Проблемы могут исходить из физического мира, подобно атаке беспилотников на нефтехранилище в Саудовской Аравии, но не меньший ущерб способны нанести кибератаки, говорится в исследовании Trend Micro "Drilling Deep. A Look at Cyberattacks on the Oil and Gas Industry".
Читайте также: Поблагодарите Ахметова: почему тарифы на электроэнергию снова растут
Что атаковать
Нефтегазовый сектор предоставляет атакующим множество целей для нападения. Современное добывающее предприятие – высокотехнологичный производственный комплекс на всех стадиях от добычи, транспортировки и хранения до переработки и доставки готовой продукции потребителям.
Нефтяные и газовые вышки оборудованы средствами мониторинга и управления: датчиками, терминалами и интеллектуальными управляющими модулями, которые позволяют дистанционно контролировать процессы добычи углеводородов. С учетом экстремальных природных и погодных условий на многих месторождениях средствами удаленного управления оснащается все оборудование от клапанов, насосов, гидравлики и пневматики до систем аварийного тушения пожаров.
Добытые ресурсы необходимо доставить в хранилище, сохранив их качество и не допустив потерь по дороге. В связи с этим системы транспортировки нефти и газа также оснащены средствами мониторинга и управления, которые позволяют инженерам отслеживать и при необходимости корректировать весь процесс.
Самый сложный с точки зрения цифровизации компонент нефтегазового предприятия – это перерабатывающий комплекс, огромная лаборатория, в которой работают сотни датчиков, собирающих информацию о температуре, химическом составе и других параметрах производственного процесса.
Сложность и распределенность инфраструктуры создает множество возможностей для атак. И если для кибератаки на оборудование добывающих комплексов требуется подобраться к ним поближе, нарушить нормальное функционирование перерабатывающих заводов киберпреступникам вполне по силам, ведь в их распоряжении богатейший арсенал вредоносных методик. Проникнув в сети нефтегазовой компании, хакеры могут устроить саботаж инфраструктуры, похитить конфиденциальную информацию, внедрить вирус-вымогатель, провести атаку с компрометацией деловой переписки или перехватить управление доменными именем.
Саботаж инфраструктуры
Для проведения такой атаки требуется много усилий и серьезная предварительная подготовка – сбор информации о цели, подбор инструментария и, возможно, разработка специализированных версий вредоносных программ. Одним из наиболее ярких примеров таких кампаний стала атака вируса Stuxnet на иранские предприятия по обогащению урана. В процессе своей работы Stuxnet корректировал параметры конфигурации центрифуг так, что они постепенно выходили из строя, а производительность процесса обогащения снижалась. Хотя Stuxnet разрабатывался для воздействия на конкретную цель, он также сумел проникнуть в нефтяную компанию, пусть даже и не нанес никакого вреда.
Среди известных атак на инфраструктуру нефтегаза можно выделить инцидент с Saudi Aramco в 2012 году, когда вирус Shamoon почти на две недели вывел из строя более 30 тысяч компьютеров в сети нефтяного гиганта.
В декабре 2018 года сообщалось о проникновении обновленной разновидности Shamoon в сеть итальянской нефтяной компании Saipem, а в том же месяце неизвестный вредонос заразил нефтяную компанию Petrofac.
В феврале 2020 года в результате атаки вымогательского ПО на два дня была остановлена работа оператора газопровода в США. Проникнув в корпоративную сеть с помощью фишинговых писем, злоумышленники зашифровали данные, необходимые для работы компрессорной установки, лишив операторов возможности взаимодействовать с ней.
День влюбленных в 2020 году стал днем неприятностей для крупнейшей нефтегазовой компании Хорватии INA Group. Вымогательское ПО CLOP зашифровало данные внутренних серверов, в результате чего компания не смогла выставлять счета-фактуры, принимать карты лояльности, продавать предоплаченные SIM-карты, топливо и газ, а также принимать от клиентов сбор за пользование дорогами (виньетки).
Обратите внимание: Нефть продолжает дорожать, цены на акции растут: что известно о ситуации на рынках
Промышленный шпионаж
Хотя саботаж инфраструктуры чрезвычайно разрушителен в плане последствий, промышленный шпионаж может нанести не меньший ущерб. Кража данных может послужить отправной точкой для более масштабной атаки, ведь злоумышленникам нужна конкретная информация для дальнейших действий.
Методы бурения скважин, данные о предполагаемых запасах нефти и газа, специальные рецепты различных премиум-продуктов могут принести злоумышленникам серьезную финансовую выгоду.
Инсайдерские угрозы
Проникнув в компанию, злоумышленник вынужден тратить массу времени на поиск ключевой информации, ради которой он, собственно, и произвел взлом. Гораздо проще обратиться к инсайдерам – недовольным сотрудникам или тем, кто желает заработать легкие деньги, продавая конфиденциальную информацию компании. Другие причины, по которым сотрудник может стать инсайдером, – шантаж или банальная халатность. По данным исследования, проведенного Siemens совместно с Ponemon Institute:
65% инсайдерских инцидентов вызваны халатностью или небрежностью сотрудников;
15% инцидентов связаны с целенаправленными вредоносными действиями.
Возможные последствия реализации инсайдерских угроз:
модификация данных с целью причинения ущерба,
удаление важных документов, к которым инсайдер имеет доступ,
кража интеллектуальной собственности,
помощь с внедрением в сеть программ-шпионов и вредоносных закладок.
Защита от таких угроз очень сложна, поскольку сотрудники, как правило, имеют доступ к большому количеству данных. Обнаружить инсайдерские инциденты помогает постоянный мониторинг действий пользователей, однако во многих случаях повседневные операции сложно отличить от саботажа.
Перехват управления DNS
DNS – это система, которая выдает адрес сервера по его имени. Например, один из адресов сервера Yandex.ru – 5.255.255.80. Людям удобнее пользоваться именами, а компьютерным программам – адресами. Перехват DNS – опасная атака, целью которой является получение контроля над управлением доменными именами компании. Контроль над DNS позволяет получить доступ к корпоративной сети и электронной почте правительств и компаний. Это особенно актуально для нефтяной отрасли, поскольку многие нефтяные компании становятся мишенью для нападений продвинутых злоумышленников, преследующих геополитические цели.
Одна из возможных схем такой атаки состоит в том, чтобы атаковать не хорошо защищенную нефтяную компанию, а регистратора домена. Скомпрометировав учетные данные для системы управления доменными именами, атакующий получает возможность вносить любые изменения в домены, находящиеся под контролем регистратора. Например, он может изменить сервера имен на контролируемые им. Тогда любой, запросивший IP-адрес для доменного имени, скажем, rosneft.ru, может получить в ответ адрес хакерского сервера, причем если мошеннический сервер будет сделан качественно, отличить его от оригинала будет невозможно.
Аналогичным образом злоумышленник может получить доступ к корпоративной переписке – с помощью перехвата DNS встроиться между легальным почтовым сервером компании и его пользователями.
Рекомендуем! Коломойский, Боголюбов и сын Палицы приобрели в Украине два нефтеперерабатывающих комплекса
Утечки данных
Практически каждый месяц в СМИ появляются сообщения об утечке конфиденциальных данных из различных компаний. Произойти это может по разным причинам – от легкомысленности ответственных сотрудников до некорректной конфигурации информационных систем. В результате конфиденциальные документы размещаются на видном месте на сайте компании, в открытом доступе оказывается база данных, содержащая информацию о тысячах удачных и неудачных экспериментах, резервное копирование файлов месяцами производится на общедоступный сервер.
Для поиска утекших документов вполне достаточно возможностей Google. Знание поисковых команд позволяет с легкостью обнаружить внутренние документы компаний, оказавшиеся в открытом доступе.
Есть ли решение?
Сложность инфраструктуры нефтегазовой отрасли превращает защиту от кибератак в труднейший квест, но учитывая риски, которые влекут за собой киберинциденты, движение в этом направлении является критически важной задачей. Помимо внедрения стандартных систем обнаружения и противодействия кибератакам, представляется целесообразным выполнение следующих мероприятий:
Обязательное повсеместное шифрование трафика датчиков и управляющих систем. Это позволит снизить риск атак типа "человек посередине" и сделает невозможной подмену команд или сведений от датчиков.
Использовать DNSSEC – набор расширений к протоколу DNS, позволяющий применять криптографию для защиты от перехвата и подделки запросов.
Обязательно применять двухфакторную аутентификацию для управления настройками DNS у регистратора, доступа в веб-почту и во все критически важные системы.
Отслеживать утечки конфиденциальных документов, используя поисковые системы общего назначения и специализированные. Чтобы облегчить эту задачу, во все важные документы стоит внедрять водяные знаки или аналогичные средства для их идентификации.
Почему это важно
Кибератаки на нефтегазовый сектор позволяют влиять на биржевые котировки, а это значит, что недобросовестные биржевые спекулянты могут использовать услуги киберпреступников, чтобы получить сверхприбыль, делая ставки на рост стоимости биржевого актива после атаки, либо играя на понижение акциями нефтяной компании, цена которых обрушится в результате киберинцидента.
К слову: Нефть подорожала после обвала цен накануне: рынки ожидают встречи ОПЕК
С учетом сказанного можно констатировать, что кибербезопасность должна стать приоритетной задачей всех компаний нефтегазового сектора. Лишь в этом случае можно надеяться на относительную стабильность мировых цен на нефть и газ.