Издательство «Манн, Иванов и Фербер» представляет книгу Томаса Паренти и Джека Дометта «Кибербезопасность. Что руководителям нужно знать и делать» (перевод Эльвиры Кондуковой и Светланы Давыдовой).
Компании тратят огромные средства, чтобы их активы и данные были под надежной защитой, однако киберриски только возрастают. Никакие новые технологии или увеличение бюджета не в силах переломить эту ситуацию. Томас Паренти и Джек Домет больше 30 лет занимаются вопросами кибербезопасности. В этом руководстве они систематизируют свой опыт, описывают все известные и популярные инструменты, обстоятельно объясняя, почему одни работают, а другие нет, а также делятся передовыми практиками.
Предлагаем прочитать фрагмент книги.
Сценарии киберугроз в действии: графство Маручи
Приведем пример кризиса, развивавшегося точно по стандартному сценарию киберугрозы. Этот инцидент лишний раз свидетельствует о том, что рассказать историю — самый удобный способ понятно объяснить технические аспекты кибератаки и защиты от нее. Первый принцип цифрового контроля — «Если вы этого не понимаете, вам плохо объяснили» — вполне реализуем на практике.
Графство Маручи — пасторальное комьюнити и место паломничества туристов примерно в сотне километров к северу от Брисбена (Австралия), в Саншайн-Коаст (Квинсленд). Тихий океан, вода теплая круглый год, а типичный прогноз погоды звучит примерно так: «Прекрасная погода сегодня, и еще лучше завтра». Отличная экология. Невероятные красоты: протяженные пляжи с белым песком, потрясающие озера, субтропические дождевые леса, глубокие ущелья, прозрачные ручьи и шумные водопады. Здесь живут коалы и многие редкие птицы, например буроголовый траурный какаду и земляной попугай.
Компания Maroochy Water Services управляет водоснабжением графства: ее деятельность включает в себя забор, очистку и распределение воды, а также сбор и обработку около 35 млн литров сточных вод в день. Это предприятие критически важно для Маручи. Поскольку разные территории графства находятся на разной высоте над уровнем моря, система канализации включает в себя 142 насосные станции, расположенные в стратегических точках 880-километровой сети Maroochy Water Services. Сточные воды закачиваются на достаточную высоту, а оттуда самотеком под действием силы тяжести поступают на очистные сооружения.
Maroochy Water Services имеет централизованную систему управления: из одной точки операторы могут включать и выключать отдельные станции, а также регулировать мощность насосов. Станциями можно управлять и на месте, а размещенные на них приборы способны передавать команды, чтобы контролировать работу других станций.
В конце января 2000 года система управления операциями начала вести себя странно: терялась связь с насосными станциями, нарушался контроль их работы, а иногда подавались ложные сигналы тревоги. Несколькими неделями позже обслуживающая компания поняла, что причина в хакерской атаке, но было поздно. Ко времени, когда проблему диагностировали, сточные воды переполнили резервуары и потекли по графству ручьями. Они затопили соседние районы, приливно-отливную сеть и даже поле для гольфа, где проводился чемпионат PGA Австралии — при пятизвездочном отеле Hyatt Regency Coolum Resort. В близлежащем городке Пасифик Парадайз «до миллиона литров неочищенных сточных вод попали в ливневую канализацию». В местных парках и русле реки «…всё живое погибло, вода в ручьях стала черной, а жители страдали от ужасной вони». И всё это последствия кибератаки.
Всё закончилось вечером 23 апреля, после того как полиция обнаружила подозрительную машину возле насосной станции в городке с говорящим названием Десепшен-Бей (Залив Обмана. — Прим. пер.). В салоне были найдены украденные приборы для контроля насосов, компьютеры, сетевые кабели и радиооборудование — полный арсенал для кибератаки. Примерно три месяца машина злоумышленника служила ему мобильным центром управления; за это время он организовал более сорока атак и затопил канализационными стоками чистейший уголок природы!
Злоумышленником оказался бывший сотрудник компании, поставлявшей контрольные приборы на насосные станции. С работодателями он регулярно конфликтовал. Дважды этот человек пытался устроиться в Maroochy Water Services, но безуспешно; в итоге, рассерженный и обиженный на весь свет, он решил отомстить обеим компаниям. Зная устройство системы операционного контроля, он смог установить радиосвязь с приборами отдельных насосных станций, что и привело к их странному поведению. В кибератаке использовалось то же оборудование, которое обеспечивало управление насосами, но теперь оно стало мощным оружием.
Атака велась в два этапа: подключение к системе контроля одной насосной станции, а затем манипулирование ею с целью нарушить работу и парализовать центральную систему управления. Для успеха обиженному хакеру хватило двух уязвимостей в системе кибербезопасности: первая состояла в том, что для доступа к оборудованию не запрашивался пароль, а вторая — в том, что радиочастоту, на которой осуществлялась связь с системой контроля, легко было узнать из технической документации. Для проведения кибератаки требовалось находиться в зоне устойчивой радиосвязи, но совсем не обязательно — на самой насосной станции.
Успеху диверсии немало способствовало то, что злоумышленник располагал инсайдерской информацией. Тем не менее и без этого организовать ее не так уж сложно, поскольку информация, ранее известная только сотрудникам и подрядчикам компании, теперь доступна всем, у кого есть интернет. Потратив некоторое время на веб-поиск, можно загрузить протоколы коммуникации, документацию по продукту, инструкции по программированию и ПО для оборудования, аналогичного используемому на насосных станциях. На форумах специалисты с удовольствием ответят на ваши вопросы и посоветуют, как правильно эксплуатировать оборудование такого типа, а достать его помогут интернет-магазины известных брендов и онлайн-аукционы. Поэтому хакеры могут планировать и тестировать атаки, с комфортом расположившись дома или в офисе в любой точке земного шара.
Последствия этого нападения могли оказаться куда серьезнее. Если бы вышли из строя все насосные станции, графство утонуло бы в сточных водах, что привело бы к экологической катастрофе. Страшное преступление, а для злоумышленника — куда менее затратное, чем, например, взрыв одной из насосных станций.
Из ситуации с Maroochy Water Services можно сделать несколько выводов (см. таблицу 3). Один из них таков: важно понимать, как хакер может использовать уязвимости вашей системы. Другой говорит о необходимости выбрать адекватные инструменты для отражения атаки.
В данном случае требовались всего две предосторожности: установка пароля для доступа к системе контроля насосных станций и шифровка радиосообщений. При этом, поскольку злоумышленник не использовал вредоносные программы, такие типичные контрмеры, как покупка антивируса и обучение сотрудников антифишингу, оказались бы бесполезными.
Таблица 3. Четыре компонента сценария киберугрозы в графстве Маручи
Компонент | Ситуация в графстве Маручи |
Ключевые виды деятельности и сопряженные с ними риски | Вид деятельности: переработка сточных вод Риск: сбой в функционировании насосных станций |
Вспомогательные системы | Централизованная система управления операциями Приборы системы контроля на насосной станции |
Кибератаки и их последствия | Эксплуатация незащищенной сети коммуникаций, недостатки в системе авторизации при входе в систему управления насосными станциями Масштабный сброс неочищенных сточных вод |
Киберпротивник | Обиженный бывший сотрудник |
Как видите, объяснение технических аспектов и средств противодействия этой атаке вполне понятно неспециалисту. Именно такие примеры гипотетических киберрисков компания обязана довести до всех сотрудников.
По мере того как вы идентифицируете риски, становится очевидным еще один вывод: важно постоянно анализировать систему кибербезопасности на предмет недоработок и ошибок. Незащищенный доступ к системе контроля и отсутствие шифрования сообщений как раз и были такими недоработками. Ключевые ошибки в случае мошенничества с дебетовыми картами, о котором мы писали ранее, — технические баги в протоколах одобрения онлайн-платежей, изъяны при разработке процедур соблюдения времени оплаты и решения спорных вопросов. Компания может выявить эти уязвимости, только если будет анализировать киберриски в контексте своей бизнес-деятельности.
