9 мая 2021, воскресенье, 17:43
VK.comFacebookTwitterTelegramInstagramYouTubeЯндекс.ДзенОдноклассники

НОВОСТИ

СТАТЬИ

PRO SCIENCE

МЕДЛЕННОЕ ЧТЕНИЕ

ЛЕКЦИИ

АВТОРЫ

Кибербезопасность. Что руководителям нужно знать и делать

Издательство «Манн, Иванов и Фербер» представляет книгу Томаса Паренти и Джека Дометта «Кибербезопасность. Что руководителям нужно знать и делать» (перевод Эльвиры Кондуковой и Светланы Давыдовой).

Компании тратят огромные средства, чтобы их активы и данные были под надежной защитой, однако киберриски только возрастают. Никакие новые технологии или увеличение бюджета не в силах переломить эту ситуацию. Томас Паренти и Джек Домет больше 30 лет занимаются вопросами кибербезопасности. В этом руководстве они систематизируют свой опыт, описывают все известные и популярные инструменты, обстоятельно объясняя, почему одни работают, а другие нет, а также делятся передовыми практиками.

Предлагаем прочитать фрагмент книги.

 

Сценарии киберугроз в действии: графство Маручи

Приведем пример кризиса, развивавшегося точно по стандартному сценарию киберугрозы. Этот инцидент лишний раз свидетельствует о том, что рассказать историю — самый удобный способ понятно объяснить технические аспекты кибератаки и защиты от нее. Первый принцип цифрового контроля — «Если вы этого не понимаете, вам плохо объяснили» — вполне реализуем на практике.

Графство Маручи — пасторальное комьюнити и место паломничества туристов примерно в сотне километров к северу от Брисбена (Австралия), в Саншайн-Коаст (Квинсленд). Тихий океан, вода теплая круглый год, а типичный прогноз погоды звучит примерно так: «Прекрасная погода сегодня, и еще лучше завтра». Отличная экология. Невероятные красоты: протяженные пляжи с белым песком, потрясающие озера, субтропические дождевые леса, глубокие ущелья, прозрачные ручьи и шумные водопады. Здесь живут коалы и многие редкие птицы, например буроголовый траурный какаду и земляной попугай.

Компания Maroochy Water Services управляет водоснабжением графства: ее деятельность включает в себя забор, очистку и распределение воды, а также сбор и обработку около 35 млн литров сточных вод в день. Это предприятие критически важно для Маручи. Поскольку разные территории графства находятся на разной высоте над уровнем моря, система канализации включает в себя 142 насосные станции, расположенные в стратегических точках 880-километровой сети Maroochy Water Services. Сточные воды закачиваются на достаточную высоту, а оттуда самотеком под действием силы тяжести поступают на очистные сооружения.

Maroochy Water Services имеет централизованную систему управления: из одной точки операторы могут включать и выключать отдельные станции, а также регулировать мощность насосов. Станциями можно управлять и на месте, а размещенные на них приборы способны передавать команды, чтобы контролировать работу других станций.

В конце января 2000 года система управления операциями начала вести себя странно: терялась связь с насосными станциями, нарушался контроль их работы, а иногда подавались ложные сигналы тревоги. Несколькими неделями позже обслуживающая компания поняла, что причина в хакерской атаке, но было поздно. Ко времени, когда проблему диагностировали, сточные воды переполнили резервуары и потекли по графству ручьями. Они затопили соседние районы, приливно-отливную сеть и даже поле для гольфа, где проводился чемпионат PGA Австралии — при пятизвездочном отеле Hyatt Regency Coolum Resort. В близлежащем городке Пасифик Парадайз «до миллиона литров неочищенных сточных вод попали в ливневую канализацию». В местных парках и русле реки «…всё живое погибло, вода в ручьях стала черной, а жители страдали от ужасной вони». И всё это последствия кибератаки.

Всё закончилось вечером 23 апреля, после того как полиция обнаружила подозрительную машину возле насосной станции в городке с говорящим названием Десепшен-Бей (Залив Обмана. — Прим. пер.). В салоне были найдены украденные приборы для контроля насосов, компьютеры, сетевые кабели и радиооборудование — полный арсенал для кибератаки. Примерно три месяца машина злоумышленника служила ему мобильным центром управления; за это время он организовал более сорока атак и затопил канализационными стоками чистейший уголок природы!

Злоумышленником оказался бывший сотрудник компании, поставлявшей контрольные приборы на насосные станции. С работодателями он регулярно конфликтовал. Дважды этот человек пытался устроиться в Maroochy Water Services, но безуспешно; в итоге, рассерженный и обиженный на весь свет, он решил отомстить обеим компаниям. Зная устройство системы операционного контроля, он смог установить радиосвязь с приборами отдельных насосных станций, что и привело к их странному поведению. В кибератаке использовалось то же оборудование, которое обеспечивало управление насосами, но теперь оно стало мощным оружием.

Атака велась в два этапа: подключение к системе контроля одной насосной станции, а затем манипулирование ею с целью нарушить работу и парализовать центральную систему управления. Для успеха обиженному хакеру хватило двух уязвимостей в системе кибербезопасности: первая состояла в том, что для доступа к оборудованию не запрашивался пароль, а вторая — в том, что радиочастоту, на которой осуществлялась связь с системой контроля, легко было узнать из технической документации. Для проведения кибератаки требовалось находиться в зоне устойчивой радиосвязи, но совсем не обязательно — на самой насосной станции.

Успеху диверсии немало способствовало то, что злоумышленник располагал инсайдерской информацией. Тем не менее и без этого организовать ее не так уж сложно, поскольку информация, ранее известная только сотрудникам и подрядчикам компании, теперь доступна всем, у кого есть интернет. Потратив некоторое время на веб-поиск, можно загрузить протоколы коммуникации, документацию по продукту, инструкции по программированию и ПО для оборудования, аналогичного используемому на насосных станциях. На форумах специалисты с удовольствием ответят на ваши вопросы и посоветуют, как правильно эксплуатировать оборудование такого типа, а достать его помогут интернет-магазины известных брендов и онлайн-аукционы. Поэтому хакеры могут планировать и тестировать атаки, с комфортом расположившись дома или в офисе в любой точке земного шара.

Последствия этого нападения могли оказаться куда серьезнее. Если бы вышли из строя все насосные станции, графство утонуло бы в сточных водах, что привело бы к экологической катастрофе. Страшное преступление, а для злоумышленника — куда менее затратное, чем, например, взрыв одной из насосных станций.

Из ситуации с Maroochy Water Services можно сделать несколько выводов (см. таблицу 3). Один из них таков: важно понимать, как хакер может использовать уязвимости вашей системы. Другой говорит о необходимости выбрать адекватные инструменты для отражения атаки.

В данном случае требовались всего две предосторожности: установка пароля для доступа к системе контроля насосных станций и шифровка радиосообщений. При этом, поскольку злоумышленник не использовал вредоносные программы, такие типичные контрмеры, как покупка антивируса и обучение сотрудников антифишингу, оказались бы бесполезными.

Таблица 3. Четыре компонента сценария киберугрозы в графстве Маручи

Компонент

Ситуация в графстве Маручи

Ключевые виды деятельности и сопряженные с ними риски

Вид деятельности: переработка сточных вод

Риск: сбой в функционировании насосных станций

Вспомогательные системы

Централизованная система управления операциями

Приборы системы контроля на насосной станции

Кибератаки и их последствия

Эксплуатация незащищенной сети коммуникаций, недостатки в системе авторизации при входе в систему управления насосными станциями

Масштабный сброс неочищенных сточных вод

Киберпротивник

Обиженный бывший сотрудник

Как видите, объяснение технических аспектов и средств противодействия этой атаке вполне понятно неспециалисту. Именно такие примеры гипотетических киберрисков компания обязана довести до всех сотрудников.

По мере того как вы идентифицируете риски, становится очевидным еще один вывод: важно постоянно анализировать систему кибербезопасности на предмет недоработок и ошибок. Незащищенный доступ к системе контроля и отсутствие шифрования сообщений как раз и были такими недоработками. Ключевые ошибки в случае мошенничества с дебетовыми картами, о котором мы писали ранее, — технические баги в протоколах одобрения онлайн-платежей, изъяны при разработке процедур соблюдения времени оплаты и решения спорных вопросов. Компания может выявить эти уязвимости, только если будет анализировать киберриски в контексте своей бизнес-деятельности.

Обсудите в соцсетях

«Ангара» Африка Византия Вселенная Гренландия ДНК Иерусалим КГИ Луна МГУ МФТИ Марс Монголия НАСА РБК РВК РГГУ РадиоАстрон Роскосмос Роспатент Росприроднадзор Русал СМИ Сингапур Солнце Титан Юпитер акустика антибиотики античность антропогенез археология архитектура астероиды астронавты астрофизика бактерии бедность библиотеки биоинформатика биомедицина биомеханика бионика биоразнообразие биотехнологии блогосфера вакцинация викинги виноделие вирусы воспитание вулканология гаджеты генетика география геология геофизика геохимия гравитация грибы дельфины демография демократия дети динозавры животные здоровье землетрясение змеи зоопарк зрение изобретения иммунология импорт инновации интернет инфекции ислам исламизм исследования история карикатура картография католицизм кельты кибернетика киты клад климатология клонирование комары комета кометы компаративистика космос кошки культура культурология лазер лексика лженаука лингвистика льготы мамонты математика материаловедение медицина металлургия метеориты микробиология микроорганизмы мифология млекопитающие мозг моллюски музеи насекомые наука нацпроекты неандертальцы нейробиология неолит обезьяны общество онкология открытия палеоклиматология палеолит палеонтология память папирусы паразиты перевод питание планетология погода политика право приматы природа психиатрия психоанализ психология психофизиология птицы путешествие пчелы ракета растения религиоведение рептилии робототехника рыбы сердце смертность собаки сон социология спутники средневековье старение старообрядцы стартапы статистика такси технологии тигры топливо торнадо транспорт ураган урбанистика фармакология физика физиология фольклор химия христианство цифровизация школа экзопланеты экология электрохимия эпидемии эпидемиология этология язык Александр Беглов Алексей Ананьев Дмитрий Козак Древний Египет Западная Африка Латинская Америка НПО «Энергомаш» Нобелевская премия РКК «Энергия» Российская империя Сергиев Посад Солнечная система альтернативная энергетика аутизм биология бозон Хиггса вымирающие виды глобальное потепление грипп защита растений инвазивные виды информационные технологии искусственный интеллект история искусства история цивилизаций исчезающие языки квантовая физика квантовые технологии климатические изменения компьютерная безопасность компьютерные технологии космический мусор криминалистика культурная антропология культурные растения междисциплинарные исследования местное самоуправление мобильные приложения научный юмор облачные технологии обучение одаренные дети педагогика персональные данные подготовка космонавтов преподавание истории продолжительность жизни происхождение человека русский язык сланцевая революция темная материя физическая антропология финансовый рынок черные дыры эволюция эволюция звезд эмбриональное развитие этнические конфликты ядерная физика Вольное историческое общество Европейская южная обсерватория жизнь вне Земли естественные и точные науки НПО им.Лавочкина Центр им.Хруничева История человека. История институтов дело Baring Vostok Протон-М 3D Apple Big data Dragon Facebook Google GPS IBM MERS PayPal PRO SCIENCE видео ProScience Театр SpaceX Tesla Motors Wi-Fi

Редакция

Электронная почта: polit@polit.ru
Телефон: +7 929 588 33 89
Яндекс.Метрика Top.Mail.Ru
Свидетельство о регистрации средства массовой информации
Эл. № 77-8425 от 1 декабря 2003 года. Выдано министерством
Российской Федерации по делам печати, телерадиовещания и
средств массовой информации. Выходит с 21 февраля 1998 года.
При любом использовании материалов веб-сайта ссылка на Полит.ру обязательна.
При перепечатке в Интернете обязательна гиперссылка polit.ru.
Все права защищены и охраняются законом.
© Полит.ру, 1998–2021.