Вычислительные сети, развернутые на территории США и отвечающие
за управление промышленными процессами и оборудованием, взламывались и выходили
из строя более 125 раз за последнее десятилетие. В одном из недавних случаев
сбой управляющей системы стал причиной гибели людей.
Некоторое время назад Джозефу Вейссу (Joseph Weiss), представитель
компании Applied Control Solutions, в чье ведение входит обеспечение
безопасности промышленных ИТ-систем, пришлось держать ответ перед членами специального
сенатского комитета, расследующего обстоятельства происшествия. Вейсс предоставил
сенаторам результаты небольшого исследования, в котором перечисляются все
зафиксированные случаи непреднамеренного или умышленного вывода из строя
управляющих систем, включая ИТ-инфраструктуры, развернутые на атомных электростанциях,
ГЭС, а также решения, используемые в нефтяной промышленности и в
сельскохозяйственной отрасли.
Каждый из перечисленных инцидентов имел различные последствия,
от нанесения незначительного или серьезного ущерба окружающей среде до повреждения
промышленного оборудования и даже человеческих жертв. Кстати, рассматриваемый
случай не является первым подобным инцидентом, в результате которого погибли
люди. Вейсс напомнил сенаторам о разрыве нефтепровода, происшедшем неподалеку от
города Беллингхам (Bellingham) в июне 1999 года. Этот разрыв привел к утечке более 200 000 галлонов бензина, а последующее возгорание нефтепродукта привело к смерти троих людей. Официальные лица, проводящие расследование, выявили несколько
причин аварии, однако Вейсс считает, что ключевой причиной стал сбой компьютерной
системы в центральной аппаратной.
Промышленные предприятия не способны быстро оправиться от успешно
проведенной атаки. На замену поврежденного оборудования порой уходит несколько
недель, а приведение системы в работоспособное состояние может занимать целые месяцы.
Ситуация усугубляется тем, что ведущих поставщиков промышленных управляющих
систем можно пересчитать по пальцам, а все готовые решения базируются на
идентичных архитектурах и поставляются с одинаковым набором паролей, установленных
по умолчанию. Кроме того, на сегодняшний день в мире насчитывается менее сотни экспертов
по безопасности промышленных ИТ-систем, при этом ни один из американских вузов
не занимается подготовкой таких специалистов.
«Организаторами атаки могут оказаться как внешние злоумышленники,
так и нынешние или бывшие сотрудники предприятий», - подчеркивает Вейсс, - «Особенную
опасность представляют обиженные системные администраторы, попавшие под
«кризисные» сокращения. Эта категория специалистов обладает достаточными
знаниями и навыками для нанесения ощутимого материального ущерба бывшему
работодателю». В подтверждение своих слов Вейсс привел три примера взлома
ИТ-систем недовольными сотрудниками. Один из последних случаев произошел в
Калифорнии, где уволенный ИТ-шник отключил систему обнаружения утечек на трех буровых
вышках, установленных в море. Отдельной статьей идут неопытные технические
специалисты, которые непреднамеренно выводят систему из строя в процессе ее
тестирования.
Докладчик попросил членов комиссии привлечь внимание ко
столь насущной проблеме со стороны государственных структур и частных компаний.
«Очень важно, чтобы граждане понимали, что в понятие кибербезопасности
входит не только защита правительственных сетей от компьютерных террористов и
хакеров, желающих похитить государственные секреты», - считает председатель
комитета Джей Рокфеллер (Jay Rockefeller), сенатор от демократической партии Западной
Вирджинии, - «Мы также должны позаботиться о защите критически важных
национальных инфраструктур, удар по которым может иметь печальные последствия
для экономики страны», сообщает computerworld.com.
|
