Британский Королевский институт международных отношений (Chatham House) недавно опубликовал в Лондоне доклад, в котором эксперты проанализировали положение дел на атомных электростанциях. Внимание концентрируется на проблемах кибербезопасности объектов АЭС: аналитики задаются тревожным вопросом, гарантирована ли сегодня безопасность АЭС в контексте современных вызовов, важнейшим из которых является кибератака.
Британские аналитики пытаются понять, насколько устойчивы работающие по всему миру атомные электростанции перед новыми киберугрозами. Они обеспокоены тем, что сегодня, когда речь идет о рисках хакерских атак в этой чрезвычайно чувствительной отрасли, на атомных электростанциях по всему миру царит «традиция отрицания». В своем докладе эксперты обращают внимание на тот факт, что большинство АЭС попросту неспособны защититься от незаконных вмешательств в свои компьютерные системы.
В докладе говорится о том, что сегодня руководители АЭС и отрасли в целом главным образом концентрируют внимание на обеспечении безопасности производства и повышенной физической защите объектов, но при этом упускается из виду то, что у большого числа серьезных объектов практически отсутствует защита от кибератак. Эксперты Chatham House провели собственный анализ, и в качестве подтверждения своей обеспокоенности они привели сведения о 50-ти киберинцидентах на объектах по всему миру. Кстати, исследователи обращают внимание на то, что широкой общественности становится известно лишь о единичных случаях такого рода. Как правило, происшествия предпочитают солидарно замалчивать и не предавать их огласке.
Полтора года эксперты Chatham House исследовали проблему. Было проведено более 30-ти бесед и интервью с руководителями АЭС и чиновниками отрасли из Канады, Франции, Германии, Японии, Великобритании, Украины и США.
По единому мнению аналитиков, которое выразила автор доклада Кэролин Бэйлон (Caroline Baylon), «кибербезопасность по-прежнему является чем-то новым для атомной промышленности. На АЭС обеспечивается действительно высокий уровень безопасности, и — после событий 11 сентября — физической защиты. Однако вопрос кибербезопасности остается практически не затронутым».
Более того, британские эксперты приводят в докладе слова представителей руководств атомных станций, которые констатируют, что сегодня атомная индустрия «сильно отстала» от других промышленных секторов в том, что касается защиты от кибератак.
Кэролин Бэйлон заявляет, что результаты исследования со всей очевидностью подтверждают, что на фоне сложившейся «традиции отрицания» стандартный ответ инженеров и руководств АЭС звучит таким образом: «наши системы не связаны с интернетом, поэтому их очень сложно скомпрометировать».
Как говорится в докладе, большинство представителей высшего руководства АЭС в разных странах мира настаивают на том, что посредством кибератаки просто невозможно спровоцировать крупный инцидент, например, выброс ионизирующего излучения… Однако авторы доклада подчеркивают: нет никаких гарантий, что это действительно так.
Бэйлон демонстрирует, как системы и дублирующие средства, приводящие в действие систему охлаждения реактора, могут быть взломаны, что может привести к аварии, подобной той, что произошла в Японии на электростанции «Фукусима Даичи» (Fukushima Daichi) в 2011 году — крупнейшей аварии со времен Чернобыля.
Авторы доклада отмечают, что десятки атомных электростанций имеют системы, связанные с интернетом, а операторы АЭС упорно верят в миф о том, что их объект имеет «воздушный зазор», отделяющий их от компьютерных сетей. Однако британские эксперты приводят несколько красноречивых примеров, которые подтверждают всю серьезность вопроса и сомнительность заявлений функционеров АЭС. Так, исследователи вспоминают инцидент, произошедший в 2003 года на АЭС «Дэвис-Бессе» (Davis-Besse) в американском штате Огайо, когда инженер получил доступ к оборудованию станции из дома, использовав шифрованное VPN-соединение на своем ноутбуке. Его домашний компьютер был заражен вирусом Slammer. Троянская программа инфицировала компьютерную систему АЭС, в результате чего ключевая контрольная система отключилась под шквалом вирусного трафика.
Еще более серьезный случай произошел в 2006 году на «Браунс Ферри» (Browns Ferry) в Алабаме, когда главная система безопасности АЭС оказалась перегруженной сетевым трафиком, что едва не привело к опасной аварии. В качестве примера того, как уязвимые атомные электростанции могут пострадать от кибератаки, исследователи упоминают случай, произошедший в 2008 году на АЭС имени Эдвина Хэтча в штате Джорджия. Тогда подрядчик использовал обыкновенное временное соединение для подключения к корпоративной сети и тем самым спровоцировал отключение системы. Действия были признаны непреднамеренными, но это, как верно замечают аналитики, вовсе не уменьшает серьезности и опасности подобных «ошибок».
Бэйлон утверждает, что, несмотря на такие происшествия, руководители большинства АЭС по-прежнему, по инерции, недостаточно серьезно относятся к вопросу кибербезопасности. Экспертов, например, удивило, когда во время бесед руководящие сотрудники станций говорили, что в компьютерных системах, управляющих ядерным процессом, «повсеместно» используются пароли, заданные производителем по умолчанию, такие, как «1234». Вот так просто….
В последнее время компании-владельцы увеличивают число цифровых «лазеек» на АЭС, внедряют системы оперативного контроля для сбора данных и стараются повысить эффективность производства.
По признанию руководителей АЭС, инженеры и подрядчики во всем мире регулярно приносят на ядерные объекты собственные компьютеры, которые рутинно подключаются к компьютерным системам АЭС, а иногда даже оставляются там на ночь.
Бэйлон делает вывод о том, что спровоцировать аварию на АЭС или взломать ее компьютеры крайне сложно, однако нет сомнений в том, что это по плечу государственному субъекту. Эксперт предупреждает: «Дело в том, что риск — вероятность, помноженная на серьезность последствий. И даже если их вероятность мала, последствия аварии на АЭС в результате кибератаки могут быть чрезвычайно опасными». В этой связи стоит вспомнить тревожный пример, когда израильтяне внедрили вирус Stuxnet в иранские ядерные объекты.
По мнению главы ведущей российской частной компании в области информационной безопасности Group IB Ильи Сачкова, в наши дни физическая защита чувствительной инфраструктуры приобретает для государства такую же важность, как ключевые вызовы безопасности. И касается это не только ядерной энергетики.