Кибербезопасность ТЭКа зависит от банков

К всплеску хакерских атак, который произошел сразу после 24 февраля, все уже привыкли, поскольку их влияние было кратковременным. В июне массированные DDoS-атаки стали более длительными. Например, в течение нескольких дней они терзали портал «Госуслуг», DDoS «достал» и 25-й Петербургский международный экономический форум. Тем не менее, несмотря на явный интерес киберпреступников к общественной жизни России, на реальную экономику нашей страны они не оказывают какой-либо значимое воздействие. В Европе же ситуация скорее противоположная.

От действий хакеров страдает промышленный сектор, в частности нефтепереработка.

Напомним, что недавняя хакерская атака на польский НПЗ компании Orlen (крупнейшая польская нефтеперерабатывающая компания по добыче, переработке и продаже нефти и бензина в Польше, Чехии, Германии и странах Балтики), «уронила» систему управления компании, пострадала сеть железнодорожных перевозок. Ответственность за содеянное взяла некая хакерская группа Killnet, которая позиционирует себя как прокремлевская. «Блокировка с помощью DDoS-системы логистики НПЗ, а также системы электронной торговли может привести к эскалации производственного цикла и к множеству других проблем. Наше воздействие на Orlen продолжается без паузы», — говорится в заявлении хакеров. Следом, как сообщили хакеры, «к Бандере» отправились электронные ресурсы PGNiG. Впрочем, на перебои с поставками топлива в связи с этими атаками никто в ЕС не жаловался. Поэтому непонятно, насколько бравые угрозы Killnet соответствуют действительности.

Стоит отметить, что ранее Killnet объявила войну группе Anonymous. Последняя взяла ответственность за ряд крупных кибератак на российские интернет-ресурсы. Примечательно, что сразу после 24 февраля антироссийская Anonymous распиарила себя информацией о взломе сайтов «Газпрома», ЛУКОЙЛа, «Норникеля», СИБУРа, Яндекса, Сбербанка, агентства RT, многих правительственных учреждений в России и Белоруссии, включая Минэнерго и сайт Кремля.

Вместе с тем, подобные политические манифесты от хакеров звучат с марта текущего года, а европейский ТЭК уже давно становится мишенью для различного рода взломов и вымогательств. Так, еще 1 февраля 2022 года кибермошенники остановили операции на нефтяных терминалах некоторых крупнейших портов северо-западной Европы, включая крупный немецкий порт Гамбург и бельгийский Антверпен. Сбой в работе этих нефтяных терминалов произошел через несколько дней после того, как в результате кибератаки нарушились цепочки поставок топлива в Германии. Тогда жертвами кибератаки стали компания по производству минеральных масел концерна Shell и компания Oiltanking, занимающаяся логистикой танкеров. Также атака затронула торговца нефтепродуктами Mabanaft, дочернюю компанию гамбургской группы Marquard & Bahls.

В марте Die Welt со ссылкой на немецкую службу информационной безопасности Bundesamt für Sicherheit in der Informationstechnik (BSI) сообщала, что 12 марта были взломаны системы Rosneft Deutschland, немецкой дочки «Роснефти». Отмечалось, что кибератака не повлияла на текущий бизнес компании.

Возвращаясь к Orlen, отметим, что такого громкого скандала, как с американским трубопроводом Colonial Pipeline, который был год назад заблокирован хакерами, конечно же, не получилось. Напомним, что тогда в США хакерам удалось остановить трубопровод длиной 900 километров из Техаса в Нью-Джерси, доставляющий бензин, солярку, авиационное топливо и прочие продукты. В результате 19 штатах пришлось объявить режим чрезвычайной ситуации. Colonial Pipeline пришлось отдавать выкуп биткоинами, который требовала хакерская группа DarkSide, в размере $4,4 млн.

Информации о каких-то выплатах хакерам со стороны Orlen не обнародовалась. При этом компания получила большую «рекламу» за счет того, что 11 июня автомобилисты устроили акцию протеста на ее заправках из-за высоких цен на топливо. Вопрос о том, кто же нападал на инфраструктуру этой компании, также остается открытым. 20 июня Европейская комиссия да одобрила слияние крупнейшей польской нефтеперерабатывающей компании PKN Orlen и Grupa Lotos (вертикально-интегрированная нефтяная компания, базирующаяся в Гданьске). И это явно может вызвать чье-то недовольство, поскольку любое слияние бизнеса повлечет за собой сокращение сотрудников компаний. Вызывает также вопросы и тот факт, что системы Orlen подверглись именно DDos-атакам, то есть массированной атаке запросов, а не целенаправленному кибервмешательству.

Сотрудник российской IT-отрасли отметил в интервью «НиК», что успешные атаки на европейские и американские компании ТЭКа связаны с тем, что степень интегрированности в Интернет их систем управления большая, чем у компаний России. Это связано с требованиями федерального закона РФ о работе Критической информационной инфраструктуры. По его словам, в США и ЕС также присутствует подобное законодательство. Однако оно, судя по всему, предоставляет большую свободу для подключения к внешним информационным сетям инфраструктуры объектов ТЭКа.

Он также указал, что киберпреступникам чаще всего удается поражать деятельность смежных секторов, отвечающих за финансирование или работу инфраструктуры стратегических объектов: «Был пример, когда хакеры атаковали компанию, предлагающую коммерческие услуги по эксплуатации спутников связи. Инфраструктуру по техническому сопровождению спутников хакеры „взломать“ не смогли, поскольку она полностью изолирована. Однако бухгалтерская документация, доступ к которой есть через Интернет, оказалась уязвима. От атаки на бухгалтерию спутники с орбиты, конечно же, не сойдут, но навредить деятельности компании возможно. Этот взлом проходил в рамках работы „белых хакеров“ по заказу самой компании, поэтому жертв не было. А если бы атака была реальной, то могли бы быть отключены от обслуживания клиенты — корабли, экспедиции, буровики и т. д.», — пояснил сотрудник отрасли.

Заметим, что для нефтепереработки финансовая отчетность имеет критически важное значение.

Ведь, как отмечали еще год назад эксперты, атака на Colonial Pipeline была связана именно с блокировкой системы взимания платы с клиентов трубопровода. Нефтепродукты отпускались без счетчиков — компания не могла себе позволить стать бесплатной заправкой. У Orlen пострадала сеть железнодорожных перевозок, то есть, скорее всего, финансовая отчетность по отгрузкам. Можно предположить, что подобный инцидент затронул и цепочку поставок топлива Shell в Германии. Но этому не стоит удивляться. Ведь исторически глобализация началась с банковского сектора. Система обмена информации в финансовой сфере удобна всем — банкам, пользователям, фискальным органам и мошенникам.

Как отметили «НиК» эксперты, с началом спецоперации количество различного рода кибервмешательств значительно возросло, что по всей вероятности связано с политическим воодушевлением, а, возможно, и поощрением этих действий. При этом увеличилось количество технических атак немошеннического характера. DDos-атаки — это по сути атаки спама, они были направлены против всех.

К числу последних громких акций можно отнести попытки сорвать процесс предоставления социально значимых услуг в России. По данным Минцифры РФ, на пике атак нагрузка на «Госуслуги» составляла 340 тыс. запросов в секунду при обычном показателе до 50 тыс. «В распределенной хакерской атаке участвовали IP-адреса, зарегистрированные в том числе в США, Нидерландах, Великобритании, ФРГ и других странах», — отметили в ведомстве. Впрочем, периодически атаками ботов пользуются и кибермошенники, которые под этот общеполитический шум пытаются «заработать копеечку», проверяя уязвимость сайтов госорганов России. Так, 6 июня они объявили о взломе сайта Министерства строительства РФ. Требования хакеров были весьма скромны: они захотели получить от ведомства 0,5 биткоина, пригрозив, что в противном случае «все персональные данные пользователей Минстроя России будут выложены в общий доступ». Скорее всего, в ведомстве не испугались.

Тем не менее отмечается, что серьезные риски в сфере кибербезопасности будут увеличиваться, так как американский производитель сетевого оборудования и программного обеспечения Cisco (в 2021 году занимала 44% рынка коммутаторов, 34% рынка маршрутизаторов) начнет постепенный уход с рынков России и Белоруссии. Компания еще в марте объявила об уходе, но закупки ее оборудования в РФ только выросли, причем и в госсекторе. Традиционно оборудование Cisco больше всего использовалось сотовыми операторами, банками, аэропортами, работала она и в сегменте электросетевого оборудования. Согласно источникам CNews, Cisco намерена завершить все операции по уходу с российского рынка до 4 июля.

При этом для хакеров, как считается в экспертной среде, очень благоприятен момент переход пользователей с одного оборудования на другое.

Кроме того, эксперты одного из российских банков предупредили о серьезных проблемах с безопасностью клиентских данных в связи с ожидаемым уходом из РФ производителей иностранных HSM-модулей. Это не несет прямых угроз работе энергетическим компаниям РФ, но повлияет на их инфраструктуру, а также может подвергнуть компании имиджевым рискам.

Кибератаки, действительно, очень часто организуются именно для создания отрицательного образа компании, особенно в топливно-энергетическом секторе. Ярким примером подобной работы хакеров является взлом в апреле 2021 года сайта белорусской АЭС. На работу самой станции он не повлиял, однако злоумышленники смогли разместить фейковое объявление якобы от имени работника АЭС о том, что при строительстве станции происходили аварии и поломки.

Преподаватель Центра развития компетенций в бизнес-информатике Высшей школы бизнеса НИУ ВШЭ Виталий Камалов отмечает, что сейчас в сфере кибератак кто что умеет, тот тем и занимается: «Когда началась пандемия, увеличились кибератаки на медицинские учреждения, поскольку там стало собираться много данных, а заниматься их киберзащитой не всегда успевали. При военных кризисах ведется атака на инфраструктуру, которая сопровождает эти действия. В том числе на энергетику и снабжение», — заметил эксперт.

Он считает, что разобраться, кто совершил атаку и была ли она на самом деле, практически невозможно: «В этой сфере над реальностью стоит столько самосоздаваемых легенд, конспирологических версий и пиара разных групп, что разобраться в этом процессе не представляется возможным, за ним стоит только наблюдать».

Камалов также указал, что сейчас значимость хакерской темы снижается:

«В отчетах по глобальным рискам, которые каждый год представляются на Всемирном экономическом форуме в Давосе, киберугрозы уже три года подряд не входят в первую пятерку угроз, хотя до этого они там были.

Сейчас это является чем-то крайне обыденным. Налажены методики нападения, защиты от этих нападений и отлова хакеров, то есть эти угрозы стали управляемыми», — подчеркнул эксперт.

Тем не менее, согласно статистике, число кибератак постоянно растет. По данным Check Point Software Technologies, число вредоносных вмешательств в 2021 году выросло на 40% по сравнению с 2020 годом. В России количество таких атак увеличилось на 54%. В среднем, каждую неделю хакеры совершали 1153 кибератаки. Естественно, выросло это число за первые месяцы 2022 года.

Впрочем, нет худа без добра: специалисты отмечают и позитивные тенденции по обузданию «хакерской вольницы». В частности, они указывают на удешевление биткоина, которое уже в обозримом будущем приведет к сокращению числа желающих устраивать кибератаки. Более того, падает стоимость всей криптовалюты вместе с другими рисковыми активами на фоне ужесточения денежно-кредитной политики и увеличения рисков глобальной рецессии. Благодаря этому блокчейн уже снизил потребление электроэнергии.

Кроме того, специальная военная операция привела к сокращению кибермошенничества с применением социальной инженерии, то есть количество «разводов на деньги» по телефону уменьшилось, поскольку большое количество самих мошенников, участвовавших в этих приступных схемах, сейчас вынуждено скрываться от украинских призывных комиссий.