8 октября, 2015
Ай-да новости: об атомных станциях и кибервоенщине.
В этот раз выпуск по следам наших давних публикаций.
Первое.
КДПВ – атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью
Мы уже много лет на всех углах звоним в колокола о проблемах кибербезопасности промышленности и инфраструктуры. И эта проблема всё чаще оказывается в центре внимания госорганов, исследовательских институтов, СМИ и широкой публики. Но, к большому сожалению, пока мы не наблюдаем заметных положительных подвижек в этой сфере.
На этой неделе вышел отчет британского исследовательского центра Chatham House, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная.
От выводов исследования волосы понимающего человека начинают отчетливо шевелиться:
- Никакой «физической изоляции» компьютерных сетей атомных станций не существует, это миф (тут замечу, что речь идет только о тех станциях, с которыми знакомы опрошенные международные эксперты; в любом случае, никакой конкретики). Британцы пишут, что на АЭС часто существуют соединения через VPN, часто их делают подрядчики, часто они в принципе не документированы, иногда просто забыты, но вполне себе живы и готовы к использованию.
- Большое количество такого рода подключенных систем без проблем находятся в интернете через поисковики вроде Shodan.
- Если изоляция существует, то она преодолевается с помощью флэшек (привет, Stuxnet!)
- Атомная энергетическая отрасль по всему миру мало участвует в обмене информации о кибер-инцидентах, и в результате, мало учится у более продвинутых в этой сфере отраслей.
- При этом повсеместно по экономическим соображениям увеличивается использование массового коммерческого (уязвимого) софта.
- Множество промышленных систем управления изначально небезопасно спроектированы, и патчить их, без ущерба для производственных процессов, очень трудно
- И много-много чего ещё, в полном отчете 53 страницы.
Эти леденящие кровь факты и подробности, конечно, вряд ли новость для специалиста по IT-безопасности. Но, будем надеяться, от таких публикаций что-то начнёт меняться. Самое главное, чтобы все заинтересованные участники стали активно латать дыры и чинить IT-безопасность до наступления больших неприятностей, а не после них, как, к сожалению, обычно в мире и бывает.
Отчёт рекомендует, среди прочего, продвигать проектирование изначально безопасных промышленных систем (“Security by design”). Это мы поддерживаем всеми руками! Наша безопасная ОС – инициатива как раз из этой серии. Сделать системы управления промышленным оборудованием, включая АСУТП, невзламываемыми означает принципиально улучшить ситуацию с кибербезопасностью мира вокруг нас. К сожалению, дорога это длинная и мы лишь в самом начале пути. Зато, уверен, движемся мы в правильном направлении.
Второе.
Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.
Фото Michael Reynolds/EPA отсюда
Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны – две крупнейшие экономики мира — не будут заниматься коммерческим шпионажем друг у друга. Более того, тема кибербезопасности доминировала на их совместной пресс-конференцией наряду с мерами по борьбе с изменением климата. При этом интересно, что проблему политического и военного кибершпионажа они обошли стороной.
Прорыв ли это? Конечно же, пока нет.
Однако это шажок в очень правильном направлении. Ходили слухи, Пекин с Вашингтоном ведут переговоры о «договоре о ненападении» в киберсфере. Предполагалось, что в нём две страны должны взять на себя обязательства в мирное время не нападать с помощью кибероружия друг на друга. На сентябрьской встрече лидеров стран эта тема не поднималась, но, будем надеяться, ещё поднимется. Это был бы хоть и символический, но важный шаг.
Хорошо бы такие договоры подписали в будущем все страны, а потом бы и вовсе договорились бы сделать Интернет и всю киберсферу демилитаризованной зоной. Это был бы самый хороший, хотя, увы, пока что и не очень реалистичный сценарий.