11.12.2018 15:05

Как крадут нефть и останавливают заводы

Технологии. Специалисты на предприятиях нуждаются в решениях, которые помогут начать бороться с киберугрозами
Российская газета - Федеральный выпуск: №279 (7742)
Недавняя история с хакерской атакой на европейское оборонное предприятие обратила внимание на проблему промышленной кибербезопасности. И если в этом случае взломщики нацеливались на чертежи, то летом вирус-шифровальщик на несколько дней остановил работу одного из производителей мобильных процессоров. А годом ранее кто-то попытался отключить противоаварийную защиту на нефтезаводе на Ближнем Востоке, что могло привести к взрыву.
Читать на сайте RG.RU

О том, почему современные предприятия не защищены от плохих парней с клавиатурами, мы спросили у Дмитрия Даренского, руководителя практики промышленной кибербезопасности Positive Technologies.

Защищенность российской промышленности в цифрах

"Наши эксперты ежегодно проводят несколько десятков аудитов производственных компаний. В 73% компаний удается попасть во внутреннюю сеть предприятия, в которой работают топ-менеджмент, финансисты, инженеры. Уже на этом этапе может быть похищена чувствительная информация, как при атаке на описываемое выше европейское предприятие", - отмечает Дмитрий Даренский.

Среди ИТ-специалистов на производстве существует стереотип, что киберпреступник не проникнет дальше офисной сети - технологические сети сложны, и чтобы причинить вред, необходимо иметь глубокую экспертизу как в ИТ-технологиях, но и в области промышленной автоматизации. Однако это заблуждение: по данным той же Positive Technologies, в 82% промышленных организаций можно попасть из корпоративной в технологическую сеть и причинить существенный вред, не имея глубоких познаний ни в ИТ, ни в АСУ ТП1.

Чтобы на производствах уже сейчас решать базовые задачи по мониторингу угроз, компания Positive Technologies выпустила первую в мире бесплатную систему мониторинга

Кому мы нужны? Мы же не банк

Другой миф связан с отсутствием мотива у преступников. Но атаковать производство можно таким образом, что на повторный запуск понадобится несколько месяцев. И выгодные заказы получит другая компания. Это может быть, к примеру, вывод из строя газовых турбин или отключение подачи энергоснабжения на алюминиевом заводе с последующим застыванием алюминия в ваннах для электролиза, что потребует замены оборудования стоимостью несколько млн долларов.

Есть также опасения, что с помощью кибердиверсий могут манипулировать стоимостью котировок ценных бумаг необходимой компании: например, котировки одной из крупных телекоммуникационных компаний после утечки данных клиентов упали более 10%.

В прошлом году работа японского автоконцерна была остановлена из-за вируса-шифровальщика на один день. Потери в связи с недовыпуском продукции можно оценить в сумму с шестью нулями. Неуправляемый вирус-вымогатель с такой легкостью заблокировал работу производства, и странно надеяться, что подготовленная группа киберпреступников не сможет воплотить аналогичный сценарий.

Хищения сотрудниками

Промышленный фрод с привлечением хакерского инструментария - уже довольно широко распространенная практика. Для кражи продукции, поставляемой в партиях, такой как металл или зерно, нарушители обычно модифицируют системы контроля весового хозяйства. Это позволяет занизить вес вывозимой партии, чтобы за воротами предприятия сбыть неучтенные излишки.

В 2018 году представители исполнительной власти выявили  недолив бензина на российских АЗС. Вредоносное ПО внедрялось в системы суммарных счетчиков, технологических проливов, контрольно-кассового учета и самих колонок - и недоливало клиентам от 3 до 7%.

С недоливом сталкиваются не только автовладельцы. При отгрузке товарной нефти в магистральные нефтепроводы (или на баржи, поезда) злоумышленники перенастраивают контроллеры систем учета на границе предприятия и трубопроводной системы, отгружая меньше нефти, чем показывают приборы. Неучтенные остатки прячут даже в системе пожаротушения, из которой предварительно удаляют воду, заливают туда нефть, затем увозят и продают. Подобные манипуляции можно обнаружить с помощью систем мониторинга защищенности АСУ ТП.

Почему так сложно обнаружить взломщика

Традиционные средства мониторинга киберугроз не "понимают" технологический сегмент -протоколы и процессы здесь специфические. Кроме того, на российских промышленных предприятиях существует еще один стереотип: если построение систем АСУ ТП отличается крайне высокой сложностью, то и защита технологического сегмента от кибератак не легче.

В результате предприятия рассчитывают на изолированность АСУ ТП от внешних сетей и плохо представляют, что происходит внутри промышленной сети. Эксперты Positive Technologies зачастую в течение нескольких часов выявляют целый набор проблем на любом обследуемом заводе: скрытый майнинг криптовалюты в технологическом сегменте, вредоносное ПО, ожидающее боевую нагрузку от командного центра из другой страны и т.д.

"Чтобы на производстве уже сейчас решать базовые задачи по мониторингу угроз, мы провели эксперимент, выпустив первую в мире бесплатную систему мониторинга безопасности АСУ ТП - PT ISIM freeView. За первые три недели ее скачали сотни компаний. Для нас это явилось показателем того, что специалисты на предприятиях нуждаются в простых и эффективных решениях, которые помогут начать бороться с киберугрозами в производственных системах", - говорит Дмитрий Даренский.


1АСУ ТП — автоматизированная система управления технологическим процессом.

 На правах рекламы