23 декабря 2015 года произошло беспрецедентное для Украины событие. Кибератака на инфраструктурные энергетические объекты страны привела к масштабному отключению электроэнергии. В Прикарпатье, Киевской и Черновицкой областях без электричества остались около 220 000 потребителей. Отключение продолжалось от 1 до 3 часов в трех областях. Сергей Косенко, руководитель департамента по защите информации ДТЭК Энерго, рассказывает, чем грозят подобные атаки и как их можно избежать. Как происходит заражение компьютерной сети предприятия? Иногда в один клик, после открытия безобидного, на первый взгляд, письма. Далее, от момента заражения вредоносным ПО всего лишь одного компьютера до первого несанкционированного отключения оборудования этим ПО может пройти до 5 месяцев. Все это время вирус изучает инфраструктуру компании - объекта кибератаки, определяет наиболее уязвимые места и наносит удар в самое чувствительное и критичное место. И все это время никто ничего не подозревает.
Об информационной безопасности в энергетике всерьез заговорили после прошлогодних нашумевших кибератак на Прикарпатьеоблэнерго, Киевоблэнерго и Черновцыоблэнерго и других энергокомпаний. К чести служб безопасности компаний, часть кибератак удалось локализовать и устранить до их конечного воплощения, поэтому большая часть жителей ничего не заметили.
Но для 80 000 жителей Западной Украины кибератака стала причиной блэкаута в самый канун Нового, 2016 года. Это была одна из первых проб пера киберпреступников - энергетики восстановили электроснабжение за несколько часов. Но вероятность полного погружения многотысячного региона во тьму в зимние морозы была катастрофически велика.
Читайте также Российские хакеры оставили без света Прикарпатье. Кто следующий?
Наравне со СМИ и банками энергетика в Украине стала мишенью внешних атак. И кибератаки на инфраструктуру сегодня - это не просто кураж энтузиастов, стремящихся самоутвердиться за счет взлома чужого веб-сайта или заражения чужого компьютера. Киберпреступность - это хорошо разветвленный бизнес со своими заказчиками, инвестициями, распределением зон ответственности и различными инструментами реализации.
Заказчиками могут выступать конкуренты, заинтересованные в снижении прибыли или репутационных потерях. Часто заказчиками или конечными бенефициарами выступают и государственные органы - внутренние или внешние спецслужбы других стран.
Мировая статистика последних десяти лет настойчиво указывает на возрастание ценелаправленных атак на объекты критической инфраструктуры в мире. Понятию "критическая инфраструктура" не более 20 лет. К ней относят прежде всего энергосистему, системы телекоммуникаций и обеспечения водой, банковский и финансовый сектор, транспорт, службу спасения. Все то, что в случае остановки парализует жизнь в регионе или во всей стране.
Реагировать на кибератаку в момент ее свершения столь же эффективно, как проводить срочную операцию при перитоните
Вот примеры самых известных кибератак.
· "Титановый дождь" (2004-2007), в результате которого пострадали сети отделов безопасности, энергетики и обороны США.
· "Операция Автора" - пострадали американские Google и Yahoo, IT-компании Adobe Systems, Symantec, производитель телекоммуникационного оборудования Juniper Networks Rackspace, военно-промышленная компания Northrop Grumman, крупный банковский холдинг Morgan Stanley.
· Атаки на нефтедобывающие компании ExxonMobil, Marathon Oil и ConocoPhilips, которые привели к утечке информации о мировых залежах нефти, инвестиционных планах.
Подобные атаки на украинские объекты приводят к ключевому вопросу: а как защищена критическая инфрастуктура в Украине?
Как правило, есть только базовые средства безопасности: антивирусное ПО, да и то обновляемое крайне нерегулярно. И есть отдельные усилия на частных предприятиях, чтобы защитить себя от несанкционированного вторжения.
Читайте также Расследование кибератаки на Украину: как вирус сломал облэнерго
Реагировать на кибератаку в момент ее свершения столь же эффективно, как проводить срочную операцию при перитоните. Важнее не допустить в организме смертельно опасного воспаления. Без превентивных мер, продуманных сценариев антикризисных действий, обученного и осведомленного персонала справиться с целенаправленной кибератакой если не невозможно, то крайне сложно.
Нам нужно торопиться и создать таблетки от кибератак до начала эпидемии
Именно поэтому сейчас в Украине ведется работа по защите объектов критической инфраструктуры. Министерство энергетики и угольной промышленности создало рабочую группу. ДТЭК тоже входит в нее и готов максимально делиться уже имеющимися наработками. Рабочая группа создает не только глобальные стратегические стандарты и требования к объектам критической инфраструктуры в энергетике, но и разрабатывает срочные модели угроз и правил реагирования на них. Нам нужно торопиться и создать таблетки от кибератак до начала эпидемии.
На что обязательно нужно обратить внимание энергокомпаниям?
1. Проинструктируйте всех сотрудников, что делать, если пришло подозрительное письмо. Сотрудники должны знать, что угрозу заражения могут нести обычные офисные документы (Word, Excel, PowerPoint, PDF и др.) или ссылка на внешний веб-ресурс в письме электронной почты, открытие которых или переход по которым может нанести ущерб всей инфраструктуре компании.
2. Разработайте срочные организационные и технические мероприятия для снижения вероятности кибератак:
· ограничьте доступность бизнес-сервисов и систем (доступ в интернет, электронная почта и т.п.) в технологической инфраструктуре;
· пересмотрите организацию работы административного персонала с привилегированными правами доступа;
· заблокируйте возможность скачивания исполняемых файлов из сети интернет и запуск несанкционированного ПО из пользовательского окружения на рабочих станциях сотрудников.
И сразу после этого работайте над более долгосрочными и системными способами защиты.
Автор - Сергей Косенко, руководитель департамента по защите информации ДТЭК Энерго
Если Вы заметили орфографическую ошибку, выделите её мышью и нажмите Ctrl+Enter.
Комментарии