Содержание
Введение
Транспорт — одна из ключевых отраслей экономики. К ней может относиться множество различных компаний: логистические организации, операторы городского транспорта, перевозчики, обслуживающие пассажиров и перевозящие грузы на наземном и воздушном транспорте и другие.
Согласно транспортной стратегии России, транспортный комплекс выполняет важные функции по достижению государственных целей, обеспечивая географическую связанность между территориями страны и экономическую связанность всех отраслей экономики. Кроме того, транспортные компании сотрудничают с большим числом физических и юридических лиц, и зачастую через них проходят значительные финансовые потоки. Именно поэтому организации транспортного сектора привлекают внимание злоумышленников, как политически, так и финансово мотивированных, и являются одной из основных целей кибератак: по нашим данным, в 2023 году транспортная отрасль вновь оказалась в топ-10 наиболее атакуемых. Некоторые национальные авиакомпании и железнодорожные перевозчики становятся главными целями хактивистов.
За последние годы транспортный сектор подвергся цифровой трансформации. Это существенно повлияло и на эффективность работы, и на удобство пассажиров. Однако с внедрением все новых информационных технологий отрасль становится все более уязвимой для различных киберугроз, которые могут не только нарушить работу отдельной компании, но и повлиять на экономику государства в целом.
В этом исследовании мы рассмотрим, как действуют злоумышленники в атаках на компании транспортного сектора, с какими последствиями атак сталкиваются организации, какие киберугрозы могут нанести непоправимый ущерб и — самое главное — как не допустить их реализации.
Актуальные киберугрозы в мире: как действуют злоумышленники
По нашим данным, в 2023 году количество успешных атак на транспортную отрасль увеличилось во всем мире на 36% по сравнению с 2022 годом: мы связываем такой рост с общим увеличением числа кибератак, а также с продолжающейся деятельностью хактивистов, атакующих объекты значимой инфраструктуры. Традиционно наиболее популярными объектами атак в 2023 году стали компьютеры, серверы и сетевое оборудование — по нашим подсчетам, на них было направлено 87% всех успешных атак на транспортную отрасль. В половине случаев мишенью становились веб-ресурсы компаний. В каждом пятом случае злоумышленники проводили атаки с использованием социальной инженерии, по большей части путем рассылки фишинговых писем.
Хактивисты продолжают DDoS-атаки
В каждом втором инциденте были успешно атакованы веб-ресурсы организаций, преимущественно это были DDoS-атаки. Мы уже отмечали подобную активность злоумышленников на фоне сложной геополитической обстановки, в том числе атаки на компании транспортного сектора. Кроме того, согласно отчету компании StormWall, в третьем квартале 2023 года количество DDoS-атак в транспортной отрасли выросло на 86% по сравнению с аналогичным периодом 2022 года. Такой рост связан с деятельностью групп хактивистов, возникших в результате напряженности в киберпространстве.
Успешная DDoS-атака на транспортную компанию может привести к сбоям в бизнес-процессах, задержкам в предоставлении услуг клиентам. И тут важно понимать специфику отрасли: на транспорте такие сбои могут стать критически опасным или даже совершенно недопустимым для организации событием. Например, в результате успешной атаки на компанию-перевозчика системы онлайн-бронирования могут выйти из строя: пассажиры не смогут купить билеты или проверить расписание рейсов.
Кроме того, атака может быть направлена на внутренние операции компании, что при успешном вмешательстве злоумышленников может привести к задержкам в доставке грузов и увеличению эксплуатационных расходов. В одном из худших сценариев DDoS-атака может быть проведена на системы, обеспечивающие безопасность пассажиров, а это создаст угрозу для жизни и здоровья людей.
Также были отмечены атаки типа RDDoS (ransom DDoS): это попытки вымогательства денег у организации путем угрозы проведения DDoS-атаки. Например, злоумышленники могут начать атаку, после чего отправить сообщение с требованием выкупа, чтобы она была прекращена. В феврале 2023 года была зафиксирована подобная атака на авиакомпанию Scandinavian Airlines. Злоумышленники атаковали веб-сайт организации в течение нескольких часов, после чего потребовали выкуп в размере 3500 долларов под угрозой продолжения атаки в случае отказа. По-видимому, авиакомпания не стала платить выкуп, поскольку затем DDoS-атака была возобновлена, а сумма выкупа увеличилась сначала до 3 млн долларов, а позже и до 10 млн долларов. Последствиями атаки стали недоступность веб-сайтов и приложений.
Вредоносное ПО: шифровальщики в тренде
В каждом третьей успешной атаке (35% инцидентов) злоумышленники использовали вредоносное ПО. Основным их оружием остаются программы-шифровальщики: две трети успешных атак на транспортную отрасль, в которых использовались вредоносные программы, были проведены с их помощью. Тенденция объясняется тем, что Шифровальщики — один из самых мощных и в то же время самых доступных инструментов для нелегального заработка. Шифрование данных делает значимые системы и файлы недоступными, а также частично замораживает операции, вынуждая компании остановить работу. Кроме того, огромное количество вариаций шифровальщиков распространяется на теневых форумах в рамках программ ransomware as a service («программы-вымогатели как услуга»).
Один из самых распространенных шифровальщиков, используемых в атаках на транспортный сектор, — LockBit. Это кроссплатформенное решение распространяется именно по модели RaaS и отличается широкой партнерской программой. Среди известных жертв атак с использованием LockBit — американская компания Pierce Transit (оператор общественного транспорта), порт Лиссабона, Румынская ассоциация международного автомобильного транспорта (ARTRI).
Кроме уже знакомых шифровальщиков прослеживается тенденция перехода к шпионскому ПО. Ранее в 2022 году мы отмечали рост использования этого типа вредоносов, тренд не обошел стороной и транспортную отрасль: шпионское ПО применялось в 21% инцидентов с использованием ВПО, что превышает значение 2022 года на 13 процентных пунктов. Похожая ситуация наблюдается с ВПО для удаленного управления: доля его использования увеличилась почти вдвое (15% атак с использованием ВПО в 2023 году против 8% в 2022 году). Отметим, что большинство remote access trojans имеют функции шпионского ПО — в частности, такие программы умеют скрытно записывать экран пользователя и определять его местоположение, регистрировать ввод данных с клавиатуры.
Способы доставки вредоносных программ могут различаться: злоумышленники создают мошеннические сайты, эксплуатируют уязвимости устройств, покупают доступы в целевые компании. Однако наиболее распространенным методом является рассылка вредоносных программ по электронной почте сотрудникам организаций: этот способ был отмечен в половине успешных атак с использованием ВПО, направленных на транспортный сектор в 2023 году.
Как правило, злоумышленники составляют письма, похожие на легитимную почту, и помещают в них замаскированные вредоносные файлы. Это могут быть сообщения, отправленные якобы от лица коллег, поставщиков, партнеров, государственных учреждений. Так, в июле 2023 года прошла массовая рассылка вредоносных писем, направленная на компании из различных сфер, в том числе из транспортной отрасли. В письмах содержалось предупреждение об атаке шпионского ПО и предлагалось скачать специальную программу, которая якобы защитит устройство. На самом же деле при переходе по ссылке из письма происходила загрузка шифровальщика Cryptonite.
Для защиты организации от вредоносного ПО необходимо использовать комплекс технических и организационных мер. К примеру, эффективную проверку файлов помогут обеспечить продвинутые системы защиты со встроенной изолированной средой (песочницей), предназначенной для анализа поведения файлов и выявления вредоносной активности. Такие решения способны не только проверять объекты, загруженные вручную пользователем, но и автоматически проверять файлы из различных источников, например вложения в электронной почте.
Для защиты от шифровальщиков необходимо выстроить систему резервного копирования, которая в случае заражения поможет восстановить работоспособность инфраструктуры. Важно понимать, что в идеале резервные копии стоит хранить на серверах вне сетевого периметра офиса. Также мы советуем вести мониторинг сетевой активности и активности на конечных узлах. Это позволит выявить активность ВПО в сети и своевременно локализовать угрозу, изолировать зараженные узлы и устранить опасность.
Необходимо разработать политику ИБ организации, в которой будут описаны меры по предупреждению заражения рабочих станций, план реагирования на инциденты ИБ, действия по восстановлению IT-инфраструктуры. Кроме того, необходимо регулярно проводить обучение сотрудников, информировать их об актуальных схемах атак с использованием социальной инженерии.
Опасные уязвимости
Почти каждая пятая атака (18%) на транспортную отрасль производилась путем эксплуатации уязвимостей. Исследователи ИБ и злоумышленники регулярно находят новые уязвимости, а по уже известным уязвимостям на теневых форумах публикуются эксплойты — это значит, что даже низкоквалифицированный злоумышленник может воспользоваться готовым скриптом и проэксплуатировать уязвимость. Кроме того, некоторые компании пренебрегают выстраиванием процессов управления уязвимостями, своевременной установкой обновлений безопасности. Так, в ноябре 2023 года крупнейший портовый оператор Австралии DP World приостановил работу сразу в нескольких портах страны после произошедшей кибератаки. По мнению экспертов, для проникновения в сеть компании злоумышленники использовали уязвимость в программе NetScaler, получившую название Citrix Bleed (CVE-2023-4966). Данный недостаток был устранен еще 10 октября 2023 года, однако, судя по всему, компания DP World не установила необходимые обновления. В результате кибератаки были затронуты 40% контейнерных перевозок Австралии, что вызвало задержку в обработке более чем 30 тысяч контейнеров и переполнение складских площадей
Для защиты от подобных атак каждой организации необходимо грамотно выстроить процесс управления уязвимостями. Устранить все недостатки, скорее всего, сразу не получится, поэтому важно грамотно определять приоритет каждой из уязвимостей. На приоритет влияют значимость актива, на котором обнаружена уязвимость, его доступность для злоумышленника, опасность уязвимости, ее популярность среди злоумышленников, а также наличие готового эксплойта.
Атаки на цепочку поставок в транспортном секторе
В ряде успешных атак (8%) злоумышленникам удалось нарушить работу систем путем компрометации доверенной стороны. Этот способ уже стал трендом в различных отраслях (например, в IT), и в дальнейшем будет распространяться на другие секторы. Многие организации пользуются услугами подрядчиков, в том числе имеющих слабую защиту. Поэтому в ряде атак проще взломать именно поставщика услуг, чтобы впоследствии украсть данные целевой организации или получить доступ в ее сеть.
К примеру, в июле 2023 года произошла массовая утечка данных сотрудников аэропорта Дублина. Произошло это в результате компрометации компании-подрядчика Aon. Она была взломана путем эксплуатации уязвимости CVE-2023-34362 в программе MOVEit Transfer, которая использовалась для передачи файлов. В результате были украдены данные о заработной плате и льготах почти 2000 сотрудников аэропорта.
Еще один способ воздействия на компанию — взлом поставщика услуг, который повлечет за собой негативные последствия для целевой компании. Так, в сентябре 2023 года была проведена массированная DDoS-атака на отечественную систему бронирования Leonardo (Сирена-Тревел). В результате сбоя была затруднена регистрация в аэропортах на рейсы авиакомпании «Аэрофлот»: в московском аэропорте «Шереметьево» было задержано более 16 рейсов. О подобном случае мы упоминали ранее: из-за атаки на компанию-подрядчика Supeo, решение которой используют машинисты для доступа к информации о работах на путях и ограничениях скорости, на несколько часов была остановлена работа государственной железной дороги в Дании.
Мы рекомендуем устанавливать партнерские отношения только с надежными поставщиками и подрядчиками. Важно выбирать партнеров с хорошей репутацией и надежными системами безопасности. Также рекомендуется проводить аудит поставщиков и подрядчиков, чтобы убедиться, что они соответствуют вашим стандартам безопасности.
Кроме того, необходимо разработать план действий при атаке на доверенного поставщика: нужно смоделировать сценарий, когда, например, информационные системы значимого партнера окажутся недоступны, — и расписать шаги по устранению последствий атаки.
Теневой рынок доступов
Первоначальные доступы в инфраструктуру транспортных компаний активно продаются на теневом рынке. Стоимость сильно разнится: от 50 $ за доступ в небольшие организации и до десятков тысяч долларов за доступ с высокими привилегиями в крупные транспортные компании. В большинстве случаев (54% от общего числа объявлений за 2023–2024 годы) стоимость одного доступа не превышает 1000 $.
Цена зависит от размера компании, уровня привилегий, предлагаемых в объявлении (user, domain user, local admin, domain admin), от страны, в которой находится компания. Влияют и некоторые другие параметры, например тип доступа (RDP, VPN, shell/SSH, web shell), число узлов в сети, наличие информации об используемых в сети СЗИ. Так, RDP-доступ с правами локального пользователя в небольшую компанию (оборот около 5 млн $) из Ирландии обойдется в 50 $.
А доступ в компанию с таким же оборотом, которая находится в США, стоит уже от 200 $.
Максимальная цена составляет 10 000 $: в объявлении предлагается доступ с правами доменного администратора в крупную (около 4000 сотрудников) компанию из Индии с оборотом в 710 млн $.
Бóльшую часть предложений на рынке составляют доступы с локальными привилегиями (административные или стандартного пользователя — 26% и 30% соответственно). Ценность доступа напрямую зависит от значимости сервера или компьютера, к которому можно подключиться. Так, доступ к FTP-серверу в общем случае обойдется дешевле, чем доступ к серверу «1С», а доступ к компьютеру рядового сотрудника — дешевле, чем доступ к компьютеру бухгалтера или топ-менеджера. Наиболее широкие привилегии позволяет получить учетная запись доменного администратора: такой доступ дает злоумышленнику понимание структуры сети и позволяет развивать атаки на любые подключенные к домену системы, в том числе критически важные. Кроме того, доступ такого уровня получить гораздо сложнее, чем локальный доступ на конкретном компьютере, — и потому его стоимость гораздо выше, а доля объявлений на рынке значительно меньше (12%).
Последствия атак
Семь из каждых 10 инцидентов приводили к нарушению основной деятельности компаний транспортного сектора. В 2023 году доля этого последствия оставалась на уровне 2022 года. Чаще всего наблюдались сбои в предоставлении сервисов клиентам (83% атак, повлекших нарушение основной деятельности), потеря доступа к инфраструктуре или данным внутри организаций (30% атак); также злоумышленникам удавалось нарушить внутренние бизнес-процессы (14%).
В некоторых случаях успешная атака приводила к недопустимым для компании последствиям. Например, в сентябре KNP Logistics, одна из крупнейших частных логистических групп Великобритании, объявила себя неплатежеспособной, ссылаясь на июньскую атаку вымогателей, затронувшей ключевые системы, процессы и финансовую информацию. Сообщается, что на фоне сложных рыночных условий и отсутствия возможности обеспечить срочные инвестиции бизнес не смог продолжать работу. В результате были уволены более 700 сотрудников.
В 2023 году злоумышленникам удавалось скомпрометировать конфиденциальную информацию, хранящуюся в транспортных компаниях, в 38% инцидентов, что на 14 п. п. превышает значение 2022 года. Мы связываем это с распространением шпионского ПО, а также с многочисленными атаками, направленными на эксплуатацию уязвимостей систем для передачи данных. Половину украденной информации составили персональные данные (51%), четверть — коммерческая тайна.
Недопустимые события в транспортном секторе
Негативные последствия, возникшие в результате успешной хакерской атаки, могут затрагивать как отдельные компании, так и целую отрасль экономики. Что касается транспорта, ввиду его связующей роли ущерб может быть нанесен даже сразу нескольким отраслям. К тому же Россия отличается своей территориальной протяженностью, и потому транспорт обеспечивает не только мобильность населения, но и устойчивость всей государственной экономики.
Рассмотрим некоторые из киберугроз, направленных на железнодорожный транспорт, автомобильный транспорт и дорожное хозяйство, а также на воздушный и морской транспорт.
Описанные далее потенциальные кибератаки и их последствия являются нашими гипотезами.
Железные дороги
Одним из ключевых экономических показателей работы транспорта является грузооборот, объем перевозки грузов. На сегодняшний день доля железнодорожного транспорта в грузообороте составляет 87% в целом по стране (без учета трубопроводов). Значимость железных дорог означает, что кибератаки будут иметь серьезные последствия, от частичного или полного блокирования перевозок до повреждения или уничтожения грузов. Среди наиболее часто перевозимых грузов — каменный уголь, нефть и нефтепродукты, строительные грузы, железная руда. Их уничтожение или повреждение (например, разлив нефти или пожар) является недопустимым событием для железнодорожных перевозчиков, поскольку может негативно сказаться на других важных отраслях промышленности. Кроме того, сейчас 78% всех грузов доставляется железной дорогой в порт, откуда они уходят на экспорт — а значит, успешная атака может сказаться на внешней экономике государства. И, конечно, атаки злоумышленников могут создавать угрозу для жизни и здоровья пассажиров, а это десятки миллионов человек каждый месяц.
Какие элементы железнодорожной инфраструктуры подвержены вредоносному воздействию? В результате успешной кибератаки злоумышленники могут, например, получить возможность управлять путевым оборудованием. Злоумышленник сможет поднять шлагбаум на автоматическом железнодорожном переезде или изменить сигнал светофора. Такое вмешательство может повлечь за собой недопустимые события — крупную аварию, человеческие жертвы, порчу перевозимых грузов и железнодорожного полотна. Кроме того, потребуется вносить корректировки в график и маршруты движения поездов. Отметим здесь, что нарушение логистики на крупных железнодорожных перегонах может привести к срывам контрактов и штрафным санкциям для перевозчика.
В случае если злоумышленник сможет получить доступ непосредственно к бортовым системам управления, он сможет вмешаться в движение поезда: разогнать или наоборот резко затормозить его, что повлечет за собой порчу груза. Так, при неправильном распределении груза сильный разгон или торможение может привести к передвижению или повреждению груза. Кроме того, слишком быстрая остановка поезда может вызвать срыв вагонов или привести к аварии, что может стать причиной утраты груза. Система позиционирования и определения местонахождения подвижных составов также может стать объектом кибератаки. К примеру, в случае вмешательства злоумышленника и нарушения доступности данных диспетчер не будет знать, где находится поезд: возникнет необходимость остановить все поезда на линии, чтобы избежать столкновения. Похожий случай произошел в 2023 году: в Польше злоумышленникам удалось остановить движение поездов. Используя железнодорожные частоты, они транслировали сигнал, вызывающий экстренную остановку составов.
Атака также может повлечь финансовый ущерб из-за простоя систем продажи билетов. Например, в сентябре 2023 года в результате атаки была прервана продажа билетов на поезда национального железнодорожного перевозчика Эстонии. Представитель компании сообщил, что пока ситуация не будет решена и по техническим причинам невозможно будет купить билет в поезде, пассажиры могут путешествовать бесплатно.
Авиация
В 2022 году пассажирооборот воздушных видов транспорта составлял 44,8% всего пассажирооборота в России. В 2023 году группа «Аэрофлот» перевезла 47 миллионов пассажиров, показатель загрузки воздушных судов составил 87%.
Поскольку многие авиационные компании ориентированы на перевозку пассажиров, недоступность официального веб-ресурса может стать недопустимым для компании событием: простой системы бронирования может привести к убыткам.
Еще одним последствием кибератаки может стать сбой системы управления багажом: в этом случае самолету придется либо лететь без багажа, либо лететь с задержкой. Помимо того, подобная атака с высокой вероятностью вызовет коллапс в аэропорту. Можно привести такой пример: в январе 2024 года национальное агентство новостей Ливана сообщило, что кибератака на аэропорт Бейрута нарушила работу системы досмотра багажа.
Успешная кибератака на авиакомпанию или на IT-поставщика может повлечь такие последствия, как недоступность персональных данных клиентов и работников авиакомпании. Это может произойти в результате атаки шифровальщика. Например, в феврале 2022 года Swissport International, компания, предоставляющая услуги наземного обслуживания в аэропортах, подверглась атаке программы-вымогателя, которая повлияла на ее деятельность и привела к задержкам рейсов.
Кроме того, злоумышленники могут попытаться внести изменения в систему сообщения между землей и бортом судна, перехватить управление трапом, нарушить работу средств навигации. Так, в 2022 году исследователи безопасности сообщили об устранении уязвимости в компьютерных системах, используемых на некоторых самолетах Boeing, которая могла позволить злоумышленникам изменять данные и заставлять пилотов совершать опасные просчеты: например, самолет мог приземлиться на слишком короткую взлетно-посадочную полосу или взлететь на неправильной скорости, что потенциально может привести к удару хвостом или вылету за пределы взлетно-посадочной полосы.
Потенциально опасный инцидент произошел в начале 2023 года в США. По данным FlightAware, более 10 000 рейсов были задержаны и более 1300 отменены вследствие сбоя в системе оповещения пилотов NOTAM, что стало первым прекращением полетов в масштабе всей страны примерно за два десятилетия. Причиной сбоя в системе оповещения стал поврежденный файл в базе данных; подобное может произойти и в результате кибератаки.
Морские перевозки
Морские порты представляют собой сложные инфраструктурные объекты, в которые входят краны, подъемники, системы управления контейнерами, топливные терминалы, судовые средства управления, навигационные и другие системы. Вмешательство в процессы управления топливным складом или краном в худшем случае может привести к катастрофе, что будет недопустимым событием в масштабе отрасли. В то же время атака на систему управления погрузкой и ее простой могут привести к порче груза, к финансовым потерям из-за штрафов и неустоек. Так, согласно данным HFW и CyberOwl, средняя кибератака в морской отрасли в 2023 году обходилась целевой организации в 550 тыс. $ (по сравнению со 182 тыс. $ в 2022 году).
Морские порты являются объектами критически значимой информационной инфраструктуры, и успешные атаки приводят к серьезным последствиям для смежных отраслей. Так, в январе 2022 года объектом кибератак стали несколько североевропейских нефтяных узлов в крупных портах. Работоспособность IT-систем была нарушена в компаниях Oiltanking в Германии, SEA-Invest в Бельгии и Evos в Голландии. Последствия подобных атак значительны не только для организаций, но и для обычных граждан: компании снабжают топливом множество заправочных станций, и нехватка бензина может вызвать кризис, повлияв на национальную экономику.
Отметим и развитие концепции умного порта, которая также предполагает все большее внедрение информационных технологий, интеграцию в технологические и бизнес-процессы. В 2021 году к созданию такого порта приступили во Владивостоке. Предполагается, что технология обеспечит удаленный доступ и возможность контролировать операционные процессы в порту в режиме реального времени. Важно понимать, что новые автоматизированные объекты также могут быть подвержены киберугрозам, что их также необходимо защищать.
Морские суда также уязвимы к вмешательству злоумышленника: например, одним из опасных сценариев развития кибератаки является захват системы управления балластом большого корабля, в результате которого он может опрокинуться и затонуть. Кроме того, на судах могут быть установлены датчики для мониторинга внутренних систем и контроля работы двигателя, расхода топлива, температуры и целостности корпуса. Данные передаются на берег, что позволяет судоходным компаниям контролировать состояние своего флота и удаленно выполнять профилактическое обслуживание. Эксперты отмечают эффективность дистанционного обслуживания систем, однако оно же создает и потенциальный вектор атаки. Злоумышленник может атаковать судоходную компанию и нарушить работу информационных систем судна. Похожий инцидент произошел в январе 2023 года: DNV — одна из крупнейших в мире морских организаций — подверглась атаке программы-вымогателя и была вынуждена отключить IT-серверы, подключенные к системе ShipManager. Эта программная платформа предназначена для управления целыми морскими флотами и включает в себя модули для управления техническим обслуживанием, экипажем, целостностью корпуса и другими аспектами контроля за флотом морских судов. В результате 1000 судов остались без подключения к береговым серверам.
Городская дорожная инфраструктура и автомобильный транспорт
Злоумышленник может атаковать городские транспортные организации, что может повлиять на качество работы общественного транспорта. Например, в ноябре 2022 управляющая компания городского транспорта Севильи (TUSSAM) сообщила, что стала целью кибератаки, в результате которой мобильное приложение и информационные панели на автобусных остановках были отключены. А в начале 2023 года в результате атаки на австралийскую компанию Black and White Cabs была нарушена работа системы бронирования такси.
Злоумышленник может также воздействовать на дорожную инфраструктуру. В марте 2023 года в Тюмени неизвестные взломали дорожное информационное табло, и еще один похожий случай произошел в апреле 2022 года в Красноярске. Светофоры также могут быть уязвимы для атак: в конце 2022 года с помощью простого ноутбука, рации и антенны группе исследователей удалось взломать светофоры на различных перекрестках Ганновера. Получив доступ к управлению светофором, злоумышленник может поменять сигнал, что может стать причиной аварии.
Кроме того, злоумышленники могут атаковать зарядные устройства для электромобилей. Яркий пример — изменение транслируемых изображений на общественных зарядных устройствах. Хотя такие нарушения до сих пор оставались относительно безобидными, эксперты по кибербезопасности отмечают, что последствия могут быть гораздо более серьезными: например, в случае если злоумышленник сможет одновременно включить тысячи зарядных устройств, это может дестабилизировать и даже вывести из строя целые электрические сети.
Помимо дорожной инфраструктуры возможно вредоносное воздействие на системы управления транспортом, приводящее к ДТП, что также является недопустимым событием. Подобные инциденты уже имели место: в феврале 2023 года корейские автопроизводители Hyundai и Kia сообщили о выпуске обновлений ПО для некоторых своих моделей после сообщений в соцсетях о методе угона, названном «Kia Challenge». Государственная администрация контроля безопасности на дорогах США (NHTSA) сообщила, что это привело как минимум к 14 зарегистрированным авариям и к гибели восьми людей. Известны и другие случаи взлома систем управления автомобилей. В январе 2022 года один из пользователей Twitter объявил, что ему удалось взломать как минимум 25 автомобилей Tesla в 13 странах и частично захватить их. А в марте 2023 команда хакеров выиграла 100 000 долларов и Tesla Model 3 после того, как взломала систему Tesla Energy Gateway и оттуда открыла основные системы управления автомобилем.
Опасения аналитиков вызывает и постепенное внедрение беспилотных видов транспорта. После анализа беспилотных автомобилей на британских дорогах был представлен следующий тревожный сценарий: по мнению экспертов, крупная кибератака, нацеленная на операционные системы многих беспилотных транспортных средств одновременно, может привести к массовым жертвам.
Как добиться киберустойчивости: 3 шага к результативной кибербезопасности
В каждом аэропорту или морском порту могут быть сотни сетевых устройств, на которых выполняются различные приложения. Новые технологии, такие как умные датчики, делают транспортные услуги более эффективными, однако глубокая интеграция операционных и информационных технологий также расширяет поверхность атаки для злоумышленника.
К сожалению, защитить организацию от абсолютно всех киберугроз невозможно. Однако выстроить защиту, позволяющую избежать недопустимых последствий, напротив, под силу любой организации вне зависимости от ее масштаба. На пути к достижению киберустойчивости мы советуем пройти следующие шаги.
Шаг 1. Определение недопустимых событий и способов их реализации
Определение недопустимых событийВ первую очередь необходимо составить перечень событий, реализация которых приведет к недопустимым для организации последствиям. Например, для железнодорожной компании таким последствием может стать порча или уничтожение опасного груза, ущерб здоровью или жизни людей; для морского порта — простой инфраструктуры в течение недели. На этом этапе необходимо непосредственное участие топ-менеджмента предприятия, поскольку в основе конкретных целей ИБ лежат реальные опасения и потребности бизнеса. Операционные руководители помогут понять, при каком сценарии недопустимое событие может произойти, а IT-специалисты помогут обозначить целевые системы, взлом которых непосредственно повлечет недопустимые последствия.
«Приземление» недопустимых событий на IT-инфраструктуруНа этом этап необходимо ответить на вопросы о том, по какому пути пойдет злоумышленник для достижения целевых систем и какие недостатки в IT-инфраструктуре и бизнес-процессах могут потенциально облегчить преступнику задачу. На этом этапе проводится инвентаризация IT-активов, определяются потенциальные точки проникновения, а также ключевые системы (это такие системы, без воздействия на которые злоумышленник не сможет развить атаку на целевую систему — или взлом которых существенно упростит это развитие). Собранную информацию об инфраструктуре нужно соотнести с бизнес-процессами, после чего можно приступать к формированию стратегии кибертрансформации и ее реализации на следующем шаге.
Шаг 2. Кибертрансформация
Харденинг IT-инфраструктурыХарденинг представляет собой процесс усиления защиты технических и программных средств путем их специальной перенастройки, а именно устранения уязвимостей и небезопасных конфигураций, слабых паролей. Это поможет уменьшить поверхность атаки, а также устранить потенциальные векторы проникновения.
Обучение, обучение и еще раз обучениеНеобходимо регулярно повышать осведомленность сотрудников организации, например в случае появления новой фишинговой схемы, направленной на транспортные компании. Также необходима тренировка практических навыков.
Мониторинг и реагирование на инцидентыВведение процессов мониторинга и реагирования позволяет оперативно выявить атаку, а также своевременно предотвратить действия злоумышленника. В организации должен быть разработан план реагирования на инциденты, в котором описываются конкретные действия сотрудников в случае кибератаки, включая уведомление заинтересованных сторон (партнеров, поставщиков, клиентов организации) и органов власти. Это помогает минимизировать ущерб и оперативно восстановить деятельность организации в случае успешной кибератаки.
Проверка защищенностиДля проверки защищенности в организации могут быть проведены работы по верификации недопустимых событий, или, например, киберучения, в рамках которых моделируются потенциальные атаки на организацию и проверяется эффективность процедур выявления атак и реагирования на них.
Выстраивание процессовОпределение и правильное выстраивание критически значимых бизнес-процессов позволят добиться большей киберустойчивости организации. Также мы советуем уделить внимание процессам управления сторонними поставщиками: необходимо установить надежные процедуры взаимодействия, а также гарантировать, что сторонние организации соответствуют стандартам кибербезопасности.
Оценка эффективностиВ процессе кибертрансформации каждая организация определяет целевые показатели, к которым необходимо стремиться для поддержания высокого уровня киберустойчивости. Необходимо проводить регулярную оценку для понимания текущего состояния защищенности.
Шаг 3. Подтверждение киберустойчивости
Поддержание уровня киберустойчивостиАтаки злоумышленников постоянно совершенствуются, а IT-инфраструктура организации изменяется: добавляются технологии, появляются новые уязвимости. Необходимо на постоянной основе оценивать уровень киберустойчивости: проводить работы по тестированию на проникновение, выстраивать процессы управления уязвимостями. Кроме того, сложный характер транспортных экосистем может создать проблемы в поддержании прозрачности активов, поэтому важно сделать процессы по оценке и поддержанию уровня киберустойчивости регулярными.
Запуск программы bug bountyОдин из важнейших шагов по подтверждению высокого уровня киберустойчивости — запуск программы bug bounty, в том числе в формате охоты на недопустимые события. Сейчас услуги поиска уязвимостей за вознаграждение больше востребованы в IT-компаниях, а также в компаниях из сферы услуг, торговли, финансовых организаций. В будущем мы ожидаем вовлечение и транспортных компаний; некоторые представители отрасли уже выходят на различные площадки bug bounty (например, LATAM Airlines, inDrive, Via Transportation). Интерес заметен и со стороны пользователей: в 2023 году 19% участников платформы HackerOne обращали внимание на программы в области автомобилестроения и наземного транспорта, 15% — в области авиации (пользователи платформ, как правило, концентрируются на участии сразу в нескольких программах из различных отраслей).
Выводы
Транспортная отрасль во всем мире активно развивается: внедряются новые информационные технологии, идет строительство новых и модернизация уже существующих инфраструктурных объектов, повышается удобство услуг для пассажиров. В России транспорт особенно значим для экономики, поэтому цифровая трансформация, одна из основ национального развития, пронизывает среди прочего и транспортный сектор. Согласно стратегии цифровой трансформации транспорта, в ближайшие годы планируется активное внедрение технологий искусственного интеллекта, сбора и обработки больших данных, технологий в области управления производством, систем автоматизации управления. Например, уже в 2024 году планируется введение в эксплуатацию беспилотных авиационных систем. Ожидается, что интеграция новых технологий поможет сократить число ДТП, увеличить грузооборот, а также приведет к снижению стоимости логистических сервисов и увеличению средней скорости логистики на региональной маршрутной сети. Все эти изменения приведут к более эффективной и безопасной работе транспорта. Однако важно помнить, что технологии должны быть прежде всего спроектированы и интегрированы с учетом принципов информационной безопасности, поскольку любое усложнение информационных систем увеличивает и количество потенциальных киберугроз.
Транспортный сектор имеет огромное значение для экономики и социальной жизни общества. Кибератака может нарушить нормальное функционирование города, региона или целого государства, а ее последствия могут нанести ущерб сразу нескольким отраслям экономики. Чтобы не допустить разрушительных последствий, регуляторам необходимо обращать внимание на потенциальные киберугрозы в масштабе отрасли, а компаниям транспортного сектора — выстраивать процессы ИБ, основываясь прежде всего на понимании недопустимых для организации событий.
Об исследовании
Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies, результатах расследований, а также на данных авторитетных источников. В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.
В ходе исследования теневого рынка мы проанализировали 241 источник, среди которых телеграм-каналы и форумы в дарквебе с общим количеством пользователей более 18 млн. В выборку попали крупнейшие разноязычные площадки с разной тематической направленностью. Для анализа рынка доступов были рассмотрены объявления, опубликованные в 2023 и 2024 годах.