Возможно ли, чтобы Stuxnet, исключительно сложная вредоносная программа, направленная против промышленного оборудования, могла быть остановлена, по крайней мере частично, с помощью встроенных датчиков вибрации без программного обеспечения? Недавно я задал этот вопрос Энди Бохману, старшему специалисту по сетевой стратегии внутренней безопасности в Национальной лаборатории штата Айдахо (INL). На тот момент я только что прочитал Internet Insecurity (https://hbr.org/cover-story/2018/05/internet-insecurity), передовую статью в издании «Гарвард Бизнес Ревью» (https://hbr.org/). В ней рекомендуется, наряду с прочими мерами, применять аналоговые и несложные технические системы, не вместо цифровых, но в качестве баррикады для защиты важнейших систем. «Вы правы, — заверил меня Бохман в ответ на вопрос о Stuxnet. — Это центральная мысль всей статьи».

Я вздохнул с облегчением, поскольку нелегко сразу овладеть фундаментальными знаниями о кибербезопасности в целом и Stuxnet в частности. И мне никогда не приходилось встречать человека, который бы верил, что подход с использованием простых технических средств поможет отклонить центральный вектор атаки вредоносной программы.

Пример Stuxnet по-прежнему остается эталоном сложных кибератак против общедоступной сети бытовых и промышленных устройств. В сущности, Stuxnet был вредоносной программой, подготовленной, как считается, спецслужбами США и Израиля примерно в 2005 году для противодействия ядерной программе Ирана и примененной пять лет спустя. Червь был внедрен в закрытую сеть в иранском ядерном центре в Нетензе, скорее всего, с USB-накопителя. Затем вредоносный код проник в программируемые логические контроллеры, управляющие вращением центрифуг. Он заставлял центрифуги неконтролируемо вращаться в течение короткого времени, а затем возвращал их в нормальный режим на несколько недель. Так продолжалось до тех пор, пока не была выведена из строя пятая часть центрифуг.

Спустя восемь лет после атаки Stuxnet промышленные компании могут извлечь из этой истории несколько важных уроков. Так, государства продолжают предпринимать кибератаки против корпоративных, промышленных и административных целей соперничающих государств, в частности против организаций, управляющих критическими объектами инфраструктуры, с применением все более сложных методов. Пример тому — прошлогодние кибератаки WannaCry (якобы исходившие из Северной Кореи) и NotPetya (приписываемая России). Однако в некоторых случаях вы можете защититься от нападения с очень небольшими затратами, а иногда и вовсе без затрат, с помощью методов, о которых даже не подозревали в прошлом.

Недавно вредоносная программа, известная как Triton, или Trisis, атаковала нефтехимический завод в Саудовской Аравии. Ее задачей было захватить контроль над работой завода и вызвать взрыв. «The Washington Post» (https://www.washingtonpost.com/world/national-security/theyre-on-the-lookout-for-malware-that-can-kill/2018/04/27/33190738-32c1-11e8-8abc-22a366b72f2d_story.html? utm_term=.5c3b75f2aba2) назвала атаку примером вредоносной программы, способной убить. По информации «The New York Times» (https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html), атака не удалась только из-за ошибки в программе. Такие атаки, как Triton и Stuxnet, напоминают нам о том, что в XXI веке вредоносные программы могут физически испортить оборудование, а иногда и нанести ущерб безопасности. Кроме того, они могут нарушить работу организаций, сотрудники которых надеялись на прочную киберзащиту и изолированные сети, отделенные от внешнего мира.

И все же подход Бохмана отличается от принципов многих специалистов по кибербезопасности. Он не сосредоточен в первую очередь на «кибергигиене», к которой относит все, начиная с персонала и услуг по обеспечению кибербезопасности. Среди прочего — обучение сотрудников, инвентаризация...

Это не вся статья. Полная версия доступна только подписчикам журнала. Пожалуйста, авторизуйтесь либо оформите подписку.
Купить номер с этой статьей в PDF