Нове піратство — чому кібератаки на OT небезпечніші за злам даних

Піратство XXI століття виглядає значно інакше, ніж у кіно. Тепер зловмисники замість зброї намагаються отримати доступ до панелі керування, а замість абордажу — підмінюють команди у системі. Кібератаки на SCADA та OT переводять загрозу з площини даних у площину фізичного контролю, де можна легко приховати кібератаку під "несправність".

Про це йдеться в авторській колонці засновника Askalon Industries, офіцера ВМС Франції у відставці Луї Саїянса.

Чому хакери стають небезпечнішими з кожним днем

Сучасні кібератаки дедалі рідше зосереджуються на крадіжці інформації. Коли зловмисник отримує доступ до SCADA або операційних технологій, йдеться вже не про файли, а про керування реальними процесами. Наприклад, можна нашкодити роботі навігації судна, роботі двигунів, насосів чи систем безпеки. Через стороннє втручання, технічний збій легко подати як звичайну технічну проблему, а не як кібератаку.

Саме за цим сценарієм у Франції розгорнулося розслідування після виявлення шкідливого програмного забезпечення на пасажирському поромі в порту Сет. Програма віддаленого доступу дозволяла контролювати частину бортових систем.

Правоохоронці затримали двох членів екіпажу, один із яких залишився під вартою у справі про втручання в інтересах іноземної держави. Влада не виключає зовнішнього сліду, однак мотиви ще встановлюють.

Цей випадок, як пояснює Луї Саїянс, показовий тим, що фокус атаки давно змістився з інформаційних систем на OТ, де головним є не конфіденційність, а безперервна та безпечна робота.

Окрему небезпеку становить людський фактор. Для втручання часто не потрібен складний злам.

"Оборона десятиліттями мислила периметром: "ми" всередині, "вони" зовні. Але в гібридній логіці вектор атаки часто вже на зарплаті. Він може бути в екіпажі, у сервісній команді, у підрядника або у людини з допуском до містка чи до шафи з контролерами. Ви можете мати найкращий у світі фаєрвол, але він втрачає сенс у момент, коли "перевірений" працівник заносить заражений носій або під’єднує "зручний" інструмент для обслуговування", — пояснює Луї Саїянс.

У результаті атака на критичну інфраструктуру може довго залишатися в сірій зоні, адже не завжди можна розпізнати одразу, чи це кібератака, чи штатний вихід з ладу. Саме ця невизначеність дає зловмисникам час і простір для дій.

Тому ключовим стає не лише захист систем, а й здатність швидко зафіксувати ознаки умисного втручання, зберегти докази та вчасно перевести інцидент із технічної площини у сферу безпеки.

"Регулятору потрібні не лише вимоги "мати кіберзахист", а й критерії придатності до розслідування та швидкої реакції: сегментація технологічних мереж, контроль доступів і ролей, надійне журналювання подій, заздалегідь визначені процедури безпечної зупинки та відновлення. Окрема тема — навчання, де юридичний блок і технічні команди відпрацьовують не лише "витік даних", а й сценарій "підозрілої аварії" з доказовим контуром", — зауважив Луї Саїянс.

Нагадаємо, фахівці розкрили секрети, як розпізнати, що ваш смартфон зламали хакери. 

Також компанія Google заявила про масштабну хакерську атаку на Android.