Безопасные перевозки в условиях диджитализации бизнеса

image

Существующие кибер-риски в транспортной сфере уже не первый год наглядно демонстрируются в рамках ежегодного форума Positive Hack Days.

Цифровая трансформация затронула многие аспекты нашей жизни. Заказом такси или банковским переводом через мобильное приложение уже никого не удивишь. Чуть позже это коснулось и общественного транспорта, и он на наших глазах уже становятся цифровым. Существующие кибер-риски в транспортной сфере уже не первый год наглядно демонстрируются в рамках ежегодного форума Positive Hack Days. Своим взглядом на то, как в условиях диджитализации бизнеса обезопасить и компанию, и ее пассажиров, делится руководитель проектов по информационной безопасности компании КРОК Павел Луцик (команда компании КРОК в этом году принимает участие в «Противостоянии» на стороне защиты).

Промышленность vs транспорт

Если взглянуть на транспортную отрасль с позиции информационной безопасности, то можно увидеть много общего с промышленным сектором. Во-первых, и там и там есть технологические процессы, а во-вторых, соизмеримы сами последствия, которые, в отличие от классических офисных систем, могут быть в виде физических повреждений или даже человеческих жертв. Так, если в промышленности вмешательство извне может повлечь за собой остановку конвейера, то в транспортной отрасли можно остановить поезд или даже перехватить управление самолетом.

Другой пример – на предприятии, которое осуществляет очистку воды, несанкционированное изменение параметров технологического процесса, например, пропорций химических веществ, может привести к отравлению большого числа людей. Так же и с транспортом – на каком-то участке пути можно несанкционированно увеличить предельно допустимую скорость или другой параметр движения и это может привести к аварии и человеческим жертвам.

Уязвимость транспортных ИТ-систем

На самом деле серьезно об информационной безопасности транспортные организации только начинают задумываться. В первую очередь это связано с тем, что в большинстве случаев хакеры атакуют то, что может принести финансовую выгоду. На транспорте такой прямой выгоды нет, однако, хакеры могут атаковать транспортные системы по указанию третьих сторон, преследующих, например, геополитические цели.

В настоящее время уже были случаи взлома на транспорте с использованием уязвимостей ПО бортовых компьютеров. Например, в 2015 году один американский специалист по ИБ подключился через систему развлечений к бортовому компьютеру самолета, будучи его пассажиром, и смог изменить скорость и траекторию движения судна. Тем самым он хотел обратить внимание общественности на недостаточный уровень безопасности на воздушном транспорте. И это в то время, как начинка большинства современных транспортных средств представляет собой производительные компьютеры с элементами удаленного управления.

Помимо хакерских атак есть и еще одна не менее серьезная проблема безопасности ИТ-систем на транспорте – это использование устаревшего программного и аппаратного обеспечения. Так, например, в 2015 году французский аэропорт «Париж-Орли» остановил на некоторое время свою работу из-за ошибки в устаревшей операционной системе, на которой работает система оповещения о погодных условиях.

Вопросы регулирования

На данный момент вопрос обеспечения информационной безопасности в области транспортной инфраструктуры практически не регламентирован – нет обязательных детальных требований по защите информации и отсутствует отраслевая модель угроз, на которую можно было бы опираться при разработке транспортными организациями собственных моделей угроз и построении систем защиты.

Так, основным законодательным актом, регулирующим безопасность на транспорте, сегодня является ФЗ-№16 «О транспортной безопасности». Но с точки зрения информационной безопасности в этом законе и его подзаконных актах присутствуют только общие слова, которые нельзя назвать конкретными требованиями.

Кроме того, существует приказ ФСТЭК №31, в котором требования к обеспечению защиты информации систем управления производственными и технологическими процессами критически важных объектов, включая объекты промышленности и транспорта, прописаны довольно детально. Однако на сегодня он носит лишь рекомендательный характер, хотя и может стать обязательным после принятия закона о безопасности критической информационной инфраструктуры РФ.

Как обезопасить пассажиров и компанию

В первую очередь необходимо провести комплексный аудит ИТ-инфраструктуры и процессов организации с целью выявления уязвимостей в используемом ПО и оборудовании для дальнейшей разработки модели угроз и требований к созданию/модернизации комплексной системы информационной безопасности. При проектировании и выстраивании комплексной системы ИБ на транспорте важно обеспечить доступность всех критичных информационных систем, задействованных в управлении транспортным процессом. А при подборе средств защиты важно предусмотреть их совместимость с уже используемым специализированным оборудованием и программным обеспечением, получив соответствующее подтверждение со стороны производителя. Кроме того, программные средства защиты не должны оказывать влияние на процесс управления транспортным средством и другие критичные процессы.

Если внутри компании нет собственного штата компетентных специалистов, то лучше обратиться к внешнему подрядчику, который сможет предложить весь комплекс услуг для обеспечения безопасности объектов транспорта и транспортной инфраструктуры – от обследования до проектирования и внедрения комплексной системы защиты, включая помощь в получении подтверждения совместимости внедряемых средств защиты со специализированным ПО или оборудованием самых разных производителей.