О дорожной инфраструктуре
Вокруг интернета вещей, особенно промышленного (или Industrial Interent of Things — IIoT), сегодня царит эйфория, и даже отмечается некоторое головокружение от успехов. Стартапы, инвесторы, ассоциации, стандарты, протоколы… А что у нас с безопасностью этой «новомодной» технологии? Какие риски нас ждут, о чем мы еще не знаем или не задумываемся?
Возьмем, к примеру, дорожную инфраструктуру. Власти регулярно сообщают о проектах по запуску беспилотных автомобилей на улицах города, а профессионалы постоянно читают о взломах бортовых компьютеров самых обычных автомобилей, которые могут превратить жизнь мегаполиса в хаос. Но взлом автомобиля — еще полбеды. И взлом светофоров, как это произошло в далеком 2007-м в Лос-Анджелесе, тоже. А если будет взломан аэропорт? Провести ночь на чемоданах в окружении разъяренных пассажиров — не самое лучшее начало отпуска. А ведь прецеденты были. Достаточно вспомнить кибератаки на международный аэропорт Борисполь (Украина) в конце 2015 — начале 2016 года. Кстати, авиационный транспорт — не единственный, подвергающийся атакам хакеров. Например, в марте 2016 года стало известно о взломе системы управления данными одного крупного ближневосточного концерна, которая содержала сведения о маршрутах и грузах всех судов данной компании. В результате расследования выяснилось, что хакеры сначала выясняли, где находится наиболее ценный груз, а затем пираты целенаправленно грабили эти суда. Таким образом, например, был украден груз алмазов.
О ЖКХ
А кафе? Взломом сайта или бухгалтерии общепита уже никого не удивишь, но как насчет системы канализации, водоснабжения или жилищно-коммунального хозяйства в целом? В 2001 году австралийский хакер был приговорен к 2 годам тюремного заключения за атаку на систему управления канализацией в австралийском Брисбене, которая привела к сбросу 1 млн литров нечистот на территорию пятизвездочного отеля Hyatt Regency Resort. Как выяснилось, это сделал бывший сотрудник компании, установившей компьютеры, который запустил атаку как месть за то, что его не восстановили на работе после увольнения.
В 2006 году схожая ситуация произошла в Харрисбурге (Пенсильвания, США). Ноутбук сотрудника была взломан через Интернет, а затем его использовали как точку входа для доступа к административным системам водоочистных сооружений. В марте 2016 года схожие проблемы были у Kemuri Water Company. Прошлый ноябрь ознаменовался еще одной атакой на компанию из отрасли водоснабжения — Lansing Board of Water & Light. Шифровальщик, попавший внутрь этой американской компании, расположенной в Мичигане (США), парализовал работу информационных систем больше чем на неделю. С момента атаки в 2001 году прошло 16 лет, а ситуация с безопасностью систем ЖКХ в лучшую сторону не изменилась.
Об унитазах
Пойдем дальше… Прекрасная погода, не один выпитый чайник марокканского чая, долгое ожидание… Я направляюсь в туалет, а мой мозг вновь рисует картины хакерских проделок, имеющие место и в реальной жизни. В 2013 году мир облетела новость, что японские унитазы Satis содержат уязвимости, которыми могут воспользоваться злоумышленники. Этими «умными» японскими устройствами можно управлять через Android, и пользователь может выполнять широкий спектр различных действий:
- поднимать и опускать сиденье унитаза;
- смывать воду;
- активировать биде и вентилятор;
- воспроизводить музыку через встроенные динамики;
- следить за расходом воды и электричества;
- а также вести «туалетный дневник» с подробной статистикой и «аналитическими» данными.
Спустя 3 года, в феврале 2016 года, история повторилась, но уже с другими унитазами. Специалисты Panasonic обнаружили уязвимость в очередных японских изделиях, и никакая туалетная бумага тут не поможет. Кстати, о туалетной бумаге я тоже могу вспомнить историю. В феврале 2017 года был осужден бывший сисадмин американского целлюлозно-бумажного комбината Georgia-Pacific, который удаленно подключился к заводу по производству туалетной бумаги в Луизиане и «играл» с его промышленными системами.
О ТЭК
Но гораздо более активно хакеры атакуют более важные и более опасные объекты — топливно-энергетические компании, включая атомные объекты. Атаки на АЭС в Японии и Германии в 2015 и 2016 годах, на энергосистему Украины в 2015 году, на плотину вблизи Нью-Йорка в 2016 году, на электроэнергетику Израиля и Японии в 2016 году, на энергосистему Турции в 2017-м…
И это только известные случаи за последние 1,5–2 года. Последствия можно только представить: веерные отключения электричества, отсутствие электроснабжения в больницах, транспорт и связь перестают работать, банки не выдают деньги… Мы возвращаемся в пещерные времена. Приятная перспектива, не правда ли?..
Это не такая уж фантастика. Известное отключение атомного реактора на АЭС Дэвис-Бесс (США) в 2003 году стало следствием нарушения именно информационной безопасности. Как выяснила Американская комиссия по регулированию атомной энергетики (U.S. NRC), хорошо известный червь SQL Slammer был случайно (так посчитала комиссия по расследованию) занесен на флешке во время проведения регламентных работ подрядчиком, что и привело к недоступности одного из серверов АЭС в течение нескольких часов, а затем последовал останов реактора. К счастью, никаких радиоактивных выбросов не последовало, и вреда жизням и здоровью людей не нанесено. Развеем распространенное заблуждение, что червь Stuxnet был первым примером атаки на атомные объекты, — это не так. Сегодня насчитывается уже около полутора десятков публичных случаев инцидентов на таких объектах, и первые из них происходили еще в прошлом веке.
О НAVEX
Несмотря на достаточно активное освещение данной теме в СМИ, существует одна история, которая меня до сих пор волнует. Речь идет о HAVEX, специализированном вредоносном коде, направленном на сбор разведывательной информации: о зараженной системе, об OPC-сервисах, используемых промышленных протоколах в сети. Кампания с применением данного вредоносного ПО (Backdorr.Oldrea или Energetic Bear RAT) датируется концом 2010 — началом 2011 года, но публично о ней заговорили только в июне 2014 года. Но самое интересно, что с конца 2014 года о HAVEX внезапно перестали писать все: и западные, и, что интересно, российские компании, специализирующиеся на безопасности АСУ ТП. Как корова языком слизала со страниц специализированных изданий любое упоминание о данной угрозе. Почему? До сих теряюсь в догадках.
Зато иностранные СМИ активно эксплуатируют тему русских хакеров, которые атакуют все, что движется, и постоянно взламывают зарубежные критические инфраструктуры. Например, якобы Министерство национальной безопасности США в январе этого года подтвердило атаку русских хакеров на химическое предприятие. Они же взломали электроэнергетическую компанию в американском Вермонте, а также артиллерийское приложение на Украине, что повлекло уничтожение до 80% всех гаубиц определенной модели. Потом, правда, выяснилось, что во всех этих случаях не то чтобы русских, вообще никаких хакеров не было. Но геополитика не терпит доказательств, зато у всего прогрессивного человечества теперь все громкие взломы ассоциируются с Россией и «хакерами в погонах», за которыми стоят ФСБ и ГРУ.
Размышляя таким образом, я допил чай, расплатился с официантом и пошел в сторону платной парковки, где оставил свою машину, которая, к счастью, пока не замечена в сводках «хакерского информбюро».
О парковках
Платная парковка… Случаев ее взломов вроде пока не зафиксировано, хотя мы прекрасно понимаем, это не потому, что они неуязвимы. Возможно, просто не пришло время. В своих раздумьях я чуть было не наступил на белку, которая грызла что-то, держа добычу в цепких лапках.
О белках
Белки… А ведь они сегодня представляют гораздо большую опасность для систем промышленной автоматизации. Согласно проекту https://cybersquirrel1.com/, именно эти мелкие грызуны чаще всего являются причиной бед на промышленных объектах, с большим отрывом опережая птиц, змей, енотов и даже бобров с медузами. Человек, в том числе хакеры с кибератаками, в этом списке находятся на почетном последнем месте. А значит, у нас еще есть время, чтобы подготовиться к более серьезным и более массовым кибератакам на Интернет вещей, его промышленную и повседневную составляющие.