Боливарианский урок безопасности

Венесуэла создаст военное командование по защите стратегических объектов. Такое решение принял президент страны Николас Мадуро после аварии в электросетях. Коллапс энергосистемы он назвал терактом, совершённым Соединенными Штатами.

По словам главы государства, за атакой стоял советник президента США по национальной безопасности Джон Болтон, а само нападение осуществлялась из Хьюстона и Чикаго, передает ТАСС.

«Сначала произошла кибератака на систему государственной энергетической компании Corpoelec на ГЭС имени Симона Боливара, а также на систему в Каракасе. Затем — электромагнитный импульс, который прерывал процесс восстановления системы. И наконец, физическое нападение — поджоги и подрывы электроподстанций», — рассказал Николас Мадуро.

Россия также считает отключение электричества в Венесуэле диверсией из-за рубежа, ранее об этом заявила официальный представитель МИД РФ Мария Захарова. По ее словам, речь идет о массивном дистанционном воздействии на систему управления и контроля основных электрораспределительных станций, на которых было установлено оборудование, произведенное в Канаде.

Дипломат подчеркнула, что все уязвимые места хорошо известны организаторам агрессии. «Именно на них и заказчиках диверсии лежит ответственность за гибель людей, в том числе в оставшихся без электричества больницах», — подчеркнула Мария Захарова.

Всё началось вечером 7 марта с аварии на крупнейшей в стране ГЭС «Гури» на реке Карони. Без электричества остались 22 из 23 штатов и столичный округ. По мощности «Гури» находится на четвертом месте в мире. Самая крупная в России Саяно-Шушенская ГЭС лишь на девятом. Эта венесуэльская электростанция построена в 80-е годы прошлого века. При Уго Чавесе на ней начались и продолжается до сих пор переоснащение более мощными турбоагрегатами.

Но наличие столь крупной станции имеет свои минусы. Более половины потребления страны зависит от одной ГЭС, так что энергосистема Венесуэлы очень уязвима. В результате, как заявляют венесуэльские власти, из-за кибератаки им пришлось отключить «Гури» от сети. Это и привело к веерному отключению электричества по всей стране. Хакеры, базирующиеся в США, мешали попыткам обратного ввода станции в сеть. Причем действовали они успешно, что и привело к столь длительному отключению. За выходные сеть восстановить не удалось. 11, 12 и 13 марта пришлось объявить выходными днями. И только 14 марта власти заявили, что работа энергосистемы полностью возобновлена.

Эта атака показала другим странам, насколько уязвимой может быть энергосистема. Конечно, в России подобное нападение невозможно. Наши энергосети намного лучше зарезервированы, электростанций очень много. Да и защиту там так просто не преодолеть. И все же оцифровка оборудования, использование интеллектуальных технологий, датчиков и сенсоров интернета вещей, а также автоматизация бэк-офисных процессов резко повысили риски в области кибербезопасности энергетических предприятий.

Всё началось вечером 7 марта с аварии на крупнейшей в стране ГЭС «Гури» на реке Карони. Без электричества остались 22 из 23 штатов и столичный округ. По мощности «Гури» находится на четвертом месте в мире

Wikipedia

Одна из главных проблем в области кибербезопасности энергетических компаний в нашей стране — комплексное управление рисками для всех цифровых устройств энергосетей: это миллионы километров линий электропередачи и сотни тысяч подстанций. Для таких крупных систем крайне сложно организовать эффективное взаимодействие разных департаментов и филиалов.

В настоящее время все киберугрозы принято разделять на внешние и внутренние. По словам специалистов, среди внешних вредоносных программ существуют даже специализированные инструменты, заточенные под энергетику. К примеру, комплексная программа Industroyer, предназначенная для атак на электроэнергетические компании. Она позволяет хакерам напрямую управлять выключателями и прерывателями цепи на электрических подстанциях. В составе опасного ПО — инструмент для выполнения DoS-атак (denial-of-service — отказ в обслуживании) на устройства релейной защиты (комплекса устройств для быстрого выявления и отделения поврежденных элементов для сохранения нормальной работы системы в целом).

Преимущество Industroyer в том, что он взаимодействует с четырьмя промышленными протоколами связи, причем делает это легитимным путем — просто использует протоколы по их прямому назначению. Протоколы создавались десятилетия назад, без учета требований безопасности. Поэтому хакерам достаточно «научить» вредоносное ПО работать с ними.

«Сложности заключаются в том, что немалая часть систем управления оборудованием для энергетических объектов создавалась без учета современных угроз безопасности информации, — рассказал “Стимулу” ведущий эксперт направления “Защита АСУТП” компании — национального чемпиона ГК “ИнфоВотч” Андрей Юршев. — В то же время все больше таких систем — как давно существующих, так и вновь созданных, подключаются к интернету, а значит, становятся более уязвимыми для внешнего воздействия. Поэтому объем работ по обеспечению информационной безопасности таких систем постоянно растет, а сами работы усложняются».

Проникновение вируса на защищенные объекты может произойти и изнутри, если кто-то из сотрудников нарушает правила при обращении с устройствами. Были случаи, когда люди через флешки какие-то данные со своего компьютера перекидывали на рабочие и таким образом их инфицировали.

Такой случай произошел, к примеру, в Индии в 2012 году. На базе ВМС страны один из офицеров установил зараженный флеш-накопитель в рабочий компьютер. На флешке был создан невидимый диск, на который скачивалась вся информация с объекта по нужным словосочетаниям. Позже военный вставил накопитель уже в домашний компьютер с прямым выходом в интернет, в результате чего вся информация ушла, предположительно, в Китай.

«Большинство сотрудников энергетического сектора осознают опасность кибератак, — говорит Андрей Юршев. — Но специфическими знаниями в области защиты информации обладают не многие, в основном это работники подразделений информационной безопасности. Внутренние угрозы безопасности, исходящие от сотрудников предприятий, чаще всего связаны с утечками информации. Но иногда инсайдеры могут выступать и организаторами кибератак — как самостоятельно, так и совместно с внешними злоумышленниками».

В России доля внешних атак лишь немногим превышает 20%, подсчитали разработчики систем корпоративной безопасности, остальные атаки имеют внутренний характер. Чтобы предотвращать такие внутренние взломы, совершенствуются технологии защиты данных и интеллектуальной собственности, причем как на уровне аппаратной части (компьютеры, серверы и сетевые устройства), так и на уровне отдельных файлов. Инструменты DLP (Data Loss Prevention), например, устанавливают для контроля входящего и исходящего сетевого трафика. А чтобы защитить бумажные копии документов, устанавливают ИТ-решения, позволяющие достоверно установить источник утечки конфиденциальных данных. Для обнаружения нарушителя достаточно запустить файл-«приманку» в систему и дождаться, пока он окажется у конкурентов или СМИ, — тогда станет понятна дата и источник утечки.

Культуру информационной безопасности необходимо обеспечивать одновременно на уровне всего предприятия. Прежде всего надо распределить роли и обязанности внутри команд, которые управляют киберзащитой и реагируют на инциденты. Четкое распределение задач поможет оперативно реагировать на вероятные взломы и вторжения. Причем недостаточно просто назначить команду — ее необходимо развивать и тренировать, вслед за совершенствованием вирусного ПО.

Кроме того, надо учитывать, что в России принята модель корпоративной мобильной инфраструктуры под названием BYOD (Bring Your Own Device). Сотрудники могут использовать для рабочих целей личные мобильные устройства, например открывать через них конфиденциальные документы. Естественно, это осложняет организацию единого контура информационной безопасности. Чтобы избежать непредумышленного или преднамеренного «слива» энергетических данных, стоит организовать централизованное управление личными мобильными устройствами персонала при помощи MDM-систем (Mobile Device Management): устанавливать бизнес-приложения, работать с документами или промышленными данными сотрудники в таком случае будут в единой безопасной среде.

Активное участие в обеспечении защиты объектов ТЭК принимают и российские власти, в первую очередь в создании требований к безопасности энергетических предприятий и контроле их выполнения. В прошлом году был создан Национальный координационный центр по компьютерным инцидентам. Как сообщил заместитель директора НКЦКИ Николай Мурашов, в 2018 году было выявлено свыше четырех миллиардов компьютерных атак на российскую критическую информационную инфраструктуру.

«В части комплексной безопасности таких объектов существуют специальные требования законодательства, без которых их функционирование невозможно, — рассказал Андрей Юршев. — В части информационной безопасности по всей стране идет большая работа по созданию систем безопасности объектов критической информационной инфраструктуры (КИИ) в рамках соответствующего федерального закона, вступившего в силу в 2018 году. К объектам КИИ, в том числе, относятся автоматизированные системы управления, информационные системы и информационно-телекоммуникационные системы энергетических предприятий. Кроме того, во многих организациях системы защиты информации уже созданы по ранее введенным требованиям и работают под контролем государственных органов».

Планы и стратегии, в которых киберугрозы рассматриваются как постоянный риск для региональных экономик, уже существуют более чем в 30 странах мира, включая США и Китай.