Киберриски в энергетике: быстрее, выше, сильнее

20.08.21 10:38

Дмитрий Кичко, генеральный директор ГК «Эдит Про», рассказывает, как энергетический комплекс справляется с растущей угрозой. 

 

Киберпреступники нацелены на энергетические предприятия и другие компании с критически важной инфраструктурой с целью получения прибыли. Коммунальные предприятия управляют географически распределенной инфраструктурой с множеством объектов, контактируют с поставщиками и подрядчиками. 

 

Риски увеличиваются с процессом цифровизации энергосетевого комплекса. Помимо защиты физической инфраструктуры компании вынуждены обеспечивать еще и безопасность цифрового контура энергосети, состоящего из множества локальных ИТ-систем. Последние годы активно внедряются «умные» устройства Интернета вещей (IoT), такие как датчики и сенсоры, которые непрерывно обмениваются информацией с системой. 

 

К росту числа потенциальных атак приводит и переход потребителей к цифровым устройствам. Так, домохозяйства по всему миру устанавливают интеллектуальные счетчики и другое оборудование, которое хакеры пытаются взломать с целью получения персональных данных. Еще в 2010 году пуэрториканская энергетическая компания подсчитала, что несанкционированный доступ к беспроводным интеллектуальным счетчикам может стоить энергетическому сектору до 400 миллионов долларов в год.

 

Все это заставляет всерьез задуматься об уровне безопасности энергосистем. Недавнее исследование немецкого поставщика услуг облачной безопасности Hornet Security показало, что энергетический сектор – цель номер один для кибератак по данным за 2019 год. Именно на компании ТЭК приходится 16% нападений во всем мире. В России ситуация серьезнее. По оценке Positive Technologies за 2019 год, почти половина атак в России нацелена на предприятия ТЭК.

 

Основные типы кибератак на ТЭК


 

Самое большое опасение со стороны энергетического сектора вызывают атаки типа WannaCry и Mirai. Шифровальщик WannaCry, способный с невероятной скоростью двигаться по Интернету и локальным сетям, всего за четыре дня вывел из строя более 200 000 компьютеров в 150 странах, включая критически важную инфраструктуру. Ботнет Mirai взломал множество интеллектуальных устройств и буквально обрушил лавину запросов на DNS-провайдера. Вместе с ним простаивал и ряд сервисов: в США были недоступны, к примеру, PayPal, Twitter, Netflix и Spotify. Бороться с такими атаками крайне сложно, а риск подвергнуться им растет экспоненциально вместе с развитием интеллектуальной инфраструктуры в энергетике. 

 

Пока же ТЭК чаще сталкивается с локальными целевыми взломами, которые проводят преступные группировки, то есть атаками типа advanced persistent threat (APT). Они нацелены на нарушение конкретного производственного процесса или вывод инфраструктуры из строя, шпионаж и хищение средств. Такие атаки чреваты глобальным последствиями для всей инфраструктуры ТЭК. Утечка корпоративной информации может привести к серьезному финансовому ущербу для бизнеса в сфере ТЭК, а атаки на ПО – к приостановке производства. 

 

Например, вирус NotPetya, из-за которого в 2017 году «встали» многие нефтегазовые компании. Общий ущерб оценивается в более чем 10 миллиардов долларов. А взлом серверов трубопровода Баку-Тбилиси-Джейхан в 2008 году вызвал временное нарушение работы трубопроводов из-за избыточного давления. 

 

Такие взломы часто производится с помощью фишинга – рассылки электронных писем – или загрузки вирусов на сайты. Причем большая часть группировок начинает атаки на компании ТЭК с их партнеров. Есть несколько основных техник «партнерских» атак: drive-by compromise, supply chain compromise и trusted relationship. 

Эксперты «Ростелекома» обнаружили  двукратный рост хакерских атак вида supply chain на объекты критической информационной инфраструктуры за 2020 год. Другими словами, нефтегазовые и многие другие компании взламывали через их подрядчиков: разработчиков сайтов, поставщиков ПО, аутсорсинговых служб. Инфраструктура таких компаний обычно защищена значительно хуже, чем в сегменте ТЭК, их проще «хакнуть». 

 

Ситуация ухудшается с развитием искусственного интеллекта. Каждый раз, когда департаменты информационной безопасности отбивают атаку, разработанную с применением технологии ИИ, система учится избегать средств защиты. 

 

Меры противодействия

 

Основная проблема атак на энергетический сектор в том, что производственные процессы и цепочки поставок в ТЭК взаимосвязаны и взаимозависимы. Вывод из строя даже одного звена может привести к глобальным последствиям. 

 

Так, во время недавнего взлома серверов Colonial Pipeline, приписываемого группе DarkSide, хакеры заблокировали примерно 100 гигабайт данных из ИТ-сети компании. Colonial Pipeline не могла получить доступ к системам, необходимым для транспортировки топлива. Генеральный директор компании пошел на выплату выкупа порядка $4,4 млн. Однако данные были расшифрованы не полностью, что привело к объявлению режима ЧС в 19 штатах. 

 

Что делать, чтобы не попасть в подобную ситуацию?

 

- Регулярно совершенствовать уровень безопасности объектов ТЭК.

 

Полное предотвращение кибератак практически невозможно, но системы энергоснабжения могут быть спроектированы так, чтобы противостоять нападению и быстро реанимироваться, не прерывая работу критически важной инфраструктуры. Для этого должны быть настроены инструменты резервного копирования и восстановления данных, а ИБ-контур – регулярно обновляться. 

 

Злоумышленники постоянно совершенствуют навыки и используемое ПО. Энергетические компании должны делать то же самое. Например, Royal Dutch Shell заключила партнерские соглашения с производителем ИИ-решений C3ai, Microsoft и компанией Baker Hughes, занимающейся нефтесервисными услугами, чтобы повысить надежность своего оборудования за счет профилактического обслуживания активов.

 

- Сделать ИБ частью корпоративной культуры организации.

 

В отчете по кибербезопасности Международного энергетического агентства (IEA) говорится о том, что деятельность по обеспечению киберустойчивости энергетических предприятий должна быть интегрирована в корпоративную культуру организации, а не рассматриваться как отдельный технический вопрос. 

Только так организации смогут эффективно справляться не только с внешними, но и с внутренними угрозами. Около 80% всех инцидентов в сфере безопасности происходит из-за человеческого фактора. От утечек данных по вине сотрудников компании инфраструктуру защитить крайне сложно.

 

- Использовать преимущественно отечественное ПО
.

 

Сегодня российский ТЭК излишне зависит от импорта иностранных технологий и оборудования. К примеру, лицензия на использование таких программных продуктов может быть отозвана в любой момент из-за санкционного давления. И это грозит сектору серьезными финансовыми убытками и простоями. 

 

Кроме того, использование элементов зарубежного ПО для критически важной инфраструктуры сопряжено с высокими рисками в области кибербезопасности. Так, иностранные программы нередко применяют для выстраивания моделей месторождений или подсчета запасов нефтегазовых месторождений. Утечка такой информации может привести к серьезному финансовому ущербу, а атаки на ПО – к приостановке производства.

 

При этом большая часть используемых в отрасли импортных продуктов, за исключением, разве что, сегмента автоматизации процессов бурения и добычи, давно имеет качественные российские аналоги. Но пока у ТЭК не было достаточного стимула к внедрению отечественных разработок, например, в виде административных предписаний с конкретным дедлайном, компании не были готовы тратиться на обновление инфраструктуры. Сейчас ситуация постепенно меняется.

 

- Обеспечить сотрудничество в отрасли.

 

Важно проводить мероприятия, нацеленные на обнаружение потенциальных уязвимостей и выработку рекомендаций по их устранению. И делать это не только на уровне самих компаний, но и отраслевых организаций. 

 

В России такие примеры уже есть: недавно было объявлено, что «Российское энергетическое агентство» собирается открыть центр кибербезопасности в ТЭК. В перспективе это поможет сформировать в индустрии единую базу знаний и экспертизы в области защиты критически важной ИТ-инфраструктуры.

 

- Организовать трансграничное взаимодействие. 

 

На сегодняшний день не существует четкой системы реагирования на кибератаки, затрагивающие более одной страны. Сейчас предпринимаются попытки наладить международное взаимодействие в области киберрисков. Есть закон ЕС 2018 года, требующий, чтобы компании, занимающиеся критически важной инфраструктурой, соблюдали основные правила безопасности. Правда, каждая страна определяет их сама.

 

Однако нужно нечто большее: например, комитеты или организации, состоящие из основных игроков мировой энергетической экосистемы, которые будут оценивать уровень рисков в области кибербезопасности и общими силами предпринимать шаги для уменьшения угрозы.

 

Комплексный подход

 

Таким образом, чтобы эффективно противодействовать растущему числу угроз, энергетические предприятия должны начать с комплексной оценки текущего уровня кибербезопасности. Сравнить уже работающие ИБ-инструменты с аналогами и действующими отраслевыми стандартами, а также определить для себя узкие места и зоны роста. Только после этого можно переходить к усилению контура безопасности и участвовать в отраслевых инициативах.

Читайте также: