Физическая угроза миру критическая национальная инфраструктура (CNI) никогда не была такой высокой. Не менее 50 метров подземных трубопроводов «Северный поток-1» и «Северный поток-2», по которым когда-то российский газ транспортировался в Германию. были уничтожены в результате нападения в конце сентября 2022 года, хотя остается неясным, кто виноват.
Совсем недавно Россия также перенесла свою войну на Украине, нанеся удары по энергетической инфраструктуре с помощью собственных ракет и поставляемых Ираном беспилотников «Шахед-136». Согласно твиту президента Украины Владимира Зеленского от 18 октября, «30% украинских электростанций были разрушены, что привело к массовым отключениям электроэнергии по всей стране», а 1 ноября во время встречи с европейским комиссаром по энергетике Кадри Симсон Зеленский заявил, что «от 30% до 40% энергетических систем [страны] были разрушены».
Растущая угроза кибербезопасности
Однако угрозы физической безопасности, возникающие в результате войны на Украине и растущей напряженности между Востоком и Западом, — не единственные серьезные угрозы для нашей КНИ. Существует также растущая угроза кибербезопасности. 7 мая 2021 года Колониальный Трубопровод Компания, которая берет свое начало в Хьюстоне, штат Техас, и которая доставляет бензин и авиационное топливо на юго-восток США, была вынуждена остановить все свои операции, чтобы сдержать атаку программы-вымогателя.
В ходе этой атаки хакеры получили доступ через учетную запись VPN (виртуальная частная сеть), которая позволяла сотрудникам получать удаленный доступ к системам компании, используя одно имя пользователя и пароль, найденные в даркнете. Вскоре после атаки Colonial выплатила хакерам, которые были филиалом связанной с Россией киберпреступной группировки Darkside, выкуп в размере 4.4 миллиона долларов.
Менее чем через год Sandworm, группа угроз, предположительно управляемая российским кибервоенным подразделением ГРУ, попыталась помешать функционированию неназванного украинского поставщика электроэнергии. «Злоумышленники попытались вывести из строя несколько компонентов инфраструктуры объекта, а именно: электрические подстанции, вычислительные системы под управлением Windows, серверное оборудование под управлением Linux, [и] активное сетевое оборудование», — сообщает Государственная служба специальной связи и защиты информации Украины. (SSSCIP) говорится в заявлении.
Словацкая компания по кибербезопасности ESET, которая сотрудничала с украинскими властями для анализа атаки, заявила, что попытка вторжения включала использование вредоносного ПО с поддержкой ICS и обычных очистителей диска, при этом злоумышленник запустил обновленный вариант вредоносного ПО Industroyer.
«Злоумышленники Sandworm предприняли попытку развернуть вредоносное ПО «Индустройер2» против высоковольтных электрических подстанций в Украине», ESET объяснила. Предполагалось, что проникновение в энергосистему жертвы произошло в две волны: первоначальный взлом совпал с вторжением России в Украину в феврале 2022 года, а последующее проникновение в апреле позволило злоумышленникам загрузить «Индустрой2».
Цифровая среда
По словам Джона Вестберга, генерального директора Clavister, шведской компании, специализирующейся на программном обеспечении сетевой безопасности, «теперь нет никаких сомнений в том, что киберпреступники представляют собой постоянно растущую угрозу критически важной национальной инфраструктуре». Он добавляет: «CNI, такие как нефть и газ, являются основной мишенью для банд-вымогателей». Он считает, что энергетическим компаниям и их поставщикам необходимо применять более активный, а не реактивный подход к кибербезопасности, используя прогнозную аналитику и такие инструменты, как технологии искусственного интеллекта (ИИ) и машинного обучения (МО).
Камелия Чан, генеральный директор и основатель бренда Flexxon X-PHY, соглашается: «Очень важно, чтобы организации CNI никогда не отвлекались от происходящего», — говорит она. «Хорошая кибербезопасность — это непрерывный, проактивный, интеллектуальный и самообучающийся процесс, и использование новых технологий, таких как искусственный интеллект, как часть многоуровневого решения кибербезопасности, необходимо для обнаружения любого типа атак и помощи в создании более надежной системы кибербезопасности».
Хорошо организованные, часто спонсируемые государством банды-вымогатели — не единственная проблема, с которой сталкиваются организации CNI. Частично проблема заключается в том, что по мере того, как промышленные организации (включая коммунальные предприятия, такие как компании водоснабжения и энергетики) оцифровывают свою среду, они раскрывают потенциальные слабости и уязвимости безопасности для субъектов угроз гораздо чаще, чем в прошлом.
Интегрированные сети ИТ/ОТ
В то время как традиционно безопасность не рассматривалась как имеющая решающее значение, поскольку сеть OT (операционной технологии) организации была спроектирована так, чтобы быть изолированной, а также потому, что в ней использовались проприетарные промышленные протоколы и специальное программное обеспечение, сейчас это уже не так.
Как говорит Даниэль Тривеллато, вице-президент по разработке продуктов ОТ в Forescout, компании, занимающейся программным обеспечением для автоматизации кибербезопасности: «Среды ОТ модернизировались и больше не изолированы от ИТ-сетей, а это означает, что они более уязвимы, а отсутствие мер безопасности создает угрозу безопасности». критический риск». Объединяя эти две среды, организации увеличивают ландшафт угроз, но не обязательно принимают соответствующие меры для снижения риска.
По словам Тривеллато, это не осталось «незамеченным для злоумышленников»: вредоносные программы, специфичные для АСУ ТП и ОТ, такие как Industroyer, Triton и Incontroller, свидетельствуют о все более сложных возможностях, которые злоумышленники начали использовать при атаках, что привело к множеству серьезных инциденты. «Хотя большинство OT-устройств невозможно исправить, существуют методы устранения таких недостатков, как видимость устройств и управление активами, сегментация и непрерывный мониторинг трафика», — добавляет Тривеллато.
Риск на границе сети
По мнению Тревора Диринга, директора по критически важным инфраструктурным решениям компании Illumio, занимающейся сегментацией с нулевым доверием, киберпреступники, атакующие энергетические компании, отчасти привлекаются потенциально высокими вознаграждениями. «Многие банды понимают, что если они смогут помешать предоставлению услуги клиентам, то компании с большей вероятностью заплатят выкуп, чем если бы они просто крали данные», — говорит он.
Еще одна проблема, по его словам, заключается в том, что энергетические системы больше не включают в себя традиционную сеть, включающую электростанции и линии электропередачи. Вместо этого появляется то, что известно как «край сети» — децентрализованные устройства, такие как интеллектуальные счетчики, а также солнечные панели и батареи в домах и на предприятиях. Компания sPower из Юты, которая владеет и управляет более чем 150 генераторами в США, считается первым поставщиком возобновляемой энергии, пострадавшим от кибератаки в марте 2019 года, когда злоумышленники воспользовались известной уязвимостью в межсетевых экранах Cisco, чтобы нарушить связь по сети. промежуток около 12 часов.
Один из способов, которым системы возобновляемой энергетики особенно уязвимы для атак, — это использование инверторов. Обеспечивая интерфейс между солнечными панелями и сетью, они используются для преобразования энергии постоянного тока (постоянного тока), генерируемой фотоэлектрической солнечной панелью, в электричество переменного тока (переменного тока), подаваемое в сеть. Если программное обеспечение инвертора не обновлено и не защищено, его данные могут быть перехвачены и манипулированы почти так же, как предыдущие атаки в Украине и США. Кроме того, злоумышленник может также внедрить код в инвертор, который может распространить вредоносное ПО в более крупную энергосистему, нанеся еще больший ущерб.
По словам Али Мехризи-Сани, доцента Политехнического института и государственного университета Вирджинии и соавтора статьи 2018 года, посвященной оценке риска кибербезопасности солнечных фотоэлектрических систем, хакеры могут искусственно создать сбой в фотоэлектрической системе, чтобы начать кибератаки на элементы управления инвертором и Система наблюдения.
«Это уязвимость, которая может быть использована и уже использовалась для атаки на энергосистему», — сказал он онлайн-изданию. PV Tech в ноябре 2020 года. И хотя в настоящее время потенциальный риск кибератаки на сети солнечной энергии остается низким, поскольку технология еще не достигла критической массы, поскольку она становится все более децентрализованной — с солнечными панелями, установленными в общественных местах и на крышах зданий — управление сетями будет все больше полагаться на надежную облачную безопасность Интернета вещей.
Более строгое регулирование
Одним из способов, с помощью которого правительства и организации могут обеспечить высочайший уровень защиты CNI, является внедрение стандартов. Например, несколько лет назад в Германии были приняты законы об ИТ-безопасности, согласно которым все сетевые провайдеры, операторы и другие предприятия CNI обязаны обеспечивать соответствие семейству стандартов ISO 27001 для систем управления информационной безопасностью (ISMS), а в Великобритании в Постановлении о критичности BSI предусмотрены обязательства по демонстрации полной стратегии ИТ-безопасности для обеспечения работы критической инфраструктуры.
Аналогичным образом, в США группа стандартов NERC CIP (Защита критической инфраструктуры Североамериканской корпорации электрической надежности) регулирует критическую инфраструктуру всех объектов, которые существенно влияют на BES (основную электрическую систему) в Северной Америке, хотя этот набор стандартов применяется только к электричеству. а не нефтяной и газовой промышленности. По словам Клиффа Мартина, руководителя отдела реагирования на киберинциденты в GRCI Law, консалтинговой компании по правовым вопросам, рискам и соблюдению требований, сотрудники, отвечающие за CNI, должны пройти соответствующую подготовку и понимать, что их действия могут иметь реальные последствия. «Это означает, что они не могут просто скопировать и вставить традиционные меры кибербезопасности в ИТ-среду — это просто не работает».
Однако Диринг из Illumio говорит, что все больше и больше компаний разрабатывают единую стратегию как для ОТ, так и для ИТ-сред. «Главное, — говорит он, — состоит в том, чтобы предположить, что вас собираются взломать, и планировать соответствующим образом. Если вы сегментируете все части вашей инфраструктуры, то атака на одну часть не обязательно повлияет на все остальные части».
Война на Украине и нападения на трубопровод «Северный поток» привлекли внимание компаний к физической угрозе, которую представляет энергетическая инфраструктура, особенно зимой в северном полушарии. Однако это не единственная проблема. Атаки кибербезопасности на CNI растут, отчасти из-за растущей угрозы со стороны национальных государств, а также потому, что киберпреступники понимают, что они могут заработать серьезные деньги, потенциально отказывая клиентам в столь необходимых услугах. В то же время конвергенция ОТ- и ИТ-технологий предоставляет киберпреступникам потенциально гораздо большую поверхность для атак.
Хотя традиционно безопасность не рассматривалась как решающий фактор для OT, это необходимо изменить, уделив больше внимания техническим решениям, таким как сегментация и непрерывный мониторинг сетевого трафика, если компании собираются предотвратить потенциально катастрофическое нарушение CNI.
— Рассказ Криса Прайса
Эта история впервые появилась на IFSEC Global, часть сети Informa и ведущий поставщик новостей, функций, видео и технических документов для безопасности и пожарной безопасности. IFSEC Global охватывает разработки в давно зарекомендовавших себя физических технологиях, таких как видеонаблюдение, контроль доступа, охранная/пожарная сигнализация и охрана, а также новые инновации в области кибербезопасности, дронов, умных зданий, домашней автоматизации, Интернета вещей и многого другого.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/physical-security/securing-the-world-s-energy-systems-where-physical-security-and-cybersecurity-must-meet
