Как противостоять растущим рискам кибератак в отраслях транспорта и логистики

Ущерб от кибератаки может достигать 50 млн долл. США и более. В то время как охват потенциальных кибератак в секторе ТиЛ увеличивается, а характер риска становится все более разнообразным, затраты на взлом существенно сократились. Причем главный источник уязвимостей - не системы, а люди. Чтобы противостоять киберрискам в отраслях ТиЛ, необходимо предпринять активные действия по трем направлениям: технологии, регулирование, а также люди и процессы.  В 2020 году количество вакансий ИКТ достигло 4 млн

Фокус кибератак в России в основном сосредоточен на связанных с электронной коммерцией ритейле, банковском секторе и логистике

Москва, 14 сентября 2021 г. - Цифровизация широко распространилась среди компаний в сфере транспорта и логистики (ТиЛ), усовершенствовав весь цикл процессов в отрасли. Это способствовало беспрецедентному повышению эффективности, направленному на расширение каналов дохода.

Это положительная сторона. Минус в том, что цифровизация выявила ряд проблем в компаниях ТиЛ, делающих их чрезвычайно уязвимыми перед кибератаками. Это затрагивает каждый сектор отрасли, включая морские, железнодорожные, автомобильные перевозки, логистику и доставку посылок. Последствия обходятся дорого, нарушают работу и могут повлечь финансовую ответственность, особенно если допускается утечка конфиденциальных сведений о клиентах.

Есть множество факторов уязвимости транспорта и логистики. Во-первых, более широкое использование операционных технологий (ОТ), новых коммуникационных и беспроводных каналов, напрямую связанных с цифровыми экосистемами компаний ТиЛ, делают компании легкой целью для хакеров. Во-вторых, это устаревшее регулирования и стандартов в области ИТ, недостаточная осведомленность в области кибербезопасности и, наконец, едва ли не самый существенный фактор - нехватка квалифицированных кадров, способных обеспечить защиту.

Кибератаки в секторе ТиЛ раньше происходили раз в несколько лет. Теперь, похоже, одна-две из них организуются каждый месяц. Некоторые из них масштабны. Например, кибератака в мае 2021 года по сути примерно на неделю остановила работу компании Colonial Pipeline, которая поставляет нефтепродукты почти для половины восточного побережья США. Компания заявила, что сумма выкупа и потери из-за нарушения деятельности могли достигнуть 50 миллионов долларов и более. Другие кибератаки, даже направленные на крупные транспортные компании, которые страдали уже не раз, привлекают меньше внимания прессы, но часто включают в себя дезорганизацию систем электронной почты и логистики.

Кроме того, хакеры все чаще пытаются украсть данные, хранящиеся в сетях, которые жизненно необходимы для модернизации и развития отрасли ТиЛ, поскольку они обеспечивают более эффективное и качественное обслуживание клиентов. Эти сети позволяют внедрить цифровые улучшения, такие как автоматизированные заказы, отслеживание груза и доступ к информации аккаунта. Хотя подобные преимущества для клиента чрезвычайно ценны, они требуют хранения больших объемов конфиденциальной информации, собранной через онлайн-платформы, телефонные приложения и прочие мобильные устройства, которые из-за отсутствия строгих протоколов киберзащиты являются одними из самых ненадежных каналов.

И, в то время как охват потенциальных кибератак в секторе ТиЛ увеличивается, а характер риска становится все более разнообразным, затраты на взлом существенно сократились. (См. Рис. 1.)

Copy Shareable Link

Учитывая растущую актуальность проблемы, компания BCG исследовала причины, по которым отрасль сегодня настолько уязвима перед кибератаками. Мы выработали ряд интегрированных решений, которые компании могут применить, чтобы снизить влияние этих рисков и создать жизнеспособные и надежные методы защиты от них.

ГДЕ НАХОДЯТСЯ СЛАБЫЕ МЕСТА

Самый простой подход к проблемам, с которыми сталкиваются компании ТиЛ,— это распределение их факторов уязвимости по трем категориям: технологии, регулирование, а также люди и процессы. Необходимо внимательно изучить каждую из этих категорий, чтобы встретить во всеоружии новые угрозы, которым подвержена отрасль в целом.

Технологии. В каждом сегменте отрасли ТиЛ очевидно расширение поверхности кибератак. Например, среди морских перевозчиков относительно простые системы оповещения о бедствиях и обеспечения безопасности были заменены полноценными местными сетями, основанными на облачных технологиях, такими как программа электронной навигации Международной морской организации (ИМО). Эти сети — привлекательная цель для хакеров, поскольку они постоянно собирают, интегрируют и анализируют бортовую информацию, чтобы отследить положение судов, данные о грузе, технические проблемы и целый спектр вопросов, связанных с океанической средой. (См. Рис. 2.)

Copy Shareable Link

Аналогичная ситуация в железнодорожном секторе: традиционные проводные системы управления движением поездов (СУДП), связь которых с внешними системами ранее была ограничена, уступают беспроводным стандартам, таким как GSM-Railway — относительно широкая сеть, связывающая поезда с пунктами управления движением. (См. Рис. 3.) Как и в случае со всеми пассажирскими компаниями сегодня, компании ТиЛ предоставляют информационно-развлекательные услуги и используют другое оборудование, что добавляет еще один уровень подключения к интернету.

Copy Shareable Link

Хотя эти распространяющиеся сети, которые, по сути, связывают системы ОТ с внутренним ИТ-оборудованием, таким как серверы, компьютеры и мобильные устройства, и сами по себе представляют новые пути для атаки хакеров, они иногда становятся еще более уязвимыми из-за недостатка понимания важности защиты от кибератак со стороны как поставщиков ОТ, так и компаний ТиЛ. В некоторых случаях поставщики ОТ требуют встроить в их оборудование потенциально уязвимые интерфейсы управления для удаленного доступа, контроля и устранения неисправностей. Кроме того, компьютерное оборудование компаний ТиЛ редко обновляется для соответствия строгим протоколам безопасности.

В равной степени настораживает и то, что помимо отношений с отдельными поставщиками ОТ компании ТиЛ образуют более эффективные и технологичные партнерства со своими поставщиками и распространителями, которые все больше зависят от сетевых связей. Протоколы кибербезопасности этих партнеров обычно не контролируются, из-за чего компании ТиЛ не получают информации о том, не растет ли риск из-за их интегрированных экосистем.

Регулирование. Хотя коммерческие и эксплуатационные аспекты сектора транспорта и логистики регулируются во многих регионах, существует относительно небольшое количество положений, затрагивающих кибербезопасность. Несмотря на глобальный характер деятельности сектора — или, возможно, из-за него — регулирующим органам сложно договориться или сосредоточиться на комплексе норм кибербезопасности, которые должны были бы соблюдать компании ТиЛ, где бы они ни работали. В отсутствие этого комплекса вложения в кибербезопасность не оптимизированы так, чтобы снизить общее влияние риска на организации.

Тем не менее, осознавая возможную опасность масштабной кибератаки на отрасль ТиЛ для мировой торговли и экономической стабильности, регулирующие органы начинают занимать более активную позицию и требовать большей защищенности сетей компаний. Предлагаемые или уже принятые инструменты регулирования включают в себя Директиву ЕС о сетевой и информационной безопасности (NIS) и скоро вступающие в силу стандарты CLC/TS 50701 и EN 50126 для железнодорожного транспорта, а также ряд правил для морского транспорта, вводимых Международной морской организацией. В разной степени эти меры регулирования направлены на соблюдение минимальных норм для защиты наиболее важных данных и процессов компаний, в особенности данных о клиентах и информации о грузоперевозках.

Люди и процессы. Киберугрозы постоянно развиваются, но общая черта некоторых наиболее уязвимых областей — это люди. Например, сотрудники, не способные распознать фишинговое письмо, могут быть легко использованы хакерами на начальном этапе атаки. На самом деле, можно сказать, что первым шагом в цепочке атак обычно и становятся действия самих пострадавших, учитывая, что значительно более половины утечки данных можно напрямую проследить и выявить недостатки в организационных процессах и компетенциях сотрудников или недостаток их знаний о кибератаках.

Ухудшает ситуацию огромный и растущий глобальный кадровый дефицит специалистов по кибербезопасности. 4 миллиона должностей специалиста по ИКТ были вакантны в 2020 г., согласно данным отраслевой группы по защите информации ISC2. Нехватка хорошо подготовленных киберспециалистов частично объясняется тем, что высшее образование в области кибербезопасности — относительно новое явление, существующее лишь около десяти лет.

По нашей информации, эта нехватка остро ощущается в рассматриваемой отрасли, особенно в Азиатско-тихоокеанском регионе, поскольку выпускники с квалификацией в области кибербезопасности и опытные специалисты, уже работающие в данной сфере, обычно не рассматривают перевозки и логистику как предпочтительную сферу для построения карьеры. Частично это проблема восприятия. Большинство кандидатов на должность не смотрят на компании ТиЛ как на предоставляющие инновационные рабочие места, где специалисты по технологиям могли бы развернуться в таких областях, как роботизация и автоматизация, анализ данных, блокчейн, беспилотные автомобили и тому подобное. Вместо того, чтобы сделать работу в области кибербезопасности более привлекательной — возможно, предложить более выгодные зарплаты и соцпакеты, а также поощрять инновации — многие компании ТиЛ относятся к кибербезопасности как к затратной единице, которая должна укладываться в жесткие бюджетные рамки.

КАК РАБОТАТЬ С РИСКАМИ КИБЕРБЕЗОПАСНОСТИ

Компании ТиЛ должны начать принимать программу кибербезопасности с оценки уровня киберзащиты в их оборудовании и программах ОТ и ИТ. Далее они могут принять меры защиты в самых важных и уязвимых приложениях и сетях. Определение областей с повышенным риском кибератак и разработка портфеля мер защиты могут быть упрощены с помощью моделей и инструментов, таких как программа управления киберрисками и их количественной оценки. Компании должны оценить свои факторы уязвимости на основе рискового подхода, где приоритет будет отдаваться вероятности и последствиям реализации киберугроз для ключевых активов. Затем можно ранжировать проекты на основе способности каждого из них повысить устойчивость с учетом затрат и, таким образом, по сути оптимизировать свои бюджеты вложений в кибербезопасность.

После принятия этих мер предосторожности компаниям ТиЛ нужно сосредоточиться на реализации более комплексных концепций киберзащиты, таких как архитектура нулевого доверия. Данная методология подразумевает, что все устройства, пользователи или приложения, пытающиеся взаимодействовать с сетью, представляют собой потенциальную угрозу. Стратегию нулевого доверия можно реализовать, сегментируя и разделяя сети с использованием технологии ДМЗ (демилитаризованной зоны), обеспечивающей жестко контролируемую среду, где отслеживаются связи внутри организации и вне ее. Того же принципа нужно придерживаться и для более строгого контроля внутренних процессов, где это возможно, включая проверку подлинности пользователей, программ и конечных устройств перед предоставлением им доступа к информации или активам.

Компании ТиЛ могут предпринять три действия, чтобы усовершенствовать свои внутренние навыки в области кибербезопасности.

Во-первых, в корпоративной культуре следует перейти от невнимания к вопросам кибербезопасности к признанию острой необходимости бороться с угрозами. В каждом подразделении идея укрепления кибербезопасности по всей организации должна быть явным и ключевым аспектом. Частые тренинги, повышающие уровень осведомленности о кибербезопасности, могут серьезно способствовать формированию коллектива, осознающего риски. Нужно подчеркивать меры, которые могут принять отдельные сотрудники, чтобы обеспечить защиту от хакеров, такие как защита паролей и внимание к подозрительной деятельности в сетях компании.

Во-вторых, это повышенное внимание к управлению киберрисками стоит использовать, чтобы привлечь специалистов по кибербезопасности из университетов и частного сектора. Заявите, что цель организации — стать опережающим время лидером в сфере кибербезопасности. Компании могут привлечь лучших специалистов по кибербезопасности, сообщив им, что у них будет возможность разработать программы киберзащиты с нуля, используя новейшие технологии и заменяя устаревшие системы. Организациям так же можно рассмотреть вариант получения консультаций у непредвзятых поставщиков оборудования, которые не стремятся продать свои технологии.

Наконец, найдите среди технологических сотрудников компании людей, которые готовы заняться инициативами в области кибербезопасности и которые продемонстрировали основные способности, необходимые успешным кандидатам. Повышение квалификации этих сотрудников и предложение им компенсации, а также меры поощрения в зависимости от должности за освоение требуемых навыков могли бы позволить компаниям ТиЛ быстро восполнить как минимум часть недостающей рабочей силы в кибербезопасности.

Многим компаниям ТиЛ может показаться, что меры, которые необходимо принять для сокращения рисков кибербезопасности, непосильны. Одним из практических советов для повышения прозрачности и информированности о сетях ИТ и ОТ и об их слабых местах может быть создание центра обработки киберинформации. Это центр занимался бы отслеживанием, организацией и надзором в области управления, деятельности, аналитики, процессов и технологий, связанных с кибербезопасностью, обеспечивая распределение данных и сведений между ключевыми участниками процесса, чтобы выявлять и устранять киберугрозы.

Кроме того, центр обработки киберинформации оптимизировал бы деятельность, объединяя управление и системы контроля ИТ и ОТ, которые в настоящий момент разъединены. В центре должен сочетаться опыт и знания специалистов как в области ИТ, так и ОТ, позволяя отслеживать любую нестандартную активность и в интернете, и во внутренних системах — или, что важно, в точке слияния этих двух систем,— которая может вовремя сигнализировать о кибератаке.

Чтобы понять размер проблемы и не затронула ли она ваш бизнес, необходимо, не откладывая, провести комплексный ИТ аудит – от систем ПО и инфраструктуры, до средств контроля и защиты - и выполнить несколько пин-тестов (penetration tests). Однако технические проблемы – это только часть всего большого хозяйства, которое необходимо «осознать». Главный источник уязвимостей - не системы, а люди. Необходимы мероприятия по социальному инжинирингу, объяснению важности соблюдения правил ИБ, регулярные тренинги и др. Используя язык «продуктовых подходов» к ИТ системам и услугам, необходимо озаботиться «встраиванием» свойств и характеристик cybersec во все сервисы и продукты, которые использует или разрабатывает ваша организация

Чтобы эффективно справиться с риском, компании ТиЛ должны создать уровни киберустойчивости, соответствующие высоким стандартам, защищать партнерские цепочки поставок и следовать ориентированному на риск подходу при разработке средств безопасности. Компаниям нужны инструменты, позволяющие их организациям развиваться и принимать соответствующие меры киберустойчивости, охватывающие несколько измерений — от технологий до регулирования и от процессов до сотрудников.

Для многих компаний ТиЛ заранее продуманная политика в области кибербезопасности до сих пор не являлась приоритетом. Но быстро растущее число кибератак и новые инструменты регулирования заставляют организации осознать, что они недолго смогут продолжать сохранять относительное безразличие. Хакеры становятся все более активными, и они хорошо осведомлены о том, какие компании уделяют кибербезопасности недостаточно внимания. Компаниям ТиЛ желательно не оказываться в этом списке.

ЧТО В РОССИИ?

Вадим Пестун, партнёр и директор по технологиям и цифровой трансформации BCG в России и СНГ, так прокомментировал ситуацию.

Во всех отраслях (особенно банковский сектор и ритейл) наблюдается кратный рост атак и попыток нарушения безопасности ИБ. Интересно, что видна тенденция перехода от классического проникновения через защищенный периметр к более изощренным способам атак, как-то комбинация социальной инженерии и фишинга, подмена адресов, фальшивые телефонные звонки итп. Можно сказать, банки почувствовали экспоненциальный рост количества атак. Возможно, это связано с тем, что объем электронной коммерции вырос кратно – данные людей и их финансовые транзакции, номера карт, запросы - оказываются в сети. Учитывая, что электронная коммерция – это инструмент, объединяющий ритейл, банки и логистику, фокус кибер-атак смещается на эти три основных вида бизнеса. Атаки наносятся преимущественно по этому золотому треугольнику»

Отличия по отраслям

Банковский сегмент в РФ - строго и хорошо регулируемый вид деятельности. История кибер-атак на банки – уже довольно долгая. В результате, мы видим хорошую подготовленность этого «угла» в нашей стране. Но, к сожалению, только на стороне банков, но не на стороне пользователей, клиентов, чем и пользуются злоумышленники, обманным путем выманивающие у клиентов пин-коды, пароли итд.

Ритейл – менее регулируемая область. Проблемы ритейла в «бумажной» инфобезопасности - в менее проработанной технологической базе защиты. К сожалению, одними регламентами защититься от атак невозможно. Соответственно, наблюдается взрывное увеличение попыток взлома и перехвата данных, средств, коммерческой информации (не исключен и фактор конкурентной борьбы).

Транспорт и логистика. Необходимо разделять крупный бизнес (условный жд-оператор) и мелкие транспортные компании. Проблемы крупного бизнеса вызваны необходимостью обслуживать большое количество интерфейсов и каналов, по которым происходит обмен данными со сторонними организациями. Эти данные могут иметь не только финансовый характер, но быть связанными с характеристиками движения и трафика на сети. Атаки ведутся на эти интерфейсы. Внутренние службы безопасности и ИТ работают интенсивно, постоянно проводятся модернизации средств защиты и контроля периметра, контроля доступа сторонних организаций к своим «чувствительным» компонентам ландшафта приложений. В первую очередь в сегмент АСУП-АСУТП. Мелкая логистика – область если не полностью неготовая к надвигающейся проблеме, то хуже всего понимающая, с какой стороны придет удар, его цель и последствия. По информации от руководителей ритейла, диагностируется рост существенного количества срыва поставок, вызванный различными вредоносными действиями кибер-злоумышленников. Действия весьма разнообразны - от простого вымогательства, до перехвата данных о клиентуре, поставках итп. Пока еще не всегда понятно, какая будет реализована схема «монетизации» взлома, но, обычно, злоумышленники очень изобретательны в методах добычи чужих средств, услуг и товаров.

Кадры

Дефицит кадров в области ИБ всегда был и будет только усугубляться, так как потребность в специалистах новой формации, способных создавать работающие решения, стремительно нарастает. Тем, кто умеет только писать регламенты, такие проблемы не по зубам. Есть вероятность, что имеющийся кадровый голод и рост уровня кибер-атак может привести к росту хорошо защищенных сервисов (таких, как облачные платформы и решения) и самих сервисов защиты, которые тоже логично предоставлять околооблачным способом – CyberSec as a Service. Есть потребность переосмыслить и способы реализации ИТ проектов, связанных с разработкой ИТ систем и ПО. От классического DevOps целесообразно переходить к DevSecOps подходу, обеспечивающего команду разработчиков и поддержки должным количеством CyberSec экспертизы, встроенной во все процессы – от дизайна до разработки, тестирования и сопровождения. Сейчас таких специалистов на локальном рынке единицы.

Что необходимо делать «еще вчера»
Чтобы понять размер проблемы и не затронула ли она ваш бизнес, необходимо, не откладывая, провести комплексный ИТ аудит – от систем ПО и инфраструктуры, до средств контроля и защиты - и выполнить несколько пин-тестов (penetration tests). Однако технические проблемы – это только часть всего большого хозяйства, которое необходимо «осознать». Главный источник уязвимостей - не системы, а люди. Необходимы мероприятия по социальному инжинирингу, объяснению важности соблюдения правил ИБ, регулярные тренинги и др. Используя язык «продуктовых подходов» к ИТ системам и услугам, необходимо озаботиться «встраиванием» свойств и характеристик cybersec во все сервисы и продукты, которые использует или разрабатывает ваша организация.