Ай-да новости: об атомных станциях и кибервоенщине.
В этот раз выпуск по следам наших давних публикаций.
Первое.
КДПВ - атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью
Мы уже много лет на всех углах звоним в колокола о проблемах кибербезопасности промышленности и инфраструктуры. И эта проблема всё чаще оказывается в центре внимания госорганов, исследовательских институтов, СМИ и широкой публики. Но, к большому сожалению, пока мы не наблюдаем заметных положительных подвижек в этой сфере.
На этой неделе вышел отчет британского исследовательского центра Chatham House, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная.
От выводов исследования волосы понимающего человека начинают отчетливо шевелиться:
Отчёт рекомендует, среди прочего, продвигать проектирование изначально безопасных промышленных систем (“Security by design”). Это мы поддерживаем всеми руками! Наша безопасная ОС - инициатива как раз из этой серии. Сделать системы управления промышленным оборудованием, включая АСУТП, невзламываемыми означает принципиально улучшить ситуацию с кибербезопасностью мира вокруг нас. К сожалению, дорога это длинная и мы лишь в самом начале пути. Зато, уверен, движемся мы в правильном направлении.
Второе.
Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.
Фото Michael Reynolds/EPA отсюда
Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны - две крупнейшие экономики мира - не будут заниматься коммерческим шпионажем друг у друга. Более того, тема кибербезопасности доминировала на их совместной пресс-конференцией наряду с мерами по борьбе с изменением климата. При этом интересно, что проблему политического и военного кибершпионажа они обошли стороной.
Прорыв ли это? Конечно же, пока нет.
Однако это шажок в очень правильном направлении. Ходили слухи, Пекин с Вашингтоном ведут переговоры о «договоре о ненападении» в киберсфере. Предполагалось, что в нём две страны должны взять на себя обязательства в мирное время не нападать с помощью кибероружия друг на друга. На сентябрьской встрече лидеров стран эта тема не поднималась, но, будем надеяться, ещё поднимется. Это был бы хоть и символический, но важный шаг.
Хорошо бы такие договоры подписали в будущем все страны, а потом бы и вовсе договорились бы сделать Интернет и всю киберсферу демилитаризованной зоной. Это был бы самый хороший, хотя, увы, пока что и не очень реалистичный сценарий.
Первое.
КДПВ - атомная электростанция во Франции, где, как я надеюсь, все супер с кибербезопасностью
Мы уже много лет на всех углах звоним в колокола о проблемах кибербезопасности промышленности и инфраструктуры. И эта проблема всё чаще оказывается в центре внимания госорганов, исследовательских институтов, СМИ и широкой публики. Но, к большому сожалению, пока мы не наблюдаем заметных положительных подвижек в этой сфере.
На этой неделе вышел отчет британского исследовательского центра Chatham House, в котором говорится, что риски кибератак на атомные электростанции растут по всему миру. Отчет длинный, основан на интервью с экспертами. Звучит, как ознакомление с содержанием эротического фильма по рассказу смотревшего его. Но что делать, отрасль-то секретная.
От выводов исследования волосы понимающего человека начинают отчетливо шевелиться:
- Никакой «физической изоляции» компьютерных сетей атомных станций не существует, это миф (тут замечу, что речь идет только о тех станциях, с которыми знакомы опрошенные международные эксперты; в любом случае, никакой конкретики). Британцы пишут, что на АЭС часто существуют соединения через VPN, часто их делают подрядчики, часто они в принципе не документированы, иногда просто забыты, но вполне себе живы и готовы к использованию.
- Большое количество такого рода подключенных систем без проблем находятся в интернете через поисковики вроде Shodan.
- Если изоляция существует, то она преодолевается с помощью флэшек (привет, Stuxnet!)
- Атомная энергетическая отрасль по всему миру мало участвует в обмене информации о кибер-инцидентах, и в результате, мало учится у более продвинутых в этой сфере отраслей.
- При этом повсеместно по экономическим соображениям увеличивается использование массового коммерческого (уязвимого) софта.
- Множество промышленных систем управления изначально небезопасно спроектированы, и патчить их, без ущерба для производственных процессов, очень трудно
- И много-много чего ещё, в полном отчете 53 страницы.
Отчёт рекомендует, среди прочего, продвигать проектирование изначально безопасных промышленных систем (“Security by design”). Это мы поддерживаем всеми руками! Наша безопасная ОС - инициатива как раз из этой серии. Сделать системы управления промышленным оборудованием, включая АСУТП, невзламываемыми означает принципиально улучшить ситуацию с кибербезопасностью мира вокруг нас. К сожалению, дорога это длинная и мы лишь в самом начале пути. Зато, уверен, движемся мы в правильном направлении.
Второе.
Много лет как я агитирую за создание глобального договора в области борьбы с кибервоенщиной. Сказать, что лёд в этом отношении тронулся, я пока не могу. Но он отчётливо трещит! Проблему обсуждают специалисты, дипломаты и научные работники. На высшем международном уровне, очевидно, идет поиск хоть каких-нибудь договоренностей, которые хоть как-нибудь должны ограничить и поставить в рамки кибершпионов и кибервояк.
Фото Michael Reynolds/EPA отсюда
Вот и Барак Обама и Си Цзиньпин в конце сентября договорились, что их страны - две крупнейшие экономики мира - не будут заниматься коммерческим шпионажем друг у друга. Более того, тема кибербезопасности доминировала на их совместной пресс-конференцией наряду с мерами по борьбе с изменением климата. При этом интересно, что проблему политического и военного кибершпионажа они обошли стороной.
Прорыв ли это? Конечно же, пока нет.
Однако это шажок в очень правильном направлении. Ходили слухи, Пекин с Вашингтоном ведут переговоры о «договоре о ненападении» в киберсфере. Предполагалось, что в нём две страны должны взять на себя обязательства в мирное время не нападать с помощью кибероружия друг на друга. На сентябрьской встрече лидеров стран эта тема не поднималась, но, будем надеяться, ещё поднимется. Это был бы хоть и символический, но важный шаг.
Хорошо бы такие договоры подписали в будущем все страны, а потом бы и вовсе договорились бы сделать Интернет и всю киберсферу демилитаризованной зоной. Это был бы самый хороший, хотя, увы, пока что и не очень реалистичный сценарий.