише видалити. І
лише після цього система буде чистою. Або, наприклад, якщо було знайдено
мережевого хробака – його також потрібно лише видалити і не потрібно
лікувати, адже він не «хворіє». Якщо ж звичайна програма була заражена
вірусом, тоді її можна вилікувати. Але такі випадки зараз практично не
зустрічаються. У 95% випадків до користувачів потрапляють шкідливі
програми відмінні від вірусів, вони потребують не лікування, а видалення.
Також в деяких випадках потрібно видалити сліди перебування у системі
79
шкідливих програм, наприклад, записи у реєстрі.
Основні види «вірусів»
Розглянемо більше детально основні види шкідливого програмного
забезпечення.
Троянська програма – це програма, яка має приховані функції. Така назва
виникла тому що перші програми цього типу потрапляли на комп’ютери під
виглядом корисних програм, які користувачі завантажували і запускали
власноруч. Зараз такий варіант розповсюдження також присутній, часто
користувачі самі запускають подібні програми, намагаючись завантажити
зламані неліцензійні версії програмного забезпечення чи програми для
генерації зламаних серійних ключів. Як наслідок, під видом кейгенів та
кряків троянські програми досить часто потрапляють на комп’ютери, ласих
до використання неліцензійного програмного забезпечення, користувачів.
Хробак – це програма, яка розмножується, від одного комп’ютера до іншого.
Механізми можуть бути дуже різними: електронна пошта, локальна мережа
чи USB-накопичувач. Так, хробак може скопіювати свої файли на флешку та
створити відповідний файл автозавантаження і як тільки ви під’єднаєте
флешку до комп’ютера, на ньому одразу ж активізується хробак. При цьому
слід зазначити, що хробаки які розповсюджуються через пошту чи через
флешки, практично ні в чому не відрізняються, вони лише використовують
різні шляхи поширення.
Бекдор – програма «чорний хід», зазвичай шкідливі програми цього типу
дають зловмиснику віддалений доступ та можливість керування
комп’ютером користувача. Методи їх дії бувають різними, наприклад така
програма може відкрити мережевий порт, за допомогою якого зловмисник
отримає повний доступ до ураженого комп’ютера: зможе надсилати різні
команди, запускати інші програми.
Дропер – це по суті інсталятор троянської програми. Для чого їх створили?
Оскільки троянська програма це багатокомпонентний елемент, який потребує
щоб в системі були встановлені певні драйвери та інші компоненти, то цю
80
задачу виконує дропер. Після того як дропер було активовано в системі, він
встановлює всі частини троянської програми та активує її.
Завантажувальник (даунлоадер ) – це по-суті троянська програма, мета якої
– завантажити з мережі Інтернет іншу троянську програму. Характерна риса
таких програм – вони дуже маленького розміру (кілька десятків кілобайт), а
отже можуть завантажитись і активізуватись дуже швидко. І вже після
вкорінення в системі, даунлоадер завантажує основну троянську програму.
При цьому може бути завантажений, як дропер, так і окремі компоненти
троянця, які будуть методично інсталюватись на комп’ютер. Отже, якщо у
вас на комп’ютері був знайдений завантажувальник, то варто шукати і інші
троянські програми.
Діалери – це програми-дзвонилки, вони були дуже популярні, у часи
активного використання модемів і телефонних ліній. Тоді був дуже хороший
бізнес з використанням платних номерів, після дзвінків на ці номери з
рахунку користувачів знімались кошти. Сучасні модифікації діалерів
використовують дещо інші механізми, зокрема, це можуть бути дзвінки через
Skype, відкриття певних спеціалізованих сайтів.
Руткіт – це спеціальний вид троянських програм, головна мета якого –
максимально глибоко інсталюватись у систему, щоб його було якомога важче
знайти і видалити. Як правило, руткіти містять драйвери операційних систем
і працюють на досить низькому рівні. Руткіти використовуються для
маскування всіх інших компонентів троянця від детектування. Тобто руткіт у
системі призваний приховати роботу інших компонентів трояна. Головна
проблема в тому, що руткіти дуже важко знайти і ще важче видалити з
системи. Далеко не кожна антивірусна програма може з цим впоратись.
Рекламний модуль – адваре програми, мабуть найменш небезпечні з
усіх шкідливих програм, але через дуже широку розповсюдженість в
останній час вони стали досить неприємними. Задача рекламного модуля –
показати вам рекламу. Це може відбуватись у різних проявах, наприклад у
вас можуть самостійно відкриватись певні сторінки у браузері, які ви не
81
відкривали – це будуть сайти з дивною рекламою або просто сайти, які ви не
збирались відвідувати. Тобто зловмисники таким чином підвищують
відвідуваність певного сайту або провокують Вас подивитись певну
інформацію. Також рекламні модулі можуть показувати різні банери чи
навіть вставляти банери на той сайт, де їх не було, або ж підмінювати
рекламні повідомлення на сайтах. Наприклад якщо ви шукаєте певну
інформацію у Google, то видача пошукового запиту містить 2 категорії –
безкоштовні пошукові запити та рекламні повідомлення, так рекламні модулі
можуть підміняти одні рекламні повідомлення на інші і в результаті ви
будете бачити не ту інформацію яку запитували, а те, що хоче вам показати
власник рекламного модуля. Даний механізм підміни пошукових видач
отримав назву «чорного SEO».
Класифікація комп’ютерних вірусів
Залежно від прояву і подальшої поведінки віруси умовно можна
розділити на наступні групи: «черв'яки», троянські коні, програми групи
ризику, безпосередньо віруси.
Віруси класифікуються за такими основними ознаками:
1. середовище проживання;
2. спосіб зараження;
3. ступінь впливу;
4. особливості алгоритму роботи.
По середовищі перебування віруси можна розділити на:
1. файлові;
2. завантажувальні;
3. файлово-завантажувальні;
4. мережеві;
5. макро-віруси.
За способом зараження віруси поділяються на:
1. резидентні;
2. нерезидентні.
82
За ступенем впливу віруси можна розділити на такі види:
1. безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної
оперативної пам'яті і пам'яті на дисках. Дії таких вірусів виявляються в яких-
небудь графічних або звукових ефектах;
2. небезпечні віруси, які можуть призвести до різних порушень в роботі
комп'ютера;
3. дуже небезпечні, вплив яких може привести до втрати програм, знищення
даних, стирання інформації в системних областях диска.
Віруси важко класифікувати. Найпростіші віруси - паразитичні, вони

змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і
знищені. Можна відзначити віруси-реплікатори, звані хробаками, які
поширюються по комп'ютерних мережах, обчислюють адреси мережних
комп'ютерів і записують за цими адресами свої копії.
Відомі віруси-невидимки, звані стелс-вірусами, які дуже важко виявити
і знешкодити, так як вони перехоплюють звертання операційної системи до
уражених файлів і секторів дисків і підставляють замість свого тіла
незаражені ділянки диска. Найбільш важко знайти віруси-мутанти, що
містять алгоритми шифрування-розшифрування, завдяки яким копії одного і
того ж вірусу не мають ні одного ланцюжка байтів, що повторюється. Є й так
звані квазівірусні або «троянські» програми, які хоча і не здатні до
самопоширення, але дуже небезпечні, тому що, маскуючись під корисну
програму, руйнують завантажувальний сектор і файлову систему дисків.
Завантажувальні віруси
Завантажувальні віруси заражають завантажувальний boot-сектор або
Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів
заснований на алгоритмах запуску операційної системи при включенні або
перезавантаженні комп'ютера.
Файлові віруси
До даної групи відносяться віруси, які при своєму розмноженні тим або
іншим способом використовують файлову систему ОС.
83
Існують віруси, що заражають файли, які містять вихідні тексти
програм, бібліотечні або об'єктні модулі. Можливий запис вірусу й у файли
даних, але це трапляється або в результаті помилки вірусу, або при прояві
його агресивних властивостей.
Файлово-завантажувальні віруси
Дуже часто зустрічаються комбіновані віруси, які об'єднують
властивості файлових і завантажувальних.
Широко був розповсюджений файлово-завантажувальний вірус
OneHalf, що заражає головний завантажувальний сектор (MBR) і виконувані
файли. Основна руйнівна дія - шифрування секторів вінчестера. При
кожному запуску вірус шифрує чергову порцію секторів, а, зашифрувавши
половину жорсткого диска, радісно повідомляє про це. Основна проблема
при лікуванні даного вірусу у тому, що недостатньо просто видалити вірус з
MBR і файлів, треба розшифрувати зашифровану ним інформацію. Вірус
OneHalf використовує різні механізми маскування. Він являє собою стелс-
вірус і при поширенні застосовує поліморфні алгоритми.
Мережеві віруси
До мережевих відносяться віруси, які для свого поширення активно
використовують протоколи і можливості локальних і глобальних мереж.
Основним принципом роботи мережевого вірусу є можливість самостійно
передати свій код на віддалений сервер або робочу станцію. «Повноцінні»
мережеві віруси при цьому володіють ще і можливістю запустити на
виконання свій код на віддаленому комп'ютері або, принаймні,
"підштовхнути" користувача до запуску зараженого файлу.
Макро-віруси
Макро-віруси (macro viruses) є програмами на мовах (макро-мовах),
вбудованих в деякі системи обробки даних (текстові редактори, електронні
таблиці і т.д.). Для свого розмноження такі віруси використовують
можливості макро-мов і за їхньої допомоги переносять себе з одного
зараженого файлу до інших. Найбільшого поширення набули макро-віруси
84
для Microsoft Word, Excel та для інших додатків Office. Існують також макро-
віруси, що заражають документи баз даних Microsoft Access.
Резидентні віруси
Під терміном "резидентність" (DOS'овскій термін TSR - Terminate and
Stay Resident) розуміється спроможність вірусів залишати свої копії в
системній пам'яті, перехоплювати деякі події (наприклад, звернення до
файлів або дисків) і викликати при цьому процедури зараження виявлених
об'єктів (файлів і секторів). Таким чином, резидентні віруси активні не тільки
в момент роботи інфікованої програми, але і після того, як програма
закінчила свою роботу. Резидентні копії таких вірусів залишаються
життєздатними аж до чергового перезавантаження, навіть якщо на диску
знищені всі інфіковані файли. Часто від таких вірусів неможливо позбутися
відновленням усіх копій файлів з дистрибутивних дисків або backup-копій.
Резидентна копія вірусу залишається активною і заражає новостворювані
файли. Те ж вірно і для завантажувальних вірусів - форматування диску при
наявності в пам'яті резидентного вірусу не завжди виліковує диск, оскільки
багато резидентних вірусів заражають диск повторно після того, як він
відформатований.
Нерезидентні віруси
Нерезидентні віруси, навпаки, активні досить нетривалий час - тільки в
момент запуску інфікованої програми. Для свого поширення вони шукають
на диску незаражені файли і записуються до них. Після того, як код вірусу
передає керування програмі - носію, вплив вірусу на роботу операційної
системи зводиться до нуля аж до чергового запуску будь-якої зараженої
програми. Таким чином, нерезидентні віруси є небезпечними тільки під час
виконання інфікованої програми, коли вони проявляють свої деструктивні
можливості або створюють свої копії. Файли, уражені такими вірусами,
зазвичай легше виявити та лікувати, ніж файли, що містять резидентний
вірус.
85
1. Перерахуйте критичні і / або важливі для бізнесу та експлуатації
елементи судна з точки зору кібербезпеки.
2. Що таке «Ідентифікація суднового бізнес – процесу»?
3. Які інциденти повинна враховувати Компанія при розгляді
сценаріїв загроз і типів небажаних подій?
4. Що повинна ідентифікувати і реєструвати оцінка кожного заходу
протидії кібернебезпеці?
5. Що слід періодично переглядати і оновлювати при оцінці безпеки
судна?
6. Перерахуйте найбільш розповсюджені комп’ютерні віруси.
7. За якими основними ознаками класифікуються віруси?
Лекція 5. Розробка плану реагування на інциденти кібербезпеки (CSP).

Моніторинг і аудит CSP (2 год.).
Мета: формування у здобувачів вищої освіти компетентностей з розробки
плану реагування на інциденти кібербезпеки.
Інструментальні (ІКТ–предметні): здатність виявлення джерел
кібернебезпеки; здатність виявляти ризики та кіберзагрози; вміння будувати
плани реагування на інциденти кібератак.
кібербезпеки; здатність планувати і організовувати свою діяльність з
використанням інформаційно-комунікаційних технологій; здатність управління
інформацією та аналізу інформації.
Загально-професійні: Вміння логічно розподіляти етапи обробки інформації,
використовувати методи комутації інформації, налагоджувати її захист,
оцінювати ефективність побудованої моделі.
1. Розробка плану реагування на інциденти кібербезпеки (CSP).
86
2. Моніторинг і аудит CSP.
1. Розробка плану реагування на інциденти кібербезпеки (CSP).
Розробка плану кібербезпеки (CSP).
Оцінки безпеки судна складають основу планів його безпеки. Ці плани
повинні стосуватися переважно фізичних і кадрових проблем, зазначених у
відповідних оцінках за допомогою встановлення відповідних заходів
безпеки, і розроблені, щоб звести до мінімуму ймовірність порушення
безпеки і наслідки потенційних ризиків. Передбачається, що там, де це
доречно, CSP (план кібербезпеки) буде спиратися на існуючий план
охорони судна (SSP) і може бути додатком до нього. Таким чином, заходи
були спрямовані для зниження ризику несанкціонованого доступу до судна,
слід також вказати ступінь захисту його кіберфізичних систем.
При розробці CSP важливо застосовувати цілісний підхід, що охоплює
людей, процеси, фізичні і технологічні аспекти судна. З міркувань
кібербезпеки з точки зору CSP повинен містити або посилатися на:
(A) політики, що встановлюють пов'язані з безпекою бізнес-правила,
отримані з SSP;
(B) процеси, які випливають з політик безпеки і надають керуючі матеріали
про їх послідовне впровадження протягом усього життєвого циклу
використання судна;
(C) процедури, які включають докладні робочі інструкції, що відносяться до
тих що повторюються, і узгоджені механізми для реалізації і оперативної
доставки процесів.
Оскільки велика частина порушень безпеки викликана людьми і
неякісними процесами, важливо, щоб кадрові, технологічні і фізичні аспекти
безпосередньо відносилися до технологічних систем, для яких потрібні
заходи кібербезпеки, наприклад, чутливі суднові системи можуть бути
захищені від несанкціонованого доступу або модифікації наступним чином:
87
(А) фізичний - система і її компоненти можуть перебувати в обмеженому
доступі області, в яку може потрапити тільки той персонал, якому дозволено
доступ; дозволений неконтрольований доступ, ведеться і регулярно
оновлюється журнал всього уповноваженого персоналу;
(В) персонал - персонал з привілейованим (адміністративним, інженерним
або технічними підтримками) доступом до систем підлягає перевірці перед
прийомом на роботу, обов’язкові періодичні перевірки біографічних даних;
(C) процес - існують процеси, що забезпечують повний доступ до систем.
Відслідковуються і реєструються, і персонал, який має доступ до
контрольованих просторів або чутливих систем, що не пройшов загальну
перевірку і перевірку біографічних даних, контролюються особою, яка має
право доступу до систем;
(D) технічні - вжиті заходи для перевірки будь-яких знімних носіїв або
портативних пристроїв, які будуть підключені до системи, на предмет
шкідливих програм (наприклад, ПО поновлення на USB-накопичувачах або
діагностичне програмне забезпечення на ноутбуках або планшетах
пристроїв). Доступ до системних консолей, дисплеям і т. д. захищений
паролем.
Заходи, необхідні для кожного з аспектів, також будуть залежати від
рівня стійкості, тобто можливості того що судно може зайти в порт.
Додаток містить керуючі вказівки про те, як розробляти відповідні
заходи щодо пом'якшення наслідків, які повинні інформувати про розробку
CSP (план кібербезпеки) і підтримують політики, процеси та процедури.
Регулярне навчання та атестація повинні бути встановлені для всіх,
кому надається «авторизований» статус для доступу до систем і підсистем
для забезпечення відповідної кібергігієни здійснюється при доступі до
систем з якої-небудь причини.
Заповнений CSP для судна повинен бути захищений від
несанкціонованого доступу або розкриття інформації і повинен складати
додаток до SSP (план охорони судна).
88
Огляд CSP (план кібербезпеки).
CSP повинен включати відповідний механізм для виконання
періодичних, як мінімум, щорічних, перевірок CSP, щоб переконатися, що
він як і раніше відповідає своєму призначенню. При необхідності CSP
повинні бути оновлені, щоб відобразити будь-які виявлені прогалини,
недоліки або організаційні зміни, або зміни, які виникли в політичній,
економічній, соціальній, технологічній, правовій або екологічні причини, які
впливають на судно або суднові активи.
Міжнародний кодекс з охорони суден і портових засобів (Кодекс
ОСПЗ, англ. International Ship and Port Facility Security Code, ISPS Code)
був прийнятий 12 грудня 2002 року на конференції Договірних урядів
Конвенції СОЛАС-74 одночасно з главою XI-2 тієї ж Конвенції, якою він і
вводився в силу з 01 липня 2004 року.
2. Моніторинг і аудит CSP
CSP повинен встановити відповідний і співрозмірний моніторинг і
аудит, заходи, які матимуть місце протягом усього життєвого циклу всіх
суднових активів і узгоджені там, де це можливо зі стратегією бізнес-ризиків.
Цей моніторинг або аудит поширюється додатково на будь-які дії, які можуть
виникнути в результаті інциденту або порушення. CSP повинен вимагати, що
тільки ті, хто має відповідну кваліфікацію і досвід, будуть проводити цей
моніторинг і аудиторську роботу.
Заходи повинні включати оцінку:
(А) впровадження всіх політик, процесів і процедур безпеки, що впливають
на суднові активи, включаючи заходи по поводженню чи зберіганню,
реалізовані для конфіденційної інформації;
(B) відповідність його ланцюжку поставок політикам безпеки, процесам і
процедурі, зазначеній в CSP, як мінімум на основі вибірки, заснованої на
оцінці ризику;
(C) управління заходами безпеки, які діють протягом усього робочого
життєвого циклу суднових активів.
89
Хоча Компанія може делегувати деяку відповідальність за перевірку
відповідності постачальника, він повинен зберігати відповідальність за
загальну ефективність заходів безпеки.
Зміст плану кібербезпеки (CSP)

Стандарти безпеки суден визначають термін «рівень безпеки» для
позначення ступеня ризику того, що інцидент безпеки відбудеться або буде
зроблена спроба. CSP необхідно розробити для охоплення трьох рівнів
безпеки, зазначених в Кодексі ISPS (ОСПС).
Рекомендований вміст CSP має включати як мінімум:
(A) інформацію про обов'язки в області кібербезпеки і посилання на
організації, які будуть допомагати судну в разі інциденту кібербезпеки.
(В) як буде підтримуватися кібербезпека комунікаційних, навігаційних та
інших критично важливих систем і устаткування.
(C) тренування з кібербезпеки, які необхідно практикувати для перевірки
реакції судна і суднового персоналу на інциденти кібербезпеки.
(D) кібербезпека комунікацій, в тому числі:
(1) між персоналом, що відповідає за безпеку;
(2) між особами, відповідальними за технічну безпеку, і командою безпеки в
цілому;
(3) надання інформації про судно і його активи третім сторонам.
(E) заходи кібербезпеки, необхідні для будь-якого з'єднання між судновими
системами і системами будь-якого порту або портового засобу, які він
відвідує, або для операцій судно-судно - з'єднання з іншим судном.
(F) процеси і процедури затвердження електронного або бездротового
з'єднання суднових систем.
(G) будь-які зміни систем або операційної системи, необхідні на більш
високих рівнях охорони, включаючи будь-які посилені заходи безпеки,
необхідні для допуску підрядників по ІТ і обслуговуванню систем на судно,
коли воно працює на рівнях охорони 2 і 3.
90
(H) заходи контролю доступу, що стосуються кабельних каналів, коробів,
відсіків для обладнання або кают і боксів для обладнання, незалежно від
того, чи розташовані вони на закритих або відкритих ділянках на борту
судна.
(I) заходи контролю доступу, які стосуються чутливих ІТ-систем і житлових
приміщень, наприклад приміщень, що містять мережі, засоби зв'язку і
серверні кімнати.
(J) заходи кібербезпеки, які стосуються захисту і забезпечення достовірності
даних, пов'язаних з вантажем, і систем, які їх обробляють, зберігають і
передають. Якщо на судні є автоматизовані системи, що управляють
переміщенням або зберіганням вантажів, план повинен передбачати заходи
безпеки, необхідні для захисту діючих ІТ і кіберфізичних систем.
(K) заходи кібербезпеки, які стосуються захисту і надійності суднових
запасів і даних про бункерування, а також будь-яких систем, які їх
обробляють, зберігають і передають.
(L) кібербезпека суднового освітлення, систем електронного доступу,
безпеки і моніторингу, а також будь-яких спеціалізованих систем, необхідних
для забезпечення його безпечної та надійної роботи.
(M) реагування на загрози, порушення та інциденти кібербезпеки.
(N) заходи з аудиту заходів кібербезпеки.
(O) договірні заходи для прийняття відповідних заходів кібербезпеки в
ланцюжку поставок на судно.
(P) поінформованість про кібербезпеки і навчання, необхідне для суднового
персоналу і персоналу в судновому ланцюжку поставок.
Розділ CSP, присвячений порушенням безпеки і інцидентам, повинен
забезпечувати ефективне і скоординоване реагування. Це потребує оцінки
потенційних ризиків для судна, його функцій, суднових активів, персоналу і
третіх осіб у разі порушення безпеки або інциденту.
Розділ повинен включати:
(А) заходи щодо зниження ризику, включаючи:
91
(1) заходи готовності до суднової експертизи, необхідні для забезпечення,
при необхідності, збору судово-медичної інформації про інцидент для
використання правоохоронними органами та / або детального аналізу
корінних причин інцидентів;
(2) процес, яким необхідно слідувати при виявленні порушення / інциденту (в
тому числі передаварійних ситуацій, тобто обмеженого запобігання
порушенню безпеки / інциденту);
(3) заходи щодо забезпечення безперервності бізнесу, необхідні в разі
відмови, пошкодження або недоступності суднової системи;
(4) дії по відновленню після аварій / інцидентів, необхідні в разі серйозних
сценаріїв збою;
(5) кроки, які необхідно зробити для локалізації події і відновлення після неї.
(B) процес перевірки, яким необхідно слідувати після порушення безпеки або
інциденту, включаючи як оцінку будь-якого триваючого ризику, так і оцінку
реакції SSO на порушення або інцидент, а також, де це доречно, ланцюжки
поставок.
(C) необхідність в договірних положеннях для врегулювання порушень /
інцидентів, викликаних третьою стороною, пов'язаною з судном, наприклад,
професійним консультантом, підрядником або постачальником.
(D) механізми перевірки та оновлення CSA, CSP і процедур безпеки після
значного порушення безпеки або інциденту, що впливає на:
(1) судно
(2) інше судно у флоті;
(3) інше судно того ж або подібного класу.
(E) заходи, які повинен виконувати судновий персонал в поєднанні з
існуючим плануванням і навчаннями щодо забезпечення безперервності
бізнесу.
1. Що потрібно враховувати при розробці плану кібербезпеки (CSP)?
2. Що повинен включати огляд CSP (план кібербезпеки)?
92
3. Що має включати рекомендований вміст плану кібербезпеки (CSP)?
4. Що повинен включати розділ CSP, присвячений порушенням
безпеки і інцидентам?
Лекція 6. Управління кібербезпекою. Усунення порушень безпеки і

інцидентів. Антивіруси: технології, індустрія, практичне застосування
(2год.).
Мета: формування у здобувачів вищої освіти компетентностей з розробки
плану реагування на інциденти кібербезпеки.
1. Управління кібербезпекою.
2. Усунення порушень безпеки і інциденти.
3. Антивіруси: технології, індустрія, практичне застосування.
1. Управління кібербезпекою.
Створивши структуру управління кібербезпекою шляхом створення
CSA (Оцінка кібербезпеки) і CSP (план кібербезпеки) важливо, щоб
93
відповідні управлінські та операційні механізми знаходилися на місці, в тому
числі:
(А) ідентифікація особи або осіб, відповідальних за кібербезпеку судна.
Особи, які виконують ці ролі, призначаються фахівцями з кібербезпеки
(офіцер кібербезпеки CySO);
(B) створення центру безпеки (SOC);
(C) порядок надання інформації третім сторонам;
(D) заходи з управління інцидентами або порушеннями безпеки.
Роль CySO
Залежно від розміру або характеру судна і / або флоту роль CySO може
бути розташована на борту лайнера, наприклад, круїзного лайнера в
відкритому морі або на березі, судна, які зазвичай працюють або виключно
на заздалегідь визначених маршрутах між певними портами або там, де на
борту немає відповідного ресурсу. CySO відповідає за всі аспекти безпеки
систем з підтримкою кіберпростору на судні, тобто як IT, OT і системи
зв'язку. CySO також повинен нести відповідальність за:
(А) підтримання зв'язку з співробітником служби безпеки Компанії (CSO) з
питань, що стосуються безпеки персоналу та фізичних процесів;
(B) забезпечення розробки, періодичного огляду і підтримки CSA / CSP;
(C) впровадження і виконання CSP.
Якщо CySO недостатньо обізнані про всі проблеми і вирішення кібербезпеки,
їм слід звернутися за консультацією до фахівця з кібербезпеки з відповідного
професійного джерела.
Примітка: професійне джерело може бути надано Компанією або
надано в якості професійного за договором супроводу, укладеним
Компанією.
CySO повинні підтримувати обізнаність про юридичні та нормативні
зміни, які можуть вплинути на кібербезпеку суднових активів і, при
необхідності, внесення змін до політики, процесів та процедури для
дотримання цих змін.
94
Примітка: поінформованість про юридичні та нормативні зміни може
контролюватися Компанією, або надається в рамках договору про
професійну підтримку, укладеного Компанією, і доставляється в CySO як
періодичне оновлення.
Щоб CSP і пов'язані з ним політики, процеси та процедури безпеки
були ефективними, важливо, щоб відповідальність підтримувалася як
всередині Компанії, так і в контрактах / ланцюжках поставок.
Відповідальність за кібербезпеку може нести CySO з іншими менеджерами і
постачальниками послуг, хоча відповідальність повинна залишатися на
CySO, які мають достатній стаж і повноваження діяти.
CSP повинен детально описувати:
(А) підтримання підзвітності з питань безпеки в організації Компанії;
(B) управління обов'язками щодо забезпечення безпеки в ланцюжку
поставок, включаючи вимогу про збереження безпеки на вищих рівнях в
ланцюжку поставок, з належним розподілом відповідальності, щоб це могло
бути ефективно і ефективно справлятися.
Якщо Компанія широко використовує контрактний персонал, CSO
повинен забезпечити відповідні заходи, які використовуються для безпечного
найму підрядного персоналу, що включає в себе відповідну перевірку або
перевірку біографічних даних. Ці перевірки також повинні бути в наявності
для персоналу, найнятого через інші механізми.
Надання інформації третім особам
Компанії і капітану судна необхідно вжити відповідних заходів для
зменшення ризику того, що конфіденційна інформація буде опублікована або
надана неавторизованим третім особам сторони. Це може відбуватися через
публічні презентації, доповіді на конференціях, маркетинг і рекламні
матеріали або використання соціальних мереж як своєю організацією, так і її
персоналом, підрядниками та ланцюжком поставок. Також слід розглянути
реалізацію відповідного захисту від втрати даних.
Обробка передачі інформації третім особам
95
Існує ряд ситуацій, коли судно може попросити або вимагати
опублікувати інформацію про його плани і операції. Вони можуть включати
надання інформації регулюючим органам, інвесторам, страховикам і
презентації про судно (судна). Компанія і капітан судна повинні знати, що
публічне розкриття інформації може дозволити стороні, що проводить
ворожу розвідку, отримати конфіденційну інформацію, шляхом агрегування
даних для виведення конфіденційної інформації.
Якщо судно підпадає під дію правил або законодавства, що вимагають
публічного розкриття інформації, включаючи відповіді на запити, зроблені
відповідно до Положень про екологічну інформацію або законодавством про
свободу інформації, Компанія повинна забезпечити, щоб CSP (Cyber security
plan - план кібербезпеки) докладно описав підхід, який слід прийняти для
захисту конфіденційних даних або інформації. Як мінімум, підхід повинен:
(A) розглянути вплив публікації даних, включаючи потенційні проблеми, що
виникають в результаті агрегування даних;
(B) запобігти витоку інформації, пов'язаної з безпекою;
(C) захищати комерційно конфіденційні дані і інтелектуальну власність;
(D) захищати особисту інформацію, беручи до уваги ряд атрибутів, які
можуть використовуватися для ідентифікації людей.
Управління кіберризиками і система управління безпекою
Резолюція ІМО MSC.428 (98) чітко роз'яснює, що затверджена СУБП
повинна враховувати управління кіберризиками при виконанні завдань і
функціональних вимог МКУБ. Керівництво, що міститься в Керівництві з
управління кіберризиками на морі (MSC-FAL.1/ Circ.3), містить рекомендації
високого рівня щодо елементів належного підходу до реалізації управління
кіберризиками. Керівництво в цьому додатку розроблено, щоб надати
мінімальні заходи, які всі компанії повинні розглянути для вирішення
проблеми управління кіберризиками в затвердженій СУБП.
2. Усунення порушень безпеки і інциденти
96
1. CSP (план кібербезпеки) повинен детально описувати заходи щодо
усунення порушень безпеки і інцидентів, чи відбуваються вони випадково
або навмисно. Кодекс ОСПЗ визнає, що інциденти зазвичай діляться на дві
категорії:
(А) про ті, які вважаються досить серйозними, слід повідомити до
відповідних органів з боку CSО (Company security officer - співробітник
служби безпеки компанії), наприклад:
- несанкціонований доступ, неправомірне або шахрайське використання
чутливих суднових систем;
- несанкціоновані зміни або втрата інформації з чутливих суднових систем;
- спроби або успішні кібератаки на суднові системи, що впливають на
безпеку, життя, судно або його вантаж;
- пошкодження судна, якщо є підозра або очевидність того, що порушення
кібербезпеки чи інші порушення є супутнім фактором;
- спроби маніпулювати вантажними маніфестами для полегшення
контрабанди, незаконне або несанкціоноване перевезення заборонених або
контрольованих товарів або матеріалів (наприклад, заборонені наркотики,
зброю, вибухові речовини, предмети, перевезення яких обмежене
міжнародним договором та ін.);
- спроби вплинути на пасажирів, наприклад, шахрайство, пов'язане з
крадіжкою або несанкціонований доступ до особистих даних або інформації,
що дозволяє встановити особу, або компрометація суднових систем, що
обробляють дані банку або кредитної карти.
(В) менш серйозні, але вимагають звітності та розслідування, SSO (Ship
security officer - офіцер охорони корабля) і CySO (Cyber security officer -
офіцер кібербезпеки) для кіберінцидентів, наприклад:
1. інциденти кібербезпеки, що зачіпають судно і / або його вантаж, що не
покриваються прикладами з пункту (а) (1) вище; і
2. інциденти з шкідливим ПЗ, що зачіпають нечутливі системи, в тому числі
особисті пристрої, що належать екіпажу.
97
Інцидент кібербезпеки може виникнути в результаті несанкціонованого
доступу, неправомірного використання або шахрайського використання
суднових систем або пов'язаних активів і може привести до таких негативних
наслідків як:
(А) втрата або крадіжка активів, включаючи документи та носії;
(Б) несанкціонований доступ до даних або інформації;
(C) втрата, компрометація, несанкціоноване маніпулювання або зміна даних
або інформації;
(D) втрата або компрометація суднових активів, підключених до його систем;
(E) установка жуків або інших пристроїв спостереження;
(F) встановлення зловмисного програмного забезпечення.
3. Антивіруси: технології, індустрія, практичне застосування.
Антивірус. Яким був перший антивірус? Очевидно, що на момент
появи перших вірусів ніякої антивірусної індустрії у світі не існувало, не
було антивірусних лабораторій. Як наслідок, перші антивірусні програми
були створені тими ж любителями, програмістами-одинаками. Надалі якісь
компанії, ще на той момент не антивірусні, а ті які розробляли софт
створювали перші утиліти. Це були консольні сканери. Консоль – це коли на
чорному екрані є певні білі рядки, на яких друкується певний текст. Немає ні
кнопок, ні курсора, ні графічних інтерфейсів, ні вікон чи діалогів. Для того
що б запустити антивірус потрібно було знати спеціальні команди.
Перші антивіруси, звісно, не захищали комп’ютер у режимі реального
часу, не перевіряли інформацію, не перевіряли всі файли, які ви запускаєте.
Його необхідно було запустити з певною командою: «проскануй таку-то
паку», «перевір такий-то диск». Після чого, антивірус перевіряв диск один
раз, показував чи є у заданому діапазоні віруси і, якщо потрібно було, лікував
чи видаляв файли, на цьому його робота була завершена. Далі користувач
продовжував працювати в системі, і якщо знову хотів перевірити файли, мав
знову запускати антивірус і задавати діапазон пошуку.
Віруси були не дуже розповсюджені і антивірусами у щоденному
98
режимі, як зараз, ніхто не користувався, їх запускали лише тоді, коли була
нагальна необхідність і вже точно було зрозуміло, що комп’ютер заражений
вірусами.
Перші антивірусні програми детектували дуже мало вірусів, це були
одиниці чи десятки загроз. Ви могли завантажити антивірус, який міг
виявити лише 30 загроз, і це було нормально, звісно, почали з’являтись
багато маленьких антивірусів, які детектували не багато, але різних вірусів.
Вважалося нормальним встановити собі 6-7 антивірусів одразу як
любительських так і професійних, і кожним із них перевірити певний файл.
Вірогідність що вірус знайде хоча б один із них була досить висока. На
відміну від ситуації зараз, коли всі антивіруси детектують близько 99%
вірусів, і різниця між ними зводиться до 1%, а також до швидкості додавання
загроз в бази.
Далі антивіруси почали розвиватися разом з операційними системами
та технологічною частиною комп’ютерів. У більш потужних комп’ютерах у
антивірусів з’явилось набагато більше можливостей: антивіруси почали
автоматично запускатись зі стартом операційної системи, вони почали
контролювати роботу програм, контролювати доступ до файлів. З появою
глобальної мережі в антивіруси почали додавати відповідні фільтри, які
перевіряють веб-трафік, електронну пошту, перевіряють файли, які
передаються по локальній мережі. Чим більше технологій зв’язку з’являлось,
чим більше потужностей набував комп’ютер, тим більше різних функцій
набувала антивірусна програма.
Сучасна антивірусна програма є антивірусом, можливо, лише на 20%, в
решті, вона займається іншою діяльністю. Тобто що таке антивірус? Ми
звикли до того, що в антивірус має бути вбудований фаєрвол – захист мережі,
хоча спочатку це не є антивірусною задачею, це інший модуль. В антивірус
часто вбудовують функцію батьківського контролю, хоча, знову ж таки, це не
пряма функція антивірусів. Також в антивірус вбудовують різні утиліти
спрямовані на оптимізацію роботи комп’ютерів, вбудовують інші додаткові
99
модулі: безпечні браузери, менеджери паролів. Тобто антивіруси
перетворились на універсальні комбайни, які виконують усі функції, що
пов’язані хоч якось із захистом інформації. Але ми називаємо ці програми у
широкому сенсі антивірусами, хоча кожна з них має свою індивідуальну
назву: Internet Security, Total Security, Mega Security. Розробники розуміють,
що це не просто антивірус, і їм потрібно давати інші назви, особливо з точки
зору маркетингу, але для користувачів це все залишається під загальною
назвою – антивірус.
Основні технології захисту
Сигнатурний підхід. Із самого початку появи антивірусних програм,
програмісти зрозуміли, що вірус потрібно детектувати за певною
характеристикою, і, оскільки, спочатку віруси були досить незначними, і
володіли достатньо унікальним кодом, досить логічно стало обирати так
звану сигнатуру. Сигнатура – це послідовність байт у певній програмі чи
контрольна хеш сума, якогось блоку програми, яка характеризує його. Тобто
антивірус знаходив у програмі якийсь певний шматок коду, який був
характерним лише для певного вірусу і якщо такий шматок був знайдений в
певній програмі, то вважалось що програма заражена певним вірусом, або
вона є троянською програмою чи рекламним модулем.
Сигнатура може розглядатися у більш широкому сенсі, це слово пішло
від англійського (signature – підпис) – унікальна послідовність, ланцюг,
інформація, які характеризують певну загрозу. Це може бути і алгоритм,
певна послідовність байт, може бути контрольна сума, сигнатура поведінки
програми у системі. Але суть в тому, що все це коротко ми називаємо
сигнатурним пошуком. В чому проблема сигнатурного пошуку? Для того
щоб створити сигнатуру для певного вірусу, потрібно щоб він був у вірусній
лабораторії. Не можна створити сигнатуру для вірусу якого ще не має,
оскільки не має тієї унікальної послідовності яку можна додати у вірусну
базу. Це основна проблема сигнатурного детектування вірусів.
З іншого боку, у сигнатур є свої переваги. Якщо антивірус за
100
допомогою сигнатур знайшов вірус, значить він знайшов у файлі чітку
послідовність характерну для певного вірусу, він може назвати цей вірус, по
цьому імені можна знайти опис того, що ця програма робить, а виходячи з
такої інформації можна знати як даний вірус нейтралізувати, які операції
потрібно зробити, які шкідливі функції він виконує, і як можна виправити
наслідки їх дій. Тобто сигнатура характеризує якийсь конкретний вірус і дає
переваги у подальшій його обробці антивірусом.
З часом стало очевидно, що боротися з вірусами лише за допомогою
сигнатурного аналізу не можливо, оскільки якщо Ви сьогодні оновили
вірусні бази, а завтра з’явився новий вірус, то його не зможе детектувати ваш
антивірус. Тобто виходить, що антивірусна програма постійно перебуває
позаду. Як часто Ви б не оновлювали антивірусні бази, все одно існує
ймовірність, що до вас потрапить загроза, для якої ще не створена сигнатура,
через те що загроза ще не була оброблена антивірусною лабораторією, що
створює ваш антивірус.
Евристичний аналізатор. Наступною технологією, яка з’явилась
досить давно є евристичний пошук, зараз ця технологія використовується в
антивірусних програмах на рівні з сигнатурними методами.
У вірусів, окрім унікальних характеристик, є певні загальні властивості,
певна модель поведінки, яка їх характеризує, особливості, які характерні для
шкідливих програм і не характерні для звичайних програм. Власне,
евристичний аналізатор аналізує код програми, знаходить у ньому певні
закономірності, характерні для різних класів шкідливих програм і на основі
цього приймає рішення щодо можливого визначення програми шкідливою чи
ні. Часто антивірус може Вам так і сказати, що, можливо, дана програма є
шкідливою чи є підозра, що даний файл заражений вірусом. Буде
формулювання: «Даний файл є підозрілим, можливо в ньому є такий-то
вірус…».
Сенс у тому, що евристичний аналізатор не знає точно який це вірус, не
знає точно чи вірус це взагалі. В чому плюс евристичних аналізаторів? Вони
101
дозволяють визначати загрози, які ще не були додані у сигнатурні бази, тобто
нові ще невідомі загрози. Навіть якщо у Вас не було можливості оновити
вірусні бази, евристичний аналізатор зможе заблокувати ймовірні загрози.
Які недоліки евристичного аналізу? Перш за все це вірогідність
хибного спрацювання. Евристичний аналізатор може знайти у програмі
певну підозрілу діяльність, але її наявність ще не робить програму
шкідливою. Можливо програмісти використовували при програмуванні
програми схожі методи, з тими які використовували зловмисники. Тобто
евристичний аналізатор теоретично може помилитися, при чому, з досить
великою долею вірогідності. Звісно антивірусні лабораторії намагаються
боротись з цим і мабуть це є стримуючим фактором. Більшості програмістів
достатньо просто написати такий аналізатор, який би зміг легко детектувати
всі троянські програми, але є одна проблема, разом із трояном половина
звичайних програм буде маркована як троянські. Звісно, логіка роботи
антивірусних компаній полягає у тому, щоб не нашкодити користувачу. Одне
хибне спрацювання гірше, ніж 1000 пропущених вірусів, оскільки хибне
спрацювання може заблокувати роботу системи в цілому, заблокувати роботу
якоїсь популярної програми. Власне, це і є стримуючим фактором розвитку
евристичних аналізаторів: можна було б детектувати і більше, однак тоді
будуть хибні спрацювання, це створює певний поріг детектування.
З евристичними аналізаторами почали активно боротись автори вірусів.
З’явились анти-евристичні прийоми, різні коди анти-аналізатори, щоб
антивірусна програма не змогла перевірити цей код. Використовувались і
інші прийоми, щоб не дати можливості перевірити такі файли. Певний час
тривало перетягування канатів між антивірусними компаніями, які
придумують свої евристичні аналізатори та зловмисниками, які вигадували
свої анти-евристичні трюки.
Поведінковий аналізатор. В певний момент антивірусні компанії
вирішили, що так тривати більше не може, і почали впроваджувати нову
технологію, яка значно підсилила позицію антивірусних продуктів. Це так
102
звані поведінкові аналізатори. В чому полягає їх логіка? В принципі, вони
схожі на роботу евристичних, однак із тією різницею, що аналізується не код
програми, а її поведінка в процесі роботи. Тобто в системі запустилась
програма і вона виконує певні дії. Наприклад, програма зберегла файл у
системній папці і звернулась до Інтернет, щось завантажила, намагається цей
закачаний файл запустити. Такий поведінковий аналізатор слідкує за
поведінкою програм і намагається зрозуміти чи є поведінка цих програм
штатною, чи характерна для шкідливих програм. Якщо поведінковий
аналізатор вважає, що дана програма поводить себе як шкідлива, він може її
заблокувати і навіть «відкотити» назад певні зміни у операційній системі, які
зробила шкідлива програма. В принципі поведінкові аналізатори скопіювали
всі плюси і мінуси евристичних аналізаторів, але у значно більших
масштабах. Поведінкові аналізатори можуть блокувати ще невідомі загрози.
Наприклад, якщо є певний алгоритм поведінки, коли програма
запускається, створює запис у реєстрі Windows і після цього одразу розсилає
листи прикріпляючи копію себе - то, звичайно, це поштовий хробак. Логіка
прозора – який би не був код, поведінка хробака буде така сама, і тому не
важливо як і на якій мові написана програма, чи є в ній шифрування чи ні,
присутні анти-евристичні прийоми чи ні – діяти програма буде однаково.
Тому її можна заблокувати.
Які недоліки поведінкових аналізаторів? Нажаль, поведінковий
аналізатор перевіряє програму тоді, коли вона вже працює. Тобто, якщо Ви
просто скопіюєте файли з флешки, то поведінковий аналізатор не зможе їх
перевірити. У спокійному стані можна використовувати лише евристику на
сигнатури. Якщо ж Ви запустите програму, то спрацює поведінковий
аналізатор, і добре, якщо вдасться шкідливу програму зупинити до того, як
вона виконає певні шкідливі дії. А якщо ні, якщо програма спочатку
видалить чи вкраде ваші дані і лише потім почне поводитись підозріло, на
стільки щоб бути визначеною поведінковим аналізатором? Тобто ми не
можемо розглядати поведінковий аналізатор як панацею і сказати що це
103
абсолютний захист. Так, цей модуль забезпечує дуже високий додатковий
рівень захисту, але все ж таки є додатковим і саме так його варто розглядати.
Репутаційні технології. Дуже важливий момент – з розвитком
Інтернет стало очевидно, що частина функцій антивірусного захисту може
здійснюватися не на комп’ютері користувача, а на серверах антивірусної
компанії. Антивірусні компанії запустили так звані хмарні антивірусні
сервіси, а також репутаційні технології, які можна віднести до хмарних
сервісів.
В чому суть репутаційних технологій? Коли на ваш комп’ютер вперше
потрапляє файл, новий ще невідомий, то для нього підраховується унікальна
сигнатура, наприклад хеш-сума, певна послідовність байт, яка характеризує
тільки цей файл. Вона передається на сервер і антивірус консультується з
ним: «що ти знаєш про цей файл»? Якщо сервер скаже що це новий файл, і
він до цього не зустрічався ні у кого з наших користувачів, тоді у
користувача питають: «Ви цю програму скачували? Ви хочете її запустити»?
Тобто користувач приймає рішення, на його думку це програма хороша чи
погана і може залишити свій голос, сформувати репутацію цього файлу.
Наприклад, користувач зазначає: «так, цей файл хороший, я його качав
і хочу його запустити». Програма запускається, працює і аналізується
поведінковим аналізатором. Якщо раптом у момент поведінки виявиться що
файл все таки поганий, на сервер передається інформація про те, що файл
небезпечний і користувач помилився, і для файлу сформується певний
рейтинг. У подальшому цей файл може потрапити на комп’ютери інших
користувачів, які так само завантажили його. Іншим користувачам також
буде надана можливість проголосувати «хороший» файл чи «поганий», але
вони вже можуть користуватися результатами роботи попередніх
користувачів і їх поведінковими аналізаторами, тобто, грубо кажучи, 500-й
користувач, завантажуючи файл, навіть якщо його ще не додали в сигнатурні
бази і не детектують евристичним чи поведінковим аналізатором, зможе
побачити низький рейтинг довіри до файлу, і це дозволить бути більше
104
обізнаним про можливу загрозу. Звичайно, якщо Ви впевнені, що цей файл
надійний, то нічого вам не завадить його запустити. Але, в принципі, Ви вже
оповіщені і можете відмовитись від запуску даного файлу.
Що дають репутаційні технології? В роботі антивірусних компаній є
певний виробничий процес: вірус має потрапити на комп’ютери користувачів
заразити їх, після чого він потрапляє в антивірусну компанію, або
антивірусна компанія сама його знайде, або користувач надсилає зразок
власноруч в антивірусну компанію. Часто антивірусні компанії проводять
обмін зразками вірусів. Далі буде потрібен певний час на аналіз такого
файлу, який може зайняти години або дні. Після чого буде створена певна
сигнатура, яка буде протестована всередині антивірусної компанії, що також
займає певний час, далі створюється оновлення вірусних баз і користувачі
мають ці оновлення скачати. Тобто з моменту створення загрози і першого
зараження до моменту готовності антивірусу захищати користувача від даної
загрози пройде певний час. Це можуть бути години, а можуть бути і дні,
тобто сигнатурний метод немов запізнюється.
Репутаційні аналізатори дозволяють боротися з загрозами практично в
режимі реального часу, перший користувач, який стикається з файлом, вже
отримає інформацію про нього, як мінімум, на рівні повідомлення, що це
новий файл. За перші 5 хвилин існування у файлі вже буде репутація.
Відповідно всі наступні користувачі вже будуть оповіщені про рівень
небезпеки загрози, або про помилку попереднього користувача, який думав
що файл «хороший», а потім виявилось навпаки. Тобто репутаційні
технології дозволяють миттєво оцінити файли, реагувати на нові загрози
навіть не залежно від того чи встигає його аналізувати сигнатурна
лабораторія антивірусної компанії.
Хмарні технології. Суть хмарних технологій полягає у тому, що
сигнатурна перевірка файлів відбувається не у вас на комп’ютері, а на сервері
антивірусної компанії. Всі відомі файли не потрібно передавати на аналіз,
передаються лише нові, які визначаються на основі унікальної хеш-суми. І
105
сервер відповідає чи знає він про ці файли по таким хеш-сумам. І відповідно
до вердикту сервера антивірус на вашому комп’ютері буде приймати рішення
дозволити запускати ці файли чи ні. Якщо ж новий файл невідомий, то він
буде переданий на сервер антивірусної компанії, де буде повністю
досліджений усіма найпотужнішими антивірусними технологіями. Для нього
буде сформовано вердикт, «хороший» чи «поганий» файл, цей висновок
також отримає і ваш комп’ютер. Тобто хмарні технології дозволяють
перенести навантаження, яке потрібне для аналізу файлу, з Вашого
комп’ютера на сервер компанії, де він буде опрацьований більш якісно не
завантажуючи вашу систему.
Насправді, антивірусна індустрія не стоїть на місці, розробляються нові
і нові технології. Зараз робота йде над ще новішими розробками. Сучасні
тенденції боротьби з вірусними загрозами зводяться до швидкості реакції
або, принаймні, прийнятті безапеляційного рішення щодо шкідливості чи
нешкідливості файлу. Тобто зараз вже ситуація така, що реагувати на загрозу
потрібно не за лічені години чи дні, а за лічені хвилини чи навіть секунди.
Ключова проблема роботи антивірусної галузі.
Варто більш детально розглянути ключову проблему роботи
антивірусної галузі – зловмисники постійно змінюють віруси. Припустимо,
Ви розробляєте комп’ютерний вірус і, звісно, Ви хочете, щоб всі антивіруси
його не помічали, щоб заразити максимальну кількість користувачів. Як це
зробити? Достатньо скачати всі потрібні вам антивіруси, і перевірити вашу
програму на них, чи детектують вони її. Якщо Ви побачите, що якась
антивірусна програма вірус бачить, Вам слід його змінити таким чином, щоб
антивірус її не бачив. Як це зробити – це питання технічне, на яке просто
потрібен певний час і ресурси. Тобто можна довести шкідливу програму до
такого стану, в якому вона не буде детектуватись певним колом антивірусів.
Антивірусні ж компанії у цій схемі працюють немов в сліпу, не маючи
вірусів наперед. Автор вірусу випускає свою програму в світ, попередньо
перевіривши що її не детектують антивіруси. Вірус потрапляє у антивірусну
106
лабораторію, детектується випускаються сигнатурні оновлення, може бути
дороблена евристика чи поведінковий аналізатор, проведений ряд дій для
максимального зменшення потенційної небезпеки від даної програми чи
певної її модифікації. Виходить оновлення баз, яке також отримують і
зловмисники. Після чого починають змінювати власний вірус, доки знову він
не стане невидимим для антивірусів. Після чого випускають його у світ і весь
ланцюг повторюється знову і знову.
Так, наприклад, на початку 2015 року дуже небезпечною була
троянська програма Троян-файл кріптер, яка, потрапляючи на комп’ютер
шифрувала дуже надійно всі інформаційні файли на комп’ютері: картинки,
документи, бази даних, і далі вимагала викуп від користувача в сумі 1500
євро за розшифрування. Здавалось би, після додавання в бази сигнатур цієї
загрози вона не повинна бути такою небезпечною. Але с січня 2015 року по 1
лютого 2015 року з’явилось 800 модифікацій цієї програми - і це лише за
даними лабораторії Zillya!, а, можливо, їх існує значно більше. Кожна
відрізняється одна від одної – нові механізми захисту, нові механізми
упаковки. Тобто мова йде про те, що працює велика група зловмисників, які
створюють нові і нові модифікації шкідливої програми, яку не змогли б
детектувати антивіруси. Це і є зараз найбільшою проблемою антивірусних
компаній, як зробити так, щоб реакція на загрози була миттєвою.
Антивірусна індустрія зсередини. Класи антивірусів.
Існує певний «джентльменський набір», який має бути включено в
будь-яку безкоштовну чи платну антивірусну програму. Мова йде про
мінімальний базовий набір технологій:
 сигнатурний аналізатор;
 евристичний аналізатор;
 поведінковий аналізатор;
 набір фільтрів, перехоплення подій файлової системи, електронної
пошти, можливо і інших каналів;
107
 набір інструментів, які дозволяють користувачу ввімкнути/вимкнути
захист у режимі реального часу, провести вибіркове сканування і виконати
дії над знайденими вірусами.
Це є мінімальний набір функцій, який зараз включений у будь-яку
безкоштовну антивірусну програму. Крім цього існують продукти, які
виходять за межі функціонування безпосередньо антивірусних програм,
створюючи нові класи продуктів інформаційної безпеки (програми класу
Inter net Security, Total Security, Mega Security).
У деяких компаній є низка розробок для великих корпоративних
клієнтів – це клас Enterprise Security. Мова йде про те, що ці програми
володіють додатковим інструментарієм, фаерволом, інструментами
батьківського контролю, механізмами фільтрування веб-трафіку, перевірки
зовнішніх дисків, віддаленого централізованого управління з єдиного серверу
у локальній мережі. Всі ці додаткові модулі дозволяють забезпечити ще
більший рівень захищеності комп’ютера, але при цьому можуть не
відноситись безпосередньо до захисту від вірусів. Мова йде про
інформаційну безпеку комп’ютера, про кіберзахист в цілому.
В даний момент на ринку представлено досить багато антивірусних
програм. Є програми, які у нас на слуху, з якими ми стикаємось частіше ніж з
іншими. У світі зараз нараховується більше 300 антивірусних брендів. Деякі з
них мають світовий масштаб, деякі локальний, тобто відомі лише в певній
країні чи регіоні.
Які ж основні вендори, тобто розробники антивірусів на світовому
ринку? Найбільша компанія у світі, це компанія Symantec, крім антивірусів
вона також займається і іншими ІТ-розробками. По аналітичним оцінкам ця
компанія займає більше 30% світового антивірусного ринку. Звичайно ж
такого великого відсотка вони досягають за рахунок бізнес-користувачів. Це
дуже відомий американський бренд, а крупні корпорації довіряють свій
кіберзахист компаніям з хорошою історією, репутацією і воліють купувати
дороге програмне забезпечення, не економлячи на власній безпеці. При
108
цьому дорогий не завжди означає кращий. Просто існують певні стандартні
підходи в США, які реалізовані в Symantec і застосовуються у США та по
всьому світу.
Далі в ТОП найбільших антивірусних компаній світу входить компанія
Trend Micro, Лабораторія Касперського, компанія McAfee а також Avast і
ESET. Однак, крім цього існує доволі багато брендів популярних у світовому
масштабі, але таких що не займають велику частинку ринку. І це не означає,
що ці програми гірші, просто так склалося, що з маркетингової точки зорі, ці
компанії не досягли ще значних успіхів.
Який антивірус кращий? Давайте спробуємо відповісти на запитання,
а чи можете Ви назвати найкращу машину? Скоріш за все, варто уточнити, а
для чого потрібна ця машина? І це правильне уточнення. Так само не існує
найкращого універсального антивірусу. Він підбирається під ситуацію, під
користувача, під комп’ютер, на якому буде встановлений, під задачі, для
яких буде використовуватись. Хороший антивірус той, який постійно
працює. Якщо антивірус гальмує систему і Ви його періодично вимикаєте, то
це погано, адже чи не найголовнішою опцією антивірусної програми є те, що
вона має постійно працювати. Виключений антивірус інколи навіть гірше ніж
відсутність антивірусу взагалі.
Крім того, смаки користувачів дуже різноманітні. Не можна зробити
продукт, який би подобався абсолютно всім. Так, частина користувачів хоче,
щоб антивірус був максимально детальним, з багатьма налаштуваннями,
детальним інформуванням про те, що робить програма в даний момент. Інші
хочуть, щоб антивірус просто мовчки працював, і у разі дефекту загрози
показував, що він її видалив, тобто фактично хочуть бачити антивірус з
однією кнопкою.
Варто наголосити, що вибір антивірусу є пошуком компромісу. Не
складно зробити антивірус який буде максимально захищати від всіх загроз,
можна вбудувати туди поведінковий аналізатор, зібрати сигнатури загрози з
усього світу, але є одна проблема – цей антивірус буде дуже сильно
109
гальмувати роботу системи, буде займати дуже багато пам’яті, постійно
надокучати Вам повідомленнями: «цей файл є підозрілим». І, в кінці кінців,
його неможливо буде використовувати. Тому антивірусні компанії постійно
йдуть на компроміс між якістю детектування і продуктивністю, між
автоматизацією і здатністю обробити певні загрози більш ефективно.
Тому Ви маєте обрати антивірус виходячи із того, на скільки Вам зручно
ним користуватись, наскільки гарно він детектує загрози, які характерні саме
для вашого комп’ютера, виходячи із ресурсів якими Ви користуєтесь,
виходячи із регіону в якому ви перебуваєте.
Поради для користувачів.
Основні завдання антивірусів:
• Сканування файлів і програм в режимі реального часу.
• Сканування комп'ютера на вимогу.
• Сканування інтернет-трафіку.
• Сканування електронної пошти.
• Захист від атак ворожих веб-вузлів.
• Відновлення пошкоджених файлів (лікування).
Перше правило (1 комп’ютер – 1 антивірусна програма).
На жаль, часто користувачі встановлюють більше одного антивірусу на
ПК і вважають що це їх краще захистить. Цього робити категорично не
можна. Антивіруси інсталюють в систему набори власних модулів: фільтрів,
аналізаторів, які дозволяють їм ефективно боротися з загрозами. Часто такі
модулі у різних антивірусів можуть конфліктувати один з одним, і у кращому
випадку ці модулі просто перестануть працювати. В гіршому вони просто
заблокують вашу систему, заблокують роботу інших додатків. Тобто будь-
яка антивірусна компанія скаже, що вона не гарантує повний захист системи
у разі паралельної роботи декількох антивірусів на комп’ютері. Краще
оберіть собі один антивірус, який вас влаштує.
Друге правило (тестування антивірусної програми).
Для того щоб Вам було простіше обирати антивірус для себе, існують
110
різноманітні тести антивірусів. Є тести професійні, є тести любительські, є
просто думки користувачів мережі. Серед найпопулярніших тестових центрів
варто назвати, центр британського журналу Virus Bulletin, який видає
сертифікати VB-100 всім антивірусам, які визначили 100% загроз, включених
до тесту. Суть тесту не в тому щоб визначити який відсоток вірусів визначає
та чи інша програма, а у тому щоб показати, що є певний перелік продуктів,
які визначають всі обрані за певний час загрози. Антивірус може або
отримати місце в рейтингу VB-100, або не пройти тест, навіть у разі
детектування 99% загроз. Існує подвійна логіка: або пройшов і бачив все, або
не пройшов.
У ТОП-3 найкращих тестів також входять випробування сайту AV-
Comparatives, який проводить регулярне порівняння тестів провідних
антивірусних продуктів, аналізуючи рівень детектування, рівень хибних
спрацювань і продуктивність. Також існує німецький тестовий центр АV-
Test, який проводить детальний аналіз антивірусних продуктів з метою
оцінки їх роботи.
Третє правило (оновлення версій антивірусної програми).
Також іншою дуже важливою особливістю є те, що антивірус - це
програма, яка потребує постійного оновлення вірусних баз. Як вже говорили
раніше, якщо у Вас в системі вставлений антивірус, який не оновлював свої
бази 7 днів, то потрібно розуміти, що за ці 7 днів, вірусна індустрія
просунулась вперед, і вірусна лабораторія також на це відреагувала. Не
завантаживши оновлення, Ви втрачаєте у захищеності Вашого комп’ютера.
Антивірус, не оновлений на протязі 2-х тижнів, уже практично не захищає
комп’ютер. Варто зауважити, що середня тривалість життя троянської
програми зараз складає три дні, за цей час загрозу вже детектують практично
всі антивірусні компанії.
Четверте правило (всі модулі програми працюють).
Не потрібно в антивірусі вимикати певні модулі, якщо ви не знаєте що
вони точно дають. Ви можете привести антивірус у той стан коли він
111
фактично наче є і навіть антивірусні бази оновлюються, але реальний захист
ПК він не забезпечує. Тобто буде видимість, що комп’ютер захищений, і це
навіть гірше ніж тоді, коли у вас не має антивірусу, адже коли його немає, Ви
про це знаєте, а коли він є і не працює, Ви не думаєте про те, що не є
захищеними.
П’яте правило (антивірусна програма не дає 100% захисту).
Ще один важливий момент - захист комп’ютера від вірусів проводиться
не лише за рахунок антивірусу. На жаль, антивірус не є повною панацеєю від
вірусів. Він може заблокувати 99% загроз чи навіть 99,9%. Це значить що на
1000 вірусів він 1 пропустить, а на мільйон пропустить 1000 загроз. А за день
створюється приблизно 60,000 вірусів чи модифікацій!
Шосте правило (не працюємо від імені адміністратора).
Створіть собі в системі Windows обліковий запис користувача, який не
матиме прав адміністратора. Працюйте саме під цим користувачем. Так, Ви
не зможете під ним видаляти чи установлювати програми, змінювати
налаштування системи. Але чи потрібно Вам це у повсякденні, якщо Ви
просто шукаєте інформацію через браузер, редагуєте документи, листуєтесь
через Skype чи пошту? Навіщо Вам при цьому адміністративні права в
системі? Якщо Ви працюєте з правами адміністратора в системі, то браузер з
яким Ви користуєтесь також запущений з правами адміністратора. Якщо
через свій браузер Ви випадково завантажите шкідливу програму, вона
запуститься і буде мати всі права в системі, і як наслідок, встановиться на
Ваш ПК. Якщо ж ви будете працювати під обліковим записом користувача,
без прав адміністратора, то навіть якщо запуститься троянська програма, то
вона не зможе запуститись у системі. Таким чином ви можете захиститись
навіть без антивірусу!
Цікаве запитання: чи існують антивірус для Mac ОС та Linux?
Антивірусні продукти для продуктів Apple та Linux існують, але на
жаль вони не є широко відомими, і розповсюдженими. Так, антивіруси для
Linux вважаються не потрібними продуктами. У більшості випадків вони
112
створюються не для того, щоб захищати саму операційну систему, а для того
щоб захищати інформацію, яка оброблюється даною операційною системою.
Як відомо, на Linux часто будують сервери. Тобто задача антивірусу
захищати файли, які проходять через сервер чи зберігаються на ньому.
Однак, існують і класичні антивіруси для Linux.
Для Mac ОС існують антивіруси практично усіх відомих вендорів.
Водночас, маркетингова політика Apple наголошує, що сама операційна
система для Mac є захищеною від вірусів. Насправді, це не так, просто загроз
є набагато менше, однак, вони є і постійно створюються нові. Для постійного
оперативного захисту користувачам Mac ОS варто також користуватись
антивірусом, а не чекати момент коли Apple сама виправить вразливості за
допомогою оновлення операційної системи, адже оновлення антивірусу
відбувається кожний день, а оновлення операційної системи набагато рідше.
Види антивірусних програм. Для виявлення, видалення і захисту від
комп'ютерних вірусів розроблено декілька видів антивірусних програм.
1. Програми-детектори. Програми-детектори здійснюють пошук
характерної для конкретного вірусу сигнатури в оперативній пам'яті й у
файлах і при виявленні - видають відповідне повідомлення. Недоліком таких
антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які
відомі розробникам таких програм.
2. Програми-доктори. Програми-доктори або фаги, а також програми-
вакцини не тільки знаходять заражені вірусами файли, але і «лікують» їх,
тобто видаляють з файлу тіло програми-вірусу, повертаючи файли в
початковий стан. На початку своєї роботи фаги шукають віруси в
оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування»
файлів. Серед фагів виділяють поліфаги, тобто програми-доктори, призначені
для пошуку і знищення великої кількості вірусів.
3. Програми-ревізори (інспектора). Програми-ревізори (інспектора)
відносяться до найнадійніших засобів захисту від вірусів. Ревізори
(інспектора) перевіряють дані на предмет вірусів-невидимок, вивчають, чи не
113
забрався вірус у файли, чи немає сторонніх в завантажувальному секторі
жорсткого диска, чи немає несанкціонованих змін реєстру Windows.
Причому інспектор може не користуватися засобами операційної системи
для звернення до дисків (а значить, активний вірус не зможе це звернення
перехопити).
4. Програми - фільтри (монітори). Програми-фільтри (монітори) або
«сторожі» являють собою невеликі резидентні програми, призначені для
виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів.
Такими діями можуть бути:
- спроби корекції файлів з розширеннями COM, EXE;
- зміна атрибутів файлу;
- прямий запис на диск за абсолютною адресою;
- запис у завантажувальні сектори диска;
- завантаження резидентної програми.
5. Вакцини або імунізатори. Вакцини або імунізатори - це резидентні
програми, що запобігають зараженню файлів. Вакцини застосовують, якщо
відсутні програми-доктори. Вакцинація можлива тільки від відомих вірусів.
Вакцина модифікує програму або диск таким чином, щоб це не відбивалося
на їх роботі, а вірус буде сприймати їх зараженими і тому не спрацює. В
даний час програми-вакцини мають обмежене застосування, вони застарілі.
6. Сканер. Принцип роботи антивірусних сканерів заснований на
перевірці файлів, секторів і системної пам'яті, а також пошуку в них відомих
і нових (невідомих сканеру) вірусів. Для пошуку відомих вірусів
використовуються так звані «маски». Маскою вірусу є деяка постійна
послідовність коду, специфічна для конкретного вірусу. Якщо вірус не
містить постійної маски або довжина цієї маски недостатньо велика, то
використовуються інші методи.
Сканери можна розділити на дві категорії - "універсальні" і
"спеціалізовані". Універсальні сканери розраховані на пошук і знешкодження
всіх типів вірусів незалежно від операційної системи, на роботу якої
114
розрахований сканер. Спеціалізовані сканери призначені для знешкодження
обмеженого числа вірусів або тільки одного їх класу, наприклад макро-
вірусів. Спеціалізовані сканери, розраховані тільки на макро-віруси, часто
виявляються найбільш зручним і надійним рішенням для захисту систем
документообігу в середовищах MS Word і MS Excel. Сканери також діляться
на "резидентні", що виробляють сканування "на льоту", і "нерезидентні", що
забезпечують перевірку системи тільки за запитом.
CRC-сканери. Принцип роботи CRC-сканерів заснований на підрахунку
CRC-сум (контрольних сум) для присутніх на диску файлів / системних
секторів. Ці CRC-суми потім зберігаються в базі даних антивіруса, як, втім, і
деяка інша інформація: довжини файлів, дати їх останньої модифікації і т.д.
При наступному запуску CRC-сканери звіряють дані, що містяться в базі
даних, з реально підрахованими значеннями. Якщо інформація про фото,
записана в базі даних, не збігається з реальними значеннями, то CRC-сканери
сигналізують про те, що файл був змінений або заражений вірусом.
Найбільш популярними і ефективними антивірусними програмами є
антивірусні сканери (інші назви: доктора, фаги, поліфаги). Слід за ними по
ефективності і популярності йдуть CRC-сканери (ревізор, checksumer,
integrity checker). Часто обидва наведених метода об'єднуються в одну
універсальну антивірусну програму, що значно підвищує її потужність.
Застосовуються також різного типу монітори (фільтри, блокувальники) і
імунізатори (детектори).
1. Яка роль офіцера кібербезпеки (CySO) в оцінці кібербезпеки (CSA)
та створенні плану кібербезпеки (CSP)?
2. Що треба враховувати при наданні інформації третім особам?
3. До яких наслідків може привести результат несанкціонованого
доступу, неправомірного використання або шахрайського використання
суднових систем або пов'язаних активів?
4. Які задачі виконує антивірус?
115
5. Опішить основні характеристики сигнатурного підходу створення
антивірусу.
6. Чим відрізняються евристичний та поведінковий аналізатори?
7. Перерахуйте класи антивірусів.
Лекція 7. Цільові системи, обладнання та технології. Суднові мережі.

Проблеми забезпечення безпеки в комп'ютерних системах і мережах
(2год.).
Мета: формування у здобувачів вищої освіти компетентностей з
забезпечення безпеки в комп'ютерних системах і мережах.
1. Цільові системи, обладнання та технології.
2. Суднові мережі. Проблеми забезпечення безпеки в комп'ютерних системах
і мережах.
1. Цільові системи, обладнання та технології.
116
Розглянемо зведення потенційно вразливих систем і даних на борту
суден, щоб допомогти компаніям оцінити свою схильність кіберризикам.
Вразливі системи, обладнання і технології можуть включати:
Системи зв'язку:
 інтегровані системи зв'язку
 обладнання супутникового зв'язку
 обладнання для передачі голосу через Інтернет (VOIP)
 бездротові мережі (WLAN)
 системи гучного зв'язку і загальної сигналізації
 системи, що використовуються для повідомлення обов'язкової
інформації державним органам.
Мостові системи:
 інтегрована система навігації
 системи позиціонування (GPS та ін.)
 інформаційна система відображення електронних карт (ECDIS)
 системи динамічного позиціонування (DP)
 системи, які взаємодіють з електронними навігаційними системами і
системами руху / маневрування
 автоматична ідентифікаційна система (АІС)
 глобальна морська система лиха і безпеки (ГМЗЛБ)
 радіолокаційне обладнання
 реєстратори даних рейсу (РДР)
 інші системи моніторингу і збору даних.
Системи управління рухом, механізмами і потужністю:
 регулятор двигуна
 управління живленням
 інтегрована система управління
 система моніторингу і сигналізації
 система аварійного реагування.
117
Системи контролю доступу:
 системи спостереження, такі як мережа відеоспостереження
 система аварійної сигналізації на містку (WAS)
 суднові системи охоронної сигналізації (SSAS)
 електронні системи «судновий персонал».
Системи управління вантажем:
 пост управління вантажами (CCR) і його обладнання
 суднові вантажні комп'ютери і комп'ютери, які використовуються для
обміну інформацією про вантаж і оновлення плану завантаження судна
з морським терміналом і стивідорною компанією
 системи дистанційного моніторингу та контролю вантажів і
контейнерів
 система індикації рівнів ( вантажу, баласту, палива і т.ін.)
 система дистанційного керування клапанами
 система сигналізації рівня льяльної води.
Системи обслуговування і управління пасажирів або відвідувачів:
 система управління майном (PMS)
 електронні медичні картки
 системи, пов'язані з фінансами
 системи доступу пасажирів / відвідувачів / моряків на борт судна
 системи підтримки інфраструктури, такі як система іменування
доменів (DNS) і системи автентифікації / авторизації користувачів.
Пасажирські мережі:
 доступ в Інтернет через Wi-Fi або локальну мережу (LAN) для
пасажирів, наприклад, коли персонал на борту може підключати свої
власні пристрої
 гостьові розважальні системи.
Системи базової інфраструктури:
 шлюзи безпеки
118
 роутери
 перемикачі
 брандмауери
 віртуальні приватні мережі (VPN)
 віртуальні локальні мережі (VLAN)
 системи запобігання вторгнень
 системи реєстрації подій безпеки.
Адміністративні системи і системи соціального забезпечення екіпажу:
 адміністративні системи
 доступ до мережі Wi-Fi або LAN для екіпажу, наприклад, коли
персонал на борту може підключати свої власні пристрої.
2. Суднові мережі. Проблеми забезпечення безпеки в комп'ютерних
системах і мережах.
Безпека мережі залежить від ІТ / ОТ, встановлених на борту судна, і
ефективності політики компанії, заснованої на результатах оцінки ризиків.
Контроль точок входу і фізичний мережевий контроль на існуючому судні
може бути обмежений, оскільки управління кіберризиками не враховувалося
при будівництві судна. Рекомендується планувати схему мережі і управління
мережею для всіх нових суден.
Слід уникати прямої взаємодії між неконтрольованою і
контрольованою мережею. Крім того, слід додати кілька заходів захисту:
 реалізувати розподіл мереж та / або управління трафіком
 управляти протоколами шифрування для забезпечення належного рівня
конфіденційності і комерційної комунікації
 управляти використанням сертифікатів для перевірки походження
документів, програмного забезпечення або послуг з цифровим
підписом.
Як правило, це має бути доступне тільки обладнанню або системам,
яким необхідно зв'язуватися один з одним по мережі. Головний принцип
119
повинен полягати в тому, що об'єднання в мережу обладнання або систем
визначається експлуатаційними потребами.
Фізичне планування
Слід ретельно продумати фізичну схему мережі. Важливо враховувати
фізичне розташування основних мережевих пристроїв, включаючи сервери,
комутатори, міжмережеві екрани і кабелі. Це допоможе обмежити доступ і
підтримувати фізичну безпеку мережевої установки і контролю точок входу в
мережу.
Управління мережею
Будь-яка конструкція мережі повинна включати інфраструктуру для
адміністрування та управління мережею. Це може включати установку
програмного забезпечення для управління мережею на виділених робочих
станціях і серверах, що забезпечують спільне використання файлів,
електронну пошту та інші послуги в мережі.
Сегментація мережі
Суднові мережі зазвичай повинні включати в себе наступне:
1. необхідний зв'язок між обладнанням ОТ;
2. налаштування і моніторинг ОТ обладнання;
3. суднові адміністративні та бізнес-завдання, включаючи електронну пошту
і спільне використання файлів і папок, пов'язаних з бізнесом (ІТ-мережі);
4. розважальний доступ до Інтернету для екіпажу та / або пасажирів /
відвідувачів.
Ефективна сегментація мережі - ключовий аспект
«глибокоешелонованого захисту». OT, IT і мережі загального користування
повинні бути розділені або сегментовані за допомогою відповідних заходів
захисту. Заходи захисту можуть включати, але не обмежуються відповідним
поєднанням наступного:
 брандмауер по периметру між судновою мережею та Інтернетом
(міжмережевий екран);
 мережа перемикається між кожним сегментом мережі;
120
 внутрішні міжмережеві екрани між кожним сегментом мережі;
 віртуальні локальні мережі (VLAN) для розміщення окремих сегментів.
Крім того, кожен сегмент повинен мати свій власний діапазон IP-адрес.
Сегментація мережі не усуває необхідність налаштування систем в кожному
сегменті з відповідними засобами управління доступом до мережі,
програмними брандмауерами і виявленням шкідливих програм.
Рисунок 7.1. Атрибути та цілі кібербезпеки
У показаному вище прикладі мережа була сегментована за допомогою

брандмауера по периметру, який підтримує три VLAN:
1. Мережа ОТ, що містить обладнання та системи, які виконують
критично важливі для безпеки функції.
2. ІТ-мережа, що містить обладнання та системи, які виконують
адміністративні або бізнес-функції.
3. Екіпаж і гостьова мережа, що забезпечує неконтрольований доступ в
Інтернет.
Слід враховувати, як максимально підвищити безпеку самих
комутаторів. Для досягнення найвищого рівня безпеки кожна мережа
повинна використовувати свій апаратний комутатор. Це мінімізує
ймовірність перемикання зловмисника між мережами через неправильні
конфігурації або отримання доступу до конфігурації комутатора.
121
Правильно налаштований і відповідний брандмауер - важливий
елемент правильної сегментації мережевої установки. Суднова установка
повинна бути захищена брандмауером принаймні по периметру для
управління трафіком між Інтернетом і судновою мережею. Щоб запобігти
будь-яким ненавмисним взаємодіям, брандмауер повинен бути налаштований
за замовчуванням на заборону будь-якого обміну даними. На основі цієї
конфігурації повинні бути реалізовані правила. Правила повинні бути
розроблені таким чином, щоб дозволити проходження трафіку даних,
необхідного для передбачуваної роботи цієї мережі.
Наприклад, якщо конкретна кінцева точка отримує оновлення з
Інтернету, правило повинно дозволяти конкретній кінцевій точці
підключатися безпосередньо до сервера, оброблювати конкретну службу
оновлень. Не рекомендується дозволяти загальний доступ в Інтернет до
зазначеної кінцевої точки для оновлень.
Неконтрольованим мережам, таким як мережа екіпажів або пасажирів,
не повинно бути дозволено ніякого зв'язку з контрольованими мережами.
Неконтрольована мережа повинна вважатися такою ж небезпечною, як і
Інтернет, оскільки пристрої, підключені до неї, не керуються, їх статус
безпеки (антивірус, поновлення і т. д.) невідомий, а їх користувачі можуть
діяти зловмисно, навмисно або ненавмисно.
Моніторинг активності даних
Важливо відстежувати і управляти системами, щоб знати про стан
мереж і виявляти будь-який неавторизований трафік даних. Ведення журналу
має бути реалізовано в брандмауері і, в ідеалі, на всіх підключених до мережі
пристроях, щоб в разі зламу відповідальна особа могла відстежити джерело і
методологію атаки. Це допоможе захистити мережу від будь-яких подібних
атак в майбутньому.
Мережева система виявлення вторгнень (IDS) або система захисту від
вторгнень (IPS) може попереджати системного адміністратора в режимі
реального часу про наявність будь-яких атак на мережеві системи. IDS і IPS
122
перевіряють трафік даних, точки входу або і те, і інше, щоб виявити відомі
загрози або відхилити трафік, який не відповідає політиці безпеки. IPS
повинна відповідати останнім передовим галузевим методикам і
рекомендаціям.
Рекомендується розмістити датчик в сегменті з виходом в Інтернет,
оскільки загальнодоступні сервери є видимою метою для зловмисників.
Інший датчик слід розмістити за брандмауером для відстеження трафіку між
Інтернетом і внутрішньою мережею. Датчик lDS / IPS також може бути
розміщений в сегменті віддаленого доступу, наприклад, в віртуальній
приватній мережі (VPN).
Заходи захисту
Заходи захисту повинні бути реалізовані таким чином, щоб
підтримувати цілісність системи під час нормальної роботи, а також під час
кіберінцидентів. Кожна вбудована мережа OT має кілька кінцевих точок,
таких як робочі станції, сервери, маршрутизатори, модулі введення і
виведення, перетворювачі і т. д. Кінцеві точки дуже важливі, оскільки вони
контролюють роботу і безпеку системи.
Окремий продукт, технологія або рішення безпеки не може
забезпечити адекватний захист OT-системи. Бажана багаторівнева стратегія,
яка включає два (або більше) різних механізми безпеки що перекриваються,
щоб звести до мінімуму вплив збою в будь-якому з механізмів. Крім того,
ефективна стратегія глибокоешелонованого захисту вимагає глибокого
розуміння можливих векторів атаки на OT-систему. Вони можуть включати:
 бекдори і дірки в периметрі мережі і інструментах
 вразливості в протоколах, які часто використовуються
 вразливі кінцеві точки і датчики
 незахищені бази даних.
Бекдори (backdoors). Бекдором (backdoors) називають один з
різновидів шкідливих програм, а також утиліти прихованого доступу до
комп'ютера, спеціально створені розробниками якого-небудь програмного
123
забезпечення для виконання несанкціонованих або недокументованих дій.
Отримавши доступ до системи, зловмисник встановлює бекдори для
повторного або резервного підключення до неї з метою реалізації
задуманого. Бекдори виконують дві основні функції: оперативне отримання
доступу до даних і віддалене управління комп'ютером. Backdoor дозволяє
зловмисникові робити на комп'ютері жертви те ж саме, що і власник, тільки
віддалено. Наприклад, з'являється можливість копіювати або завантажувати
файли, впроваджувати шкідливі і небажані програми, зчитувати особисті
дані, перезавантажувати комп'ютер, робити скріншоти і т.д. Бекдори
допомагають злочинцям зламувати мережі, проводити атаки з зараженого
комп'ютера.
Безпечне робоче середовище можна створити за допомогою фільтра,
який забезпечує додатковий захист від кіберзагроз за рахунок ізоляції
програмного забезпечення, що виконується, від базової операційної системи.
Це запобігає несанкціонованому доступу до операційних систем, в яких
запущено програмне забезпечення. Фільтр дозволяє запускати програмне
забезпечення у відповідності з певним набором правил, що додає контроль
над процесами і ресурсами комп'ютера. Таким чином, фільтр допомагає
запобігти впливу шкідливого, несправного або ненадійного програмного
забезпечення на іншу частину системи.
1. Перерахуйте вразливі системи, обладнання і технології.
2. Що називається сегментацією мережі?
3. Що таке бекдор?
4. Як проводиться моніторинг активності даних?
Лекція 8. Складання плану на випадок непередбачених обставин.

Система управління безпекою. Реагування на інциденти кібербезпеки і
відновлення після них. План відновлення. Розслідування
кіберінцидентів (2 год.).
124
забезпечення безпеки в суднових комп'ютерних системах і мережах.
1. Складання плану на випадок непередбачених обставин.
2. Система управління безпекою.
3. Реагування на інциденти кібербезпеки і відновлення після них. План
відновлення.
4. Розслідування кіберінцидентів.
1. Складання плану на випадок непередбачених обставин
При розробці планів дій в надзвичайних ситуаціях для реалізації на
борту суден важливо розуміти значимість будь-якого кіберінциденту і
відповідно визначати пріоритети дій у відповідь.
Будь-який кіберінцидент повинен оцінюватися відповідно до вимог для
оцінки впливу на операції, активи і т. д. У більшості випадків, за винятком
систем планування і управління навантаженням, втрата інформації ІТ-систем
на борту, включаючи порушення конфіденційності даних, буде проблемою
для безперервності бізнесу і не повинна мати ніякого впливу на безпечну
125
експлуатацію судна. У разі кіберінциденту, що зачіпає тільки ІТ-системи,
пріоритетом може бути негайне виконання плану розслідування і
відновлення.
Втрата систем ОТ може зробити істотний і негайний вплив на безпечну
експлуатацію судна. Якщо кіберінцидент призведе до втрати або збоїв в
роботі систем ОТ, важливо вжити ефективних заходів, які допоможуть
забезпечити негайну безпеку екіпажу, судна, вантажу і захист морського
середовища. Як правило, відповідні плани дій в надзвичайних ситуаціях для
кіберінцидентів, включаючи втрату критичних систем і необхідність
використання альтернативних режимів роботи, повинні бути розглянуті
відповідними експлуатаційними та аварійними процедурами, включеними в
систему управління безпекою.
Деякі з існуючих процедур в системі управління безпекою судна вже
охоплюють такі кіберінциденти. Однак кіберінциденти можуть привести до
множинних збоїв, що викликають одночасне відключення більшої кількості
систем. При плануванні на випадок непередбачених обставин слід
враховувати такі інциденти.
Відключення OT від підключення до берегової мережі
З'єднання між береговими системами і системами OT можуть мати
значення в широкому спектрі додатків, таких як моніторинг продуктивності,
профілактичне обслуговування і віддалена підтримка, і це лише деякі з них.
Загальним для цих систем є те, що вони не є строго необхідними для
безпечної експлуатації судна. Однак вони є потенційним вектором атаки на
системи, необхідні для безпечної експлуатації судна. Отже, важливо оцінити,
коли ці підключення дозволені і за яких обставин.
Слід розробити плани, що визначають, коли такі системи ОТ повинні
бути тимчасово відокремлені від підключення до берегової мережі для
захисту безпечної експлуатації судна. Відключення допоможе запобігти
можливості зловмисника маніпулювати критично важливими для безпеки
системами або отримати прямий контроль над системою. Відключення
126
також може відбуватися, щоб уникнути поширення шкідливих програм
між сегментами мережі.
Для ефективного відключення берегових підключень важливо, щоб
мережа і послуги підключення були спроектовані таким чином, щоб мережі
можна було швидко фізично розділити, видаливши один мережевий кабель
(наприклад, зазначений непарним кольором) або відключивши брандмауер.
2. Система управління безпекою
Система управління безпекою вже буде включати процедури
повідомлення про аварії або небезпечні ситуації, і визначати рівні зв'язку і
повноважень для прийняття рішень. У відповідних випадках такі процедури
повинні бути змінені, щоб відобразити зв'язок і повноваження в разі
Нижче наводиться неповний список кіберінцидентів, які слід
враховувати в планах дій в надзвичайних ситуаціях на борту:
 втрата доступності електронного навігаційного обладнання або втрата
цілісності даних, пов'язаних з навігацією;
 втрата доступності або цілісності зовнішніх джерел даних, включаючи,
але не обмежуючись, GNSS;
 втрата необхідного зв'язку з берегом, включаючи, крім іншого,
доступність глобальної морської системи зв'язку в умовах лиха і небезпеки
(ГМЗЛБ);
 втрата доступності промислових систем управління, включаючи рухові
установки, допоміжні системи та інші критично важливі системи, а також
втрата цілісності управління даними і контролем;
 випадок здирництва, відмови в обслуговуванні або інциденту в
обслуговуванні.
Крім того, важливо гарантувати, що втрата обладнання або надійної
інформації через кіберінциденти зробить існуючі плани і процедури на
випадок надзвичайних ситуацій неефективними.
127
Плани дій в надзвичайних ситуаціях і відповідна інформація повинні
бути доступні в неелектронній формі, оскільки деякі типи кіберінцидентів
можуть включати видалення даних і відключення каналів зв'язку. Можуть
бути випадки, коли реагування на кіберінцидент може виходити за рамки
компетенції співробітників або головного офісу через складність або
серйозність таких інцидентів. У цих випадках може знадобитися допомога
зовнішнього експерта (наприклад, судово-медичний аналіз і очищення після
події).
3. Реагування на інциденти кібербезпеки і відновлення після них.
План відновлення
Важливо розуміти, що кіберінциденти не можуть зникнути самі по
собі. Якщо, наприклад, ECDIS була заражена шкідливим ПЗ, запуск
резервної ECDIS може викликати ще один кіберінцидент. Тому
рекомендується спланувати, як виконувати очистку і відновлення заражених
систем.
Знання про раніше виявлені кіберінциденти слід використовувати
для поліпшення планів реагування всіх суден у флоті компанії, і можна
розглянути інформаційну стратегію для таких інцидентів.
Ефективна відповідь
Повинна бути створена група, до складу якої може входити поєднання
суднового і берегового персоналу та / або зовнішніх експертів для прийняття
відповідних заходів по відновленню систем ІТ і / або ОТ, щоб судно могло
відновити нормальну роботу. Команда повинна бути здатна виконати всі
аспекти реагування.
Ефективна відповідь повинна складатися як мінімум з наступних
кроків:
1. Первісна оцінка. Щоб забезпечити належну відповідь, група реагування
повинна з'ясувати:
• як стався інцидент;
128
• які ІТ-та / або ОТ-системи були порушені і як;
• ступінь впливу на комерційні та / або експлуатаційні дані;
• якою мірою зберігається загроза для ІТ і ОТ.
2. Відновити системи і дані. Після первісної оцінки кіберінциденту ІТ-та
ОТ-системи і дані повинні бути очищені, відновлені і приведені, наскільки це
можливо, до робочого стану шляхом видалення загроз з системи і
відновлення програмного забезпечення.
3. Розслідування інциденту. Щоб зрозуміти причини і наслідки
кіберінциденту, компанія повинна провести розслідування за підтримки
зовнішнього експерта, якщо це необхідно. Інформація, отримана в результаті
розслідування, буде відігравати важливу роль у запобіганні потенційного
повторення.
4. Запобігти повторному виникненню. Беручи до уваги результати
розслідування, слід розглянути заходи щодо усунення будь-яких недоліків в
технічних і / або процедурних заходах захисту відповідно до процедур
компанії щодо здійснення коригувальних дій.
Коли кіберінцидент є складним, наприклад, якщо системи ІТ і / або ОТ не
можуть бути повернуті в нормальний режим роботи, може знадобитися
ініціювати план відновлення поряд з судновими планами дій в надзвичайних
ситуаціях. В цьому випадку група реагування повинна мати можливість дати
судну пораду з наступних питань:
 чи слід відключати ІТ або OT-системи або продовжувати роботу для
захисту даних;
 чи слід відключати певні канали зв'язку судна з берегом;
 належне використання будь-яких додаткових інструментів, наявних в
передбаченому програмному забезпеченні безпеки;
 ступінь, в якій інцидент скомпрометував ІТ або ОТ-системи за межами
можливостей існуючих планів відновлення.
Для відповідного персоналу важливо проводити регулярні навчання з
кібербезпеки, щоб підтримувати ефективність реагування. У відповідних
129
випадках навчання з кібербезпеки можуть бути ініційовані реальними
подіями і можуть бути імітацією великомасштабних інцидентів, які
переростають в кібер-кризи. Це дає можливість аналізувати складні
інциденти технічної кібербезпеки, а також допомагає вирішувати питання
забезпечення безперервності бізнесу та управління кризами.
План відновлення
Плани відновлення повинні бути доступні в паперовому вигляді на
борту і на березі. Метою плану є підтримка відновлення систем і даних,
необхідних для відновлення ІТ і ОТ до робочого стану. Щоб забезпечити
безпеку бортового персоналу, в плані повинні бути пріоритетними завдання
експлуатації і навігації судна. Персонал, який відповідає за кібербезпеку,
повинен розуміти план відновлення. Деталізація і складність плану
відновлення буде залежати від типу судна, а також від ІТ, ОТ і інших систем,
встановлених на борту. Група реагування на інциденти повинна ретельно
розглянути наслідки дій по відновленню (таких як очищення дисків), які
можуть привести до знищення свідоцтв, які можуть надати цінну інформацію
про причини інциденту. Там, де це можливо, слід отримати професійну
підтримку в реагуванні на кіберінциденти, щоб допомогти у збереженні
доказів при відновленні експлуатаційних можливостей.
Можливість відновлення даних є важливою технічною мірою захисту.
Можливості відновлення даних зазвичай представлені у вигляді програмного
резервного копіювання даних ІТ. Наявність резервного програмного
забезпечення на борту або на березі має дозволити відновити ІТ до робочого
стану після кіберінциденту. Відновлення OT може бути більш складним,
особливо якщо немає доступних систем резервного копіювання, і може
знадобитися допомога з берега. Детальна інформація про те, де і ким
доступна ця допомога, повинна бути частиною плану відновлення,
наприклад, при переході в порт для отримання допомоги від сервісного
інженера. Якщо на борту є кваліфікований персонал, можуть бути виконані
підвищені дії з діагностики та відновлення. В іншому випадку план
130
відновлення буде обмежений отриманням швидкого доступу до технічної
підтримки.
4. Розслідування кіберінцидентів
Розслідування кіберінциденту може надати цінну інформацію про те,
як була використана вразливість. По можливості компанії повинні
розслідувати кіберінциденти, що зачіпають ІТ і OT на борту, відповідно до
процедур компанії. Для докладного розслідування може знадобитися
підтримка зовнішніх експертів.
Інформація, отримана в результаті розслідування, може бути
використана для поліпшення технічних і процедурних заходів захисту на
борту і на березі. Це також може допомогти морській галузі в кращому
розумінні морських кіберризиків.
Будь-яке розслідування повинне привести до:
 кращого розуміння потенційних кіберризиків, з якими стикається морська
галузь як на борту, так і на березі;
 визначення засвоєних уроків, включаючи поліпшення в навчанні для
підвищення обізнаності;
 оновлення технічних і процедурних заходів захисту для запобігання
повторення.
Збитки в результаті кіберінциденту
Для страховиків термін «кібер» включає в себе безліч різних аспектів, і
важливо розрізняти їх і їх вплив на страхове покриття. Деякі страховики
вважають, що системного ризику для суден в результаті кіберінциденту не
існує, і вплив інциденту, швидше за все, буде залежати від одного судна.
Компанії будуть знати, що може бути доступно спеціальне неморське
страхування для покриття втрати даних і будь-яких результатів і штрафів.
Компанії повинні мати можливість продемонструвати, що вони проявляють
розумну обережність в своєму підході до управління кіберризиками і
131
захищають судно від будь-якого збитку, який може виникнути в результаті
Покриття майнової шкоди
Як правило, на багатьох ринках страхування морського майна поліс
може покривати втрату або пошкодження судна і його устаткування,
викликане подією з судном, таким як посадка на мілину, зіткнення або
повінь, навіть якщо основною причиною події є кіберінцидент. Можна
відзначити, що в даний час на деяких ринках існують положення про
виключення кібератак. Якщо морський поліс містить положення про
виключення кібератак, збитки або збиток можуть не бути покриті.
Компаніям рекомендується заздалегідь уточнити у своїх страховиків /
брокерів, чи покриває їх поліс претензії, викликані кіберінцидентами і / або
кібератаками.
Були опубліковані керівні принципи для ринку, в яких морським
страховикам рекомендується ставити питання про обізнаність компанії про
кіберризики і нетехнічні процедури. Тому компаніям слід очікувати від
страховиків запиту на нетехнічну інформацію про їх підходи до управління
кіберризиками.
Обмежені дані про частоту, серйозність втрат або ймовірність
фізичного збитку в результаті кіберінцидентів представляють собою
проблему і означають, що стандартні оцінки втрат в цьому випадку не
застосовуються.
Покриття відповідальності
Рекомендується зв'язатися з P & I Club для отримання докладної
інформації про покриття, що надається судновласникам і фрахтівникам щодо
відповідальності перед третіми сторонами (і пов'язаних з цим витрат), що
виникають в результаті експлуатації суден.
Інцидент, викликаний, наприклад, несправністю суднових навігаційних
або механічних систем через злочинне діяння або випадкову кібератаку, сам
по собі не є підставою для будь-яких винятків із звичайного покриття P & I.
132
У випадку претензії, пов'язаної з кіберінцидентами, заявники
цілком можуть спробувати довести, що претензія виникла в результаті
недостатнього рівня кіберпідготовленості. Таким чином, це ще раз
підкреслює важливість того, щоб компанії могли продемонструвати, що вони
діють з розумною обережністю в своєму підході до управління
кіберризиками і захисту судна.
Слід зазначити, що багато збитків, які можуть виникнути в результаті
кіберінциденту, не належать до зобов'язань перед третіми сторонами, що
виникають в результаті експлуатації судна, і тому не покриваються
страховкою P & I. Наприклад, фінансові втрати, викликані програмами-
вимагачами, або витрати на відновлення зашифрованих даних не будуть
вказані в покритті.
Клуби P & I - це неурядові, неприбуткові, спільні асоціації
постачальників страхування ризиків на морі своїм членам, що
складаються з судновласників, операторів, фрахтувальників і моряків, які
працюють в компаніях-членах асоціації. Страхування P & I (Protection
and Indemnity Insurance) - це страховий поліс, що купується
судновласниками для з'ясування відносин, захисту та вирішення питань з
відповідальності і претензіями, що пред'являються третіми особами,
екіпажом і пасажирами у випадках аварій, зіткнень, забруднення
навколишнього середовища, втрати судна або вантажу, матеріального і
морального збитку, розлади здоров'я, тілесних ушкоджень і каліцтв,
смерті.
Однак слід зазначити, що звичайне покриття P & I щодо зобов'язань
підлягає виключенню військового ризику, і кіберінциденти в контексті
ризику війни або терору зазвичай не покриваються.
1. На що треба звертати увагу при складанні плану на випадок
непередбачених обставин?
133
2. Які кіберінциденти слід враховувати в планах дій в надзвичайних
ситуаціях на борту судна?
3. Як проводиться розслідування кіберінцидентів?
4. Чи є можливість покриття збитків в результаті кіберінциденту?
Лекція 9. Проблеми забезпечення безпеки в комп'ютерних системах і
мережах. Мережеві загрози, вразливості і атаки. Засоби захисту мереж (2
год.).
забезпечення безпеки в комп'ютерних системах і мережах.
1. Проблеми забезпечення безпеки в комп'ютерних системах і мережах.
2. Мережеві загрози, вразливості і атаки.
3. Засоби захисту мереж.
1. Проблеми забезпечення безпеки в комп'ютерних системах і
мережах
Захист інформації в комп'ютерних системах має ряд специфічних
особливостей, пов'язаних з тим, що інформація, що не є жорстко пов'язаної з
134
носієм, може легко і швидко копіюватись та передаватись по каналах зв'язку.
Виникнення глобальних інформаційних мереж типу Internet є важливим
досягненням комп'ютерних технологій, однак, з Internet пов'язано безліч
комп'ютерних злочинів.
Проблеми, що виникають з безпекою передачі інформації при роботі в
комп'ютерних мережах, можна розділити на три основні типи:
1) перехоплення інформації – при перехоплені порушується
конфіденційність інформації;
2) модифікація інформації - вихідне повідомлення змінюється або
повністю підміняється іншим і надсилається адресату;
3) підміна авторства інформації.
Ця проблема може мати серйозні наслідки. Наприклад, хтось може
надіслати листа від вашого імені (цей вид обману прийнято називати
спуфінг) або Web-сервер може прикидатися електронним магазином,
приймати замовлення, номери кредитних карт, але не висилати ніяких
товарів.
Корпоративна мережа (локальна суднова).
Корпоративна мережа — це мережа, головним призначенням якої є
підтримка роботи конкретного підприємства, що володіє даною мережею.
Користувачами корпоративної мережі є тільки співробітники даного
підприємства.
Корпоративна мережа - це складний комплекс взаємозалежних і
узгоджено функціонуючих програмних і апаратних компонентів, який
забезпечує передачу інформації між різними віддаленими додатками й
системами, що використовуються на підприємстві.
Основними елементами мережі є робочі станції, сервери і комутатори.
Основну частину мережі складають робочі станції, які підключені до
комутаторів. Комутатори пересилають пакети даних з одного порту в іншій
за потрібною адресою. Також в мережі є сервери, що забезпечують роботу
робочих станцій в складі мережі.
135
Наявність мережі приводить до вдосконалення комунікацій між
співробітниками підприємства, а також його клієнтами і постачальниками.
Мережі знижують потребу підприємств в інших формах передачі інформації,
таких як телефон або звичайна пошта.
Безпека мережі — заходи, які захищають інформаційну мережу від
несанкціонованого доступу, випадкового або навмисного втручання в роботу
мережі або спроб руйнування її компонентів. Безпека інформаційної мережі
включає захист обладнання, програмного забезпечення, даних і персоналу.
Мережева безпека складається з положень і політики, прийнятої
адміністратором мережі, щоб запобігти та контролювати несанкціонований
доступ, неправильне використання, зміни або відмови в комп'ютерній мережі
та мережі доступних ресурсів.
2. Мережеві загрози, вразливості і атаки
Дії, які так або інакше загрожують
збереженню, що допускають нанесення
збитків інформаційній безпеці
підрозділяються на певні категорії.
2.1. Дії, які здійснюють користувачі,
які авторизовані в системі. Ця
категорія включає:
• зловмисні дії користувача з метою
крадіжки або повного чи часткового
знищення даних, які є на сервері або робочій станції компанії;
• пошкодження наявних даних як результат прояву необережності, халатності
у діях користувача.
2.2. "Електронне" втручання - дії хакерів:

• здійснення DOS та dDOS-атак;
• незаконне проникнення в захищені комп'ютерні мережі.
Несанкціоноване проникнення ззовні в захищену мережу тієї або іншої
компанії може здійснюватися з метою нанесення збитку (знищення, підміна
136
наявних даних), крадіжки інформації, що відноситься до розряду
конфіденційної з подальшим її незаконним використанням, розпорядження
мережевою інфраструктурою компанії як методом для здійснення атак на
інші мережеві вузли, крадіжка грошових коштів з рахунків компанії або
окремих користувачів і т.д.
Атаки категорії DOS (Denial of Service) здійснюються ззовні і
направлені на мережеві вузли тієї або іншої компанії, які відповідають за її
безпечне, ефективне і стабільне функціонування (поштовий, файловий
сервер). Зловмисниками організовується масова відправка будь-яких даних
на вибрані вузли, що викликає їх перевантаження, тим самим виводячи з
працездатного стану на деякий час. Подібні атаки можуть обернутися для
постраждалої компанії різними порушеннями в здійсненні безперервних
бізнес-процесів, втратою клієнтів, а також втратою репутації.
2.3. Комп’ютерні віруси. Комп’ютерні віруси, так само, як і деякі інші

шкідливі програми відносяться до окремої категорії способів електронної дії
з подальшим нанесенням збитку.
Дані засоби дії є реальною загрозою для ведення сучасного бізнесу, що
має на увазі широке використання комп'ютерних мереж, електронної пошти і
Інтернету в цілому. Так, "вдале" проникнення шкідливої програми (вірусу) в
корпоративні мережеві вузли тягне за собою не тільки виведення їх із стану
стабільного функціонування, але і велику втрату часу, втрату наявних даних,
зокрема не виключена можливість крадіжки конфіденційної інформації і
прямих розкрадань грошових коштів з рахунків. Програма-вірус, яка
проникла і залишилася непоміченою в корпоративній мережі дає можливість
здійснення зловмисниками повного або ж часткового контролю над всією
діяльністю компанії, що ведеться в електронному основним каналом для
ефективного і швидкого розповсюдження спаму.
2.4. Спам. Якщо ще кілька років тому спам був всього лише незначним по
масштабах, дратівливим чинником, то в даний час технології спаму
137
представляють достатньо серйозну загрозу для забезпечення інформаційної
безпеки:
− основним каналом для ефективного і швидкого розповсюдження спаму і
інших шкідливих програм стала електронна пошта;
− на перегляд спаму йде достатньо велика кількість часу, а подальше
видалення численних повідомлень може викликати відчуття дискомфорту
співробітників на психологічному рівні;
− спам може виступати одним з основних методів реалізації різних
шахрайських схем, жертвами яких можуть ставати як приватні, так і
юридичні особи;
− великий ризик видалення потрібної кореспонденції разом із спамом, що
може привести до різного роду неприємних наслідків, при цьому така
небезпека зростає, якщо вдаватись до використання недосконалих поштових
фільтрів для виявлення і відсіювання спаму.
2.5. "Природні" загрози. В категорію "природних" загроз відносять різні

зовнішні чинники. Так, причиною втрати інформаційної безпеки може
виступити крадіжка інформаційних носіїв, форс-мажорні обставини,
неправильний спосіб зберігання інформації.
3.Засоби захисту мереж
Політика безпеки при доступі до мереж загального значення.
Для безпеки в комп’ютерних мережах використовують програмне
забезпечення:
● Secure Shell, SSH (англ. Secure SHell — «безпечна оболонка») —
мережевий протокол рівня додатків, що дозволяє проводити віддалене
управління комп'ютером і тунелювання TCP-з'єднань (наприклад, для
передачі файлів).
 Міжмережевий екран (брандмауер, файрвол англ. Firewall, буквально
«вогняна стіна») — пристрій або набір пристроїв, сконфігурованих, щоб
допускати, відмовляти, шифрувати, пропускати через проксі весь
комп'ютерний трафік між областями різної безпеки згідно з набором правил
138
та інших критеріїв. Фаєрвол може бути у вигляді окремого приладу (так
званий маршрутизатор чи роутер), або програмного забезпечення, що
встановлюється на персональний комп'ютер чи проксі- сервер.
 Антивірусна програма (антивірус) — програма для знаходження і
лікування програм, що заражені комп'ютерним вірусом, а також для
запобігання зараженню файлу вірусом.
Антивірусне програмне забезпечення складається з комп'ютерних програм,
які намагаються знайти, запобігти розмноженню і видалити комп'ютерні
віруси та інші шкідливі програми.
Стандартною моделлю безпеки даних може
слугувати модель із трьох категорій:
1. Конфіденційність– стан даних, при якому
доступ до них здійснюють тільки ті особи, що мають
на нього право.
2. Цілісність– уникнення несанкціонованої зміни
даних та існування даних у неспотвореному вигляді.
3. Доступність– уникнення тимчасового або
постійного приховування даних від користувачів, котрі мають права доступу.
Відповідно до розглянутої моделі безпеки даних є три різновиди загроз:
1. Загроза порушення конфіденційності полягає у тому, що дані стають
відомими тому, хто не має права доступу до них.
2. Загроза порушення цілісності передбачає будь-яку умисну зміну даних,
що зберігаються в комп’ютерній системі чи передаються з однієї системи в
іншу.
3. Загроза відмови служб виникає щоразу, коли в результаті навмисних дій,
які виконує інший користувач або зловмисник, блокується доступ до деякого
ресурсу комп’ютерної системи.
До категорій дій, що здійснюються авторизованими користувачами,
належить: цілеспрямована крадіжка або знищення даних на робочій станції
чи сервері; пошкодження даних користувачами в результаті необережних дій.
139
Які етичні та правові основи захисту даних розрізняють?
Морально-етичні основи захисту даних передбачають норми
поведінки, які традиційно склались або складаються з поширенням
комп’ютерів та мереж: соціальна й персональна відповідальність,
рівноправність партнерів по комунікації, точне й сумлінне виконання
обов’язків тощо.
Поряд із загальнолюдськими етичними нормами є такі базові права, як:
 загальнодоступність – гарантує право на комунікацію й передбачає
доступність державних інформаційних ресурсів;
 таємниця приватного життя – дотримання конфіденційності
довірених даних;
 недоторканість приватної власності – основа майнового порядку,
дотримання права власності на дані й норми авторського права.
У прийнятих в Україні законодавчих нормах зазначено, зокрема,

що захисту підлягає:
 відкрита інформація, яка належить до державних інформаційних ресурсів,
а також відкрита інформація про діяльність суб’єктів владних повноважень,
військових формувань, яка оприлюднюється в Інтернеті, інших глобальних
інформаційних мережах і системах або передається телекомунікаційними
мережами;
 конфіденційна інформація, яка перебуває у володінні розпорядників
інформації, визначених Законом України «Про доступ до публічної
інформації»;
 службова інформація;
 інформація, яка становить державну або іншу передбачену законом
таємницю;
 інформація, вимога щодо захисту якої встановлена законом.
Правовий захист інформації передбачає:
140
 наявність прав на інформацію – сертифікацію, ліцензування,
патентування;
 реалізацію прав – захист інтелектуальної власності, захист авторських
прав;
 контроль за процедурами реалізації прав – систему адміністративного,
програмного, фізико-технічного захисту інформації.
Власник авторських прав може використовувати знак охорони
авторського права, що складається з трьох елементів:
 латинської літери «С» (початкова буква англійського слова copyright –
авторське право), взятої в коло ©;
 імені власника виключних авторських прав;
 року першого опублікування твору.
1. Які основні проблеми виникають з безпекою передачі інформації при
роботі в комп'ютерних мережах?
2. Що таке корпоративна (локальна суднова) мережа?
3. Що таке «Атаки категорії DOS (Denial of Service)»?
4. Які засоби захисту мереж ви знаєте?
5. Які різновиди загроз ви знаєте?
Лекція 10. Шифрування даних. Системи виявлення атак. Безпека

хостингу (2год.).
Мета: формування у здобувачів вищої освіти компетентностей з виявлення
кібератак, забезпечення безпеки хостингу, забезпечення безпеки в
комп'ютерних системах і мережах.
Інструментальні (ІКТ–предметні): здатність виявляти ризики та кіберзагрози;
вміння будувати плани реагування на інциденти кібератак.
141
1. Шифрування даних.
2. Системи виявлення атак.
3. Безпека хостингу
1. Шифрування даних.
Шифрування - це математичне перетворення даних в нечитаний,
зашифрований вид. Головна мета шифрування - забезпечити
конфіденційність і безпеку даних при їх пересилці, зберіганні і під час
використання. Існують різні типи і методи шифрування даних. Всі вони
покликані виконувати одну задачу - забезпечувати надійний захист
конфіденційних даних.
Види шифрування даних. Алгоритми шифрування допомагають
перетворити інформацію в нечитаний текст, який легко розшифрувати, якщо
ви знаєте вихідний алгоритм. Без такого знання призвести розшифрування
практично неможливо, так як процес вгадування вимагає значної кількості
часу і обчислювальних ресурсів.
Сучасне шифрування даних включає в себе:
• Симетричне шифрування даних
• Асиметричне шифрування даних
• Криптографію на еліптичних кривих
• Хешування
• Цифровий підпис
142
• Управління ключами шифрування
Симетричне шифрування даних. Алгоритми симетричного
шифрування забезпечують автентифікацію і цілісність даних. Автентифікація
дозволяє перевірити джерело повідомлення. Цілісність же гарантує, що вміст
повідомлення не було змінено з моменту відправки.
При шифруванні з симетричним ключем використовується один
відкритий ключ (загальний секрет). Відкритий ключ використовується для
одночасного шифрування і дешифрування повідомлення. Для сучасних
симетричних алгоритмів основною оцінкою криптостійкості виступає
довжина ключа.
Шифр Цезаря - один з найдавніших шифрів. При шифруванні кожен
символ замінюється іншим, віддаленим від нього в алфавіті на фіксоване
число позицій. Шифр Цезаря можна класифікувати як шифр підстановки, при
більш вузької класифікації - шифр простої заміни. Суть шифру полягає в
заміні кожної букви на букву, що знаходиться від неї в алфавіті на певну
кількість позицій вправо, в залежності від обраного ключа.
Подібні шифри, засновані на заміні одних літер іншими, називаються
підстановочними. Моноалфавітні шифри (до яких відноситься і шифр
Цезаря) - це різновид підстановочних шифрів, в якому кожній букві
нешифрованого тексту завжди відповідає одна і та ж буква в зашифрованому
тексті (рис. 10.1).
Рис 10.1. Шифр Цезаря

Буква А Б В Г Ґ Д Е Є Ж З И
Номер 1 2 3 4 5 6 7 8 9 10 11
143
Буква І Ї Й К Л М Н О П Р С
Номер 12 13 14 15 16 17 18 19 20 21 22
Буква Т У Ф Х Ц Ч Ш Щ Ь Ю Я
Номер 23 24 25 26 27 28 29 30 31 32 33
Рис 10.2. Алфавіт шифру Цезаря
Приклад:
Необхідно зашифрувати повідомлення за методом Цезаря.
Оригінал тексту: «Криптографія». Ключ - 5.
Рішення:
Слово К Р И П Т О Г Р А Ф І Я
Номер 1 15 21 11 20 23 19 4 21 1 25 12 33
Номер1 +5 20 26 16 25 28 24 9 26 6 30 17 5
Шифр П Х Л Ф Ч У Ж Х Д Щ М Ґ
Рис 10.3. Шифрування за методом Цезаря
Шифр Гронсфельда
Для шифрування тут використовується числовий ключ. Але кожна буква
зміщується не на постійне число позицій, а на те число, яке відповідає ключу.
Ключ відповідно складається не з однієї цифри, а з групи цифр.
Ключ не обов'язково повинен бути таким же довгим як повідомлення, яке
шифрується. Якщо ключ коротше повідомлення, то його просто повторюють
по циклу. Так, наприклад, якщо в тексті 10 символів, а довжина ключа 5
символів, то для шифрування ключ буде використовуватися 2 рази.
Приклад:
Оригінальний текст: «шифр Гронсфельда»
ключ 15382
Рішення представлено в таблиці. Зашифрований текст: «щнчш
есур'цёрялв »
Оригінальний Ш И Ф Р Г Р О Н С Ф Е Л Ь Д А
текст
Ключ 1 5 3 8 2 1 5 3 8 2 1 5 3 8 2
Зашифрований Щ Н Ч Ш Е С У Р ' Ц Ё Р Я Л В
144
текст
Рис 10.4. шифрування за методом Гронсфельда
Цифрові шифри
Алфавіт розбивається на групи з рівним числом букв, потім кожній групі
присвоюється свій номер. Так формується перша цифра для шифровки
символу. Друга цифра - це порядковий номер букви в групі.
Розподіл букв по групах представлено в таблиці:
АБВ ГҐД ЕЄЖ ЗИІ ЇЙК ЛМН ОПР СТУ ФХЦ ЧШЩ ЬЮЯ
1 2 3 4 5 6 7 8 9 10 11
Таблиця не обов'язково повинна виглядати таким чином.
Кількість груп може бути іншою. Також літери з алфавіту можуть йти в
таблиці не по порядку.
Приклад:
Зашифруємо таким способом слово «цифра».
Зашифрований текст: 93 42 91 73 11
AES шифрування
AES (Advanced Encryption Standard) - це алгоритм блочного шифрування з
симетричним ключем.
Для створення зашифрованого тексту, алгоритм AES використовує цикл
операцій по підстановці, заміні, перестановці і лінійному перемішуванні
вхідних даних в блоці. Цикл перетворення даних називається «раундом». За
один раунд AES використовує таблицю підстановки даних, виробляє
зрушення рядків, перемішує стовпці і додає раундові ключі.
Наприклад, для ключа в 128 біт алгоритм проводить 10, для 192-бітного -
12 і 256-бітного - 14 раундів. Збільшення кількості раундів робить
шифрування даних з довжинами ключів 192 і 256 біт ще більш сильним і
важким для злому.
Така реалізація алгоритму дозволяє AES бути надійним, безпечним і
ефективним для шифрування великих обсягів даних. Але головна його
перевага в тому, що AES стійкий до відомих методів криптоаналізу (напр.,
145
Диференційний і лінійний криптоаналіз, атака усічених диференціалів) і
злому.
Twofish шифрування
Ще одним симетричним алгоритмом блокового шифрування є алгоритм
Twofish.
При використанні алгоритму Twofish, одна половина ключа шифрування
використовується як ключ шифрування, інша - служить для зміни алгоритму.
Такий підхід має великий запас міцності і стійкості до злому. Сильним
шифруванням вважається шифрування з довжиною ключа в 256 біт.
Асиметричне шифрування даних
Алгоритми асиметричного шифрування використовують два ключі:
відкритий і закритий.
Відкритий ключ може бути надано всім, а закритий ключ повинен знати
тільки його власник. Ці два ключа пов'язані один з одним математично і по
суті представляють собою числа з певними властивостями.
Якщо шифрування виконується за допомогою відкритого ключа,
розшифрування може відбуватися тільки за допомогою пов'язаного з ним
закритого ключа і навпаки. Таким чином, відкритий ключ роблять доступним
для громадськості, дозволяючи відправляти зашифровані цим ключем
повідомлення, розшифрувати які здатний тільки власник відповідного
закритого ключа.
RSA шифрування
Алгоритм RSA (Rivest-Shamir-Adleman) - це шифрування з відкритим
ключем, яке використовується для захисту конфіденційних даних, коли вони
відправляються по незахищеній мережі. Відправник повідомлення
використовує відкритий ключ одержувача для шифрування повідомлень.
Надійність і безпека шифрування RSA забезпечується тим, що
зловмисникові дуже важко вирахувати закритий ключ, знаючи лише
відкритий. У разі, якщо зловмисник перехопив відкритий ключ, він все одно
буде марний, так як для розшифрування повідомлення йому необхідно мати
146
закритий ключ (що належить одержувачу).
На сьогоднішній день неможливо обчислити коефіцієнти чисел більше
768 біт. Саме тому всі сучасні криптосистеми використовують мінімальну
довжину ключа в 3072 біта.
Практичним прикладом використання асиметричного шифрування може
бути наскрізний (End-To-End, EE2E) шифрування.
Криптографія на еліптичних кривих
ECC (Elliptic Curve Cryptography) використовує криптографію на основі
еліптичних кривих. Еліптична крива - безліч точок, що описується деяким
рівнянням.
Перевагою використання еліптичних кривих при шифруванні даних
можна вважати швидкість роботи еліптичних алгоритмів. Ефективність
такого шифрування істотно підвищується за рахунок використання меншої
довжини ключів шифрування.
Для криптографічних алгоритмів мінімальною надійною довжиною
ключа вважається довжина від 163 біт.
ECDH (Elliptic Сurve Diffie-Hellman, протокол Діффі-Хеллмана на
еліптичних кривих) - це алгоритм, заснований на криптографії еліптичних
кривих. Він встановлює порядок обміну і генерування ключів.
ECDSA (Elliptic Curve Digital Signature Algorithm) - ще один алгоритм,
заснований на ECC-криптографії. Алгоритм використовується для
генерування і перевірки цифрових підписів.
Хешування
Хешування - процес, при якому ви вводите дані будь-якої довжини і
розміру, а на виході отримуєте рядок з цифр фіксованої довжини. Величина
рядка залежить від обраного алгоритму функції хешування.
Хешування використовується для перевірки достовірності даних.
Наприклад, ви вирішили написати повідомлення. В цьому випадку, для
тексту повідомлення генерується свій унікальний хеш. При щонайменшій
зміні тексту, його хеш повністю змінюється. Таким чином, забезпечується
147
умова, при якому дотримується цілісність отриманого повідомлення.
Хешування забезпечує досить високу безпеку: навіть якщо зловмисник
зможе опанувати хеш, такі дані будуть марні для нього, адже він не зможе їх
прочитати. Іншими словами, відновити текст повідомлення з хешу
неможливо.
Хешування також дозволяє забезпечити збереження пароля. Замість того,
щоб зберігати сам пароль, досить зберігати тільки його хеш. При введенні
пароля, система перевіряє і зіставляє хеш введеного пароля з тим, що
зберігається.
Хешування використовує алгоритми, відомі як хеш-функції.
Хеш-функції
Хеш-функція - це функція, яка виконує перетворення даних за певним
алгоритмом.
Головною особливістю хеш-функцій є їх стійкість: отримання двох
однакових хешів з двох різних масивів вихідних даних (при їх обробці однієї
і тієї ж хеш-функцією) неможливо.
Хеш-функції також використовується для створення та перевірки
цифрових підписів.
Цифровий підпис
Цифровий підпис - це деякий масив даних, згенерований з використанням
закритого (приватного) ключа.
Цифровий підпис використовують для того, щоб підтвердити, що
повідомлення дійсно прийшло від справжнього відправника (тільки
відправник має закритий ключ).
Так як файли і повідомлення які підписуються цифровим підписом
вразливі до атак з використанням відкритого ключа, підпис ставиться не на
самі дані, а на їх хеш. В такому випадку, при верифікації підпису буде
доступний тільки хеш вихідного тексту.
Для обчислення хеша використовуються криптографічні хеш-функції.
148
Якщо хеш-функція, що використовується, криптографічно стійка, то
обчислити вихідний текст буде складно, а значить атака такого типу стає
неможливою.
Управління ключами шифрування
Однією з головних труднощів при шифруванні інформації є управління
ключами. Так як відкритий ключ доступний кожному, необхідно:
• застосувати спосіб, який дозволить перевірити, що ключ належить
саме його власнику;
• захистити ключ від підміни зловмисником.
У свою чергу, завдання управління ключами зводяться до таких:
• не допустити несанкціонованого використання ключів;
• забезпечити захист ключів;
• зберегти конфіденційність ключів і переданих даних.
Щоб забезпечити безпечну доставку ключів, використовуються різні
способи:
• використання виділених безпечних каналів для доставки ключів,
що вважаються безпечними;
• використання двох видів ключів: ключів шифрування і ключів
розшифрування даних;
• поділ переданого ключа на складові частини і подальша їх передача
по різних каналах.
Якщо здійснювати передачу ключів шифрування по відкритому каналу
зв'язку, то зловмисник може легко їх перехопити. Тому ключі повинні
передаватися по захищеному каналу зв'язку.
Наприклад, саме тому рішення StealthMail використовує комбінацію
таких способів:
1. При авторизації користувача в системі у нього генеруються клієнтські
ключі для авторизації в сервісі.
2. Створюється захищений канал зв'язку.
3. При відкритті каналу, відбувається з'єднання з сервером.
149
4. Після установки з'єднання, відбувається генерація частини ключа на
пристрої та частини ключа на сервері по захищеному каналу.
5. Відбувається розшифрування ключів з двох сторін: на стороні
користувача і на стороні сервісу, і далі створюється окремий ключ, який
розшифровує вміст листа.
Системи виявлення атак.
Системи виявлення й запобігання вторгнень або IDS / IPS системи - це
інструменти захисту корпоративних мереж. Вони виявляють
неавторизований доступ в мережу і вживають заходів щодо протидії:
інформують фахівців про атаки і перенастроюють мережевий екран для
блокування доступу до даних. Ці системи забезпечують додатковий рівень
захисту до міжмережевого екрану.
Система IPS (Intrusion Prevention System) призначена для запобігання
атак. Вона є підкласом IDS-систем. Така система стежить за трафіком і
блокує підозрілі потоки даних. Її мета - виявити і запобігти
несанкціонованим діям в мережі. Система використовує набір правил, щоб
заблокувати трафік. Таким чином, вона блокує прогалини в безпеці. IPS
застосовується на кордоні мережі або в окремих хостах. Вона може
використовувати дублювання трафіку (SPAN) і не мати IP-адреси,
залишаючись невидимою для зломщика.
IPS можна розділити на два класи. Перший клас (IPS) аналізує трафік і
порівнює з відомими характеристиками загроз. Другий (HIPS) - аналізує
протоколи і шукає заборонений трафік в базі знайдених раніше вразливостей.
Саме цей клас забезпечує захист від невідомих атак.
До основних функцій систем IDS відносяться:
- Виявлення вторгнень і виявлення мережевих атак.
- Прогнозування і пошук вразливостей.
- Розпізнавання джерела атаки (зломщики або інсайдери).
- Забезпечення контролю якості системного адміністрування.
Система IDS (Intrusion Detection System) використовується для
150
виявлення нетипових дій в мережі та попередження про них фахівця з ІБ.
Повідомлення виводиться на панель управління або відправляється на пошту,
телефон і т.п. Мета системи - моніторинг трафіку і знаходження мережевих
атак, а також виявлення порушень користувачами політики безпеки. Системи
виявлення вторгнень IDS допомагають відслідковувати стан справ з боку
безпеки.
Відмінності IPS і IDS систем

IPS - Intrusion Prevention System, а IDS - Intrusion Detection System. Це
означає, що системи IPS відповідають за попередження і усунення атак, а IDS
- за їх виявлення.
IDS не змінює мережеві пакети і не робить самостійних дій. А IPS
навпаки запобігає доставці пакета з підозрілим вмістом. Ця система
забороняє мережевий трафік при виявленні загроз. В IDS системі людина або
інша система аналізує результати моніторингу і визначає подальші дії.
Також, IPS має можливість змінювати зміст атаки і видаляти інфікований
компонент. IPS, в якомусь сенсі, розширення технології IDS і володіє
додатковими можливостями для запобігання атак при їх виявленні. Кожна
IPS містить модуль IDS.
Таким чином, головна відмінність IPS від IDS системи в тому, що IPS -
це система управління, а IDS - система моніторингу.
Безпека хостингу.
Хостинг - це послуга розміщення сайту на комп'ютері з постійним
доступом в інтернет. Комп'ютером в цьому випадку виступає
високопродуктивний сервер, а власник сайту орендує частину його ресурсів,
які і забезпечують роботу сайту. Сервер з послугою знаходиться в дата-
центрі з безперебійним живленням і під постійним наглядом фахівців. Навіть
якщо поруч з дата-центром відключать електрику, сервери продовжать
працювати і сайт буде доступний.
Злом сайту і злом хостингу здійснюється зловмисниками в метою
151
зараження файлів сайту вірусами, які потім можуть потрапити на комп'ютери
користувачів сайту. Що б захистити користувачів і власників сайтів хостер
повинен подбати про заходи безпеки для хостингу.
1. Логін / Пароль. Безпека хостингу залежить в першу чергу від
власників сайтів, оскільки за статистикою близько 35% зломів припадає на ті
випадки, коли логіни/паролі крадуть не з серверу хостинг-провайдера, а з
комп'ютера веб-розробника.
Оскільки це дрібні деталі, логін і пароль не завжди вважаються
важливими і вирішальними моментами при установці хороших параметрів
безпеки. Однак атаки часто досягаються через нескладності реєстрації
користувачів.
Неприпустимо використання стандартних імен для входу. Слід
використовувати складні паролі, в яких цифри і спеціальні символи
поєднуються з великими та малими літерами.
2. Оновлення платформи управління веб-сайтом і хостингом.
Коли платформа оновлена до останньої версії, вона краще справляється
з шкідливими діями.
3. Захист від шкідливих програм
Комп'ютери з доступом до інфраструктури хостингу повинні бути
повністю захищені від шкідливого ПО. Шкідливе ПО, наприклад,
самовстановлюється для передачі важливих даних неавторизованих особам,
які часто діють злочинно. Слід регулярно перевіряти програмне і апаратне
забезпечення, щоб переконатися, що на комп'ютері немає шкідливих
програм. Проблема може навіть поширитися на веб-сайт, який буде
передавати цей небезпечний контент тим, хто отримує доступ до сторінок.
4. Протокол SSL
Протокол SSL - одна з найважливіших функцій безпеки, яку повинна
мати сторінка, з роллю шифрування всієї інформації, яка проходить через неї.
Його можна ідентифікувати по символу замку перед URL-адресою.
5. Обмежений доступ і дозвіл
152
Кожна цінна система надає дозволи за рівнями, тобто свобода взаємодії і
роботи обмежена до точки, яка має сенс для кожної посадової функції.
Таким чином, доступ і дозволи повинні надаватися користувачам
відповідно, щоб забезпечити правильні умови роботи, але без зайвої свободи,
яка може поставити безпеку під загрозу.
6. Блокчейн - одна з провідних технологій безпеки. Він спрямований на
децентралізацію інформації, що дозволяє видалити посередників між
відправником і отримувачем даних.
1. Перерахуйте основні види шифрування даних.
2. Чим симетричні алгоритми шифрування даних відрізняються від
асиметричних?
3. Що таке «Хешування»?
4. Для чого використовується цифровий підпис?
5. В чому полягає безпека хостингу?
6. Що таке «Блокчейн»?
153
Список рекомендованої літератури до курсу
Основна:
1. Закон України «Про основні засади забезпечення кібербезпеки»
(Відомості Верховної Ради (ВВР), 2017, № 45, ст.403)
https://zakon.rada.gov.ua/laws/show/2163-19#Text
2. Резолюция MSC.428(98) (принята 16 июня 2017 года) Управление
киберрисками в морской отрасли в рамках систем управления безопасностью
http://rise.odessa.ua/texts/MSC428_98.php3
3. Международная конвенция о подготовке и дипломировании моряков и
несении вахты. (2011). Лондон.: ИМО. «Эшфорд Пресс».
4. Информационная безопасность судовождения:монография / Г. Б. Вильский;
Одес. нац. мор. акад. - Одесса ; Николаев : Швець В. Д., 2014. - 334 с.
5. Петренко С. А., Смирнов М. Б. Безопасность АСУТП и критической
информационной инфраструктуры // СПб.: ООО «ИД «Афина». – 2018. ISBN
978-5-9909868-1-7. Учебно-методическое пособие [Электронная версия]
6. Петренко С. А., Ступин Д. Д. Национальная система раннего
предупреждения о компьютерном нападении. (СПб.: ООО «ИД «Афина». –
2017. ISBN 978-5-9909868- 0-0). [Доступна электронная версия]
154
7. Petrenko, Sergei (2018) Big Data Technologies for Monitoring of Computer
Security: A Case Study of the Russian Federation.
8. Г.Г. Петросюк, И.С. Калачев, А.Ю. Юршев. О конфиденциальности
корпоративных сетей // Защита информации. Инсайд. - 2018. - №3 (81)
9. Hugh Boyes, Roy Isbell. Code of Practice Cyber Security for Ships // Published
by: Institution of Engineering and Technology, London, United Kingdom:
Department for Transport Great Minster House 33 Horseferry Road London SW1P
4DR Telephone 0300 330 3000 General enquiries https://forms.dft.gov.uk Website
www.gov.uk/dft © Queen's Printer and Controller of Her Majesty's Stationery
Office, 2017, except where otherwise stated.
Додаткова:
1. Ahokas J. & Kiiski T. (2017, June). Cyber security in Ports. Retrieved from:
https://www.utu.fi/en/sites/hazard/publications/Documents/HAZARD%20P
ublication%203%20CYBERSECURITY%20IN%20PORTS.pdf
2. Allianz. (2016). Cyber Risk on the Rise in Shipping. Allianz Global Corporate
& Specialty. Retrieved from: https://www.agcs.allianz.com/insights/expert- risk-
articles/cyber-risk-on-the-rise-in-shipping/
3. American Bureau of Shipping. (2016, September). Guidance for; Cybersecurity
Implementation for the Marine and Offshore industries. Volume 2. Retrieved from
https://ww2.eagle.org/content/dam/eagle/rules-and-
guides/current/other/251_cybersafetyV2/CyberSafety-V2-Cybersecurity- Guide-
June18.pdf
4. Belmont, K.B, (2016, July). Maritime cybersecurity: cyber Cases in the
Maritime Environment. American association of port authorities. Retrieved from:
http://aapa.files.cms-
plus.com/SeminarPresentations/2016Seminars/2016SecurityIT/K.%20Belm ont
%20-%20AAPA%20Maritime%20Cybersecurity%20FINAL.pdf
5. Digital Ship. (2018, May). Maersk cyber-attack – a global wake-up call.
Retrieved from: https://en.calameo.com/read/003132028fd96d2228608
6. Foote, R. (2017). Cybersecurity in the Marine Transportation Sector: Protecting
155
Intellectual Property to Keep Our Ports, Facilities, and Vessels Safe from Cyber
Threats. Cybaris®, 8(2)
7. International Maritime Organization, 2018. Maritime Security, Cyber
security. Retrievedfrom:
http://www.imo.org/en/MediaCentre/HotTopics/piracy/Pages/default.aspx
8. The Guidelines on Cyber Security Onboard Ships Version 3// Produced and
supported by BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER,
INTERTANKO, IUMI, OCIMF and WORLD SHIPPING COUNCIL
Інфоресурси:
1. BIMCO, 2016. The Guidelines on Cyber Security Onboard ships, version 2.0.
Retrieved from:
http://www.ics-shipping.org/docs/default- source/resources/safety-security-and-
operations/guidelines-on-cybersecurity-onboard-ships.pdf?sfvrsn=16
2. Chiappetta, A. (2017). Hybrid ports: the role of IoT and CyberSecurity in the
next decade. Journal of Sustainable Development of Transport and Logistics, 2(2),
47-56. Retrieved from: https://scholar.google.com/scholar?
hl=es&as_sdt=0%2C5&q=Hybrid+ports
%3A+the+role+of+IoT+and+Cyber+Security+in+the+next+decade&btnG=
#d=gs_cit&p=&u=%2Fscholar%3Fq%3Dinfo%3AckR5h_XOaooJ%3Asch
olar.google.com%2F%26output%3Dcite%26scirp%3D0%26hl%3Des
156

лекційний курс Кібербезпекаdocx

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

лекційний курс Кібербезпекаdocx

Uploaded by

Copyright:

Available Formats

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

ХЕРСОНСЬКА ДЕРЖАВНА МОРСЬКА АКАДЕМІЯ

КАФЕДРА ІННОВАЦІЙНИХ ТЕХНОЛОГІЙ ТА ТЕХНІЧНИХ

Кібербезпека суднових комп’ютерних систем і

Спеціалізація 271.01 Навігація і управління морськими суднами

Конспект лекцій розглянуто та

Завідувач кафедри ________ Сергій ВОЛОШИНОВ

Лекція 1. Закон України «Про основні засади забезпечення

Лекція 2. Інформаційна безпека. Атрибути кібербезпеки. Стійкість

Честністьь Доступність (включаючи

Володіння Контроль доступу до судна і

Рисунок 1.1. Атрибути та цілі кібербезпеки

Рисунок 1.2. Мотивація кібератаки на суднову систему

елементи кіберзброї вони розробляються і використовуються спецслужбами.

Також експлойти можуть бути результатом роботи фахівців з

Рис. 3.1. Діалогове вікно Майстер Recuva. Вибір типу даних

3. Розміщення файлу. Якщо ви точно знаєте місце розташування видалених

Рис. 3.3. Діалогове вікно Майстер Recuva. Вибір поглибленого аналізу

5. Вибір файлів для відновлення. Після завершення сканування у вікні

Рис. 3.4. Діалогове вікно Сервіс. Вкладка Дії

Питання для самоконтролю.

Лекція 4. Ідентифікація, оцінка, вибір і пріорітезація заходів безпеки.

Ідентифікація та оцінка: важливі активи і інфраструктура

3. Комп'ютерні віруси та засоби захисту.

Групи шкідливих програм

Віруси важко класифікувати. Найпростіші віруси - паразитичні, вони

Лекція 5. Розробка плану реагування на інциденти кібербезпеки (CSP).

Зміст плану кібербезпеки (CSP)

Лекція 6. Управління кібербезпекою. Усунення порушень безпеки і

Лекція 7. Цільові системи, обладнання та технології. Суднові мережі.

Рисунок 7.1. Атрибути та цілі кібербезпеки

У показаному вище прикладі мережа була сегментована за допомогою

Лекція 8. Складання плану на випадок непередбачених обставин.

розглянути інформаційну стратегію для таких інцидентів.

2.2. "Електронне" втручання - дії хакерів:

2.3. Комп’ютерні віруси. Комп’ютерні віруси, так само, як і деякі інші

2.5. "Природні" загрози. В категорію "природних" загроз відносять різні

У прийнятих в Україні законодавчих нормах зазначено, зокрема,

Правовий захист інформації передбачає:

Лекція 10. Шифрування даних. Системи виявлення атак. Безпека

Рис 10.1. Шифр Цезаря

Відмінності IPS і IDS систем

You might also like