Безопасные перевозки в условиях диджитализации бизнеса

Безопасные перевозки в условиях диджитализации бизнеса

Существующие кибер-риски в транспортной сфере уже не первый год наглядно демонстрируются в рамках ежегодного форума Positive Hack Days.

image

Цифровая трансформация затронула многие аспекты нашей жизни. Заказом такси или банковским переводом через мобильное приложение уже никого не удивишь. Чуть позже это коснулось и общественного транспорта, и он на наших глазах уже становятся цифровым. Существующие кибер-риски в транспортной сфере уже не первый год наглядно демонстрируются в рамках ежегодного форума Positive Hack Days . Своим взглядом на то, как в условиях диджитализации бизнеса обезопасить и компанию, и ее пассажиров, делится руководитель проектов по информационной безопасности компании КРОК Павел Луцик (команда компании КРОК в этом году принимает участие в «Противостоянии» на стороне защиты).

Промышленность vs транспорт

Если взглянуть на транспортную отрасль с позиции информационной безопасности, то можно увидеть много общего с промышленным сектором. Во-первых, и там и там есть технологические процессы, а во-вторых, соизмеримы сами последствия, которые, в отличие от классических офисных систем, могут быть в виде физических повреждений или даже человеческих жертв. Так, если в промышленности вмешательство извне может повлечь за собой остановку конвейера, то в транспортной отрасли можно остановить поезд или даже перехватить управление самолетом.

Другой пример – на предприятии, которое осуществляет очистку воды, несанкционированное изменение параметров технологического процесса, например, пропорций химических веществ, может привести к отравлению большого числа людей. Так же и с транспортом – на каком-то участке пути можно несанкционированно увеличить предельно допустимую скорость или другой параметр движения и это может привести к аварии и человеческим жертвам.

Уязвимость транспортных ИТ-систем

На самом деле серьезно об информационной безопасности транспортные организации только начинают задумываться. В первую очередь это связано с тем, что в большинстве случаев хакеры атакуют то, что может принести финансовую выгоду. На транспорте такой прямой выгоды нет, однако, хакеры могут атаковать транспортные системы по указанию третьих сторон, преследующих, например, геополитические цели.

В настоящее время уже были случаи взлома на транспорте с использованием уязвимостей ПО бортовых компьютеров. Например, в 2015 году один американский специалист по ИБ подключился через систему развлечений к бортовому компьютеру самолета, будучи его пассажиром, и смог изменить скорость и траекторию движения судна. Тем самым он хотел обратить внимание общественности на недостаточный уровень безопасности на воздушном транспорте. И это в то время, как начинка большинства современных транспортных средств представляет собой производительные компьютеры с элементами удаленного управления.

Помимо хакерских атак есть и еще одна не менее серьезная проблема безопасности ИТ-систем на транспорте – это использование устаревшего программного и аппаратного обеспечения. Так, например, в 2015 году французский аэропорт «Париж-Орли» остановил на некоторое время свою работу из-за ошибки в устаревшей операционной системе , на которой работает система оповещения о погодных условиях.

Вопросы регулирования

На данный момент вопрос обеспечения информационной безопасности в области транспортной инфраструктуры практически не регламентирован – нет обязательных детальных требований по защите информации и отсутствует отраслевая модель угроз, на которую можно было бы опираться при разработке транспортными организациями собственных моделей угроз и построении систем защиты.

Так, основным законодательным актом, регулирующим безопасность на транспорте, сегодня является ФЗ-№16 «О транспортной безопасности». Но с точки зрения информационной безопасности в этом законе и его подзаконных актах присутствуют только общие слова, которые нельзя назвать конкретными требованиями.

Кроме того, существует приказ ФСТЭК №31, в котором требования к обеспечению защиты информации систем управления производственными и технологическими процессами критически важных объектов, включая объекты промышленности и транспорта, прописаны довольно детально. Однако на сегодня он носит лишь рекомендательный характер, хотя и может стать обязательным после принятия закона о безопасности критической информационной инфраструктуры РФ.

Как обезопасить пассажиров и компанию

В первую очередь необходимо провести комплексный аудит ИТ-инфраструктуры и процессов организации с целью выявления уязвимостей в используемом ПО и оборудовании для дальнейшей разработки модели угроз и требований к созданию/модернизации комплексной системы информационной безопасности. При проектировании и выстраивании комплексной системы ИБ на транспорте важно обеспечить доступность всех критичных информационных систем, задействованных в управлении транспортным процессом. А при подборе средств защиты важно предусмотреть их совместимость с уже используемым специализированным оборудованием и программным обеспечением, получив соответствующее подтверждение со стороны производителя. Кроме того, программные средства защиты не должны оказывать влияние на процесс управления транспортным средством и другие критичные процессы.

Если внутри компании нет собственного штата компетентных специалистов, то лучше обратиться к внешнему подрядчику, который сможет предложить весь комплекс услуг для обеспечения безопасности объектов транспорта и транспортной инфраструктуры – от обследования до проектирования и внедрения комплексной системы защиты, включая помощь в получении подтверждения совместимости внедряемых средств защиты со специализированным ПО или оборудованием самых разных производителей.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!