«Против Ирана начата электронная война», — заявил в интервью газете один из иранских чиновников.

Правда это или нет, но большинство публикаций и экспертных гипотез возлагают ответственность за создание Stuxnet на США и Израиль. Что, если Иран ответит тем же и атакует американские промышленные системы диспетчерского контроля и сбора данных (SCADA)? Достаточно ли они подготовлены к тому, чтобы выдержать тщательно разработанную прицельную атаку?

Краткий ответ — «нет».

«Проблема не в том, что мы не готовы отразить аналог Stuxnet, а в том, что мы не готовы к чему бы то ни было, — утверждает Эрик Кнапп, директор компании NitroSecurity в области критической инфраструктуры. — Если провести тесты на проникновение, окажется, что большинство компаний, предоставляющих коммунальные услуги, крайне уязвимы, и это подтверждается массой исследований».

В связи с этим возникает и такой вопрос: насколько далеки коммунальные службы и другие элементы критически важной инфраструктуры от необходимого уровня защищенности?

«Некоторым коммунальным службам очень далеко до нужного уровня, — полагает анонимный эксперт, недавно выполнивший оценку защищенности в ряде коммунальных служб. — В таких компаниях серьезно недооценивают риски. Там считают достаточными для защиты шифрование связи между оборудованием или наличие какого-либо вида системы контроля доступа. Во многих отношениях коммунальные службы ведут себя, как компании по разработке программного обеспечения около десяти лет тому назад. Они просто не желают замечать реального положения дел».

Однако, по убеждению Кнаппа, подобная плачевная ситуация наблюдается далеко не везде: «Мы работаем со множеством коммунальных служб и производственных предприятий, и вопреки высказанному выше отзыву, существует немало компаний по управлению коммунальными службами, в которых к безопасности относятся очень серьезно».

Главный консультант по безопасности компании NetWitness Майк Сконзо полагает, что узлы критически важных инфраструктур — коммунальные службы и производственные предприятия — начинают принимать необходимые меры по обеспечению своей защищенности: «Критически важная инфраструктура проходит через те же 'болезни роста', что и ИТ-индустрия в свое время. Например, первая версия стандарта Critical Infrastructure Protection, разработанного в рамках North American Electric Reliability Corporation, преимущественно требовала расстановки галочек. То есть, если вы выполнили пункты А, Б и В, значит, вы предположительно защищены. Сейчас же я наблюдаю повышение интереса к оценкам защищенности, основанным на рисках. Во многих организациях начали осознавать важность рискориентированного управления безопасностью. Работникам компаний, отвечающих за критически важную инфраструктуру, необходимо понять, что обеспечение безопасности — это непрерывный процесс. Им следует брать пример с разработчиков программного обеспечения, которые десять лет назад нашли оптимальные методы создания защищенного кода и с тех пор их разивают».

Между тем многие эксперты уверены, что контратака с помощью червя, подобного Stuxnet, — лишь вопрос времени, поэтому остается только гадать, успеют ли коммунальные службы подготовиться к такому вторжению в достаточной мере.