Кібербезпека у ядерній галузі: захист цифрових технологій та інформації

Сьогодні цифрові технології інтегровані майже в усі аспекти роботи ядерних установок. Ці технології включені в системи ядерної безпеки, системи обліку та контролю ядерних матеріалів, а також системи підтримки служб реагування на надзвичайні ситуації. В основі кібербезпеки лежить захист систем інформаційних технологій і операційних технологічних систем від кібератак.

У більшості випадків кібератака – це навмисне проникнення в комп’ютерну систему зі зловмисним наміром як з боку держав, так і з боку недержавних суб’єктів, в тому числі терористичних організацій.

Кібератаки використовують уразливі місця в комп’ютерних системах і мережах комп’ютерних даних або обманом використовують користувачів, щоб отримати незаконний доступ і знищити або маніпулювати даними та системами.

Кібератаки, як правило, мають одну з трьох форм:

1. Атаки на конфіденційність – напади, спрямовані на отримання доступу до інформації з обмеженим доступом.
2. Атаки на цілісність, які змінюють, маніпулюють або компрометують дані та комп’ютерні системи.
3. Атаки на доступність, які забороняють або обмежують доступ законних власників до їхніх даних.

Кібератаки є найбільш небезпечними, коли вони загрожують критично важливій національній інфраструктурі -– від енерго- та водопостачання до транспортних мереж та охорони здоров’я.

Значна частина загроз існує через зростаючу цифровізацію послуг, мінливий характер технологій, складність ланцюжків передачі інформації і низьку обізнаність про кібербезпеку.

Критичні системи можуть містити вразливості, слабкі місця, про які розробники та користувачі не знають і які використовуються хакерами (а іноді й державними суб’єктами) для зміни кодів у системах, надаючи їм привілейований, незаконний доступ.

Види кібератак 

Фішинг – це шахрайський метод отримання конфіденційної інформації: імена користувачів, паролі, дані кредитної картки тощо. По суті це акт змушення когось натиснути на посилання, яке або дозволяє зловмиснику отримати доступ до особистої інформації, або завантажує шкідливе програмне забезпечення на пристрій користувача.

Фішингові атаки часто працюють, маскуючи шкідливі повідомлення під такі, що походять від надійної організації, як-от банку чи постачальника послуг телефонного зв’язку.

Шкідливе програмне забезпечення – це загальний термін, який дозволяє зловмиснику використовувати, знищувати чи компрометувати один або кілька комп’ютерів, або комп’ютерних мереж. До форм шкідливого програмного забезпечення належать програми-вимагачі, які блокують законному користувачу доступ до комп’ютерів та файлів, шифруючи дані. Зазвичай вимагається викуп за відновлення уражених файлів або систем. Це був один із найактивніших типів кібератак під час пандемії COVID-19.

Шпигунське програмне забезпечення дозволяє користувачеві відстежувати чужу діяльність на комп’ютерах, мобільних телефонах та інших пристроях, таємно передаючи дані з пристрою жертви назад до контролера шкідливого програмного забезпечення.

Троян – вірус, який скидається на легітимне програмне забезпечення, але насправді виконує приховані, шкідливі функції. Після встановлення трояна він також може встановлювати інші типи шкідливого програмного забезпечення.

Віруси – файли, які можуть розповсюджуватися між іншими файлами на комп’ютері та мати можливість самовідтворення. Вони можуть відображати дражливі повідомлення, красти дані або давати хакерам контроль над комп’ютером. Віруси часто прикріплені до інших програм або прихованих кодів, які автоматично запускаються під час відкриття певних типів файлів, наприклад, у фішингових електронних листах.

Розподілена відмова в обслуговуванні (DDoS) – це атака, під час якої кілька скомпрометованих комп’ютерних систем атакують ціль – наприклад, сервер, веб-сайт або інший мережевий ресурс – щоб порушити потік трафіку та спричинити відмову в обслуговуванні користувачів цільового ресурсу.

Історія кібератак на ядерні об’єкти

Перспектива введення в експлуатацію більшої кількості АЕС різного типу, багато з яких пов’язані з цифровими технологіями, робить забезпечення кібербезпеки цивільної ядерної інфраструктури більш важливим, ніж будь-коли.

Суттєвим стримуючим фактором під час оцінки минулих випадків кібероперацій, спрямованих проти атомних електростанцій, є відсутність загальнодоступної інформації про такі інциденти. Безперечно існує занепокоєння з боку операторів, регуляторів та урядів щодо оприлюднення конфіденційних даних і відомостей про збої у кібербезпеці, адже така інформація знижує довіру громадськості до ядерної енергетики.

Однак загальновідомі минулі приклади кібероперацій проти цивільної ядерної інфраструктури охоплюють низку сценаріїв. Один з найбільш ранніх відомих інцидентів стався у 2003 році, коли вірус Slammer проник в системи управління та операційних інформаційно-комунікаційних технологій (ІКТ) атомної електростанції Девіс-Бесс в США. Slammer зміг отримати доступ до системи електростанції через заражений пристрій ІТ-консультанта. Незважаючи на те, що це був нещасний випадок, він є прикладом того, як зловмисники можуть атакувати.

Двома іншими добре вивченими прикладами є атака вірусу Stuxnet в Ірані в 2010 році і злам південнокорейського оператора атомної енергетики Korea Hydro and Nuclear Power Co., Ltd (KHNP) у 2014 році. Ці два приклади показують спектр шкоди, яку можуть завдати кібероперації, – від крадіжки конфіденційних даних до фізичної шкоди. Приклад Stuxnet був екстраординарним за масштабами шкоди, яку він завдав, тоді як приклад KHNP більш типовий для інших кібероперацій проти атомних електростанцій. Спільним для обох є те, що нападниками нібито були держави: Ізраїль і США у випадку атаки Stuxnet на ядерні об’єкти Ірану; та Північна Корея у випадку KHNP.

Stuxnet залишається однією з найвідоміших навмисних кібероперацій, спрямованих на ядерну інфраструктуру. Операція мала на меті зірвати операції на іранському об’єкті зі збагачення ядерної зброї в Натанзі. Stuxnet був комп’ютерним вірусом, націленим на системи диспетчерського контролю та збору даних (SCADA). Потрапивши всередину промислової системи управління, вірус змусив керуюче програмне забезпечення прискорити обертання центрифуг до точки фізичного пошкодження. Це робить його одним з небагатьох прикладів того, як кібероперація завдала шкоди.

KHNP, державний оператор атомної енергетики Південної Кореї, потрапив під санкції в грудні 2014 року. Під час цієї кібероперації була викрадена конфіденційна інформація, включаючи креслення реакторів, електричні блок-схеми та особисті дані співробітників. Однією з цілей хакерів було підірвати довіру громадськості до безпеки атомної електростанції. Але уряд Південної Кореї заявив, що хакерам не вдалося отримати доступ до будь-яких систем взаємодії.

Вплив військових дій на кібербезпеку

Захоплення росією Запорізької атомної електростанції в Україні в поєднанні з бойовими діями, що точаться навколо станції, підвищило міжнародну обізнаність про ризики для безпеки, які можуть виникнути, коли цивільна ядерна інфраструктура втягується в конфлікт. Хоча атомні електростанції та інші цивільні ядерні об’єкти не призначені для роботи в зонах бойових дій, такі об’єкти мають кілька рівнів фізичної безпеки, вбудованих для захисту реакторів та небезпечних матеріалів від кінетичних загроз. Однак поєднання фізичних і кібероперацій, яке все частіше зустрічається в сучасній війні, створює новий тип загрози – потенційно здатний перевантажити обмежений оперативний персонал або створити відволікаючий маневр, що уможливлює несанкціонований доступ до ядерних матеріалів.

Ця вразливість може бути використана злочинними угрупованнями, які зацікавлені, наприклад, у крадіжці ядерних матеріалів або у конфіденційній інформації про ядерний об’єкт. Скорочення чисельності персоналу на ЗАЕС в поєднанні з хаосом російської окупації може збільшити ймовірність того, що несанкціоновані суб’єкти отримають доступ до об’єкта.

Хоча ситуація на Запорізькій АЕС незвична, це не перший випадок, коли ядерний реактор опиняється в епіцентрі війни. Дослідницький реактор «Вінча» в Сербії викликав велике занепокоєння під час Югославських воєн (1991–2001). Наукові співробітники Інституту ядерних наук Вінча звернулися за підтримкою до МАГАТЕ в 1995 році, оскільки побоювалися, що високозбагачене уранове паливо на об’єкті може бути вкрадено на тлі високого рівня політичних заворушень у країні. У період з 1995 по 1999 рік МАГАТЕ провело кілька інспекцій, щоб забезпечити безпеку об’єкта та надати допомогу персоналу. Якщо ядерні реактори набудуть більшого поширення в майбутньому, наприклад, через використання малих модульних реакторів (ММР) та мікрореакторів, ризик того, що реактори будуть втягнуті в конфлікт, зросте.

Що каже МАГАТЕ

МАГАТЕ відіграє провідну роль у підтримці держав-членів, розробляючи своєчасні міжнародні керівні принципи з фізичної ядерної безпеки, які стосуються комп’ютерної безпеки. Регулювання має стосуватися систем інформаційних технологій, систем промислового контролю і систем фізичного захисту, що використовуються в ядерній промисловості.

Ще у 2015 році МАГАТЕ представила гіпотетичний сценарій кібератаки, який передбачав скоординовані онлайн-атаки як на компетентний орган, так і на атомну електростанцію. Тоді ж і були представлені методи, які супротивник може використати під час такої атаки на комп’ютерну безпеку та яким чином може скористатися, здавалося б, ізольованими, але незахищеними мережами, такими як камери відеоспостереження (CCTV) і Bluetooth-пристрої, щоб отримати доступ до локальних мереж, відключити заходи фізичного захисту і, зрештою, скомпрометувати контрольно-вимірювальні прилади і системи управління атомної електростанції.

Кожну подібну атаку можна пом’якшити за допомогою найкращих практик, рекомендацій та вказівок, наданих МАГАТЕ через опубліковані міжнародні стандарти.

Програма захисту ядерних енергоблоків від кібератак

У 2023 році Комісія з ядерного регулювання (NRS) переглянула рекомендації щодо програм кібербезпеки ядерних енергетичних реакторів. Усі власники ядерних енергетичних реакторів повинні ознайомитися з цими рекомендаціями і підтвердити, що їхні програми кібербезпеки відповідають вказаним вимогам для активів, що потребують захисту. Оновлена настанова враховує нові технології та уроки, отримані з досвіду експлуатації з моменту першої публікації програми з кібербезпеки NRC у 2010 році.

Активи, що потребують захисту, – це цифрові комп’ютерні та комунікаційні системи, а також допоміжні системи та обладнання, які у разі компрометації негативно вплинуть на функції ядерного об’єкта, важливі для безпеки, захисту та готовності до надзвичайних ситуацій.

У новому документі роз’яснюють типи кібератак, які вимагають повідомлення до NRC, строки надання таких повідомлень, те, яким чином ліцензіати повинні робити сповіщення та як вони повинні подавати подальші письмові звіти до NRC.

Також документ роз’яснює проблеми, виявлені під час перевірок етапів кібербезпеки, і включає додаткову інформацію, отриману в результаті задокументованих міжнародних і внутрішніх атак на кібербезпеку.

Серед іншого, вимагає, щоб атомні електростанції документували процес у рамках своїх планів кібербезпеки, щоб описати, як вони досягли «високої впевненості» в тому, що цифрові комп’ютерні та комунікаційні системи та мережі належним чином захищені від кібератак.

Заходи для захисту від кібератак

Визначити однозначного світового лідера в сфері кібербезпеки складно, адже різні країни мають свої сильні сторони та підходи. Ось декілька країн, які часто згадуються як лідери в цій галузі:

США є домом для багатьох провідних компаній з кібербезпеки та має досвід у боротьбі з кіберзлочинністю та кібервійною. Також саме заходи з кібербезпеки у ядерній галузі США вважаються зразковими.

Велика Британія має чітку стратегію кібербезпеки та інвестує в розвиток кіберстійкості.

Естонія вважається однією з найцифровіших країн світу і має сильний акцент на кібербезпеці. Країна відома своїми інноваційними рішеннями в цій галузі та високим рівнем обізнаності громадян про кіберзагрози.

Австралія має чітку стратегію кібербезпеки та співпрацює з іншими країнами та міжнародними організаціями для боротьби з кіберзлочинністю.

Ізраїль відомий своїми інноваційними технологіями у галузі кібербезпеки та розвиненим військовим кіберсектором. Ця країна володіє досвідом у захисті своїх критично важливих інфраструктур від кібератак, що робить її знання надзвичайно цінними для України, котра вже третій рік зазнає потужних кібератак з боку російських державних хакерів.

Щодо заходів у сфері ядерної безпеки, то досвід США є надзвичайно цінним. Кожна АЕС у США має ізольовані ключові системи управління, тобто комп’ютери та інше ключове обладнання для безпеки, захисту та виробництва електроенергії не підключені до мережі або Інтернету, таким чином АЕС захищені від будь-яких кібератак, що відбуваються за межами станції.

Ведеться жорсткий контроль за використанням портативних носіїв та обладнання. Флешки, зйомні жорсткі диски, ноутбуки, які використовуються для взаємодії з обладнанням АЕС, мають пройти перевірку на віруси та отримати дозвіл на використання для виконання конкретного завдання. Цей крок унеможливлює таку кібератаку як Stuxnet, яка поширювалась за допомогою портативних носіїв.

Також ведеться посилений захист від внутрішньої загрози. Програми навчання були вдосконалені і особи, які працюють з цифровим обладнанням АЕС, підлягають посиленій перевірці безпеки, навчанню з кібербезпеки та спостереженню за поведінкою мережевого обладнання.

Заходи для ефективного протистояння кібератакам на АЕС включають технічне обслуговування обладнання, зазначеного в програмі управління конфігурацією установки, і забезпечення контрольованого виконання змін в обладнанні. Аналіз впливу на кібербезпеку проводиться перед внесенням змін у відповідне обладнання. Ефективність засобів контролю кібербезпеки періодично оцінюється, а там, де це необхідно, вносяться вдосконалення. Оцінка вразливостей проводиться для забезпечення підтримки кібербезпеки обладнання.

Що ж до загальнонаціональних загроз, то досвід Ізраїлю нам близький саме через зіткнення з геополітичними викликами та загрозами. Постійна боротьба з російськими кібератаками стимулює в Україні розвиток передових технологій для захисту інфраструктури та даних.

Спеціалісти вбачають кілька кроків, які наблизять Україну до Ізраїлю за рівнем захищеності від кібератак:

• Збільшення інвестицій у кібербезпеку: Україні потрібні значні ресурси для розвитку кібербезпеки, включаючи інвестиції в дослідження та розробки, освіту та підготовку фахівців.
• Розвиток кіберстійкості: Україна повинна розробити чітку стратегію кібербезпеки та інвестувати в захист своїх критично важливих інфраструктур від кібератак.
• Співпраця з іншими країнами та міжнародними організаціями: Україна може багато чого навчитися, співпрацюючи з іншими країнами та міжнародними організаціями в боротьбі з кіберзлочинністю.
• Підвищення обізнаності громадян про кіберзагрози: важливо, щоб українці знали про кіберзагрози та те, як від них захиститися.

На початку липня 2024 року Королівський інститут міжнародних відносин, більше відомий як Chatham House, опублікував звіт «Кібербезпека цивільного ядерного сектору. Ландшафт загроз та міжнародно-правовий захист у мирний час та під час конфлікту». Chatham House – це неприбуткова, неурядова організація, яка знаходиться в Лондоні. Мета організації – аналіз та сприяння розумінню основних міжнародних питань та поточних справ.

Висновки, яких у своєму звіті дійшли науковці, наступні:

• у довгостроковій перспективі державам слід розробити стратегії, спрямовані як на посилення дотримання міжнародного права в кіберпросторі, так і на забезпечення відповідальності за незаконні кібероперації, в тому числі спрямовані проти цивільних ядерних об’єктів.
• державам також може знадобитися оцінити необхідність розробки нових договорів або адаптації існуючих норм міжнародного права для комплексної протидії кіберзагрозам в ядерному секторі.

У дослідженні організація Chatham House пропонувала різні заходи для захисту від кіберінцидентів, спрямованих на цивільні ядерні об’єкти. Ці рекомендації включали:

• створення міжнародної стратегії управління кібербезпекою, скоординовані плани дій для усунення технічних недоліків;
• ініціативи з розвитку культури кібербезпеки серед ядерної спільноти;
• активний діалог між ядерними інженерами та підрядниками з метою підвищення обізнаності про ризики кібербезпеки;
• сприяння розвитку кіберстрахування;
• моніторинг мереж;
• сприяння розкриттю вразливостей;
• створення національних груп реагування на комп’ютерні надзвичайні ситуації (CERT), що спеціалізуються на промислових системах управління;
• просування концепції «безпеки за задумом»;
• кроки для забезпечення достатнього резервування в цифрових системах;
• заходи для захисту цілісності цифрових систем ланцюгів постачання.

Кілька норм міжнародного права – як загальних, так і спеціальних, застосовуються до питання кібербезпеки в ядерному секторі, але жоден конкретний міжнародно-правовий режим не захищає цивільний ядерний сектор від кібероперацій або інших ризиків кібербезпеки. І завдання людства на сьогодні полягає в тому, щоб створити цей режим і вимагати його беззаперечного дотримання від усіх країн, які використовують ядерну енергетику.

Редакція вебсайту Uatom.org