Colonial Pipeline: когда кибербезопасность становится физической устойчивостью

7 мая 2021 года трубопроводная компания Colonial Pipeline остановила работу крупнейшего топливного трубопровода на восточном побережье США после атаки программой-вымогателем. На несколько дней пять штатов оказались в условиях дефицита топлива. Компания заплатила около пяти миллионов долларов выкупа.

Для большинства руководителей первая реакция - "нас это не касается, мы не трубопроводная компания". Я думаю, что это неправильная реакция.

Что произошло технически

По имеющимся данным, ransomware попал в корпоративную ИТ-сеть компании. Сами операционные системы управления трубопроводом, возможно, не были напрямую скомпрометированы - Colonial остановила трубопровод в том числе из-за неопределённости по поводу масштаба заражения и опасений относительно OT-систем.

Это важный нюанс: компания не смогла продолжать работу критической физической инфраструктуры не потому, что злоумышленники взломали системы управления, а потому что не было уверенности в том, что они этого не сделали. Отсутствие видимости и контроля само по себе стало причиной остановки.

Граница между ИТ и ОТ больше не защищает

Традиционно операционные технологии (OT) - системы управления производством, инфраструктурой, оборудованием - физически отделялись от корпоративных ИТ-сетей. Эта изоляция, называемая "воздушным зазором", была основным защитным механизмом.

За последние годы этот зазор сократился или исчез в большинстве промышленных компаний. Причины понятны: удалённый мониторинг, интеграция с ERP-системами, цифровизация производства. Это реальные операционные выгоды.

Цена - исчезновение барьера между корпоративной сетью, которая регулярно подвергается атакам, и системами, от которых зависит физическая работа.

Кого это касается, кроме трубопроводов

Если в вашей компании есть:

• производственное оборудование с сетевым управлением;

• системы здания - климат, доступ, видеонаблюдение - подключённые к сети;

• логистическая или складская автоматизация;

• любое оборудование с удалённым мониторингом или управлением,

• то у вас есть OT-поверхность атаки, независимо от того, думаете ли вы о себе как о промышленной компании.

Атака на Colonial Pipeline показала, что злоумышленникам необязательно взламывать промышленные системы напрямую. Достаточно создать достаточно неопределённости, чтобы компания сама остановила операции.

Что делать

Я не предлагаю паниковать или немедленно перестраивать инфраструктуру. Но несколько вопросов стоит иметь ответы на них:

1. Есть ли у вас инвентаризация всех систем с сетевым подключением - и корпоративных, и операционных?
2. Разделены ли корпоративная ИТ-сеть и операционная сеть хотя бы логически?
3. Есть ли процедура действий на случай, если корпоративная сеть скомпрометирована - можно ли продолжать физические операции в ручном или изолированном режиме?
4. Кто принимает решение об остановке физических операций при инциденте ИБ, и есть ли у него достаточно информации для этого решения?

Отсутствие ответов на эти вопросы - это и есть уязвимость, независимо от технического уровня защиты.

Colonial Pipeline остановился не только потому, что была атака. Он остановился потому, что не было инструментов для понимания масштаба ситуации. Это управляемая проблема, если заниматься ею до инцидента.