ІСТИНА І ТРАДИЦІЇ

Звіт: Американське водопостачання та електропостачання "вразливі" до кібератак

Велика Епоха
Станція колоніального трубопроводу Smyrna в окрузі Кобб, штат Джорджія, 10 травня 2021 р. (John Spink/The Atlanta Journal-Constitution/TNS)

Злом Департаменту водопостачання і енергетики Лос-Анджелеса у 2018 році зайняв всього шість годин. На початку 2021 року зломщики проникли в сотні комп'ютерів, пов'язаних з системами водопостачання по всій території Сполучених Штатів. А в Портленді, штат Орегон, вони приєднали заражені комп'ютери до енергосистеми, що забезпечує електроенергією частину Північного Заходу США.

Два з цих випадків — в Лос-Анджелесі і в Портленді були контрольованими. Але «водна» загроза була реальною, її виявила компанія Dragos, яка займається кібербезпекою.

Всі ці три випадки вказують на давно відомий, але залишений без уваги факт: цифрова безпека комп'ютерних мереж США, керованих машинами, що виробляють і розподіляють воду та електроенергію, є вкрай неадекватною, бо не приділяє належної уваги роботі операторів системи і регулюючих органів, що створює загрозу національній безпеці.

Андреа Каркано — співзасновник компанії Nozomi Networks, яка займається забезпеченням безпеки систем управління, зазначив, що: «Якщо завтра нас чекає нова світова війна і нам доведеться турбуватися про захист інфраструктури від кібератак з боку Росії або Китаю, то я не думаю, що ми знаходимося там, де хотіли би бути».

Хакери вже давно загрожують американським інформаційним системам. Але в останні шість місяців вони активно атакували компанії, що управляють операційними системами, такі, як паливна система компанії Colonial Pipeline (Colonial Pipeline — найбільша трубопровідна система в США. Поставляє газ і нафтопродукти з заводів Мексиканської затоки на Східне узбережжя Америки.). Це системи, в яких вода може бути забруднена, газова лінія може викликати витік або підстанція може вибухнути.

Загроза існує вже, як мінімум, десять років — але ціна питання і байдужість — створюють перешкоди для дій.

Залишається незрозумілим, чому дрібні хакери-вимагачі, які використовують шкідливе програмне забезпечення для отримання грошового викупу за розблокування заражених комп'ютерних систем від невеликих університетів, банків і місцевих органів влади, перейшли на рівень енергетичних компаній, м'ясокомбінатів і підприємств комунального господарства. Експерти підозрюють в цьому зростання конкуренції, збільшення виплат хакерам, а також участь в цьому іноземного уряду. Це, нарешті, привернуло увагу до проблеми.

Уряд США почав вживати невеликі кроки щодо захисту кібербезпеки ще в 1998 році, коли адміністрація Клінтона віднесла 14 приватних секторів економіки до критично важливих, включаючи: хімічну промисловість, оборону, енергетику і фінансові послуги. Це призвело до їх регулювання у сфері фінансів та управління. За словами Роба Лі, засновника компанії Dragos, інші галузі економіки, в тому числі нафтогазовий сектор, повільніше захищали свої комп'ютери.

Одна з причин цього — операційний і фінансовий тягар припинення виробництва і установки нового обладнання.

Велика частина інфраструктури, в якій працюють технологічні системи, занадто застаріла для складних інструментів кібербезпеки. Копіювання і заміна обладнання обходяться дорого, так само як і перебої в обслуговуванні. Мережеві адміністратори побоюються, що виконання роботи частинами може бути поганим, оскільки це може збільшити вразливість мережі для хакерів, сказав Андреа Каркано з компанії Nozomi Networks.

Хоча бюджет адміністрації Байдена виділив 20 мільярдів доларів на модернізацію енергосистеми країни, це сталося надто пізно. Навіть в тих випадках, коли компанії в недостатньо регульованих секторах (як, наприклад, нафтогазова) приділяють пріоритетну увагу кібербезпеці, вони не отримують належної підтримки.

Візьмемо, наприклад, компанію ONE Gas Inc. в Талсі, штат Оклахома.

Нійо Літтл Тандер Пірсон курирував там кібербезпекою в січні 2020 року, коли його команда була попереджена про шкідливі програми, які намагаються проникнути в ту частину операційної системи, яка контролює рух природного газу через Оклахому, Канзас і Техас.

Протягом двох днів його команда боролася з хакерами, які переміщалися мережею. В кінцевому підсумку команді Пірсона вдалося «прогнати» зловмисників.

Коли Річард Робінсон з компанії Cynalytica завантажив пошкоджені файли ONE Gas Inc. в свою програму ідентифікації він зрозумів, що він має справу з шкідливим ПЗ, здатним запускати програми-вимагачі, експлуатувати системи управління виробництвом і збирати облікові дані користувачів. В його основі лежали цифрові сліди, виявлені в одному з найбільш шкідливих кодів останнього десятиліття.

Нійо Літтл Тандер Пірсон намагався передати дані Федеральному бюро розслідувань, але вони могли прийняти їх тільки на компакт-диску. Його ж система не могла записати дані на компакт-диск. Коли він попередив Міністерство внутрішньої безпеки і відправив дані через їх захищений портал, він так і не отримав відповіді.

Робінсон з Cynalytica був впевнений, що національний державний оператор атакував регіонального постачальника природного газу. Тому він по конференц-зв'язку провів презентацію для Міністерства внутрішньої безпеки, Міністерства енергетики та оборони і розвідувального співтовариства США. Відповіді він теж не отримав.

«Ми отримали нуль, і це було дійсно дивно», — сказав він. «Ніхто не звернувся до нас, щоб дізнатися більше про те, що трапилося з ONE Gas Inc».

Ці органи не реагують на прохання прокоментувати подію. Така офіційна байдужість і навіть ворожість — не рідкість.

Ще приклад — вторгнення в систему водо- та електропостачання Лос-Анджелеса в 2018 році.

Це не були злочинці, а це були наймані хакери, яким платили за злом системи, щоб допомогти їй підвищити безпеку.

Після початкового вторгнення служба безпеки міста попросила хакерів припустити, що першоджерело злому було виявлене (насправді це було не так), поки вони шукали інші. Вони знайшли їх багато.

За словами людини, знайомої з цим тестом, але який не мав права публічного виступу, в період з кінця 2018 року по 2019 рік, наймані хакери виявили 33 шляхи злому. Bloomberg News розглянули доповідь, підготовлену хакерами для офісу мера Лос-Анджелеса — Еріка Гарсетті.

У ньому описані 10 вразливостей, виявлених в ході їхнього власного тесту, а також 23 проблеми, виявлені дослідниками ще у 2008 році. (Bloomberg News не публікуватиме інформацію, яку хакери можуть використовувати для атаки на утиліту). Людина, знайома з проведеним тестом, виявила, що лише деякі з 33 прогалин в системі безпеки були виправлені з моменту надання цього звіту в вересні 2019 року.

Далі — гірше. Незабаром після того, як хакери підготували звіт, мер Гарсетті розірвав контракт, — згідно з даними попереднього судового позову, поданого хакерами, найнятими компанією Ardent Technology Solutions в березні 2020 року. Компанія стверджує, що мер звільнив хакерів в якості «відповідного заходу» за різкий звіт.

Представник комунального підприємства Еллен Ченг визнала, що контракт з Ardent Technology Solutions було розірвано, але заявила, що це не має ніякого відношення до змісту звіту.

За її словами, комунальне підприємство часто співпрацює з державними установами для підвищення безпеки, включаючи і перевірку на предмет потенційних кіберзагроз.

«Ми хочемо запевнити наших клієнтів і зацікавлені сторони, в тому, що кібербезпека має першорядне значення для Департаменту водопостачання і, що було вжито відповідних заходів для забезпечення того, щоб наша кібербезпека відповідала всім чинним нормам і стандартам безпеки», — сказав Ченг у заяві.

Офіс мера Гарсетті не відповів на прохання прокоментувати розірвання контракту.

Випадок з мережею штату Орегон — Енергетичною адміністрацією Бонневілл не підбадьорює.

Тестування тривало починаючи з 2014 року, і виявило шокуючий рівень вторгнень, в результаті цього була представлена пара публічних звітів. В одному з них, опублікованому в 2017 році, агентство було попереджено про неодноразову бездіяльність.

До 2020 року дві третини, з більше ніж ста недоліків, виявлених Міністерством енергетики та власною службою безпеки комунального підприємства не були усунені, — з інтерв'ю з більш дюжиною колишніх і нинішніх співробітників служби безпеки Бонневіль і підрядників, а також колишніх членів кібергрупи Міністерства енергетики, і це — на додаток до документів, доступ до яких був отриманий відповідно до Закону про свободу інформації.

Даг Джонсон, представник Енергетичної адміністрації Бонневілл, так і не відповів на запити про те, чи були усунені уразливості, в тому числі і ті, які докладно описані в документах, розглянутих Bloomberg у 2020 році.

У своєму звіті про кібербезпеку за 2020 рік компанія Dragos зазначила, що 90 відсотків нових клієнтів практично «не помітні» всередині своїх промислових систем управління. Це означає, що, опинившись всередині, хакери отримують повну свободу дій для збору конфіденційних даних, вивчення зміни системи і вибору підходящого часу для атаки.

Індустрія нарешті сфокусувалася на опорі.

«Якщо погані хлопці прийдуть до нас, то отримають «око за око, зуб — за зуб», — зауважив Том Фаннінг, генеральний директор Southern Co., на минулій конференції. «Ми повинні переконатися, що погані хлопці розуміють, що для них будуть наслідки».

Джерело: The Epoch Times