11 років тому в національній лабораторії Айдахо у США провели експеримент. Дослідники придбали дизельний генератор потужністю 2,5 мегават й дали можливість “хакерам” атакувати його.
В результаті генератор не просто зупинився, а був фізично зламаний – від нього відпали окремі елементи, пішов чорний дим, він перестав працювати. Це був перший випадок фізичного знищення об’єкту в результаті кібератаки.
Інший експеримент був проведений в 2010 році. Хакери отримали доступ до електронного обладнання кількох підстанцій електричної мережі США і націлилися на системи, що підтримують стабільність напруги в лініях електропередачі. Якби мала місце справжня атака і шість таких систем були зруйновані, то цілий штат на кілька тижнів залишився би без світла.
У 2017 році експерименту не було. Справжні хакери атакували одну з нафтохімічних компаній, що володіє заводом у Саудівській Аравії. Через помилку в коді, яку допустили зловмисники, їхній задум не спрацював. А результатом атаки мав стати вибух на заводі, в результаті якого могли й загинути люди.
Потреба в кібербезпеці з’явилася порівняно недавно, коли люди створили новий простір для життя – кіберпростір. У ньому не лише зберігається і передається інформація, а й відбуваються тисячі процесів життєдіяльності окремих людей, держав і суспільства в цілому. Спочатку з’явився Інтернет, в якому люди обмінювалися інформацією. Зараз все активніше розвивається так званий Інтернет речей (Internet of Things), під яким розуміються підключені до мережі побутові предмети, які вже без залучення людей збирають та передають дані. А в недалекому майбутньому, за прогнозами, нас чекає Інтернет всього (Internet of Everything), в якому між собою будуть поєднані люди, речі, дані та процеси.
Хоча кіберпростір штучний, ми вже живемо в ньому. І від цілісності цього простору напряму залежить якість нашого життя. Якщо уявити, що в певний момент скрізь зникне Інтернет, то в магазини не доїде молоко, пацієнти не розрахуються карткою в лікарні, люди похилого віку не отримають пенсію, не працюватимуть соціальні інституції.
Інтеграція в кіберпростір прогресуватиме й надалі, в нього переходитиме все більше систем і функцій: системи управління світлофорами на перехрестях, підігріву води на котельнях, управління електростанціями, робота банківських сервісів, надання освітніх і медичних послуг.
Ми повністю інтегровані в цей простір, і атака на нього за рівнем наслідків стає рівносильною атаці в фізичному просторі. Ще в 2011 році уряд Нідерландів погодив, що кібератака, що тягне за собою серйозні порушення роботи з довготривалими наслідками, прирівнюється до збройного нападу.
Відповідно, кібербезпека – це певні технології, процеси та регуляції, що формують безпечний стан цього простору, безпечну життєдіяльність людей у кіберпросторі. Тому що зловмисники, які раніше оперували у доступному їм фізичному вимірі, сьогодні все активніше діють у кіберсвіті.
Хакери проникають в комп’ютери інших людей, зламують системи безпеки великих організацій, блокують роботу Інтернет-ресурсів державних органів. Вони шифрують або блокують доступ до даних, викрадають гроші або цінну комерційну інформацію, чим шкодять окремим людям або компаніям. Та крім цього хакерські атаки в кіберпросторі здатні викликати серйозні наслідки в фізичному просторі та завдати значної шкоди на рівні держави. Атакуючи об’єкти критичної інфраструктури, кіберзловмисники можуть вивести з ладу систему охолодження на електростанції, зупинити виробництво на фабриці ліків і навіть підірвати нафтопереробний завод.
Атакувати подібні об’єкти стало легше з розвитком кіберпростору. На виробничих підприємствах поряд із інформаційними технологіями (ІТ) діють операційні технології (ОТ), які переводять багато процесів у автоматичний режим. Раніше ці автоматичні системи управління керувалися найпростішою автоматикою, але з часом вони почали ставати все більш інформатизованими. Задля зручності їх теж почали переводити у кіберпростір, і це зробило їх більш вразливими до кібератак.
В Україні перша серйозна атака на об’єкт критичної інфраструктури сталася в 2015 році – ціллю зловмисників стало Прикарпаттяобленерго. У 2016 році були атаки на Укренерго, Укрзалізницю, Пенсійний Фонд, Держказначейство. Кожна наступна атака була більш витонченою, краще спланованою і якісніше реалізованою.
Об’єкти критичної інфраструктури – найкраща ціль для зловмисників, які хочуть завдати шкоду цілій державі. Їх не цікавить збагачення чи підтримка акцій протесту. Найчастіше такі атаки організовують або підтримують інші держави. Сьогодні кілька десятків країн у світі мають офіційно сформовані кібервійська. До п’ятірки найчисельніших і найкраще фінансованих, за оцінками експертів, входить і кіберпідрозділ збройних сил Росії, яка вже 4 роки веде гібридну війну з Україною.
Через важкість наслідків потенційних кібератак на об’єкти критичної інфраструктури їхній захист прописаний у національних стратегіях з кібезбезпеки багатьох країн. Разом з тим у всьому світі лише зараз створюються стандарти захисту об’єктів критичної інфраструктури.
В Україні немає єдиного центрального органу, відповідального за реалізацію стратегії кібербезпеки, ця функція децентралізована. Основу національної системи кібербезпеки становлять Міністерство оборони, Державна служба спеціального зв’язку та захисту інформації, Служба безпеки, Національна поліція, Національний банк і розвідувальні органи. Національний банк України, наприклад, формує вимоги щодо кіберзахисту критичної інформаційної інфраструктури у банківській сфері. Міністерство палива та енергетики може регулювати це питання у свої галузі, Міністерство інфраструктури – в своїй. І так далі.
Такий підхід видається правильним. Централізована система може бути більш ефективною, але і більш вразливою. Наприклад, до корупції та зловживань. Або якщо система вибудувана неефективно, це відобразиться у всіх галузях.
Одна з найменш захищених у кіберпросторі галузей – медична. І не лише в Україні, а й в усьому світі. Якщо взяти, наприклад, кардіостимулятор, то до нього існує дуже багато вимог щодо якості матеріалів, деталей, виробництва. Але якщо цей стимулятор має чіп, що передає інформацію на комп’ютер, то вимоги щодо його захищеності зараз взагалі відсутні. І можна порівняти масштаби наслідків, якщо будуть порушені вимоги щодо пластику корпусу, і якщо хтось отримає незаконний доступ до тисяч таких стимуляторів і просто зупинить їх.
Але оскільки раніше в медицині нічого не робилося в плані кібербезпеки, у нас є можливість з нуля збудувати сучасну та ефективну систему.
Найбільш розвиненою з точки зору кібербезпеки зараз є банківська сфера. Діяльність банків уже давно регулюється різними вимогами і стандартами інформаційної безпеки. Спочатку це були міжнародні стандарти, потім з’явилися власні галузевий стандарти та постанови НБУ, наразі Нацбанк уже здійснює не просто регуляторну діяльність, але і створює платформу сервісів із кібербезпеки.
Таким чином, щоб побудувати ефективну систему кібербезпеки об’єктів критичної інфраструктури, потрібно впроваджувати і розвивати два паралельні процеси: 1 – регуляція і стандарти; 2 – сервіси. Регуляція завжди була рушійною силою ринку інформаційної безпеки, вона є також важливим елементом і для розвитку галузі кібербезпеки та реалізації національної стратегії. Та якщо буде лише сама регуляція, галузь не буде сприйматися як корисна. Щоб створився повноцінний ринок, пропозиція має бути конкурентна та самодостатня. Має бути створений органічний попит на продукт та зацікавленість у галузі як з боку майбутніх спеціалістів, так і з боку інвесторів. І у формуванні цього ринку державні установи можуть також приймати участь, створювати і пропонувати власні послуги, які будуть конкурентні, які будуть мати попит та створювати робочі місця.
Автор: Роман Сологуб, генеральний менеджер Information Systems Security Partners
Джерело: biz.nv.ua