Предизвикателства пред енергийната киберсигурност

Когато става дума за киберсигурност, трябва да сме наясно, че отдавна отмина времето, когато незнаен хакер в тъмна нощ разбива нечий компютър, само за да се възгордее от себе си или да се похвали сред състудентите си. Днес хакерските атаки са комерсиални и отчасти – политизирани. Атакуващите търсят начин за извличане на пари, а като следствие от това в някои случаи може да са спонсорирани от различни нива. И в двата случая максимум поражения означава максимум приходи. Това обяснява защо електроенергийните мрежи са сред най-апетитните мишени за киберзаплахи, наред с банковите.

Текст: списание Енергия

Предизвикателства пред енергийната киберсигурност

Критичните инфраструктури ще стават все по-атрактивни в бъдеще за злонамерените играчи, провеждащи различни видове кибератаки. Експертите по виртуална безопасност казват, че почти всички електроенергийни мрежи имат „пробойни“ и никоя не бива да бъде считана за неуязвима. Какво искат хакерите, когато извършват своите пробиви? – Най-вече пари. Едно от най-очевидните потвърждения е, че най-сериозното киберпрестъпление на днешно време е т. нар. рансъмуер (от англ. ransom – откуп). При него злодеите заразяват компютъра на потребителя – или цяла мрежа от компютри в дадена фирма – с програма, която криптира (шифрира) всички налични файлове.

После хакерите изпращат послание: искат откуп, за да „отключат“ файловете. Най-често откупът трябва да е във вид на криптовалута. Е, в около една пета от случаите наистина отключват файловете, изцяло или частично, след получаването на парите. За да се случва това, хакерите са добре организирани. Структурите им наподобяват тези на всеки легален бизнес. Освен шеф, има отговорници по осигуряването на софтуерен код, екипи за набирането на мишени, експерти по преговорите с жертвите и други.

Голяма част от софтуерните инструменти, които се използват за атаките, не се пишат от атакуващите. Вместо това програмните инструменти се купуват готови. Кой ги продава? Други хакерски групи, чиито „бизнес“ е специализиран в писането на код. Когато целта на атаките е да се открадне информация – например лични данни, имена и пароли от регистрации в уеб-услуги, банкови данни – обикновено тя се търгува на онлайн борси. Продавачите могат да търгуват една и съща крадена информация и съответно да я продават на много „купувачи“. На свой ред те използват данните за най-различни цели: за организиране на фишинг-кампании, за провеждане на DDoS атаки и др.

Предизвикателства пред енергийната киберсигурност

Рансъмуер или заплаха номер едно

Криптирането на компютри и цели мрежи с цел искане на откуп, т. нар. рансъмуер, продължава да е най-голямата заплаха за големи, средни и малки бизнеси, както и за правителствените организации, сочат данни от различните проучвания през последните две години. Добил популярност бързо, рансъмуерът еволюира. Първоначално хакерските групи атакуваха предимно големи корпоративни организации. Една от най-известните атаки в енергийния сектор е тази срещу петролната фирма Colonial Pipeline през май 2021 годи-на. Хакерите поискаха многомилионна сума, а спирането на работата навреди на хиляди други бизнеси.

Малко по-късно злонамерените играчи промениха тактиките и започнаха да се прицелват във все по-малки фирми. Логиката е проста – по-добре по-дребни суми, но по-многобройни, отколкото един голям „удар“, който привлича вниманието на целия свят. За това, че никой не е застрахован, свидетелства и фактът, че някои от големите рансъмуер атаки бяха реализирани срещу компании от самия ИТ бранш. Това е сектор, за който се предполага, че би трябвало да е най-наясно с практиките за защита. Жертви на изнудвания станаха компютърните производители Acer, Apple, консултантската компания Accenture, разработчикът Kaseya и други.

Атаки и сложност на ИТ системите

Уязвимостта на електроенергийния сектор се корени в често срещан проблем при повечето организации от ютилити индустрията - извънредната сложност на техните ИТ системи. Колкото по-стара е организацията, толкова по-многобройни са ИТ системите, с които тя работи. Някои от функциониращите платформи са многогодишни, унаследени и нямат добра поддръжка от гледна точка на обновления за сигурност. Наред с това често пъти системите са взаимозависими – една платформа може да черпи данни от няколко други. Това прави поддръжката и обновленията още по-трудни, защото малка промяна в един софтуер може да доведе до блокиране на друг. Дори самите системи за кибербезопасност често пъти са многобройни и взаимопреплитащи се.

С годините са внедрявани антивирусни програми, виртуални частни мрежи, платформи за засичане на опити за пробиви, модули за защита на електронните пощи, системи за предпазване на уеб-сървъри, хардуерни компоненти за пресяване на мрежовия трафик и какво ли още не. Според някои статистики, в една средно голяма организация има средно над петдесет различни технологии за киберсигурност. Противно на очакванията на мнозина, това не повишава, а намалява способността за киберзащита. Повишената сложност създава много по-трудна за управление информационна среда. Екипите по сигурност губят способността да имат цялостна видимост над всичко което се случва. В крайна сметка богатият арсенал нерядко се оказва слабост, отваряйки повече атакуема площ с повече уязвимости. Оказва се, че след години на усърдна диверсификация на ИТ доставчиците, днес всеки бизнес има шарена мозайка от технологични системи, която сама по себе си е предпоставка за успех на кибератаките.

Влакчето се ускорява

В този плашещ пейзаж 44% от организациите, които оперират критични инфраструктури, отчитат нарастване на обема, сериозността и обхвата на кибератаките през последните 12 месеца, според последните проучвания. Над една трета от фирмите е преживяла пробив в сигурността в рамките на една година. Основание за тревога дава изнасянето на голяма част от данните и процесите в т.нар. „облак“ – ИТ услуги, предоставяни чрез мащабни центрове за данни в интернет, осигурявани от външни доставчици. Голяма част от операторите на критични инфраструктури са изнесли някои от своите дейности към облачни доставчици.

Повечето имат повече от един облачен доставчик. Геополитическата обстановка, която рязко се нажежи след февруари 2022 година, повишава напрежението допълнително. Руско-украинският конфликт, добил глобален мащаб, активизира редица хакерски групи. За някои от тях има основание да се мисли, че спонсорирани от държавни организации. Именно те се прицелват най-активно в критични инфраструктури, такива като електропреносни и електроразпределителни дружества, ВиК предприятия и други. Влакчето на ужасите тепърва може да се ускорява.

Напредъкът в квантовите изчисления продължава с пълна сила. Той обещава съвсем скоро модерните технологии да са достъпни за бизнеса. Без съмнение подземният свят ще се възползва от шанса, т.к. традиционно престъпният свят е най-бърз във възприемането на наймодерните технологии. Основните опасения по отношение на мощните квантови компютри включват бъдещите възможности за бързо декриптиране на днешните защитени данни, риск от блокчейн атаки, разпространение на криптографски ключове, още по-мощен рансъмуер. И ако тези опасности касаят всички оператори на критични инфраструктури, то за електроенергийните дружества има и още рискове.

Предизвикателства пред ВЕИ и V2G

Тъй като организациите в енергийния сектор ще продължат да разширяват своята свързаност, за да подобрят ефективността си, предизвикателствата за киберсигурността на мрежите ще стават все повече. Интегрирането на възобновяемите източници в електроенергийните мрежи е един от основните фактори в този процес. Все повече потребители инсталират собствени системи за добив на възобновяема енергия, например соларни покриви. Така потребителите се превръщат в т. нар. „прозюмери“ (прозюмер – производител и потребител едновременно).

Това означава много по-голяма сложност на управляваната инфраструктура. Следва да се добави и тенденцията за включване на електромобилите в глобалната електроенергийна система, но не като обикновени консуматори на електричество, а като активни податели на енергия – резервни батерии (vehicle-to-grid, V2G). Това означава множество нови точки на връзка с електропреносните мрежи и множество нови „порти“ за влизане на недобронамерените играчи.

... и смарт грид

Смарт грид се нарича, най-общо, електрическата мрежа, която използва информационни и комуникационни технологии, за да събира данни и да действа възможно най-автоматизирано съобразно събраните данни. Тук се намесват мощни алгоритми за анализ на поведението на потребителите и доставчиците и съответно автоматизирано подобряване на ефективността, надеждността, устойчивостта на електроразпредeлението. Колкото повече ИКТ се намесва в електроразпределението, толкова по-„умно“ и по-автоматизирано става то. С това обаче нарастват и възможностите за срив в резултат на човешка грешка или пробив в резултат на злонамерено действие.

Предизвикателства пред енергийната киберсигурност

Ролятата на мениджърите по ИТ сигурност

Като резултат от нарастващите киберпредизвикателства пред електроенергийните дружества все по-голяма и значима става ролята на главният директор по сигурността, така нареченият CISO (от англ. – chief information security officer). Нарастването на тежестта на този пост е пряк резултат от разгръщането на технологиите за интелигентни електроразпределителни мрежи в ютилити сектора. Колкото по-умни стават енергийните мрежи, толкова по-големи са рисковете за информационната сигурност. През последните приблизително три години, от началото на пандемията насам, ролята на CISO рязко се нажежи във всички сфери.

Много от експертите достигнаха състояние на прегаряне – срив на работспособността и мотивацията в резултат на прекомерните отговорности и ангажименти. Конкретно в ютилити сферата този наплив от грижи в работата няма изгледи да намалее. Все потясното преплитане между електроенергийни технологии и ИКТ означава, че киберсигурността става основен приоритет, решаващ за съществуването на енергийните дружества. Следователно става все по-наложително главните отговорници по сигурността действително да намерят място в борда на директорите, управляващ предприятието - или поне в главния консултативен съвет на съответната организация.

Бели хакери за черни дни

На фона на толкова много предизвикателства и високи изисквания все повече ютилити организации откриват ползата от ролята на етичните хакери. Наричани още бели хакери, това са специалисти по информационна сигурност, които изпреварват киберпрестъпниците, като извършват предварително потенциалното престъпление. Те регулярно търсят грешки и уязвимости, преди нападателите да го направят. Това позволява на организациите да коригират слабостите си. Етичните хакери могат да помогнат на вътрешните екипи за сигурност да постигнат устойчивост срещу световната общност на киберпрестъпниците.

Държавни и наднационални политики

За да ускорят закаляването на киберсигурността в електроенергийния сектор, правителствата по света все по-активно разработват политики, рамки и финансови механизми в мащаб. Наскоро, например, Mинистерството на енергетиката на САЩ обяви, че осигурява 45 милиона долара за проекти за изследване, разработване и демонстрация на киберсигурност от следващо поколение за безопасността на електропреносните мрежи. Инициативата ще се фокусира върху разработване на нови инструменти и технологии за киберсигурност, предназначени да намалят кибер-рисковете за инфраструктурата за доставка на енергия.

„Участниците трябва да разработят инструменти и технологии, които позволяват на енергийните системи автономно да разпознаят кибератака, да се опитат да я предотвратят и автоматично да я изолират и изкоренят без прекъсване на доставката на енергия“, гласи анонсът на инициативата. Европа традиционно действа повече на ниво законодателство. Наскоро ЕС представи законопроект, който трябва да повиши нивото на киберсигурност на всички основни инфраструктури, включително енергийната, въвеждайки нови и високи стандарти за киберсигурност. Важните организации са енергийните дружества, наред с транспортни предприятия, организации от сферата на здравеопазването, водоснабдяването, публичната администрация, цифровата инфраструктура и банковите и финансовите пазари.

Структурите, които не отговарят на стандар-тите, може да бъдат санкционирани. Наред с това европейските държавни институции вече имат предвиждания за финансиране. В помощ на организациите при повишаването на тяхната киберустойчивост е създаденият наскоро в Букурещ европейски център за киберкомпетентност. Тази нова агенция ще отговаря за две програми за финансиране в периода 2021-2027 година - „Digital Europe” и „Horizon Europe”. Чрез тях центърът ще помага за реализацията на проекти в сферата на киберсигурността, посредством звена в държавите членки на съюза. У нас отговорният орган е Центърът за киберкомпетентност при Министерството на електронното управление.

Ролята на партньорите – MSP

В условията на все по-дигитализирания начин на работа, недостиг на специалисти по киберсигурност, все по-строги регулации и по-ожесточени атаки много организации намират спасение в това да привлекат партньор с високо ниво на експертиза в дадена област. Тези доставчици на т. нар. управляеми услуги (на английски – managed services provider, MSP) обаче също вече са в радара на вниманието на злонамерените организации. В MSP хакерските групи виждат нелесна, но много щедро отплащаща се мишена. Щетите, които зловредният код може да нанесе на MSP организациите, не са изненада за никого – всички знаем за случаите на изнудвания и платени откупи в размери на милиони.

Въпреки мащаба на тези големи атаки, те бледнеят в сравнение с това, което рансъмуер екипите правят, когато проникнат в мрежите на MSP. Образно казано, едно е крадец да открадне нечий портфейл или чанта, друго е да обере цял банков трезор. Намирането на уязвимост при MSP означава потенциално компрометиране на всяка организация, обслужвана от въпросния доставчик. Нападателите могат да извършват двойни и тройни изнудвания, парализирайки редица организации – нещо, което доскоро беше немислимо, освен ако не бъде хакната правителствена информационна система.

Показателен за проблема бе случаят с фирмата SolarWinds. Компанията разработва платформа за управление на технологичните ресурси, която се използва от доставчиците на управляеми услуги, за да обслужват своите клиенти. След като хакери пробиха системата, те се оказаха с достъп до мрежите, системите и данните на хиляди потребители на SolarWinds по света. Над тридест хиляди организации и клиенти се оказаха жертви, защото са били обслужвани чрез един и същи технологичен инструмент от своите доставчици. Парадоксално основната идея на MSP се оказва и най-голямата му слабост. За много фирми MSP се явяват попълване на липсващ ресурс (експертен опит или услуга, които са твърде скъпи за управление посредством вътрешен екип).

MSP за сигурност

Навярно изключение от проблема с MSP могат да са доставчиците на услуги за виртуална сигурност. Подобни компании имат усъвършенствани и всеобхватни платформи за киберзащита, които съчетават функциите на множеството защитни технологии и системи – предпазване от вируси и виртуални зарази, защита от рансъмуер, грижа за електронната поща, поддържане на резервни копия на данните и други. Заедно с това имат и добре подготвени екипи от висококвалифицирани специалисти.

ТАГОВЕ:
СПОДЕЛИ:

Акценти