Водната индустрия и киберрисковете
Цифровизацията на всички индустриални браншове поставя нови, цифрови предизвикателства пред организациите. Едно от тях, особено важно за водния сектор, е нуждата от укрепване на киберсигурността. Организациите, като водоснабдяването, са принудени да повишат киберсигурността си, за да се защитят от все по-сложните и добре организирани кибератаки. Операторите на критични инфраструктури, каквато е и водната, имат моралното, но също така и вече законово задължение да поддържат безкомпромисно ниво за дигитална защита заради огромната им социална значимост. И тъкмо поради нея те са особено привлекателни мишени за кибератаки.
Текст: списание Инфрабилд
Днес кибербандите са добре организирани групи с ясна йерархия, специализация на „труда“ и конкретна „бизнес цел“: пари. Откъм организация бандите са добре структурирани. Имат си главен ръководител, мениджъри на различните видове дейности, дори подизпълнители. В рамките на групата някои „служители“ са специализирани в „първоначалния контакт“ с „клиента“ (организацията-жертва); други са заети с програмирането; трети отговарят за комуникацията след атаката – своеобразни „преговарящи“, например в случаите на рансъмуер – за искания откуп. Кибербандата може да има външни доставчици и подизпълнители, например тя може да купува данни на компрометирани профили от друга престъпна група.
Ютилити организациите под прицел
През 2023 година кибератаките срещу комунални дружества са нараснали с повече от 200% в сравнение с едва 104% общо нарастване на броя на кибератаките, сочат някои статистики. Други показват, че близо 3 от всеки 4 случая на пробив се дължат на вътрешен фактор – неспазване на правила и политики за защита на мрежите, компютрите и данните.
Организациите, които предоставят комунални услуги, са особено привлекателна мишена за кибератаки по няколко причини. От една страна, дружествата разполагат с личните данни на огромен брой хора. Данните са ценна стока в „тъмната мрежа“ – продават се от едни кибербанди на други. От друга страна, комуналните услуги са с голяма обществена значимост; спирането на водата например би било не само голямо неудобство, засягащо хиляди домакинства, но може и да има вредни последици за хигиената и оттам – за здравето. При ВиК операторите има и още по-голям риск: потенциално отравяне на водите би могло да коства здравето и дори живота на мнозина. През 2021 година хакер в САЩ нахлу в системата на водоснабдителното дружество в градчето Одсмар и вдигна стократно дозите на натриевия хидроксид, използван за дезинфекция на водата - от 100ppm до 11,100ppm - за щастие промяната бе усетена бързо.
Какво можем да очакваме?
Измежду всички видове кибератаки, за ВиК дружествата има няколко, към които са особено чувствителни. Кражбата на лични данни на клиенти е едно от сериозните поражения, които злодеите могат да нанесат. За тях това е „стока“ – лични имена и адреси ведно с номера на лични документи и евентуално на банкови карти. В тъмните мрежи подобни данни се продават неколкократно на заинтересовани кибербанди.
Рансъмуерът представлява киберизнудване. При него атакуващият прониква в ИТ системите, после криптира данните на организацията и ги прави на практика неизползваеми. След това се свързва с организацията и поисква откуп, за да „отключи“ данните. При големите дружества този откуп обичайно се измерва в милиони. За съжаление дори ако организацията се съгласи да си плати откупа, това не е гаранция, че тя ще получи достъп до данните си отново.
Схващането, че спасението е в поддържането на резервно копие на данните, постепенно бе развенчано. С течение на времето кибернападателите се научиха да криптират първо резервните копия, а едва след това – оперативно използваните данни, оставяйки организациите-жертви „с вързани ръце“. До известна степен това се компенсира от появата на ново поколение системи за съхранение на данните, които имат механизми за разпознаване на аномалии при четене и писане на данни и алармират за подозрителни тенденции.
„Разгласата“ е по-нова форма на киберизнудване. При нея нападателите осъществяват пробив, но не е задължително да криптират данните или да нанесат друго поражение; те само заплашват, че ще разгласят пробива в общественото пространство – нещо, което за голяма ютилити организация отключва порой от проблеми.
Най-голяма опасност за ВиК операторите представлява проникването в оперативните системи и манипулирането им. След случая в Олдсмар има още няколко подобни. Например, през януари 2021г. хакер проникна в инфраструктурата на ВиК дружество в района на Сан Франциско, като изтри всички съществуващи програми за третиране на водата. По сходно време служител на водоразпределително дружество в Канзас си „поиграл“ с компютърната система за обработка на питейната вода, в резултат на което то просто спря да работи.
Разнообразието от системи и технологии, в частност наличието на остарели и нерядко – вече неподдържани платформи прави трудно обхващането на цялостната инфраструктура от гледна точка на киберзащита. Унаследени и модерни системи „живеят“ едновременно, но не всякога интегрирано, а това създава потенциални пробойни в сигурността.
3D атаките са най-новото попълнение в арсенала на кибербандите. Понятието 3D се отнася до трите вектора, използвани за нападение: текст, глас и образ. Най-честият сценарий започва с електронно писмо до ключов служител, например главен счетоводител, с настояване за „спешно“ действие, например плащане на определена сума към дадена сметка. Писмото бива скоро последвано от „телефонно обаждане“ – фалшифициран запис с имитация на гласа на по-висшестоящ мениджър. Гласът потвърждава нареждането. В най-ново време вместо гласов запис се изпраща видео съобщение с „жив“ образ на топръководителя.
Аудио- и видео фалшификатите, известни още като майсторски фалшификати, станаха възможни благодарение на възхода на т. нар. генеративен изкуствен интелект. Оказва се, че на разположение на тъмните герои са налице редица инструменти за генериране на видео с имитация на предварително зададен образ. Куриозното е, че такива инструменти се предлагат като услуга и цената им е няколко долара.
Атаките по веригата на доставките са още един риск за дружествата, управляващи големи инфраструктури като водната. Големите предприятия традиционно използват външни партньори за редица дейности, например доставка на материали и техника, измервания и др. С цел автоматизация – и благодарение на цифровизацията – връзките с такива партньори се автоматизират. Заявки, фактури, отчети се придвижват безпрепятствено между ИТ системите в дружеството и тези на неговите изпълнители. Тази връзка обаче може да бъде експлоатирана злонамерено. Тя може да послужи за „врата“: пробивайки ИТ системите на по-малката фирма доставчик, кибернападателят може да си осигури вход в мрежата на целевото ютилити дружество.
Атаката стъпка по стъпка
Обичайно всяка кибератака преминава през няколко приблизително еднакви етапа. Верижно, едно след друго злодеите изпълняват рутинни стъпки по: първоначално проучване и разузнаване, сетне първоначален достъп, нахлуване и странично движение, събиране на данни и накрая - действие. В рамките на първоначалното проучване атакуващите събират всичката възможна информация за организацията-мишена: официални имейли, йерархия в организацията с конкретни имена и позиции, шаблони за кореспонденция и др. Подготовката е незабележима за дружеството под прицел, защото най-често проучването разчита на добре известни факти, които нерядко са обществено достояние. В помощ на кибернападателите вече има множество автоматизирани инструменти за събиране на обществено достъпната информация за дадена организация.
Първоначалният достъп обичайно е тих пробив. При него няма щети, липсва увреждане на работата на ИТ системите. Атакуващият се старае да остане в стелт режим, да не привлича вниманието. Неговата цел е да „поживее” в ИТ инфраструктурата на организацията, да проследи процесите, навиците, структурата, правата и ограниченията, защитните механизми.
Първоначалният достъп най-често се случва благодарение на компрометирани данни за логване – имена и пароли. Как атакуващият се добира до тях? Например чрез фишинг писмо. Достатъчно е един лековерен служител да се подведе от получено измамно писмо и да представи своите име и парола за достъп.
Актуално напоследък е използването на PDF файлове в измамническите писма. По този начин се заобикалят обичайните защитни механизми, следящи за уеб адреси и изпълним код.
Атакуващият постепенно нахлува в ИТ инфраструктурата, като се стреми да увеличи правата си за действие. Най-често този стадий включва т.нар. странично движение. Това е пробиването от една ИТ система към друга.