Причины в большинстве случаев связаны с курсом на всеобщую цифровизацию. До недавнего времени о безопасности подобных систем вспоминали уже после взлома, на фоне серьезных финансовых (и не только) потерь. Однако сегодня этот вопрос выходит на первый план. И вот почему.
О чем разговор?
Для начала поясним, что по большей части речь пойдет об операционных технологиях (ОТ), к которым относят аппаратное и программное обеспечение, используемое для мониторинга и управления промышленным оборудованием и соответствующими процессами. Эти технологии отвечают за взаимодействие с физическими частями системы, а не информационными. Так, если в ИТ нужно защищать целостность и конфиденциальность данных, то в рамках ОТ в защите нуждаются, например, производственные цеха или системы снабжения, а соответственно, рабочий или обслуживающий персонал.
ОТ активно используются на крупных промышленных объектах и в стратегически важных областях, от которых нередко зависит дееспособность целых регионов и даже стран. Эти решения используются в энергетике, нефтегазовой отрасли, авиации, морских и железнодорожных перевозках, жилищно-коммунальной сфере, на трубопроводах и производственных площадках. В недалеком прошлом такие системы не имели выхода в Интернет, а потому не нуждались в специальных мерах по организации их информационной безопасности. Однако в нынешних реалиях не подключенных к Сети объектов становится все меньше, а ИТ- и ОТ-инфраструктуры взаимно дополняют друг друга, часто представляя собой единый механизм.
По мнению аналитиков Gartner, уже к 2025 году злоумышленники будут иметь возможности нанесения непосредственного физического вреда за счет взлома ОТ-систем, то есть в их руках появится ПО, позволяющее непосредственно управлять критически важными процессами на выбранных объектах. Намеренно создавая аварийные ситуации, атакующий может нанести серьезный ущерб предприятию и его сотрудникам. Кроме того, в случае атаки на такие важные объекты инфраструктуры, как энергетическая система или система водоснабжения, могут пострадать обычные люди.
Уже сегодня атаки на ОТ-инфраструктуры стали значительно более распространенными, а заодно и усложнились. Несмотря на это, до сих пор многие руководители больше беспокоятся о конфиденциальности и сохранности данных, нежели об угрозах для людей и окружающей среды. При этом атаки на ОТ-инфраструктуры и иные киберфизические системы (CPS) могут преследовать несколько целей, в том числе коммерческий вандализм. Так, в Gartner полагают, что уже к 2023 году финансовый ущерб от CPS-атак может превысить $50 млрд. Даже если не брать в расчет человеческую жизнь (при том что она бесценна), потери, связанные с компенсациями, страховками, штрафами от регуляторов и судебными разбирательствами могут зашкаливать.
Уже не фантастика
Большинство людей знакомы с атаками на киберфизические системы по фантастическим кинофильмам, в которых перехват управления беспилотным такси или контролируемое нарушение работы светофоров на крупном перекрестке давно стали обыденностью. Однако подобные сценарии постепенно воплощаются в жизнь. Например, еще в 2000 году недовольный подрядчик в течение трех месяцев с помощью радиоуправляемого оборудования сумел сбросить 800 тыс. литров неочищенных сточных вод в парках графства Маручи австралийского штата Квинсленд. Эта атака стала возможной вследствие отсутствия пароля для доступа к системе контроля насосных станций компании Maroochy Water Services и доступности данных о радиочастотах, на которых осуществлялась связь с этой системой. Более того, радиообмен не шифровался.
В нынешнем, 2021 году общественность взбудоражила атака программ-вымогателей (ransomware) на крупнейшую трубопроводную систему в США – Colonial Pipeline, в результате чего ее работа была приостановлена и хозяевам пришлось заплатить хакерам около $4,4 млн, причем в биткоинах. А в начале февраля неменьшую огласку получила история со взломом ИТ-системы водоочистной станции во Флориде: неизвестный хакер попытался увеличить количество гидроксида натрия в системе до опасного уровня, однако оператор вовремя заметил вторжение и пресек эти действия. Несмотря на относительно благополучный исход (по крайней мере без человеческих жертв), эти события отлично иллюстрируют потенциальную опасность атак на киберфизические объекты.
Известны случаи, когда в результате ИБ-атак приходилось реорганизовывать логистические маршруты и приостанавливать производство на крупных заводах. В свою очередь, посредством спуфинг-атак (подмена, маскировка) на GPS-системы злоумышленникам удавалось вмешиваться в процессы навигации судов. К особой категории угроз безопасности жизни людей можно отнести атаки с помощью получения несанкционированного доступа к управлению беспилотными летательными аппаратами (БПЛА) и автономными транспортными средствами. Не менее уязвимы устройства из категории «Интернета Вещей» (Internet of Things, IoT), например «умная» бытовая техника. Росту атак в ближайшем будущем будет способствовать не только разнообразие технологий и экосистем, но и повсеместно растущие скорости доступа в Сеть, в том числе за счет 5G-технологий.
Таким образом, несмотря на то, что многие компании неплохо справляются с обеспечением ИТ-безопасности, с охраной киберфизических систем дела обстоят значительно хуже. Традиционные ИБ-подходы здесь не работают, ведь речь идет не только о защите данных. Киберфизические системы включают в себя практически любые системы на стыке операционных и информационных технологий – от «Интернета вещей» до «Умных городов», а ведь как раз в этом направлении сегодня наблюдается бум внедрений и пилотных проектов. Если не уделять достаточно внимания безопасности подобных систем и IoT-инфраструктуры на начальных этапах, это может стать миной замедленного действия как минимум на ближайшие несколько лет, а то и десятилетия.
Сегодня все больше специалистов считают, что ИБ-руководителям необходимо думать не только об ИТ-безопасности, но учитывать весь спектр рисков, в том числе и киберфизические. Аналитики Gartner предполагают, что уже к 2025 году около 50% крупных жилищно-коммунальных и производственных предприятий объединят свои отделы по кибербезопасности, физической безопасности и безопасности цепочки поставок в единые подразделения.
Что делать?
Рекомендаций, как составить и реализовать план обеспечения безопасности киберфизических систем, множество, но в целом они сводятся к весьма очевидным вещам, и прежде всего повышению подготовки и осведомленности персонала. Сотрудники должны уметь самостоятельно распознавать риски безопасности, быть информированы о наиболее часто встречающихся векторах атак и понимать, что делать в случае подобных инцидентов. Для этого, помимо обучения, необходимо разработать пошаговый план реагирования на соответствующие угрозы, в частности уделить особое внимание резервному копированию и аварийному восстановлению. Ведь результатом ОТ-атак могут стать серьезные разрушения помещений и оборудования, в том числе из-за воздействия огня, воды и т. п. Поэтому резервные копии должны храниться в другом территориальном подразделении.
Не менее важно сформировать у сотрудников максимально серьезное отношение к работе с портативными носителями данных. Любые USB-накопители, ноутбуки, смартфоны и другие устройства, вне зависимости от того, кому они принадлежат, должны проверяться на наличие вредоносного ПО и вирусов, и только после этого подключаться к ОТ-сети. Обязательным пунктом должна стать полноценная инвентаризация всего оборудования и ПО, связанного с операционными технологиями.
Кроме того, ОТ-сети должны быть физически или логически отделены от других сетей как внутри, так и снаружи, а весь сетевой трафик должен проходить через безопасный шлюз с многофакторной аутентификацией. Особенно внимательно нужно относиться к конфигурационным настройкам оборудования. А на всех конечных устройствах в обязательном порядке должна быть активирована защита от всех типов вредоносных программ.
Выводы
Как видим, рекомендации по безопасности киберфизических систем не слишком отличаются от стандартных. Однако пути их реализации в каждом случае – чрезвычайно сложная тема, обсуждение которой лучше оставить профессионалам. В нашей статье мы попытались обратить внимание читателей на кардинально новые угрозы, связанных с безопасностью, и необходимость быть готовыми к ним. Еще недавно мы беспокоились исключительно о персональных данных. Теперь же ставки повышаются – на кону здоровье и жизни людей. Причем это касается не только крупных предприятий или систем жизнеобеспечения и снабжения. Те же дроны, роботы-манипуляторы и иные дистанционно управляемые механизмы используются сегодня и небольшими компаниями, и даже частными лицами. Сюда же можно отнести широчайший список устройств из категории «Интернета вещей», в том числе ставшие привычными системы видеонаблюдения. Необходимо понимать связанные со всем этим риски и думать о том, как их минимизировать.