Те, кто понимает, что из себя представляет энергетическая сфера Украины – предупреждают, что именно она станет одной из наиболее используемых российским агрессором уже этой зимой. В связи с этим, эксперты призывают как можно больше внимания уделить вопросам энергетической безопасности – в морозные дни она станет критически важной для всех украинцев.

При этом отдельной рекомендацией эксперты вынесли призыв уделить особое внимание киберзащите. Особенно – киберзащите атомных электростанций.

О том, насколько вообще защищены украинские АЭС, что может позволить пробить их киберзащиту и почему дела обстоят именно так, «Черноморке» рассказал спикер Украинского Киберальянса Шон Таусенд.

Как у нас обстоят дела с кибербезопастностью в госсекторе вообще и на атомных электростанциях в частности?

Осенью 2017 года Украинский Киберальянс и волонтёры начали акцию #FRD («к черту ответственное разглашение»). Цель была даже не в том, чтобы закрыть дыры в государственных системах и критической инфраструктуре, а проверить насколько лозунги всевозможных законов и нормативных документов соотносятся с реальностью, и меняется ли что-то в безопасности? Выводы оказались неутешительными: кроме деклараций ничего не меняется.

Там, где люди ответственно подходят к своей работе, всё более-менее работает, а там, где таких людей нет (и это типичная ситуация, потому что квалифицированных специалистов не хватает и в частном секторе), – всё плохо.

Насколько?

Советские ещё правила уже не соблюдаются, новые – не работают. В том числе, один из наших волонтёров, Дмитрий Орлов, неоднократно находил объекты «Энергоатома». ЗАЭС, ЮУАЭС, иногда у подрядчиков, а иногда прямо из-за «периметра» (по правилам, на критических объектах внутреннюю сеть нужно отрезать от интернета, на сленге безопасников – «air-gap»).

Одной из самых успешных атак на ядерные объекты была совместная акция США и Израиля против иранского центра в Натанзе. Им удалось завербовать иранского инженера, чтобы он запустил троян Stuxnet во внутреннюю сеть, и затем – с помощью перепрограммированных контроллеров Siemens – вывести из строя центрифуги для обогащения. Те же самые проблемы есть и у нас.

Например?

Недавно в новостях рассказывали о том, как сотрудники ЮУАЭС и Нацгвардии майнили прямо на станции, грубо нарушая режим. Где-то сотрудник воткнул флешку в начале в домашний компьютер, потом – в рабочий. Все они ходят с мобильными телефонами и иногда используют их, как модемы, чтобы выходить в интернет. Где-то разработчики автоматизированных систем оставляют себе «черные ходы», чтобы контролировать как работает аппаратура.

То есть, если сотрудник АЭС – не сильно сообразителен и не понимает ничего в компьютерах, то этого вполне достаточно, чтобы возникла угроза национальной энергетической безопасности?

Конечно. Типичный случай, когда человек приходит на работу с мобильным телефоном, и пользуется им вместо флешки или втыкает его в качестве модема, чтобы, например, цветы заказать. А если он выходит в интернет, то и из интернета может кто-то зайти к нему, прямо на рабочую станцию, внутри «периметра», минуя условную «проходную».

Интернет – это как дверь в обе стороны при любом раскладе?

Не при любом, но иногда – да. Таким же образом попадались и военные, и многие-многие другие.

Один из побочных эффектов технологий – то, что раньше было доступно только спецслужбам и стоило миллионы, вчера научились делать в университетах за тысячи долларов. А сегодня – это все уже может сделать любой сообразительный школьник без всяких затрат вообще. При этом и сам «Энергоатом», и его подрядчики предпочитают отрицать наличие проблемы. Первое правило признания уязвимостей – не признавать никаких уязвимостей.

Почему вы так думаете?

После первых публикаций на эту тему «Энергоатом» начал проходить все стадии принятия неизбежного, описанные Элизабет Кюблер-Росс. Отрицание – нет никаких уязвимостей, это не наше, а если наше, то ни на что не влияет. Гнев – пресс-релизы о «так называемых малоизвестных активистах». Торг, депрессия. До признания так и не доходило. Хотя весь отдел ядерной безопасности ЗАЭС отправился под суд, а начальник отдела погиб при не до конца выясненных обстоятельствах.

Что-то изменилось с момента старта акции в 2017 году?

Ровным счётом ничего. В мае 2019 года нам попался разработчик СВРК (системы внутререакторного контроля), с прямым доступом внутрь «охраняемого» «периметра». На предложение сделать что-то, инженер-разработчик системы ответил: «Заглушите реактор, нажмите ПЗ-2, тогда поговорим» (предупредительная защита, запрет на подъём стержней, надеюсь, что после фильма «Чернобыль» читатель немного разбирается в устройстве ядерного реактора).

В целом, это не вина атомщиков, так у нас устроено всё – водоканалы, энергетика, госуправление и многое другое. Если не начать пересматривать подходы к безопасности, то можно ждать чего угодно: до терактов, диверсий и техногенных катастроф. Особенно – в условиях непрекращающейся войны с Российской Федерацией.

А кто должен начать менять эти подходы: руководители АЭС, СБУ, киберполиция, новое законодательство, учителя в школах на уроках по кибербезопастности? С чего надо начинать?

Со школы и с предприятий. Люди должны представлять, что от тех самых компьютеров и телефонов, на которых они в «змейку» играют, уже может зависеть жизнь людей. Люди должны пытаться делать хоть что-то для защиты своей техники и нести за это ответственность.

У полиции и СБУ совсем другие задачи: полиция ловит преступников, СБУ занимается контрразведкой, пытается не допустить нанесение вреда национальным интересам извне. Они такой же объект кибербезопасности и национальной безопасности, как и прочие. Субъектами безопасности могут быть только админы. Безопасность зависит именно от них.

Читайте «Черноморку» в Telegram и Facebook

Фото: Clint Patterson; vipul uthaiah | Unsplash