Хакеры наступают

Покорив землю, океан, небо и космос люди существенно упростили и удешевили логистику и тем самым расширили потенциал глобальной экономики. По иронии судьбы именно человеческий фактор сегодня является серьезным препятствием для транспортного прогресса. Ученые и инженеры убеждены, что решит эту проблему поможет искусственный интеллект, который превратит автомобили, корабли, самолеты и поезда в самоуправляемые машины. Однако законодатели пока не спешат идти навстречу инновация.
Хакеры наступают
Покорив землю, океан, небо и космос люди существенно упростили и удешевили логистику и тем самым расширили потенциал глобальной экономики. По иронии судьбы именно человеческий фактор сегодня является серьезным препятствием для транспортного прогресса. Ученые и инженеры убеждены, что решит эту проблему поможет искусственный интеллект, который превратит автомобили, корабли, самолеты и поезда в самоуправляемые машины. Однако законодатели пока не спешат идти навстречу инновация.
Масштаб проблемы

Недавно опубликованный IBM ежегодный доклад X-Force Threat Intelligence Index называет транспортную отрасль второй по привлекательности для киберпреступников после финансовой. На долю перевозчиков, операторов и транспортной инфраструктуры в 2018 году пришлось 13% компьютерных атак. Специалисты отмечают, что этот показатель имеет тенденцию к росту, поскольку транспортные компании тесно взаимосвязаны с внешними поставщиками, активно используют информационные технологии для повышения операционной эффективности и вовлечены в длинные цепочки поставок. Таким образом, успешная атака на одного-единственного участника процесса перевозки может повлечь за собой эффект домино для всей отрасли.

Хакеров, пытающихся взломать транспортные компании, привлекает не только возможность похитить платежную информацию, персональные данные или накопленные бонусы. Рас­тущую активность проявляют специа­лизированные организации, получающие финансирование от различных государств. Их целью, как правило, является нанесение экономического ущерба или хищение интеллектуальной собственности. Согласно справочнику The Cyberthreat Handbook, опуб­ликованному машиностроительным концерном Thales в октябре 2019 года, в киберпреступном сообществе сейчас доминируют именно спонсируемые государствами хакерские группы с долей 49%. Далее следуют команды, протестующие против тех или иных компаний или видов бизнеса (26%), затем — преступники, ищущие исключительно финансовой наживы (20%), и кибертеррористы (5%).

13 мая 2017 года, Германия, вокзал Лейпцига. Цифровое табло сообщает об ошибке. В этот день железнодорожные службы стали целью атаки хакеров
Слабое звено

Наиболее уязвимым для хакеров видом транспорта эксперты по безопасности называют железную дорогу. Амир Левинталь, возглавляющий израильскую фирму Cylus, констатирует, что большая часть систем безопасности в этом сегменте перево­зок значительно отстает от других по уровню цифровизации, а многие элементы систем защиты эксплуатируются без изменений десятки лет. Потенциально уязвимыми являются сигнальное оборудование, системы контроля технического состояния пути и бортовые сети подвижного состава (например, механизмы торможения и разблокировки дверей подчас управляются через Wi-Fi). В этом случае, взломав беспроводную сеть, преступник легко может спровоцировать крушение поезда.

Авиация, где информация ранее передавалась по собственным протоколам и сетям, тоже все активнее полагается на общедоступные системы связи. Здесь опасными с точки зрения вторжений считаются развлекательные системы, электронные устройства экипажа, системы связи с наземными службами и бортовое управление.

Цифровая защита транспортной инфраструктуры становится все более актуальной проблемой
На водном транспорте проблемы безопасности коренятся в многообразии классов судов, в которых используются разнородные операционные системы, в том числе ныне полностью лишенные поддержки разработчиков. Язык же управления автопилотом, двигателями, балластом и компасом полностью стандартизирован. Поэтому, взломав передатчик с устаревшей микропрограммой или незаблокированными заводскими комбинациями логина и пароля, хакеры могут легко причинить вред кораблю: даже небольшой корректировки балласта достаточно для того, чтобы вызвать опрокидывание. Помимо локальных уязвимостей корабли могут стать жертвами зло­умышленников, использующих бреши в наземной инфраструктуре, поскольку постоянно находятся на связи с береговыми службами.

Впечатляющей иллюстрацией того, насколько разрушительными могут быть нападения на современные транспортные сети, является разработанная физиками Технологического университета Джорджии модель хакерской атаки на подключенные к Интернету пассажирские машины. Она показала, что перехват контроля над пятой частью автопарка Нью-Йорка гарантированно вызывает паралич транспортных путей. «Вы, вероятно, сможете перемещаться в пределах нескольких кварталов, но совершенно точно не попадете из одной части города в другую», — говорит один из авторов исследования Давид Янни. Успешной атаки на 10% нью-йоркских автомобилей достаточно для того, чтобы нарушить работу экстренных служб (полиции, пожарных, медиков). Парализовать города с недостаточно эффективной организацией движения, такие как Атланта, Бостон и Лос-Анд­желес, можно со значительно меньшими затратами.
Принуждение к защите

Власти и межправительственные организации активно стимулируют бизнес к повышению защищенности своих сетей. В 2006 году вступили в силу обязательные к применению на территории США, Канады и Северной Мексики стандарты защиты критически важной инфраструктуры от кибернетических угроз (Critical Infrastructure Protection, CIP). Их действие распространяется на банки и финансовые организации, все виды транспорта, энергетику, экстренные службы, правоохранительные органы и государственную и муниципальную власть. Контроль за соблюдением стандартов возложен на некоммерческую организацию North American Electric Reliability Corporation, которая проводит регулярные и внеплановые проверки и расследования подведомственных компаний. Выявленные нарушения караются штрафом до 1 млн долл. в день за каждый инцидент вплоть до его устранения.

В Евросоюзе созвучная североамериканским стандартам CIP директива о безопасности сетей и информационных систем (NIS) была принята лишь в 2016 году, а контроль за ее соблюдением введен только в нынешнем году. Документ предписывает государствам-членам утвердить стратегии кибербезопасности, установить требования к уровню защищенности элементов критической инфраструктуры и порядок уведомления об инцидентах, определить уполномоченные государственные органы, создать службы быстрого реагирования и наладить межгосударственное взаимодействие.

Цифровизация работы диспетчеров на транспорте — это еще и потенциальные угрозы кибератак
К моменту принятия NIS национальное законодательство в области кибербезопасности имели не более половины стран ЕС. Неудивительно, что многие компании оказались не готовы к новому регулированию. Основные сложности были связаны с идентификацией критических цифровых активов и сетей, внедрением процессов управления кибернетическими рисками на всех организационных уровнях, заполнением новых форм отчетности и оповещениями об инцидентах. Поскольку общепринятой практикой стал аутсорсинг отдельных функций системного администрирования, по требованиям NIS необходимо было пересмотреть условия действующих контрактов с подрядчиками.

В 2016 году свое руководство по управлению рисками в области кибербезопасности выпустила Международная морская организация (IMO). Новые правила требуют, чтобы владельцы и операторы судов к началу 2021 года обеспечили защиту своих кораблей от сетевых вторжений. Но некоторые эксперты считают, что требования регулятора безнадежно устарели. «В руководстве IMO нет ни слова про облачные вычисления и искусственный интеллект», — отмечает Том Келлерман из Carbon Black Inc. Подчас хакерам не нужны даже вирусы — достаточно внести искажения в сигналы систем глобального позиционирования, дезориентировать экипаж и, возможно, спровоцировать столкновение.

Международная организация гражданской авиации (ICAO) в октябре 2019 года приняла резолюцию, предписывающую государствам-участникам принять национальные стратегии по авиационной кибербезопасности, наладить обмен информацией об инцидентах, повысить цифровую культуру правительственных органов и частного сектора, разработать единые стандарты защиты, выделить достаточные ресурсы на обновление критически важных систем.

Однако усилия регуляторов не являются достаточным условием устранения брешей в компьютерных сетях. Несмотря на новые правила и нормы, число компьютерных преступлений продолжает быстро расти. В то же время активность властей неуклонно повышает вовлеченность бизнеса в вопросы безопасности, и есть надежда, что транспортные и машиностроительные компании все активнее будут прислушиваться к рекомендациям консультантов и инвестировать средства в защиту своих активов и пользовательских данных.
СПРАВКА

Крупные хакерские атаки на транспорт в 2017–2019 годах
В июне 2017 года вирус-шифровальщик NotPetya поразил более 50 тыс. компьютерных устройств судоходной компании Maersk в 130 странах. Восстановление работоспособности корпоративной сети заняло полторы недели, а совокупный ущерб был оценен в 300 млн долл. Однако урок Maersk так и не был усвоен до конца: в феврале 2019 года береговая охрана США объявила о значительном киберпроисшествии на большом судне, следовавшем из Нью-Йорка в Нью-Джерси.

В феврале 2018 года на один год лишения свободы за несанкционированное проникновение в служебную компьютерную сеть был осужден некий Кристофер Групе, бывший системный администратор Canadian Pacific Railway. Перед своим увольнением он удалил или подменил учетные записи своих коллег на сетевых коммутаторах и уничтожил ряд важных файлов. Для восстановления работоспособности сети компании пришлось произвести полную перезагрузку всех скомпрометированных устройств.

В сентябре 2018 года на незащищенном сервере Boeing был обнаружен программный код систем управления лайнерами серий 737 и 787. Проанализировав эти данные, аналитик Рубен Сантамарта пришел к выводу, что злоумышленники могут перехватить контроль над управлением через уязвимость в развлекательной системе. Ссылаясь на наличие дополнительных элементов защиты, Boeing опроверг возможность успеха подобной атаки. Но в октябре 2018 года гонконгский перевозчик Cathay Pacific Airways сообщил о краже персональной информации 9,4 млн пассажиров, после чего акции компании упали до минимальной отметки за 9 лет.
Участникам процесса перевозки необходимо распределить между
собой общую ответственность за безопасность
Что делать

Эксперты по компьютерной безопасности рекомендуют ограничить доступ персонала и внешних подрядчиков к данным до минимально необходимого уровня. Следует проводить аудит безопасности сторонних компаний не только перед предоставлением доступа к своей сети, но и в дальнейшем, на регулярной основе. Крупным производителям, имеющим тысячи сторонних поставщиков в разных частях земного шара, крайне сложно организовать такую работу. В этих случаях предпочтительным вариантом является использование старых добрых бумажных документов или требование о выполнении всех работ в защищенной среде генерального подрядчика.

Участникам процесса перевозки необходимо распределить между собой общую ответственность за безопасность. Например, владелец инфраструктуры может отвечать за системы диспетчеризации и управления, а также проведение мероприятий по устранению последствий киберинцидентов, системный интегратор — за контроль доступа, технический аудит и архитектуру сети, поставщик подвижного состава — за безопасность своей продукции и защиту процессов ее разработки и производства.

Вирус NotPetya — пример червя, который был нацелен на уничтожение данных зараженных компьютеров.
Для транспортных компаний цифровая эпидемия обернулась сотнями млн долл. убытков
Следует проводить регулярный аудит критически важных элементов собственной компьютерной сети и подключенного к ним оборудования. Желательно, чтобы они располагались в отдельных доверенных доменах: в этом случае их взаимодействие между собой и с публично доступными сетями легче контролировать. Анализируя целесооб­разность расходов на новые меры компьютерной безопасности, нужно всегда принимать во внимание потенциальные убытки от хакерских атак.

С учетом растущего географического охвата перевозок и производства в условиях разрозненных и подчас устаревших регуляторных требований можно ожидать, что новости об успешных нападениях хакеров нескоро исчезнут с лент информационных агентств. Однако накопленного сегодня как положительного, так и отрицательного опыта вполне достаточно для того, чтобы минимизировать негативные последствия кибератак и ограничить зону их распространения лишь небольшим участком цепочки поставок.
КОРОТКО

  • Компьютерная безопасность выходит далеко за периметр конкретной организации, поэтому необходимо синхронизировать оборонительные меры с внешними контрагентами и подрядчиками.  
  • Изучение мотивов потенциальных киберпреступников — ключ к определению критически важной информации.  
  • Новые средства защиты — это не только капитальные затраты, но и страховка от потенциальных убытков. Обучение компьютерной безопасности должно охватывать все уровни персонала.  
  • Любой инцидент, внешне похожий на технический сбой, может являться результатом несанкционированного внешнего вторжения. Требования по кибербезопасности устанавливаются не только национальными, но и международными органами и имеют свою специфику в зависимости от конкретного географического рынка, поэтому необходим постоянный мониторинг регуляторной среды.