Морская кибер-тревога

© Алексей / Adobe Stock

Вот уже несколько лет в морском секторе происходят нарушения различных компьютерных и информационных систем (ИТ). В первую очередь эти нарушения были сопутствующим ущербом. Морской сектор почти никогда не был целевой целью. Это не значит, что ущерб был незначительным. В июне 2017 года AP Moller-Maersk подверглась крупной кибератаке. Вредоносная программа была разработана российскими хакерами для подрыва украинского энергетического сектора. Однако после выпуска он оказался неизбирательным, заразив ИТ-системы во всем мире, которые не были обновлены. В случае с AP Moller-Maersk наиболее пострадали его контейнеровозы и связанные с ними порты, на некоторое время остановившие операции и нанеся экономический ущерб в размере до 300 млн. Долл. США. Компании пришлось очистить 40000 устройств, чтобы полностью удалить вредоносное ПО. Порты Барселоны и Сан-Диего и американское подразделение COSCO Shipping Lines также пострадали от целенаправленных кибератак.

Целевые угрозы
Недавно хакеры начали действия, специально предназначенные для морского сектора.

Наиболее целенаправленный взлом осуществляется с помощью фишинга. Хакеры модифицируют легитимные электронные письма, используя такие инструменты, как EmailPicky, по-видимому, сохраняя имя и адрес законного отправителя, но добавляя вредоносное ПО, чтобы получатель электронного письма заражал ИТ-систему, загружая вложение. В качестве альтернативы, хакер создает поддельное электронное письмо от законного отправителя с инструкциями по переводу средств на призрачный счет хакера. Оплата мошеннических счетов иногда происходит в течение нескольких месяцев, прежде чем они будут обнаружены. В период с 2011 по 2013 год дилеры, занимающиеся фишингом, взламывали ИТ-систему порта Антверпен, чтобы организовать прием лекарств, спрятанных в транспортных контейнерах.

Согласие на подключение к неизвестной сети также может привести к непреднамеренной загрузке вредоносного ПО. Когда это вредоносное ПО находится на устройстве с доступом к другой сети, например, компании-перевозчику, вредоносное ПО может легко распространяться по всей сети, если не установлены надежные протоколы кибербезопасности.

Многие физические и юридические лица используют простые пароли (например, ABC123) и никогда не меняют свои пароли. Эти практики являются электронным эквивалентом незапертых дверей для хакеров.

Производители программного обеспечения регулярно выпускают обновления и исправления для своих продуктов. Они также отказываются от старых продуктов, заменяя их новыми, более сложными версиями. Крайне важно, чтобы пользователи программного обеспечения быстро устанавливали эти обновления и исправления и заменяли устаревшее программное обеспечение. Производитель программного обеспечения выпускает обновление или исправление при обнаружении недостатка в продукте. Это обновление или патч часто раскрывает, возможно, непреднамеренно, в чем был недостаток. Хакеры используют эту информацию для использования ИТ-систем, которые используют продукт, но не поддерживают его актуальность.

Зараженная ИТ-система может быть направлена на предоставление хакерам конфиденциальной коммерческой информации или загрузку дополнительного вредоносного программного обеспечения. В некоторых случаях это вредоносное программное обеспечение состоит из вымогателей. Ransomware предназначен для замораживания ИТ-системы или копирования конфиденциальных данных и отправки требования о выкупе системному администратору. Если выкуп выплачивается (как правило, в биткойнах или другой электронной валюте), ИТ-система освобождается или данные возвращаются, но не всегда. Многочисленные государственные и частные организации стали объектами атак вымогателей, в том числе правоохранительные органы, больницы, муниципальные органы власти, судоходные компании, а в 2017 году - крупнейшая британская фирма по оказанию транспортных услуг Clarkson Plc.

Австралийский судостроитель Austral Limited также был очевидным объектом атаки вымогателей.

Интернет вещей (IoT) упростил доступ к информации и системам управления. Это создало широкие возможности для повышения эффективности. Подключенные устройства и системы предлагают возможность повсеместного доступа, что соответствует большему количеству возможных точек входа как для авторизованных, так и для неавторизованных пользователей. По мере того, как все больше устройств подключаются друг к другу и к Интернету, общий риск и влияние компрометации возрастают, наряду с возможностью каскадного эффекта в случае кибератаки. Навигация, двигательная установка и другие системы эксплуатации судна могут быть захвачены.

Профилактические протоколы
Ниже приведены некоторые шаги, которые могут быть предприняты для снижения риска кибератак:

• Использование уникальных паролей и смена паролей на регулярной основе.
• Установка обновлений программного обеспечения и исправлений сразу после получения.
• Регулярная проверка ИТ-системы на наличие вредоносных программ.
• Часто выполняйте резервное копирование данных на автономное устройство, отключенное от ИТ-системы.
• Двухфакторная идентификация является эффективным средством обеспечения того, чтобы лица, ищущие доступ к ИТ-системе, были должным образом авторизованы, но лишь немногие организации используют ее.
• Обучение кибербезопасности имеет жизненно важное значение. Поскольку угроза быстро развивается, обучение должно быть непрерывным.

Береговая охрана США недавно выпустила Информационный бюллетень по морской безопасности, в котором советует морской индустрии быть осторожной против фишинга электронной почты и попыток проникновения вредоносных программ. Сообщалось, что кибер-злоумышленники пытаются получить доступ к конфиденциальной информации, в том числе к содержанию уведомлений о прибытии (NOA). Капитанам американских судов напомнили об обязательстве сообщать о подозрительной кибер-активности в Национальный центр реагирования USCG (NRC). Нежелательные электронные письма, особенно те, которые запрашивают конфиденциальную информацию или включают в себя вложения, должны быть проверены путем обращения к отправляющему субъекту с помощью отдельных средств, прежде чем действовать или загружать какие-либо вложения.

Процедуры и протоколы кибербезопасности должны быть изложены в системе управления безопасностью (SMS) судна и компании. Невыполнение этого требования является недостатком и может привести к тому, что судно будет признано непригодным для использования.

Балтийский и Международный морской совет (BIMCO), крупнейшая международная судоходная ассоциация, разработал новый пункт о кибербезопасности для использования в морских контрактах, требующий от сторон внедрения процедур и систем кибербезопасности для снижения риска инцидента.

Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) совместно разработали стандарт информационной безопасности ИСО / МЭК 27001. Стандарт определяет систему управления, предназначенную для обеспечения информационной безопасности под контролем руководства, и устанавливает конкретные требования к соответствию. Организации, отвечающие этим требованиям, могут быть сертифицированы аккредитованным органом по сертификации после успешного завершения аудита. Такая сертификация обычно считается золотым стандартом в кибербезопасности.

Резюме
Кибер-эксперты говорят, что это два типа ИТ-систем компании: те, которые были взломаны, и те, которые еще не знают, что их взломали. Это может быть преувеличением, но не намного. Существует так много угроз, и их сложность возрастает настолько быстро, что администраторы ИТ-систем теряют сознание. Организации и частные лица должны предпринять как можно больше шагов для защиты своих ИТ-систем и данных. Требуется постоянная бдительность.