2024/02/28 11:00:00

Информационная безопасность в логистике и на транспорте


Содержание

2023: Транспортная отрасль вошла в топ-10 наиболее атакуемых хакерами в мире. Главные методы атак

В конце февраля 2024 года компания Positive Technologies, специализирующаяся на разработке ПО для информационной безопасности, выпустила исследование, которое посвящено ситуации с киберугрозами в транспортной отрасли. Из отчета следует, что хакеры в попытке взломать ИТ-системы операторов железнодорожного, авиационного, морского и автомобильного транспорта в 2023 году чаще всего применяли вредоносного ПО (35% от общего количества случаев), эксплуатацию уязвимостей (18%) и атаки на цепочку поставок (8%).

По данным Positive Technologies, транспорт в 2023 году вошел в число 10 отраслей, которые чаще всего подвергаются кибернападениям. Последствия таких атак могут быть очень серьезными для участником рынке, например:

  • в железнодорожном сегменте - это может быть блокировка грузоперевозок, а также повреждение или уничтожение перевозимого груза (например, нефти и угля).
  • в авиации - простой систем бронирования, сбой системы управления багажом и нарушение работы средств навигации;
  • для морских перевозок - вмешательство в процессы управления топливными складами, атаки на системы управления погрузкой, захват системы управления балластом большого корабля, в результате воздействия на которую он может опрокинуться и затонуть;
  • для городской дорожной инфраструктуры и автотранспорта - нарушение работы информационных табло, светофоров, систем бронирования такси и атаки на системы управления транспортом.

По оценкам экспертов Positive Technologies, число успешных кибератак на транспортные компании в мире в 2023 году выросло на 36% в сравнении с 2022-м. Злоумышленники чаще всего используют вредоносное ПО, потому что оно является самым мощным и доступным инструментом для взлома. Вирусы-вымогатели предлагаются для аренды в даркнете.[1]

2021

Ущерб от кибератаки может достигать $50 млн и более

Ущерб от кибератаки может достигать 50 млн долл. США и более. Об этом 15 сентября 2021 года сообщила компания BCG. В то время как охват потенциальных кибератак в секторе ТиЛ увеличивается, а характер риска становится все более разнообразным, затраты на взлом существенно сократились. Причем главный источник уязвимостей - не системы, а люди. Чтобы противостоять киберрискам в отраслях ТиЛ, необходимо предпринять активные действия по трем направлениям: технологии, регулирование, а также люди и процессы. В 2020 году количество вакансий ИКТ достигло 4 млн

Фокус кибератак в России в основном сосредоточен на связанных с электронной коммерцией ритейле, банковском секторе и логистикеРоссийский рынок облачных ИБ-сервисов только формируется 2.5 т

Цифровизация широко распространилась среди компаний в сфере транспорта и логистики (ТиЛ), усовершенствовав весь цикл процессов в отрасли. Это способствовало беспрецедентному повышению эффективности, направленному на расширение каналов дохода.

Это положительная сторона. Минус в том, что цифровизация выявила ряд проблем в компаниях ТиЛ, делающих их чрезвычайно уязвимыми перед кибератаками. Это затрагивает каждый сектор отрасли, включая морские, железнодорожные, автомобильные перевозки, логистику и доставку посылок. Последствия обходятся дорого, нарушают работу и могут повлечь финансовую ответственность, особенно если допускается утечка конфиденциальных сведений о клиентах.

Есть множество факторов уязвимости транспорта и логистики. Во-первых, более широкое использование операционных технологий (ОТ), новых коммуникационных и беспроводных каналов, напрямую связанных с цифровыми экосистемами компаний ТиЛ, делают компании легкой целью для хакеров. Во-вторых, это устаревшее регулирования и стандартов в области ИТ, недостаточная осведомленность в области кибербезопасности и, наконец, едва ли не самый существенный фактор - нехватка квалифицированных кадров, способных обеспечить защиту.

Кибератаки в секторе ТиЛ раньше происходили раз в несколько лет. Теперь, похоже, одна-две из них организуются каждый месяц. Некоторые из них масштабны. Например, кибератака в мае 2021 года по сути примерно на неделю остановила работу компании Colonial Pipeline, которая поставляет нефтепродукты почти для половины восточного побережья США. Компания заявила, что сумма выкупа и потери из-за нарушения деятельности могли достигнуть 50 миллионов долларов и более. Другие кибератаки, даже направленные на крупные транспортные компании, которые страдали уже не раз, привлекают меньше внимания прессы, но часто включают в себя дезорганизацию систем электронной почты и логистики.

Кроме того, хакеры все чаще пытаются украсть данные, хранящиеся в сетях, которые жизненно необходимы для модернизации и развития отрасли ТиЛ, поскольку они обеспечивают более эффективное и качественное обслуживание клиентов. Эти сети позволяют внедрить цифровые улучшения, такие как автоматизированные заказы, отслеживание груза и доступ к информации аккаунта. Хотя подобные плюсы для клиента чрезвычайно ценны, они требуют хранения больших объемов конфиденциальной информации, собранной через онлайн-платформы, телефонные приложения и прочие мобильные устройства, которые из-за отсутствия строгих протоколов киберзащиты являются одними из самых ненадежных каналов.

И, в то время как охват потенциальных кибератак в секторе ТиЛ увеличивается, а характер риска становится все более разнообразным, затраты на взлом существенно сократились. (См. Рис. 1.)

Учитывая растущую актуальность проблемы, компания BCG исследовала причины, по которым отрасль настолько уязвима перед кибератаками. В BCG выработали ряд интегрированных решений, которые компании могут применить, чтобы снизить влияние этих рисков и создать жизнеспособные и надежные методы защиты от них.

Самый простой подход к проблемам, с которыми сталкиваются компании ТиЛ,— это распределение их факторов уязвимости по трем категориям: технологии, регулирование, а также люди и процессы. Необходимо внимательно изучить каждую из этих категорий, чтобы встретить во всеоружии новые угрозы, которым подвержена отрасль в целом.

Технологии. В каждом сегменте отрасли ТиЛ очевидно расширение поверхности кибератак. Например, среди морских перевозчиков относительно простые системы оповещения о бедствиях и обеспечения безопасности были заменены полноценными местными сетями, основанными на облачных технологиях, такими как программа электронной навигации Международной морской организации (ИМО). Эти сети — привлекательная цель для хакеров, поскольку они постоянно собирают, интегрируют и анализируют бортовую информацию, чтобы отследить положение судов, данные о грузе, технические проблемы и целый спектр вопросов, связанных с океанической средой. (См. Рис. 2.)

Аналогичная ситуация в железнодорожном секторе: традиционные проводные системы управления движением поездов (СУДП), связь которых с внешними системами ранее была ограничена, уступают беспроводным стандартам, таким как GSM-Railway— относительно широкая сеть, связывающая поезда с пунктами управления движением. (См. Рис. 3.) Как и в случае со всеми пассажирскими компаниями, компании ТиЛ предоставляют информационно-развлекательные услуги и используют другое оборудование, что добавляет еще один уровень подключения к интернету.

Хотя эти распространяющиеся сети, которые, по сути, связывают системы ОТ с внутренним ИТ-оборудованием, таким как серверы, компьютеры и мобильные устройства, и сами по себе представляют новые пути для атаки хакеров, они иногда становятся еще более уязвимыми из-за недостатка понимания важности защиты от кибератак со стороны как поставщиков ОТ, так и компаний ТиЛ. В некоторых случаях поставщики ОТ требуют встроить в их оборудование потенциально уязвимые интерфейсы управления для удаленного доступа, контроля и устранения неисправностей. Кроме того, компьютерное оборудование компаний ТиЛ редко обновляется для соответствия строгим протоколам безопасности.

В равной степени настораживает и то, что помимо отношений с отдельными поставщиками ОТ компании ТиЛ образуют более эффективные и технологичные партнерства со своими поставщиками и распространителями, которые все больше зависят от сетевых связей. Протоколы кибербезопасности этих партнеров обычно не контролируются, из-за чего компании ТиЛ не получают информации о том, не растет ли риск из-за их интегрированных экосистем.

Регулирование. Хотя коммерческие и эксплуатационные аспекты сектора транспорта и логистики регулируются во многих регионах, существует относительно небольшое количество положений, затрагивающих кибербезопасность. Несмотря на глобальный характер деятельности сектора — или, возможно, из-за него — регулирующим органам сложно договориться или сосредоточиться на комплексе норм кибербезопасности, которые должны были бы соблюдать компании ТиЛ, где бы они ни работали. В отсутствие этого комплекса вложения в кибербезопасность не оптимизированы так, чтобы снизить общее влияние риска на организации.

Тем не менее, осознавая возможную опасность масштабной кибератаки на отрасль ТиЛ для мировой торговли и экономической стабильности, регулирующие органы начинают занимать более активную позицию и требовать большей защищенности сетей компаний. Предлагаемые или уже принятые инструменты регулирования включают в себя Директиву ЕС о сетевой и информационной безопасности (NIS) и скоро вступающие в силу стандарты CLC/TS 50701 и EN 50126 для железнодорожного транспорта, а также ряд правил для морского транспорта, вводимых Международной морской организацией. В разной степени эти меры регулирования направлены на соблюдение минимальных норм для защиты наиболее важных данных и процессов компаний, в особенности данных о клиентах и информации о грузоперевозках.

Люди и процессы. Киберугрозы постоянно развиваются, но общая черта некоторых наиболее уязвимых областей — это люди. Например, сотрудники, не способные распознать фишинговое письмо, могут быть легко использованы хакерами на начальном этапе атаки. На самом деле, можно сказать, что первым шагом в цепочке атак обычно и становятся действия самих пострадавших, учитывая, что значительно более половины утечки данных можно напрямую проследить и выявить недостатки в организационных процессах и компетенциях сотрудников или недостаток их знаний о кибератаках.

Ухудшает ситуацию огромный и растущий глобальный кадровый дефицит специалистов по кибербезопасности. 4 миллиона должностей специалиста по ИКТ были вакантны в 2020 г., согласно данным отраслевой группы по защите информации ISC2. Нехватка хорошо подготовленных киберспециалистов частично объясняется тем, что высшее образование в области кибербезопасности — относительно молодое явление, существующее лишь около десяти лет.

По нашей информации, эта нехватка остро ощущается в рассматриваемой отрасли, особенно в Азиатско-тихоокеанском регионе, поскольку выпускники с квалификацией в области кибербезопасности и опытные специалисты, уже работающие в данной сфере, обычно не рассматривают перевозки и логистику как предпочтительную сферу для построения карьеры.

Частично это проблема восприятия. Большинство кандидатов на должность не смотрят на компании ТиЛ как на предоставляющие инновационные рабочие места, где специалисты по технологиям могли бы развернуться в таких областях, как роботизация и автоматизация, анализ данных, блокчейн, беспилотные автомобили и тому подобное. Вместо того, чтобы сделать работу в области кибербезопасности более привлекательной — возможно, предложить более выгодные зарплаты и соцпакеты, а также поощрять инновации — многие компании ТиЛ относятся к кибербезопасности как к затратной единице, которая должна укладываться в жесткие бюджетные рамки.

Компании ТиЛ должны начать принимать программу кибербезопасности с оценки уровня киберзащиты в их оборудовании и программах ОТ и ИТ. Далее они могут принять меры защиты в самых важных и уязвимых приложениях и сетях. Определение областей с повышенным риском кибератак и разработка портфеля мер защиты могут быть упрощены с помощью моделей и инструментов, таких как программа управления киберрисками и их количественной оценки. Компании должны оценить свои факторы уязвимости на основе рискового подхода, где приоритет будет отдаваться вероятности и последствиям реализации киберугроз для ключевых активов. Затем можно ранжировать проекты на основе способности каждого из них повысить устойчивость с учетом затрат и, таким образом, по сути оптимизировать свои бюджеты вложений в кибербезопасность.

После принятия этих мер предосторожности компаниям ТиЛ нужно сосредоточиться на реализации более комплексных концепций киберзащиты, таких как архитектура нулевого доверия. Данная методология подразумевает, что все устройства, пользователи или приложения, пытающиеся взаимодействовать с сетью, представляют собой потенциальную угрозу. Стратегию нулевого доверия можно реализовать, сегментируя и разделяя сети с использованием технологии ДМЗ (демилитаризованной зоны), обеспечивающей жестко контролируемую среду, где отслеживаются связи внутри организации и вне ее. Того же принципа нужно придерживаться и для более строгого контроля внутренних процессов, где это возможно, включая проверку подлинности пользователей, программ и конечных устройств перед предоставлением им доступа к информации или активам. Компании ТиЛ могут предпринять три действия, чтобы усовершенствовать свои внутренние навыки в области кибербезопасности.

Во-первых, в корпоративной культуре следует перейти от невнимания к вопросам кибербезопасности к признанию острой необходимости бороться с угрозами. В каждом подразделении идея укрепления кибербезопасности по всей организации должна быть явным и ключевым аспектом. Частые тренинги, повышающие уровень осведомленности о кибербезопасности, могут серьезно способствовать формированию коллектива, осознающего риски. Нужно подчеркивать меры, которые могут принять отдельные сотрудники, чтобы обеспечить защиту от хакеров, такие как защита паролей и внимание к подозрительной деятельности в сетях компании.

Во-вторых, это повышенное внимание к управлению киберрисками стоит использовать, чтобы привлечь специалистов по кибербезопасности из университетов и частного сектора. Заявите, что цель организации — стать опережающим время лидером в сфере кибербезопасности. Компании могут привлечь лучших специалистов по кибербезопасности, сообщив им, что у них будет возможность разработать программы киберзащиты с нуля, используя последние технологии и заменяя устаревшие системы. Организациям так же можно рассмотреть вариант получения консультаций у непредвзятых поставщиков оборудования, которые не стремятся продать свои технологии.

Наконец, надо найти среди технологических сотрудников компании людей, которые готовы заняться инициативами в области кибербезопасности и которые продемонстрировали основные способности, необходимые успешным кандидатам. Повышение квалификации этих сотрудников и предложение им компенсации, а также меры поощрения в зависимости от должности за освоение требуемых навыков могли бы позволить компаниям ТиЛ быстро восполнить как минимум часть недостающей рабочей силы в кибербезопасности.

Многим компаниям ТиЛ может показаться, что меры, которые необходимо принять для сокращения рисков кибербезопасности, непосильны. Одним из практических советов для повышения прозрачности и информированности о сетях ИТ и ОТ и об их слабых местах может быть создание центра обработки киберинформации. Это центр занимался бы отслеживанием, организацией и надзором в области управления, деятельности, аналитики, процессов и технологий, связанных с кибербезопасностью, обеспечивая распределение данных и сведений между ключевыми участниками процесса, чтобы выявлять и устранять киберугрозы.

Кроме того, центр обработки киберинформации оптимизировал бы деятельность, объединяя управление и системы контроля ИТ и ОТ. В центре должен сочетаться опыт и знания специалистов как в области ИТ, так и ОТ, позволяя отслеживать любую нестандартную активность и в интернете, и во внутренних системах — или, что важно, в точке слияния этих двух систем,— которая может вовремя сигнализировать о кибератаке.

Чтобы эффективно справиться с риском, компании ТиЛ должны создать уровни киберустойчивости, соответствующие высоким стандартам, защищать партнерские цепочки поставок и следовать ориентированному на риск подходу при разработке средств безопасности. Компаниям нужны инструменты, позволяющие их организациям развиваться и принимать соответствующие меры киберустойчивости, охватывающие несколько измерений — от технологий до регулирования и от процессов до сотрудников. Для многих компаний ТиЛ заранее продуманная политика в области кибербезопасности до сих пор не являлась приоритетом. Но быстро растущее число кибератак и появляющиеся инструменты регулирования заставляют организации осознать, что они недолго смогут продолжать сохранять относительное безразличие. Хакеры становятся все более активными, и они хорошо осведомлены о том, какие компании уделяют кибербезопасности недостаточно внимания. Компаниям ТиЛ желательно не оказываться в этом списке.

«

Во всех отраслях (особенно банковский сектор и ритейл) наблюдается кратный рост атак и попыток нарушения ИБ. Интересно, что видна тенденция перехода от классического проникновения через защищенный периметр к более изощренным способам атак, как-то комбинация социальной инженерии и фишинга, подмена адресов, фальшивые телефонные звонки и т.п. Можно сказать, банки почувствовали экспоненциальный рост количества атак.

Возможно, это связано с тем, что объем электронной коммерции вырос кратно – данные людей и их финансовые транзакции, номера карт, запросы - оказываются в сети. Учитывая, что электронная коммерция – это инструмент, объединяющий ритейл, банки и логистику, фокус кибератак смещается на эти три основных вида бизнеса. Атаки наносятся преимущественно по этому золотому треугольнику.
сказал Вадим Пестун, партнёр и директор по технологиям и цифровой трансформации BCG в России и СНГ.
»

Банковский сегмент в РФ - строго и хорошо регулируемый вид деятельности. История кибератак на банки – уже довольно долгая. В результате, мы видим хорошую подготовленность этого «угла» в стране. Но, к сожалению, только на стороне банков, но не на стороне пользователей, клиентов, чем и пользуются злоумышленники, обманным путем выманивающие у клиентов пин-коды, пароли и т.д.

Ритейл – менее регулируемая область. Проблемы ритейла в «бумажной» инфобезопасности - в менее проработанной технологической базе защиты. К сожалению, одними регламентами защититься от атак невозможно. Соответственно, наблюдается взрывное увеличение попыток взлома и перехвата данных, средств, коммерческой информации (не исключен и фактор конкурентной борьбы).

Транспорт и логистика. Необходимо разделять крупный бизнес (условный жд-оператор) и мелкие транспортные компании. Проблемы крупного бизнеса вызваны необходимостью обслуживать большое количество интерфейсов и каналов, по которым происходит обмен данными со сторонними организациями. Эти данные могут иметь не только финансовый характер, но быть связанными с характеристиками движения и трафика на сети. Атаки ведутся на эти интерфейсы. Внутренние службы безопасности и ИТ работают интенсивно, постоянно проводятся модернизации средств защиты и контроля периметра, контроля доступа сторонних организаций к своим «чувствительным» компонентам ландшафта приложений. В первую очередь в сегмент АСУП-АСУ ТП.

Мелкая логистика – область если не полностью неготовая к надвигающейся проблеме, то хуже всего понимающая, с какой стороны придет удар, его цель и последствия. По информации от руководителей ритейла, диагностируется рост существенного количества срыва поставок, вызванный различными вредоносными действиями кибер-злоумышленников. Действия весьма разнообразны - от простого вымогательства, до перехвата данных о клиентуре, поставках и т.п. Пока еще не всегда понятно, какая будет реализована схема «монетизации» взлома, но, обычно, злоумышленники очень изобретательны в методах добычи чужих средств, услуг и товаров.

Дефицит кадров в области ИБ всегда был и будет только усугубляться, так как потребность в специалистах новой формации, способных создавать работающие решения, стремительно нарастает. Тем, кто умеет только писать регламенты, такие проблемы не по зубам. Есть вероятность, что имеющийся кадровый голод и рост уровня кибератак может привести к росту хорошо защищенных сервисов (таких, как облачные платформы и решения) и самих сервисов защиты, которые тоже логично предоставлять околооблачным способом – CyberSec as a Service. Есть потребность переосмыслить и способы реализации ИТ проектов, связанных с разработкой ИТ систем и ПО. От классического DevOps целесообразно переходить к DevSecOps подходу, обеспечивающего команду разработчиков и поддержки должным количеством CyberSec экспертизы, встроенной во все процессы – от дизайна до разработки, тестирования и сопровождения. Сейчас таких специалистов на локальном рынке единицы.

Чтобы понять размер проблемы и не затронула ли она ваш бизнес, необходимо, не откладывая, провести комплексный ИТ аудит – от систем ПО и инфраструктуры, до средств контроля и защиты - и выполнить несколько пентестов (penetration tests). Однако технические проблемы – это только часть всего большого хозяйства, которое необходимо «осознать». Главный источник уязвимостей - не системы, а люди. Необходимы мероприятия по социальному инжинирингу, объяснению важности соблюдения правил ИБ, регулярные тренинги и др. Используя язык «продуктовых подходов» к ИТ системам и услугам, необходимо озаботиться «встраиванием» свойств и характеристик cybersec во все сервисы и продукты, которые использует или разрабатывает ваша организация.

Крупную логистическую компанию Transnet атаковали хакеры

В середине июля 2021 года появилась информация о происшествии, которое было связано с кибератакой на Transnet вследствие чего, были нарушены контейнерные операции в южноафриканском порту Кейптаун. Дурбан, самый загруженный судоходный терминал в Африке к югу от Сахары, также пострадал. Подробнее здесь.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания