Отчет компании Chatham House показывает, что предприятия, работающие в сфере атомной энергетики, совершенно не думают о защите от хакеров и, несмотря на нарастающую во всем мире обеспокоенность по поводу совершенствующих свои навыки киберпреступников, не предпринимают никаких решительных действий.
Хотя всем известно, какие последствия для экономики страны может иметь серьезный и продолжительный сбой в работе энергетической инфраструктуры, организации, работающие в сфере атомной энергетики, пока не способны полноценно обезопасить себя от атак. На это есть ряд причин технологического, отраслевого и культурного характера. Кроме того, зачастую руководство предприятий неадекватно оценивает потенциальную опасность, исходящую от хакеров.
В ходе подготовки отчета за 18 месяцев специалисты Chatham House провели интервью с 30 экспертами из различных стран, в том числе из США, Великобритании, Франции, Германии, Японии, Канады, Украины и России.
Выяснилось, что при помощи поисковых систем можно найти компоненты критической инфраструктуры через доступ к VPN-сетям, к которым нередко подключены компьютеры АЭС. Кроме того, о подключении объектов к VPN их операторы знают не всегда. Ситуация усугубляется низкой степенью осведомленности о киберугрозах и соответственных рисках на уровне руководства. Хотя многие считают предприятия атомной энергетики изолированными от Мировой паутины, это миф, так как АЭС и подобные предприятия все чаще подключены к Сети для экономии времени и издержек. Стоит вспомнить нашумевшую историю со Stuxnet — хакеры нашли возможность внедриться в системы иранского завода по обогащению урана и таким образом практически похоронить иранскую ядерную программу.
Проблемы подобных организаций в области кибербезопасности вполне объяснимы: большинство промышленных систем управления процессами были созданы еще в 60–70-х годах прошлого века, когда компьютеры едва появились, поэтому противодействие кибератакам не было заложено в их концепцию. Например, в этих системах не предусмотрены процессы аутентификации и верификации, что потенциально делает их простой добычей хакера, занявшего позицию «человек посередине». Гибкость кода систем управления, используемых на объектах, открывает возможности для перепрограммирования логики контроллеров, благодаря чему злоумышленник может изменить принцип работы критических компонентов.
Недостаток знаний в области отражения атак на компоненты критической инфраструктуры делает положение предприятий атомной энергетики еще более зыбким. «Если атака на предприятие увенчалась успехом и хакер уже проник в системы АЭС, операторы практически не имеют возможности обеспечить ее дальнейшую защиту, то есть при отражении атак приходится полагаться исключительно на надежный периметр», — предупреждают авторы отчета.
С 1992 по 2014 год зафиксировано семь крупных инцидентов на объектах атомной энергетики, в том числе на АЭС Ignalina в Литве и на иранском заводе в Нетензе, ставшем жертвой известного червя Stuxnet. Этот опасный зловред, кстати, также смог заразить некий российский объект, информацию о котором не раскрывают.
Анализ кода Stuxnet показал, что его создание, очевидно, было спонсировано спецслужбами, задавшимися целью саботировать иранскую ядерную программу. Хакеры смогли создать вирус, пробравшийся в SCADA-системы через программы поставщиков завода, в частности компании Siemens. Позже выяснилось, что червь, сумевший вывести из строя около 1000 центрифуг, действительно был разработан специалистами АНБ и израильскими спецслужбами. Однако в связи с активным обменом информацией через соцсети и теневые форумы существует вероятность того, что террористические группировки также могут разработать код для проведения атак на предприятия энергетики. В этой связи изъяны безопасности на объектах критической инфраструктуры несут в себе большие риски как для операторов объектов, так и для всех остальных.
