Что случится, если атака прервет электроснабжение страны?

Когда мы думаем о кибер-атаках, то склонны представлять себе потерю огромного куска наших данных или невозможность работать в течение нескольких часов. В случае с компаниями риски возрастают значительно, т.к. они могут потерять конфиденциальную информацию и столкнуться с серьезными проблемами информационной безопасности , а также проблемами ведения своего бизнеса. Но что случится, когда от кибер-атаки пострадают инфраструктурные объекты? Что будет, если внезапно мы останемся без электричества?

Это именно то, что намеревается выяснить Министерство энергетики США: в ноябре этого года оно собирается имитировать кибер-атаку на электрическую сеть для анализа последствий такого события, которое может привести всю страну в тупик.

В ходе учений американское правительство в основном проанализирует три фактора: в-первых, откуда пришла атака и какие ее цели; во-вторых, как она повлияет на поставки электроэнергии, и как можно будет восстановить работу системы; в-третьих, до какого момента система может работать, используя свои собственные внутренние ресурсы.

Эксперимент Министерства энергетики США не является чем-то тривиальным: согласно отчету Сегодняшнее состояние безопасности в системах управления ( The State of Security in Control Systems Today ), одна треть объектов критической инфраструктуры когда-либо была атакована. Более того, крипто-атаки также находятся на подъеме, а количество кибер-атак на промышленные системы управления (ICS) удвоилось в течение 2018 года, согласно отчету Международного Университета Валенсии (Испания) .

Для крупных компаний и государственных органов власти в этом нет ничего нового. Правительство Украины испытало это чуть менее двух лет назад , когда несколько электростанций внезапно оказались не в состоянии поставлять электричество. Все это было связано с вредоносной программой BlackEnergy, которая, помимо атаки на эти объекты критической инфраструктуры, запрещала перезагрузку компьютеров.

Британскому правительству также знакома подобная ситуация. В этом случае инцидент был связан с WannaCry, который захватил контроль над ИТ-инфраструктурой Национальной службы здравоохранения , в результате чего были отменены медицинские операции, а медсестры не смогли оказывать первую медицинскую помощь.

Но органы государственной власти не только могут сталкиваться с атаками на объекты критической инфраструктуры, но и сами их осуществлять. Именно это Правительство США и сделало в 2010 году , когда запустила червя Stuxnet для отключения 1000 центрифуг на атомной электростанции в регионе Натанз, принадлежавшей правительству Ирана. Эта акция продемонстрировала, что те, кто проводит подобные атаки, не обязательно должны быть кибер-преступниками, стремящимися быстро заработать деньги.

Компании и органы государственной власти сталкиваются с огромными рисками своей информационной безопасности , и эта опасность становится еще больше, когда мы говорим об объектах критической инфраструктуры. Чтобы помочь ответить на вопрос, как можно предотвращать или решать такого рода проблемы, антивирусная лаборатория PandaLabs в свое время опубликовала отчет Критическая инфраструктура: кибер-атаки на основу современной экономики. Кроме того, лаборатория представила такие рекомендации:

1. Выявление слабых мест. Чтобы действовать превентивно, крупные организации должны защищать свою корпоративную информационную безопасность, осуществляя полный анализ своих ИТ-систем для обнаружения любых уязвимостей или слабых мест. Эти места должны быть не только защищены, но им также необходимо уделять больше внимания или они должны быть изолированы от остальной системы, если считается, что существует высокий риск атаки.

2. Защита систем. Когда дело доходит до защиты различных служб, организации должны следить за их безопасностью, описывая все возможные сценарии атаки и усиливая точки сопротивления каждой службы, даже если это позволит всего лишь замедлить действия злоумышленников.

3. Автоматическое реагирование. Компаниям необходимо не только прогнозировать будущее появление атаки, но им также требуется знать, как реагировать на нее, если она становится неизбежной. Здесь важна оперативность: должен быть разработан и внедрен простой план действий и стремительное (даже лучше - автоматизированное) реагирование для максимально быстрого решения проблемы.

4. Альтернативные каналы. Если атака влияет на компанию или общественный орган, правильным ходом действий является отключение машин до тех пор, пока проблема не будет устранена. Но что делать, если атака направлена на какой-либо объект критической инфраструктуры (например, электростанцию), работа которой должна быть восстановлена максимально быстро? В этих случаях организациям необходимо обеспечивать защиту своей корпоративной информационной безопасности , а также иметь альтернативы для перезапуска систем снабжения, пока не будет устранена первичная проблема.