Первый яркий пример кибертерроризма был продемонстрирован в фильме "Крепкий орешек 4.0" еще в 2007 году, когда злоумышленники атаковали индустриальную инфраструктуру США. И если 17 лет назад сюжет фильма воспринимался как приближенная к реальности, но все же фантастика, то сегодня инциденты с автоматическими системами управления (АСУ) и объектами промышленного интернета вещей (IоT) происходят регулярно. И Россия здесь не исключение.
Во втором квартале 2024 года, по данным центра исследования безопасности промышленных систем и реагирования на инциденты Kaspersky ICS CERT, Россия заняла 6-е место среди регионов мира по доле компьютеров автоматизированных систем управления предприятием (АСУ), на которых были заблокированы вредоносные объекты (вирусы, трояны и прочее зловредное ПО). В ряде отраслей в России доля промышленных компьютеров, на которых были заблокированы вредоносные объекты, была выше, чем в среднем по миру, - например, в производственной сфере (18,8% в РФ против 18% по миру), в инжиниринге и у интеграторов АСУ (24,9% против 23%). Хакеры активно атакуют компании-интеграторы, доверенных партнеров и IT-подрядчиков, и в России риск атаки через доверенного поставщика продуктов и услуг весьма велик.
В рамках форума "Микроэлектроника 2024" прошла даже отдельная пленарная сессия "Доверенные программно-аппаратные комплексы для объектов критической информационной инфраструктуры" в которой приняли участие представители Минпромторга, Минцифры, "Росатома", РЖД и ведущих научно-производственных объединений России.
Почему так важно создавать доверенные программно-аппаратные комплексы, особенно для объектов критической информационной инфраструктуры (КИИ) очень ярко продемонстрировали на международной конференции по промышленной кибербезопасности руководитель группы исследования уязвимостей индустриальных систем "Лаборатории Касперского" Сергей Ануфриенко и ведущий эксперт компании по исследованиям угроз информационной безопасности Александр Козлов, когда показали, как с помощью 5-SMS сообщений можно взломать популярный грузовой автомобиль в котором установлен встроенный модем Cinterion EHS5 3G UMTS/HSPA, производства компании Telit Cinterion.
Современный модем сотовой связи - это сложная техническая система. Из-за требований к производительности большинство ключевых функций реализованы на языках низкого уровня, таких как C и ассемблер, которые не предоставляют встроенных средств защиты от возможных ошибок разработчиков.
В ходе исследования модема производителя были обнаружены семь уязвимостей, для эксплуатации которых необходим локальный доступ, и одна - которую можно использовать удаленно, послав на модем SMS-сообщение. Найденные уязвимости позволяют злоумышленникам полностью скомпрометировать модем. В ходе анализа защищенности эксперты смогли получить удаленный контроль над модемом, а уже через него - контроль над основными системами автомобиля, такими как двигатель, коробка передач, тормозная система(!) и др. Несмотря на то, что производитель был уведомлен обо всех обнаруженных уязвимостях, часть уязвимостей осталась незакрытой, поскольку техническая поддержка модема была прекращена производителем. И даже если бы производитель устранил все найденные уязвимости, в некоторых случаях применение обновлений было бы затруднительно (или даже невозможно) из-за способа интеграции модема устройства, транспортные средства и оборудование, где он установлен . Однако, проблемы в области промышленной кибербезопасности возникают не только с данным модемом.
Сегодня встроенные модемы используются практически везде, начиная от смартфонов, банкоматов и бытовой техники, заканчивая транспортом, промышленным оборудованием, включая предприятия энергетики, больницы и на объектах КИИ.
В постановлении правительства РФ от 14.11.2023 №1912 "О порядке перехода субъектов критической информационной инфраструктуры РФ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры РФ" говорится, что до 1 января 2030 года субъекты КИИ обязаны перевести принадлежащие им значимые объекты на доверенные программно-аппаратные комплексы (ПАК). А с 1 сентября 2024 года субъекты КИИ не смогут приобретать и использовать недоверенные ПАКи.
Речь идет о комплексах, которые отвечают следующим критериям:
- сведения о них есть в едином реестре российской радиоэлектроники;
- ПО в их составе соответствует требованиям к программам, которые используют на значимых объектах КИИ органы госвласти и ряд заказчиков по Закону N 223-ФЗ;
- Соответствующие ПАКи имеют документ от ФСТЭК и (или) ФСБ (при наличии функции защиты информации).
Однако, для некоторых комплексов есть исключения, а именно, отсутствие российских аналогов. В теории использование доверенных ПАКов должно исключать кейсы аналогичные Cinterion, однако даже использование российского оборудования не является гарантией отсутствия уязвимостей.
Так в рамках Kaspersky Industrial Cybersecurity Conference был описан кейс, произошедший с российской нефтедобывающей компанией. Хактивисты (политически мотивированные хакеры - ред.) атаковали компьютеры автоматической системы управления добычи нефти и остановили насосы, качающие нефть. Расследование выяснило, что панель управления АСУ имела доступ в интернет, причем без VPN и двухфакторной аутентификации. Эксперты проанализировали систему и выяснили, что она имела 26 уязвимостей, причем активистам хватило и одной. Отметим, что речь в данном случае шла о российском оборудовании. Не менее громким был "захват" крупного градообразующего предприятия по производству минеральных удобрений в республике Беларусь, когда хакеры получил контроль над котельным цехом, что сказалось на работе всего предприятия.
Об этом говорится в последнем отчете компании Positive Technologies "Актуальные киберугрозы: II квартал 2024 года". Фишинговые письма, сообщения в мессенджерах, переадресация на фишинговые сайты остаются самым эффективным инструментом злоумышленников.
Эксперты отмечают, что самым уязвимым элементом промышленной и корпоративной киберзащиты, несмотря на все усилия по повышению киберграмотности, остаются сотрудники компаний и предприятий, а на изменение такого положения вещей понадобятся годы.
По мнению эксперта по кибербезопасности Kaspersky ICS CERT Владимира Дащенко, обучение кибербезопасности - это процесс. "Почему в России и странах бывшего СССР такие хорошие специалисты по компьютерным наукам. Потому что была заложена хорошая математическая база, математическая подготовка высокого уровня. А она была хорошей за счет того, что процесс образования в области математики был выстроен годами. Соответственно, и уровень компьютерной грамотности начнет расти, когда образовательный процесс в области кибербезопасности будет систематически выстроен в течение длительного времени, а накопленная база знаний станет фундаментальной. Это вопрос не одного года, и, к сожалению, даже не пяти лет. Нужно чтобы выросло поколение, для которого понятие кибербезопасность будет знакомо с детства и которое будет уже дальше делиться этими знаниями со следующими поколениям", - считает эксперт.