— Доброе утро, коллеги! Хотя какое он доброе! Мы только что узнали об атаке на водоочистную станцию. Под угрозой оказалась вся столица! Неизвестный хакер получил доступ к ПО для удаленного контроля за процессами очистки воды и повысил уровень содержания гидроксида натрия, который применяется для очистки воды, до опасных уровней. Действия злоумышленника могли бы иметь катастрофические последствия, если бы не были вовремя обнаружены оператором станции. С этого дня мы вынуждены бросить все силы на обнаружение и удаление последствий атаки.
Прошел час.
— Иоганн, это Марк. Мы на станции. Ну тут и бардак! Администраторов сети станции нужно увольнять! Всех сразу.
— Что случилось?
— ИТ-персонал станции сам сделал все для того, чтобы ее атаковали. Причем для атаки можно было использовать готовое, а не кастомное ПО для управления критическими процессами. Эти идиоты использовали везде один и тот же пароль для удаленного доступа и ни разу его не меняли!!!
— Погоди, а куда смотрел их персонал, который отслеживал информационную безопасность?
— Ха! Ты бы лучше спросил, а тут есть такой персонал??? Последнего специалиста уволили три года назад. Он, как заявил руководитель, не нужен! Сидит тут, вечно что-то требует!
— Как? Это же объект критической инфраструктуры.
— Ну да. Но когда последний раз проводился аудит безопасности? НИКОГДА!!! Причина банальна. Никто не хотел платить деньги! В результате, злоумышленник получил доступ к SCADA-системам через общедоступное приложение для удаленного управления, которым системные администраторы пользуются для удаленного устранения неисправностей на компьютере. Стоит ли говорить, что ПО такого рода не должно присутствовать на критических системах? Более того, для удаленного доступа ко всем компьютерам использовался один и тот же пароль, и все компьютеры были подключены непосредственно к Интернету. Более того, они не были защищены межсетевым экраном.
— Погоди, получается, что благодаря единому паролю любой сотрудник станции мог изменить уровни химических веществ в водопроводной воде во всем городе по щелчку пальца из любого уголка планеты?
— Именно! Более того, мы считаем, что так и произошло! Изменение уровня гидроксида натрия в водопроводной воде — вероятно дело рук инсайдера, которым может быть обиженный сотрудник станции. Скорее всего у злоумышленника уже был доступ к ПО для контроля за процессами очистки воды.
— Получается, гнать в шею нужно не только системных администраторов, но и все руководство станции?
— Руководство нужно отдавать под суд. Впрочем, как и руководителя подразделения ИТ. Самое интересное, что системные администраторы станции прекратили использование приложения для удаленного доступа еще полгода назад, но так и не деинсталлировали его.
— КАК??
— А вот так! Бардак! Никто ничем не занимается. Ничего не проверяет. Работает и ладно!
А у вас все хорошо? Точно? Когда последний раз проводилась инвентаризация ИТ? Давно? Смотрите, а то ведь и вы можете попасть в историю!
