Ті, хто розуміє, що собою являє енергетична сфера України – попереджають, що саме вона стане однією з найбільш використовуваних російським агресором вже цієї зими. У зв’язку з цим, експерти закликають якомога більше уваги приділити питанням енергетичної безпеки – у морозні дні вона стане критично важливою для всіх українців.

При цьому окремої рекомендацією експерти винесли заклик приділити особливу увагу кіберзахисту. Особливо – кіберзахисту атомних електростанцій.

Про те, наскільки взагалі захищені українські АЕС, що може дозволити пробити їх киберзащиту і чому справи йдуть саме так, «Чорноморці» розповів спікер Українського Кіберальянсу Шон Таусенд.

Як у нас ідуть справи з кібербезпекою у держсекторі взагалі і на атомних електростанціях зокрема?

Восени 2017 року Український Кіберальянс і волонтери розпочали акцію #FRD («до біса відповідальне розголошення»). Мета була навіть не в тому, щоб закрити дірки у державних системах і критичної інфраструктури, а перевірити наскільки гасла всіляких законів і нормативних документів співвідносяться з реальністю, і чи міняється щось у безпеці? Висновки виявилися невтішними: крім декларацій нічого не змінюється.

Там, де люди відповідально підходять до своєї роботи, все більш-менш працює, а там, де таких людей немає (і це типова ситуація, тому що кваліфікованих фахівців не вистачає і в приватному секторі), – все погано.

Наскільки?

Радянські ще правила не дотримуються, нові – не працюють. В тому числі, один з наших волонтерів, Дмитро Орлов, неодноразово знаходив об’єкти «Енергоатому». ЗАЕС, ЮУАЕС, іноді у підрядників, а іноді прямо з-за «периметра» (за правилами, на критичних об’єктах внутрішню мережу потрібно відрізати від інтернету, на сленгу сб – «air gap»).

Однією з найбільш успішних атак на ядерні об’єкти була спільна акція США та Ізраїлю проти іранського центру в Натанзі. Їм вдалося завербувати іранського інженера, щоб він запустив троян Stuxnet у внутрішню мережу, і потім – з допомогою перепрограмованих контролерів Siemens – вивести з ладу центрифуги для збагачення. Ті ж самі проблеми є і у нас.

Наприклад?

Нещодавно в новинах розповідали про те, як співробітники ЮУАЕС і Нацгвардії майнили прямо на станції, грубо порушуючи режим. Десь співробітник встромив флешку на початку в домашній комп’ютер, потім – у робочий. Всі вони ходять з мобільними телефонами і іноді використовують їх, як модеми, щоб виходити в інтернет. Десь розробники автоматизованих систем залишають собі «чорні ходи», щоб контролювати, як працює апаратура.

Тобто, якщо працівник АЕС – не дуже кмітливий і не розуміє нічого в комп’ютерах, то цього цілком достатньо, щоб виникла загроза національній енергетичній безпеці?

Звичайно. Типовий випадок, коли людина приходить на роботу з мобільним телефоном, і користується ним замість флешки або встромляє його в якості модему, щоб, наприклад, квіти замовити. А якщо він виходить в інтернет, то і з інтернету може хтось зайти до нього, прямо на робочу станцію, всередині «периметра», минаючи умовну «прохідну».

Інтернет це як двері в обидві сторони при будь-якому розкладі?

Не при будь-якому, але інколи – так. Таким же чином траплялися і військові, і багато-багато інших.

Один з побічних ефектів технологій – те, що раніше було доступно лише спецслужбам і коштувало мільйони, вчора навчилися робити в університетах за тисячі доларів. А сьогодні – це може зробити будь-який кмітливий школяр без всяких витрат взагалі. При цьому і сам «Енергоатом», та його підрядники воліють заперечувати наявність проблеми. Перше правило визнання вразливостей – не визнавати ніяких вразливостей.

Чому ви так думаєте?

Після перших публікацій на цю тему «Енергоатом» почав проходити всі стадії прийняття неминучого, описані Елізабет Кюблер-Росс. Заперечення – немає ніяких вразливостей, це не наше, а якщо наше, то ні на що не впливає. Гнів – прес-релізи про «так званих маловідомих активістів». Торг, депресія. До визнання так і не доходило. Хоча весь відділ ядерної безпеки ЗАЕС пішов під суд, а начальник відділу загинув за не до кінця з’ясованих обставин.

Щось змінилося з моменту старту акції в 2017 році?

Рівним рахунком нічого. У травні 2019 року нам трапився розробник СВРК (системи внутрішньо реакторного контролю), з прямим доступом усередину  «периметра», що «охороняється». На пропозицію зробити щось, інженер-розробник системи відповів: «Заглушіть реактор, натисніть ПЗ-2, тоді поговоримо» (попереджувальний захист, заборона на підйом стрижнів, сподіваюся, що після фільму «Чорнобиль» читач трохи розбирається в пристрої ядерного реактора).

В цілому, це не вина атомників, так у нас все влаштовано – водоканали, енергетика, держуправління і багато іншого. Якщо не почати переглядати підходи до безпеки, то можна чекати чого завгодно: до терактів, диверсій і техногенних катастроф. Особливо – в умовах безперервної війни з Російською Федерацією.

А хто повинен почати змінювати ці підходи: керівники АЕС, СБУ, кіберполіція, нове законодавство, вчителі в школах на уроках з кібербезпеки? З чого треба починати?

Зі школи і з підприємств. Люди повинні розуміти, що від тих самих комп’ютерів і телефонів, на яких вони в «змійку» грають, вже може залежати життя людей. Люди повинні намагатися робити хоч щось для захисту своєї техніки і нести за це відповідальність.

У поліції та СБУ зовсім інші завдання: поліція ловить злочинців, СБУ займається контррозвідкою, намагається не допустити нанесення шкоди національним інтересам ззовні. Вони об’єкт кібербезпеки і національної безпеки, як і інші. Суб’єктами безпеки можуть бути тільки адміни. Безпека залежить саме від них.

Читайте «Черноморку» Telegram і Facebook

Фото: Clint Patterson; vipul uthaiah | Unsplash