Контрольные системы многих объектов атомной энергетики сегодня небезопасны в силу того, что были разработаны достаточно давно, говорится в исследовании центра Chatham House. Такие выводы эксперты сделали после 18 месяцев изучения информационной безопасности электростанций по всему миру.
Несмотря на то что угроза кибератак на атомные электростанции существовала практически с момента появления интернета, активизация киберпреступников и спонсируемых различными государствами хакеров произошла лишь в последнее десятилетие.
При этом даже незначительная атака на подобные объекты может привести к серьезной техногенной катастрофе и радиоактивному заражению окружающей среды.
«Угроза должна восприниматься серьезно, ведь даже небольшое радиоактивное заражение может оказать непропорциональное воздействие на общественное мнение и крайне негативно отразиться на будущем гражданской атомной промышленности», — говорится в отчете.
Исследователи установили, что даже британские атомные электростанции защищены недостаточно хорошо, поскольку лишь недавно были переведены на цифровые системы управления. А рост доверия государства к коммерческому программному обеспечению только увеличивает риски.
В конце 2000-х годов рухнул и миф о том, что компьютерные системы АЭС невозможно взломать из-за отсутствия связи с интернетом. Ведь для заражения ядерных объектов в Иране червем Stuxnet хватило обычной USB-флешки. В 2009 году вредоносная программа вручную была загружена в сеть одного из иранских атомных заводов, а затем взяла под контроль более 1 тыс. компьютеров, задействованных в производстве ядреных материалов, дав им команду на самоуничтожение.
Кроме того, эксперты все же обнаружили признаки виртуальных сетей и других соединений с интернетом на многих объектах ядерной инфраструктуры. Какие-то из них были просто забыты, существование других оказалось сюрпризом даже для администрации станций.
При этом поисковые роботы уже успели проиндексировать соответствующие веб-ссылки, облегчив потенциальным организаторам кибератак поиск доступов к компьютерным сетям и контрольным системам ядерных объектов.
В декабре 2014 года серьезный общественный резонанс вызвал взлом южнокорейского оператора АЭС Hydro and Nuclear Power Co Ltd. Хакер разослал 5986 содержащих вредоносный код электронных писем более чем 3 тыс. сотрудников компании и в итоге получил доступ в ее внутреннюю сеть. Затем злоумышленник через Twitter потребовал заглушить три реактора АЭС, угрожая их разрушением. В итоге он потребовал выкуп под угрозой раскрытия украденной из сети оператора АЭС конфиденциальной информации, однако представители компании заявили, что критически важная информация похищена не была.
Власти Южной Кореи обвинили во взломе Северную Корею, поскольку обнаружили следы использования тех же методов и хакерских инструментов, которые применялись при атаке на Sony Pictures, однако официальный Пхеньян эти обвинения отверг.
Тем не менее угроза компьютерной безопасности ядерных объектов часто преувеличивается. О том, реальна ли возможность взлома атомных станций, «Газете.Ru» рассказал эксперт ПИР-центра Олег Демидов.
«Начнем с того, что различные гражданские атомные объекты имеют разные степени защиты от разного рода инцидентов, в том числе и от компьютерных атак, — говорит Демидов.
— Если речь идет об АЭС, то у этих объектов степень защиты наивысшая, и поэтому те немногочисленные инциденты, которые происходили на атомных станциях, как правило, затрагивали внешние системы, такие как компьютерные сети и базы данных компании-оператора АЭС. То есть реальные происшествия практически никогда не затрагивали автоматизированные системы управления технологическими процессами, которые обслуживают само оборудование АЭС».
Эксперт отмечает, что в ходе инцидента в Южной Корее были взломаны и выложены в сеть базы данных компании-оператора двух АЭС. Тогда в сеть попала закрытая информация, такая как чертежи и спецификации атомных реакторов, а также личные данные сотрудников компании-оператора АЭС.
«Это неприятно, это потенциально может нести какую-то опасность с точки зрения планирования дальнейших атак или давления на сотрудников, но непосредственной угрозы технологическим процессам на станции в ходе этой атаки не возникло. Ведь на всех атомных станциях сеть компании-оператора и пользовательские компьютеры сотрудников полностью физически изолированы от производственной сети. Это принципиальный момент, он обеспечивается во всех странах независимо от того, в какой стране оператор строит АЭС».
Еще один известный инцидент с АЭС «Дэвис-Бесс» в Огайо произошел в 2003 году, когда обслуживающая АЭС компания была заражена червем Slammer, который привел к отказу серверов корпоративной сети. Оператор совершил ошибку и в ходе расследования инцидента подключил корпоративную сеть к внутренней компьютерной сети станции, и вирус распространился дальше, что сделало невозможным использование компьютеров сотрудниками самой АЭС, которые потеряли связь друг с другом. Также на шесть часов была выведена из строя система отображения параметров безопасности, которая показывает операторам, как работает оборудование и насколько оно исправно. Это серьезный инцидент.
Таким образом, проблема компьютерной безопасности АЭС существует уже довольно давно. Но других случаев выхода из строя оборудования самой станции нет либо они неизвестны.
Обеспечение соответствия общим стандартам безопасности, в том числе в рамках концепции физической ядерной безопасности на атомных объектах, помимо национальных операторов осуществляет Международное агентство по атомной энергии (МАГАТЭ), напоминает Демидов. Данная организация уже давно обращает внимание на такую составляющую, как компьютерная безопасность АЭС, и публикует соответствующие технические руководства. В этом году состоялась первая в своем роде конференция МАГАТЭ по компьютерной безопасности на атомных объектах. Она прошла в июне этого года в Вене и собрала представительные делегации, в том числе и от России в составе представителей «Росатома» и МИД России.
Такие конференции теперь будут проходить каждый год, и на них будут представляться доклады, например, по результатам моделирования возможной комплексной атаки на АЭС с использованием вредоносного ПО, когда злоумышленники с использованием фишинга и социальной инженерии стараются выйти на операторов АЭС, получить доступ к их личным данным, через них получить доступ к корпоративной сети компании-оператора, из нее выкрасть необходимые технические данные, схемы, чертежи, связанные с обеспечением безопасности внутренней производственной сети, потом проникнуть в производственную сеть и парализовать работу станции, периферийных систем, таких как системы охлаждения и внешние сети электроснабжения.
С результатами такого моделирования выступали американские эксперты, то есть идет обмен ценным опытом. Это часть международной стратегии по обеспечению безопасности на атомных объектах.
Что касается других атомных объектов, то у всех на слуху случай саботажа оборудования по обогащению урана на иранском комбинате в городе Нетензе.
«С тех пор принципиально новых стандартов по охране таких объектов на международном уровне не появилось, как и принципиально новых продуктов защиты от таких угроз, как Stuxnet, — говорит Демидов. — Борьба с такого рода высокоуровневыми атаками должна обеспечиваться только за счет неукоснительного соблюдения информационной безопасности на объекте, то есть должна быть стопроцентная уверенность в персонале и его действиях.
В случае с Ираном кто-то сознательно или неосознанно нарушил инструкции — воспользовался устройством непонятного происхождения, которое не проверяли и не тестировали на наличие недекларированного функционала и вредоносных программ.
Это устройство воткнули во внутреннюю сеть, которая обслуживает управление технологическим процессом. Вирус распространился и начал манипулировать программно-логистическими контроллерами, а также брать под контроль электромеханические двигатели центрифуг и понемногу их изнашивать», — рассказывает эксперт.
По мнению Демидова, в подобных случаях проблема кроется не в технологии, ведь на физическом уровне требование отделения корпоративной сети от внутренней технологической сети обеспечивается, а в достижении близкого к 100% соблюдения стандартов безопасности персоналом.