Ай-да новости: об атомных станциях и кибервоенщине.

В этот раз выпуск по следам наших давних публикаций.

Первое.

КДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью КДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью

Мы уже много лет на всех углах звоним в колокола о проблемах кибербезопасности промышленности и инфраструктуры. И эта проблема всё чаще оказывается в центре внимания госорганов, исследовательских институтов, СМИ и широкой публики. Но, к большому сожалению, пока мы не наблюдаем заметных положительных подвижек в этой сфере.

На этой неделе вышел отчет британского исследовательского центра Chatham House, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная.

От  выводов исследования волосы понимающего человека начинают отчетливо шевелиться:

  1. Никакой «физической изоляции» компьютерных сетей атомных станций не существует, это миф (тут замечу, что речь идет только о тех станциях, с которыми знакомы опрошенные международные эксперты; в любом случае, никакой конкретики). Британцы пишут, что на АЭС часто существуют соединения через VPN, часто их делают подрядчики, часто они в принципе не документированы, иногда просто забыты, но вполне себе живы и готовы к использованию.
  2. Большое количество такого рода подключенных систем без проблем находятся в интернете через поисковики вроде Shodan.
  3. Если изоляция существует, то она преодолевается с помощью флэшек (привет, Stuxnet!)
  4. Атомная энергетическая отрасль по всему миру мало участвует в обмене информации о кибер-инцидентах, и в результате, мало учится у более продвинутых в этой сфере отраслей.
  5. При этом повсеместно по экономическим соображениям увеличивается использование массового коммерческого (уязвимого) софта.
  6. Множество промышленных систем управления изначально небезопасно спроектированы, и патчить их, без ущерба для производственных процессов, очень трудно
  7. И много-много чего ещё, в полном отчете 53 страницы.

Эти леденящие кровь факты и подробности, конечно, вряд ли новость для специалиста по IT-безопасности. Но, будем надеяться, от таких публикаций что-то начнёт меняться. Самое главное, чтобы все заинтересованные участники стали активно латать дыры и чинить IT-безопасность до наступления больших неприятностей, а не после них, как, к сожалению, обычно в мире и бывает.

Отчёт рекомендует, среди прочего, продвигать проектирование изначально безопасных промышленных систем (“Security by design”). Это мы поддерживаем всеми руками! Наша безопасная ОСинициатива как раз из этой серии. Сделать системы управления промышленным оборудованием, включая АСУТП, невзламываемыми означает принципиально улучшить ситуацию с кибербезопасностью мира вокруг нас. К сожалению, дорога это длинная и мы лишь в самом начале пути. Зато, уверен, движемся мы в правильном направлении.

Второе.

Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.

Фото Michael Reynolds/EPA отсюдаФото Michael Reynolds/EPA отсюда

Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны – две крупнейшие экономики мира — не будут заниматься коммерческим шпионажем друг у друга. Более того, тема кибербезопасности доминировала на их совместной пресс-конференцией наряду с мерами по борьбе с изменением климата. При этом интересно, что проблему политического и военного кибершпионажа они обошли стороной.

Прорыв ли это? Конечно же, пока нет.

Однако это шажок в очень правильном направлении. Ходили слухи, Пекин с Вашингтоном ведут переговоры о «договоре о ненападении» в киберсфере. Предполагалось, что в нём две страны должны взять на себя обязательства в мирное время не нападать с помощью кибероружия друг на друга. На сентябрьской встрече лидеров стран эта тема не поднималась, но, будем надеяться, ещё поднимется. Это был бы хоть и символический, но важный шаг.

Хорошо бы такие договоры подписали в будущем все страны, а потом бы и вовсе договорились бы сделать Интернет и всю киберсферу демилитаризованной зоной. Это был бы самый хороший, хотя, увы, пока что и не очень реалистичный сценарий.

Прочитать комментарии 0
Оставить заметку