Новое пиратство — почему кибератаки на OT опаснее взлома данных

Пиратство XXI века выглядит значительно иначе, чем в кино. Теперь злоумышленники вместо оружия пытаются получить доступ к панели управления, а вместо абордажа — подменяют команды в системе. Кибератаки на SCADA и OT переводят угрозу из плоскости данных в плоскость физического контроля, где можно легко скрыть кибератаку под "неспрвнисть".

Об этом говорится в авторской колонке основателя Askalon Industries, офицера ВМС Франции в отставке Луи Саиянса.

Почему хакеры становятся опаснее с каждым днем

Современные кибератаки все реже сосредотачиваются на краже информации. Когда злоумышленник получает доступ к SCADA или операционным технологиям, речь идет уже не о файлах, а об управлении реальными процессами. Например, можно навредить работе навигации судна, работе двигателей, насосов или систем безопасности. Из-за постороннего вмешательства, технический сбой легко подать как обычную техническую проблему, а не как кибератаку.

Именно по этому сценарию во Франции развернулось расследование после обнаружения вредоносного программного обеспечения на пассажирском пароме в порту Сет. Программа удаленного доступа позволяла контролировать часть бортовых систем.

Правоохранители задержали двух членов экипажа, один из которых остался под стражей по делу о вмешательстве в интересах иностранного государства. Власти не исключают внешнего следа, однако мотивы еще устанавливают.

Этот случай, как объясняет Луи Саиянс, показателен тем, что фокус атаки давно сместился с информационных систем на ОТ, где главным является не конфиденциальность, а непрерывная и безопасная работа.

Отдельную опасность представляет человеческий фактор. Для вмешательства часто не нужен сложный взлом.

"Оборона десятилетиями мыслила периметром: "мы" внутри, "они" снаружи. Но в гибридной логике вектор атаки часто уже на зарплате. Он может быть в экипаже, в сервисной команде, у подрядчика или у человека с допуском к мостику или к шкафу с контроллерами. Вы можете иметь лучший в мире фаервол, но он теряет смысл в момент, когда "проверенный" работник заносит зараженный носитель или подключает "удобный" инструмент для обслуживания", — объясняет Луи Саиянс.

В результате атака на критическую инфраструктуру может долго оставаться в серой зоне, ведь не всегда можно распознать сразу, это кибератака или штатный выход из строя. Именно эта неопределенность дает злоумышленникам время и пространство для действий.

Поэтому ключевым становится не только защита систем, но и способность быстро зафиксировать признаки умышленного вмешательства, сохранить доказательства и вовремя перевести инцидент из технической плоскости в сферу безопасности.

"Регулятору нужны не только требования "иметь киберзащиту", но и критерии пригодности к расследованию и быстрой реакции: сегментация технологических сетей, контроль доступов и ролей, надежное журналирование событий, заранее определенные процедуры безопасной остановки и восстановления. Отдельная тема — обучение, где юридический блок и технические команды отрабатывают не только "утечку данных", но и сценарий "подозрительной аварии" с доказательным контуром", — отметил Луи Саиянс.

Напомним, специалисты раскрыли секреты, как распознать, что ваш смартфон взломали хакеры.

Также компания Google заявила о масштабной хакерской атаке на Android.