Colonial Pipeline: когда кибератака останавливает физическую инфраструктуру

В мае 2021 года оператор крупнейшего топливопровода в США Colonial Pipeline остановил работу на несколько дней после атаки вируса-вымогателя. Топлива не хватало на заправках вдоль восточного побережья. Компания заплатила выкуп в размере около 4,4 миллиона долларов. Часть средств ФБР впоследствии удалось вернуть, но это детали.

Важно другое: атака произошла через корпоративную ИТ-сеть, но вынудила остановить операционную инфраструктуру - трубопровод - из-за неопределённости относительно распространения угрозы. Физическая инфраструктура встала не потому, что была взломана напрямую, а потому что компания не могла оценить, где проходит граница заражения.

Что это значит для операторов инфраструктуры

Многие производственные и инфраструктурные компании до сих пор думают о безопасности в двух отдельных пространствах: ИТ-безопасность - это для офисных систем, операционная безопасность - это для промышленных систем управления. И что одно не пересекается с другим.

Эта модель перестала работать. Не потому что появилось больше хакеров. А потому что операционные технологии - промышленные контроллеры, системы диспетчерского управления, датчики - всё активнее подключаются к корпоративным сетям и к интернету. Без этого нет телеметрии, дистанционного управления, предиктивного обслуживания. Но это же означает, что ОТ-системы перестали быть изолированными.

Где реально проходит граница

В большинстве компаний, которые я видел, граница между ИТ и ОТ существует на бумаге. На практике:

• инженеры подключают ноутбуки напрямую к промышленному оборудованию для диагностики;
• системы удалённого доступа к ОТ используют те же учётные данные, что и корпоративная сеть;
• обновления программного обеспечения для контроллеров идут через те же каналы, что и корпоративный трафик;
• нет ни мониторинга трафика между сетями, ни чёткого процесса реагирования на инциденты в ОТ.

Colonial Pipeline заплатил цену за то, что не знал, где заканчивается ИТ и начинается ОТ в момент кризиса. В этой неопределённости единственным разумным решением стала остановка.

Практические вопросы для руководителя

Я не буду рассказывать, как правильно строить ОТ-безопасность - это работа специалистов. Но есть вопросы, которые должен задать руководитель, отвечающий за операционную деятельность:

1. Знаем ли мы, какие ОТ-системы подключены к корпоративной сети и через какие точки?
2. Если ИТ-сеть будет заражена вымогателем сегодня - какой будет наш план относительно операционных систем?
3. Кто принимает решение об остановке производственного процесса при киберинциденте, и есть ли у этого человека нужная информация для такого решения?
4. Когда последний раз проверялись точки доступа к ОТ-системам - удалённый доступ подрядчиков, диагностические порты, интеграции с корпоративными системами?

Это не технические вопросы. Это управленческие вопросы. И ответы на них должны быть у руководителя, а не только у ИТ-директора.

Чем это отличается от обычного кибер-риска

Обычный кибер-риск - это утечка данных, остановка офисных систем, репутационный ущерб. Всё это неприятно, но восстанавливаемо.

Когда атака затрагивает операционную инфраструктуру - трубопроводы, электростанции, производственные линии, логистические узлы - на кону стоит физическая безопасность людей и непрерывность поставок. Это другой уровень последствий.

Для инфраструктурных компаний разговор о безопасности должен происходить на уровне совета директоров, а не только на уровне ИТ-службы. Colonial Pipeline - не исключение. Это демонстрация класса угроз, который уже существует.