Цифра против ТЭК

Хакерская тема давно и плотно вошла в мировую политическую, а теперь уже и энергетическую повестку. Киберпреступность в последнее время действительно разгулялась. Вирусы-вымогатели показали себя в качестве эффективного средства для создания топливного кризиса в США. Российская критическая инфраструктура предприятий ТЭК пока выдерживала все кибератаки. Тем не менее после блокировки американского трубопровода длиной 900 км напрашивается вопрос: насколько российская энергетика защищена от хакерских взломов?

Стоит отметить, что атаки на компьютерные сети энергопредприятий начались практически сразу после массового распространения персональных компьютеров. Можно даже сказать, что они уже стали практически обыденным событием для IT-структур многих компаний. Среди наиболее значимых атак можно отметить взлом в 2008 году серверов трубопровода Баку — Тбилиси — Джейхан. В 2012 году атаке хакеров подверглась национальная нефтедобывающая компания Саудовской Аравии, где было испорчено примерно 30 тыс. компьютеров. В 2015 году масштабное хакерское нападение пыталось вывести из строя серверы «Роснефти». Более того, по данным консалтинговой группы Deloitte, уже в 2016 году почти три четверти нефтегазовых компаний подвергались хакерским атакам. В 2017 году хакеры взломали компьютерные сети десятка американских электростанций, в том числе АЭС Wolf Creek в Канзасе. В 2019 году хакеры заявили о блокировке компьютеров мексиканской нефтегазовой корпорации Petroleros Mexicanos и требовали от компании выкуп в размере 565 биткоинов или $5 млн. В прошлом году хакеры лишили госуправление по ядерной энергетике Японии электронной почты. В феврале 2021-го были атакованы бразильские государственные энергетические компании Centrais Eletricas Brasileiras (Eletrobras) и Companhia Paranaense de Energia (Copel). Eletrobras тогда сообщила, что пострадали ее корпоративные компьютеры в филиале, ответственном за работу АЭС Angra-1 и Angra-2.

Вместе с тем все эти взломы, как правило, касались именно IT-систем предприятий и практически не имели серьезного влияния на непосредственную работу объектов ТЭК. Все поменялось 6 мая 2021 года, когда злоумышленники из группировки DarkSide проникли в административную систему американского трубопровода Colonial Pipeline, который обеспечивает 45% потребностей Восточного побережья США в топливе. Однако в результате этого стандартного взлома уже 7 мая был остановлен трубопровод длиной 900 километров из Техаса в Нью-Джерси, доставляющий бензин, солярку, авиационное топливо и прочие продукты. В 19 штатах пришлось объявить режим чрезвычайной ситуации, а цены на бензин взлетели до самого высокого уровня за последние шесть с половиной лет. Более того, на многочисленных заправках от Флориды до Вашингтона топливо просто закончилось. Это привело к тому, что как минимум семь школьных округов в Северной Каролине, Джорджии и Теннесси были вынуждены на время перебоев с бензином проводить занятия дистанционно. Несомненно, оказав такое сильное влияние на общественную жизнь ряда штатов, данное хакерское нападение стало наиболее резонансной кибератакой на инфраструктуру топливно-энергетического комплекса.

Постфактум представители американской IT-отрасли пытались найти логическое объяснение данному происшествию, но делали это не очень уверенно.

Так, старший вице-президент работающей с трубопроводом и занимающейся кибербезопасностью компании Mandiant Чарльз Кармакал пришел к выводу, что хакеры получили доступ к сетям Colonial Pipeline через личный аккаунт, который позволял сотрудникам удаленно получать доступ к компьютерным сетям компании. Объяснение достаточно странное, поскольку все равно возникает вопрос, каким образом взлом административных сетей мог вызвать остановку трубопровода. Или же ситуация была несколько иной?

В любом случае 13 мая появилась информация об уплате Colonial Pipeline выкупа, который требовала DarkSide. Генеральный директор компании Джозеф Блаунт заявлял, что он одобрил выплату киберпреступникам $4,4 млн в криптовалюте. Важная деталь заключается в том, что деньги от Colonial Pipeline требовали за то, чтобы она смогла вновь получить доступ к своим данным. То есть руководство трубопровода так испугалось обнародования или потери каких-то конфиденциальных сведений, что предпочло спровоцировать энергетический коллапс в 19 американских штатах и отдать деньги хакерам. Кстати, информация об уплате выкупа Colonial Pipeline — это первое честное признание со стороны пострадавшего бизнеса.

Президент фонда «Основание» Алексей Анпилогов в интервью «НиК» отметил, что на сделку с хакерами руководству Colonial Pipeline пришлось пойти из-за того, что у трубопровода была заблокирована система взимания платы. «Мы живем в мире победившего капитализма, а это страшнее, чем неприятности технического характера. Нефтепродукты отпускались без счетчиков, компания не могла себе позволить стать бесплатной заправкой, потому пошла на уступки хакерам», — рассказал эксперт.

Вице-президент сегмента «Нефть, газ и нефтехимия» по Европе и СНГ Schneider Electric Максим Агеев напомнил, что пример Colonial Pipeline не единственный, есть похожие происшествия и среди российских компаний. «Сложность вопроса цифровой безопасности заключается в том, что невозможно создать защиту универсального характера, не требующую периодической доработки и обновления», — заявил эксперт.

Преподаватель Высшей школы бизнес-информатики ВШЭ Виталий Камалов предположил, что Colonial Pipeline, судя по всему, допустила беспечность.

«Человеческий фактор: одни люди приносят вирусы или открывают им доступ, другие не ставят антивирусы и не делают резервные копии. Плохо была организована сама IT-инфраструктура, не было резервных копий, были избыточные права у пользователей, административные права не были достаточно защищены и локализованы»,

— пояснил эксперт. Что же касается причин остановки трубопровода, то, по его мнению, важно знать, каким образом управляются заслонки, датчики давления: возможно, именно это сыграло решающую роль при отключении всей системы. Вместе с тем Камалов считает, что ключевым моментом в данном инциденте стал факт возврата большей части биткоинов: «В ФБР отследили движение биткоинов по кошелькам и вернули 63,7 биткоина (примерно $2,3 млн) из 75 ($4,4 млн)».

Любопытно, что Федеральное бюро расследований уже много лет рекомендует страдающим от таких нападений компаниям не платить хакерам. Данное замечание ФБР свидетельствует о том, что нападения уже стали обыденностью для бизнеса, а схемы цифрового вымогательства приносят огромную прибыль. По заявлениям самой DarkSide, с августа 2020 года группировка взломала сети 80 с лишним компаний. В ФБР считают, что жертв гораздо больше. В частности, как заявил заместитель директора Федерального бюро расследований Пол Эббейт, уже обнаружено более 90 пострадавших компаний в целом ряде отраслей критической инфраструктуры, включая производство, юриспруденцию, страхование, здравоохранение и энергетику.

Как сообщало издание Financial Times со ссылкой на Bitdefender, в 2020 году количество зарегистрированных хакерских атак увеличилось на ошеломляющие 485% по сравнению с 2019-м. Началом новой эры киберуязвимости в США, по мнению FT, стал прошлогодний взлом хакерами крупной IT-компании SolarWinds, чье программное обеспечение используют 300 тыс. компаний по всему миру.

Закономерно, что на этапе «разбора полетов» (выяснения причин хакерских атак) обязательно возникает политика. Так, по утверждению американских спецслужб, DarkSide может базироваться на территории РФ или Восточной Европы. При этом пока американское руководство все же воздерживается от прямых обвинений, делая весьма расплывчатые заявления о том, что они не связывают деятельность хакерских групп с каким-либо правительством.

Россия дала понять, что категорически не согласна с данными расплывчатыми намеками. Российский президент Владимир Путин назвал «фарсом» сообщения о том, что российские хакеры или сама Россия якобы стоят за кибератаками в Штатах. «Нас обвиняют во всем… Вмешательство в выборы, кибератаки и так далее и тому подобное. И ни разу, ни разу, ни разу они не потрудились представить какие-либо доказательства… Просто необоснованные обвинения», — заявил российский лидер в интервью NBC. По его словам, Россия очень рассчитывает на налаживание борьбы с киберпреступностью вместе с американскими партнерами. «О совместной работе в киберпространстве, о предотвращении неприемлемых каких-то действий со стороны киберпреступников точно можно договариваться. Мы очень рассчитываем на то, что нам удастся наладить этот процесс вместе с американскими партнерами», — отметил президент России перед поездкой на саммит в Женеве. В то же время он напомнил, что, если НАТО объявила киберпространство сферой боевых действий, это значит, что «они что-то там планируют и готовят».

Прошедшая 16 июня встреча президентов России и США в Женеве принесла новую порцию информации о борьбе с хакерами.

В частности, американский лидер Джо Байден сообщил на пресс-конференции по итогам саммита, что передал президенту РФ Владимиру Путину список 16 ключевых секторов, которые не должны подвергаться кибератакам. Среди таких сфер — химическая промышленность, коммуникации, критически важные предприятия, гидротехнические сооружения, оборонно-промышленный комплекс, аварийные службы, энергетический сектор в целом, сектор финансовых услуг, пищевая промышленность и сельское хозяйство. Советник президента США по нацбезопасности Джейк Салливан заявил о том, что если Россия не сможет пресечь действия хакеров, совершающих преступления с ее территории, то США готовы использовать собственные средства.

Позже в Кремле подтвердили факт передачи списка 16 ключевых секторов, уточнив, что Вашингтон не ассоциировал российское государство с деятельностью хакеров. «Каких-то ответных списков мы не передавали. Но работа, как вчера было объявлено, будет начата, будет запущен механизм консультаций по кибербезопасности, в рамках этого механизма уже в предметном плане все вопросы будут обсуждаться», — заявил пресс-секретарь президента России Дмитрий Песков.

Стоит отметить, что отраслевые эксперты положительно относятся к любым договоренностям по противодействию киберпреступности, однако считают, что власти России и США не в состоянии остановить хакерские атаки.

Алексей Анпилогов напомнил, что киберпреступность интернациональна: «Хакеры есть везде. Если на российские структуры идет атака из Соединенных Штатов, это не значит, что российское правительство сразу обвиняет в этом ЦРУ или Госдеп. Мы же не находимся в состоянии войны с США».

Он также указал, что хакерство и киберпреступность являются уголовно наказуемыми деяниями в России, США и Китае. «Договор может заключаться лишь о том, что существующие структуры, в частности Интерпол, должны осуществлять свои функции.

В последнее время США применяли двойные стандарты и решения Интерпола исполнять не собирались, так как они считают, что их национальное законодательство имеет больший приоритет, чем международное сотрудничество»,

— пояснил Анпилогов. При этом он считает, что, несмотря на любые договоренности России и США, киберпреступность все равно будет существовать, вопрос в том, чтобы загнать ее в определенные рамки, где бы она не могла влиять на инфраструктурные объекты.

Виталий Камалов предположил, что, возможно, супердержавы договорятся сдерживать взломы и не трогать критические объекты, но атаки все равно продолжатся. «У американцев действует система обнаружения вторжений „Эйнштейн“, которая должна закрывать госструктуры. Тем не менее там уделяли мало внимания энергетике, нет единых стандартов безопасности. В России существует понятие критической информационной инфраструктуры, установленной законом „О безопасности критической информационной инфраструктуры“ и подзаконными актами. Существует также статья в Уголовном кодексе РФ об уголовной ответственности руководителей предприятий, которые отнесены к критической информационной инфраструктуре, в случае нанесения ущерба от хакерских атак. К критической информационной инфраструктуре вне зависимости от формы собственности относятся предприятия энергетики, финансов, безопасности, транспорта и т. д.», — рассказал Камалов.

При этом большинство отраслевых экспертов считают, что никакая система не может дать гарантию полной киберзащищенности, поскольку человеческий фактор присутствует везде. Так, Алексей Анпилогов напомнил о недавнем происшествии с членом Палаты представителей США от Республиканской партии Мо Бруксом, входящим в подкомитет по кибербезопасности Пентагона. Парламентарий случайно опубликовал твит со снимком экрана своего компьютера, на котором был приклеен стикер с ПИН-кодом и паролем от электронной почты.

Максим Агеев заметил, что в России порядка 80% объектов отрасли никто никогда не проверял и даже не задумывался о том, насколько они защищены от кибератак. «Сейчас это обязательный критерий для объектов многих предприятий, в том числе для нефтегазовых и нефтехимических. Вторая проблема — человеческий фактор. Около 90% случаев нарушений информационной безопасности предприятий связаны, так или иначе, с человеческим фактором. Для борьбы с этим компании обучают персонал, внедряют определенные процедуры управления, которые позволяют максимально обезопасить предприятие. Производственная культура во многих организациях оставляет желать лучшего, и это представляет собой определенные риски для них», — считают в Schneider Electric.

Есть и другая точка зрения, согласно которой российские компании более защищены от киберпреступников в силу своей большей IT-отсталости. Как рассказал «НиК» представитель российской IT-отрасли, уровень проникновения интернета на российских предприятиях ниже. Получается, что чем выше уровень информатизации компании, тем более она подвержена вторжениям хакеров. Причем, как правило, это касается обслуживающей инфраструктуры, так как все критически важные технологические процессы в большинстве стран имеют надежную защиту. Например, на многих российских предприятиях вентилятор включается и выключается кнопкой, а не удаленно по сети. Кроме того, американские компании часто используют софт Vendor, который хорошо известен большинству хакеров. В России, во-первых, законодательно прописано требование к предприятиям, относящимся к критической информационной инфраструктуре, переходить на российский софт. Во-вторых, сами компании часто используют самописный софт, который был давно создан условным Иваном Васильевичем, и подобрать к нему ключи очень сложно.

При этом в самой нефтегазовой отрасли заявляют, что проводится вся необходимая работа для предупреждения взломов IT-систем.

В частности, как отметила в своем комментарии для «НиК» «Роснефть», в целях реализации стратегии информационной безопасности в компании сформирован и реализуется обширный портфель проектов, в рамках которых осуществляется плановая модернизация существующих и апробация инновационных средств обеспечения информационной безопасности. Существенная роль отводится развитию корпоративной культуры и цифровой гигиены, совершенствованию знаний и навыков персонала в области информационной безопасности. Организовано централизованное взаимодействие с Национальным координационным центром по компьютерным инцидентам. Регулярно проводятся плановые и внеплановые киберучения по противодействию компьютерным атакам.

Таким образом, очевидно, что российским предприятиям необходимо, с одной стороны, наращивать корпоративную IT-культуру, а с другой — не терять те преимущества в виде условно устаревшего софта, которые зачастую работают надежнее нового программного обеспечения. Как отметил в интервью РИА «Новости» Дмитрий Песков, Россия постоянно становится объектом кибератак, поэтому должна выстроить информационный суверенитет. «Я думаю, что сейчас для нас наиболее актуально… выращивание собственных технологических стандартов, которые обеспечат кибербезопасность России», — сказал он.

Екатерина Вадимова