Чему крушение Boeing 787 может научить аналитика информационной безопасности

Анализ недавнего крушения Boeing 787 Dreamliner в Индии похож на то, как реагируют в компаниях после обнаружения следов атаки. Считавшаяся безопасной инфраструктура теперь будет под угрозой, пока не удастся дать объяснение найденным артефактам. Как расследовать инцидент? Пример с лайнером может стать наглядным.

 

 

 

 

 

1. Введение
2. Почему Boeing 787-8 Dreamliner считался надёжным до момента крушения
3. Версии причин крушения Boeing 787: как находят уязвимости в ИБ
4. Необъяснимое в инцидентах: как искать рациональные причины в ИБ и авиации
5. Галлюцинации ИИ в ИБ и катастрофах: как не сбиться с курса при анализе
6. Выводы

Введение

Шокирующие кадры 12 июня, когда произошло падение самолета Boeing 787-8 Dreamliner (регистрационный номер VT-ANB, рейс AI171) при взлете из международного аэропорта имени Сардара Пателя в городе Ахмадабад, Индия, привлекли пристальное внимание во всем мире. Первые попытки объяснить произошедшее в первую очередь связали с вопросами авиационной безопасности. Потом рассматривалась также версия постороннего вмешательства в работу информационных систем лайнера. Эта версия была быстро отвергнута, поэтому прямой связи с ИБ тут не наблюдается. В то же время сама процедура поиска ответа иллюстрирует, какими правилами руководствуются исследователи в таких случаях.

 

Рисунок 1. Место крушения Boeing 787-8 Dreamliner в Индии

 

В области информационной безопасности разрушительные инциденты обычно происходят не сразу. APT-группировки стремятся закрепиться в инфраструктуре жертвы, исследовать ее архитектуру, найти наиболее уязвимые точки, оценить средства защиты. Только потом проводится собственно кибератака. С момента первого проникновения проходит минимум месяц, а иногда и несколько лет. Как следствие, на этапе теневого присутствия нападающих в инфраструктуре в системе остаются артефакты. Они могут быть не связаны между собой, но при правильно проведённом расследовании и анализе собранных данных часто удается избежать последующей катастрофы.

События, которые произошли в Индии, в чем-то похожи. Поиск истинной причины инцидента — необходимая мера для спасения других лайнеров и пассажиров, предотвращения разрастания угроз и исключения повтора инцидента.

Есть ли какие-либо правила, следуя которым, можно выйти на правильную версию случившегося? Пример с лайнером Boeing 787 Dreamliner будет служить нам наглядной иллюстрацией.

Почему Boeing 787-8 Dreamliner считался надёжным до момента крушения

Системы высокой сложности, к числу которых относятся и корпоративные, допускаются к эксплуатации только после регламентной проверки. Очевидно, что то же самое происходило и с Boeing 787 Dreamliner, когда он готовился к взлету.

 

Рисунок 2. Данные о рейсе Boeing 787-8 Dreamliner на Flightradar24

 

Лайнер VT-ANB находился в эксплуатации 11,5 лет. При среднем жизненном ресурсе 30–50 лет самолет отвечал требованиям по безопасной эксплуатации. Внешние признаки его взлета показали, что самолёт оставался управляемым даже в момент падения. Не наблюдалось ни резких изменений по рысканию, тангажу или крену, ни сваливания. 

Самолёт плавно взлетел, достиг высоты около 200 метров, после чего начал снижаться вплоть до столкновения с землёй. Внешних признаков какой-либо неисправности не наблюдалось. Первый признак обнаружили позднее, когда на случайно сделанном видео смогли разглядеть устройство RAT. Это — резервный генератор электрического тока, который выпускается автоматически или вручную в случае выявления проблем на борту, связанных с риском потери электропитания. 

Выводы для расследования ИБ-инцидентов:

• Ситуации при расследовании ИБ-инцидентов часто выглядят аналогично. Внешне корпоративная система работает нормально, признаков сбоя не наблюдается. Но тем или иным образом обнаруживаются странные артефакты. Привлечение экспертов по ИБ позволяет связать их с возможными признаками успешной кибератаки. 
• Главная задача на первом этапе расследований — предложить все возможные версии для объяснения выявленных артефактов и выбрать среди них достоверные. Продолжить поиск других аномалий.
• Без понимания причин инцидента, остановить его невозможно. Поэтому так важно выдвинуть как можно больше возможных версий и тщательно проанализировать их. Это помогает получить достоверную картину произошедшего.
• Понимание причин появления артефактов зависит в сильной степени от объема собранных данных и их правильного толкования. Допускаются любые, даже конспирологические версии, но к их оценке следует подходить с особым вниманием и не поддаваться соблазну «принять очевидное за невероятное».

Говорят, что даже для самых сложных и запутанных инцидентов хорошую помощь оказывает «незамыленный» взгляд со стороны. Поэтому если рациональных версий нет, то может помочь консультация независимого эксперта или компании.

Версии причин крушения Boeing 787: как находят уязвимости в ИБ

Какие версии среди выдвинутых можно считать достоверными и почему? 

Анализ траектории указывает на одновременное падение тяги (не отказ) двигателей при сохранении управляемости воздушного судна. В результате после отрыва от земли происходит плавный набор высоты за счет ранее набранной скорости и последующее снижение высоты из-за неизбежного падения скорости вследствие сопротивления воздуха. Управлять самолётом можно, но подъёмная сила утрачивается. 

Какие другие данные могут подтвердить эту версию?

Первое. Обычный взлет данного лайнера с соразмерной загрузкой требует дистанции разгона по взлетно-посадочной полосе (ВПП) 2,5–3,0 км. Реальный отрыв борта от земли произошел на дистанции 3,5 км. Самолет «пробежал» по ВПП практически лишний километр на разгоне. Это может указывать на то, что скорость набиралась слишком медленно. Одна из возможных причин — недостаточная мощность тяги. 

Усугубляющими факторами также было то, что взлет происходил в полдень, когда достаточно жарко и воздух разрежен. Отрыв от земли произошел, когда самолет находился уже практически в конце ВПП. Это был уже вынужденный шаг, поэтому надо ждать результатов разбора данных бортовых самописцев. Они должны отразить замедленный разгон самолета по ВПП и реакцию экипажа. При этом никаких сообщений об отклонении в работе других систем при взлете не поступало, то есть бортовая электроника работала штатно. 

 

Рисунок 3. Возможные причины катастрофы по версии GigaChat

 

Второе. Сразу после взлета с борта поступил сигнал бедствия в диспетчерскую службу аэродрома. Согласно заявлению руководителя службы гражданской авиации (Directorate General of Civil Aviation, DGCA), ответные попытки связаться с бортом были безуспешными. 

Но следует учесть, что взлет продолжался всего 17 секунд, экипаж явно находился в состоянии стресса, поэтому им было не до разговоров с наземными службами. В то же время короткое, но важное сообщение оповестило наземные власти о разворачивающейся чрезвычайной ситуации. Это позволило немедленно мобилизовать спасательные службы на место крушения. Быстрые действия, инициированные сигналом бедствия, имели первостепенное значение для смягчения последствий трагических событий, в том числе для спасения жизней людей.

Выводы для работы с ИБ-инцидентами:

• Важно собрать как можно больше подробностей об инциденте.
• Нужно добиваться отсутствия противоречий в трактовке собранных данных. Если какие-либо данные не укладываются в общую картину объяснения инцидента, то следует найти объяснения для ошибки. Это может быть ошибочная трактовка данных или неправильно выбранная гипотеза причин инцидента.
• По каждому критическому признаку в выбранной трактовке инцидента желательно собрать не менее двух независимых подтверждений. Если есть только одно подтверждение, то оно должно быть очень существенным. 
• Если нет возможности назвать главную причину, то можно попытаться найти промежуточные причины, приближающие к раскрытию главной. Например, в случае с крушением лайнера можно было бы рассмотреть причины синхронного отказа сразу двух двигателей. Это может быть плохой керосин, ошибка при ремонтных работах, саботаж, несанкционированное вторжение в работу авионики и т. п. 
• На этапе подготовки необходимо предусмотреть присутствие систем оповещения о признаках кибератак. Возможно, это будет приводить к ложноположительным срабатываниям. Но в случае реального инцидента быстрое реагирование поможет быстро нейтрализовать активные действия нападающей стороны.

Всегда сохраняется риск принятия ошибочной версии. Поэтому список рациональных версий лучше вести до самого конц расследования.

Необъяснимое в инцидентах: как искать рациональные причины в ИБ и авиации

При крушении борта AI171 произошло чудо: из 242 пассажиров, находившихся на борту рейса, выжил только один — гражданин Великобритании Вишвашкумар Рамеш. На появившемся видео его можно увидеть идущим к машине скорой помощи. 

Сам Рамеш заявил в интервью индийской телекомпании Doordarshan:

«Я не знаю, как я выжил. Я был на той стороне самолета, которая упала на первый этаж общежития… Когда дверь самолета вывалилась, я увидел пространство, через которое можно выбраться. Так я и спасся. С другой стороны самолет застрял в стене. Никто бы не смог выбраться оттуда».

Несколько экспертов по безопасности категорически заявили, что случай выживания при условиях падения Boeing 787 является «экстраординарным». Подавляющая часть экспертов заявили, что не ожидали появления выживших. 

 

Рисунок 4. Место крушения лайнера Boeing 787 Dreamliner

 

Это предсказуемо: с точки зрения «инженерной оценки» непонятно, как можно выжить при таких условиях падения. Если не погибнуть в результате резкой перегрузки, то взрыв и пожар в результате воспламенения 125 000 литров разлившегося керосина станет губительным для всего живого (воздействие высоких температур и выгорание кислорода в зоне горения). Ожоги и удушье станут летальными, поэтому выживание в таких условиях крайне маловероятно. 

 

Рисунок 5. Кирпичные стены общежития, в которое врезался лайнер

 

Выводы для ИБ-инцидентов:

• Все версии, которые кажутся неправдоподобными при расследовании инцидентов, должны получить логическое объяснение. Если что-то произошедшее рассматривается как случайность, то эта оценка также должна быть правдоподобной.
• Конспирологические версии («чудеса») чаще всего бывают ошибочными. Но благодаря им, можно выявить в инциденте признаки, помогающие лучше понять, что происходило во время инцидента.
• Старайтесь собрать как можно больше артефактов. Сложные, запутанные или специально спланированные инциденты, когда их готовят высококвалифицированные специалисты, нацелены на то, чтобы будущие расследователи пошли по ложному пути. Скрыть все артефакты часто невозможно. Поэтому «чудеса» иногда позволяют убедиться в правильности выбранной версии или найти верную, отказавшись от очевидных, но оказавшихся ошибочными.

В случае сохранения оснований для конспирологической версии желательно найти эксперта по этой теме, который найдет рациональные объяснения. 

Галлюцинации ИИ в ИБ и катастрофах: как не сбиться с курса при анализе

Информация об инциденте с Boeing 787 Dreamliner уже обросла легендами. Одна из них связана с выявлением галлюцинаций генеративных ИИ-систем (GenAI) .

ИИ-помощник Gemini от Google сообщал в целом правильные сведения о катастрофе Boeing 787 Dreamliner. Он «знал» правильное число зарегистрированных на борту пассажиров и членов экипажа (242 человека), дату и номер рейса, место крушения. Однако в его сводной оценке появилась галлюцинация: вместо модели Boeing 787 Dreamliner там был назван Airbus A330-243. 

 

Рисунок 6. Галлюцинации Google Gemini, заменившего Boeing 787 авиакомпании Air India на Airbus A330-243

 

Что особенно интересно, авиакомпания Air India вообще не эксплуатирует модели Airbus A330. Как технически объяснить такую галлюцинацию?

В поисковых запросах Bing сразу подскочила популярность фраз вроде «how is Airbus not suing Google?» («Почему Airbus не подает в суд на Google?»)

Мы также попробовали ввести российскую ИИ-систему GigaChat в состояние галлюцинации. Результат? Хотя грубой фактологической ошибки, как у Gemini, мы не встретили, чат-бот назвал всю историю целиком сомнительной (рис. 7). 

 

Рисунок 7. GigaChat назвал авиакатастрофу в Индии городской легендой

 

Это лишний раз доказывает, что дебаты о допустимости использования ИИ для получения и оценки информации нужно продолжать. ИИ может вводить в заблуждение. Пока — через галлюцинации, то есть непреднамеренно. 

Выводы для ИБ-инцидентов: реакция на инциденты требует обдуманных ответных шагов. Если пользоваться ИИ-ассистентами, то необходимо верифицировать их рекомендации со стороны экспертов. Просто следовать рекомендациям ИИ — это риски совершения новых ошибок.

Выводы

Цель этого материала не в том, чтобы предложить какую-то конкретную версию причин авиакатастрофы. Не может быть сомнений в том, что надо дождаться результатов официального расследования. Однако можно провести аналогию: этот инцидент и его разбор схожи с кибератакой на информационную инфраструктуру и последующим расследованием вредоносной активности с целью предотвратить новые происшествия. Эта аналогия позволила составить перечень правил, которых следует придерживаться при разборе ИБ-инцидентов. Список не исчерпывающий, но, надеемся, полезный.