Кибербезопасность в ядерной отрасли: защита цифровых технологий и информации

Сегодня цифровые технологии интегрированы почти во все аспекты работы ядерных установок. Эти технологии включены в системы ядерной безопасности, системы учета и контроля ядерных материалов, а также системы поддержки служб реагирования на чрезвычайные ситуации. В основе кибербезопасности лежит защита систем информационных технологий и операционных технологических систем от кибератак.

В большинстве случаев кибератака – это преднамеренное проникновение в компьютерную систему со злонамеренным умыслом как со стороны государств, так и со стороны негосударственных субъектов, в том числе террористических организаций.

Кибератаки используют уязвимые места в компьютерных системах и сетях компьютерных данных или обманом используют пользователей, чтобы получить незаконный доступ и уничтожить или манипулировать данными и системами.

Кибератаки, как правило, имеют одну из трех форм:

1. Атаки на конфиденциальность – нападения, направленные на получение доступа к информации с ограниченным доступом.
2. Атаки на целостность, которые изменяют, манипулируют или компрометируют данные и компьютерные системы.
3. Атаки на доступность, которые запрещают или ограничивают доступ законных владельцев к их данным.

Кибератаки являются наиболее опасными, когда они угрожают критически важной национальной инфраструктуре – от энерго- и водоснабжения до транспортных сетей и здравоохранения.

Значительная часть угроз существует из-за растущей цифровизации услуг, изменчивого характера технологий, сложности цепочек передачи информации и низкой осведомленности о кибербезопасности.

Критические системы могут содержать уязвимости, слабые места, о которых разработчики и пользователи не знают и которые используются хакерами (а иногда и государственными субъектами) для изменения кодов в системах, предоставляя им привилегированный, незаконный доступ.

Виды кибератак – это мошеннический метод

Фишинг – это мошеннический метод получения конфиденциальной информации: имена пользователей, пароли, данные кредитной карты и тому подобное. По сути это акт заставления кого-то нажать на ссылку, которая либо позволяет злоумышленнику получить доступ к личной информации, либо загружает вредоносное программное обеспечение на устройство пользователя.

Фишинговые атаки часто работают, маскируя вредоносные сообщения под такие, которые исходят от надежной организации, например банка или поставщика услуг телефонной связи.

Вредоносное программное обеспечение – это общий термин, который позволяет злоумышленнику использовать, уничтожать или компрометировать один или несколько компьютеров или компьютерных сетей. К формам вредоносного программного обеспечения относятся программы-вымогатели, которые блокируют законному пользователю доступ к компьютерам и файлам, шифруя данные. Обычно требуется выкуп за восстановление пораженных файлов или систем. Это был один из самых активных типов кибератак во время пандемии COVID-19.

Шпионское программное обеспечение позволяет пользователю отслеживать чужую деятельность на компьютерах, мобильных телефонах и других устройствах, тайно передавая данные с устройства жертвы обратно к контроллеру вредоносного программного обеспечения.

Троян – вирус, который выглядит как легитимное программное обеспечение, но на самом деле выполняет скрытые, вредоносные функции. После установки трояна он также может установить другие типы вредоносного программного обеспечения.

Вирусы – это файлы, которые могут распространяться между другими файлами на компьютере и могут самовоспроизводиться. Они могут отображать раздражающие сообщения, красть данные или давать хакерам контроль над компьютером. Вирусы часто прикреплены к другим программам или скрытым кодам, которые автоматически запускаются при открытии определенных типов файлов, например, в фишинговых электронных письмах.

Распределенный отказ в обслуживании (DDoS) – это атака, при которой несколько скомпрометированных компьютерных систем атакуют цель – например, сервер, веб-сайт или другой сетевой ресурс – чтобы нарушить поток трафика и вызвать отказ в обслуживании пользователей целевого ресурса.

История кибератак на ядерные объекты

Перспектива введения в эксплуатацию большего количества АЭС различного типа, многие из которых связаны с цифровыми технологиями, делает обеспечение кибербезопасности гражданской ядерной инфраструктуры более важным, чем когда-либо.

Существенным сдерживающим фактором при оценке прошлых случаев киберопераций, направленных против атомных электростанций, является отсутствие общедоступной информации о таких инцидентах. Бесспорно существует беспокойство со стороны операторов, регуляторов и правительств относительно обнародования конфиденциальных данных и сведений о сбоях в кибербезопасности, ведь такая информация снижает доверие общественности к ядерной энергетике.

Однако общеизвестные прошлые примеры киберопераций против гражданской ядерной инфраструктуры охватывают ряд сценариев. Один из самых ранних известных инцидентов произошел в 2003 году, когда вирус Slammer проник в системы управления и операционных информационно-коммуникационных технологий (ИКТ) атомной электростанции Дэвис-Бесс в США. Slammer смог получить доступ к системе электростанции через зараженное устройство ІТ-консультанта. Несмотря на то, что это был несчастный случай, он является примером того, как злоумышленники могут атаковать.

Двумя другими хорошо изученными примерами являются атака вируса Stuxnet в Иране в 2010 году и взлом южнокорейского оператора атомной энергетики Korea Hydro and Nuclear Power Co., Ltd (KHNP) в 2014 году. Эти два примера показывают спектр вреда, который могут нанести кибероперации, – от кражи конфиденциальных данных до физического ущерба. Пример Stuxnet был экстраординарным по масштабам ущерба, который он нанес, тогда как пример KHNP более типичен для других киберопераций против атомных электростанций. Общим для обоих является то, что нападающими якобы были государства: Израиль и США в случае атаки Stuxnet на ядерные объекты Ирана; и Северная Корея в случае KHNP.

Stuxnet остается одной из самых известных преднамеренных киберопераций, направленных на ядерную инфраструктуру. Операция имела целью сорвать операции на иранском объекте по обогащению ядерного оружия в Натанзе. Stuxnet был компьютерным вирусом, нацеленным на системы диспетчерского контроля и сбора данных (SCADA). Попав внутрь промышленной системы управления, вирус заставил управляющее программное обеспечение ускорить вращение центрифуг до точки физического повреждения. Это делает его одним из немногих примеров того, как кибероперация нанесла ущерб.

KHNP, государственный оператор атомной энергетики Южной Кореи, попал под санкции в декабре 2014 года. Во время этой кибероперации была похищена конфиденциальная информация, включая чертежи реакторов, электрические блок-схемы и личные данные сотрудников. Одной из целей хакеров было подорвать доверие общественности к безопасности атомной электростанции. Но правительство Южной Кореи заявило, что хакерам не удалось получить доступ к каким-либо системам взаимодействия.

Влияние военных действий на кибербезопасность

Захват россией Запорожской атомной электростанции в Украине в сочетании с боевыми действиями, ведущимися вокруг станции, повысил международную осведомленность о рисках для безопасности, которые могут возникнуть, когда гражданская ядерная инфраструктура втягивается в конфликт. Хотя атомные электростанции и другие гражданские ядерные объекты не предназначены для работы в зонах боевых действий, такие объекты имеют несколько уровней физической безопасности, встроенных для защиты реакторов и опасных материалов от кинетических угроз. Однако сочетание физических и киберопераций, которое все чаще встречается в современной войне, создает новый тип угрозы – потенциально способный перегрузить ограниченный оперативный персонал или создать отвлекающий маневр, что делает возможным несанкционированный доступ к ядерным материалам.

Эта уязвимость может быть использована преступными группировками, которые заинтересованы, например, в краже ядерных материалов или в конфиденциальной информации о ядерном объекте. Сокращение численности персонала на ЗАЭС в сочетании с хаосом российской оккупации может увеличить вероятность того, что несанкционированные субъекты получат доступ к объекту.

Хотя ситуация на Запорожской АЭС необычная, это не первый случай, когда ядерный реактор оказывается в эпицентре войны. Исследовательский реактор “Винча” в Сербии вызвал большое беспокойство во время Югославских войн (1991-2001). Научные сотрудники Института ядерных наук Винча обратились за поддержкой к МАГАТЭ в 1995 году, поскольку опасались, что высокообогащенное урановое топливо на объекте может быть украдено на фоне высокого уровня политических беспорядков в стране. В период с 1995 по 1999 год МАГАТЭ провело несколько инспекций, чтобы обеспечить безопасность объекта и оказать помощь персоналу. Если ядерные реакторы получат большее распространение в будущем, например, из-за использования малых модульных реакторов (ММР) и микрореакторов, риск того, что реакторы будут втянуты в конфликт, возрастет.

Что говорит МАГАТЭ

МАГАТЭ играет ведущую роль в поддержке государств-членов, разрабатывая своевременные международные руководящие принципы по физической ядерной безопасности, касающиеся компьютерной безопасности. Регулирование должно касаться систем информационных технологий, систем промышленного контроля и систем физической защиты, используемых в ядерной промышленности.

Еще в 2015 году МАГАТЭ представила гипотетический сценарий кибератаки, который предусматривал скоординированные онлайн-атаки как на компетентный орган, так и на атомную электростанцию. Тогда же и были представлены методы, которые противник может использовать во время такой атаки на компьютерную безопасность и каким образом может воспользоваться, казалось бы, изолированными, но незащищенными сетями, такими как камеры видеонаблюдения (CCTV) и Bluetooth-устройства, чтобы получить доступ к локальным сетям, отключить меры физической защиты и, наконец, скомпрометировать контрольно-измерительные приборы и системы управления атомной электростанции.

Каждую подобную атаку можно смягчить с помощью лучших практик, рекомендаций и указаний, предоставленных МАГАТЭ через опубликованные международные стандарты.

Мероприятия для защиты от кибератак

Определить однозначного мирового лидера в сфере кибербезопасности сложно, ведь разные страны имеют свои сильные стороны и подходы. Вот несколько стран, которые часто упоминаются как лидеры в этой области:

США является домом для многих ведущих компаний по кибербезопасности и имеет опыт в борьбе с киберпреступностью и кибервойной. Также именно меры по кибербезопасности в ядерной отрасли США считаются образцовыми.

Великобритания имеет четкую стратегию кибербезопасности и инвестирует в развитие киберустойчивости.

Эстония считается одной из самых цифровых стран мира и имеет сильный акцент на кибербезопасности. Страна известна своими инновационными решениями в этой области и высоким уровнем осведомленности граждан о киберугрозах.

Австралия имеет четкую стратегию кибербезопасности и сотрудничает с другими странами и международными организациями для борьбы с киберпреступностью.

Израиль известен своими инновационными технологиями в области кибербезопасности и развитым военным киберсектором. Эта страна обладает опытом в защите своих критически важных инфраструктур от кибератак, что делает ее знания чрезвычайно ценными для Украины, которая уже третий год подвергается мощным кибератакам со стороны российских государственных хакеров.

Что касается мер в сфере ядерной безопасности, то опыт США является чрезвычайно ценным. Каждая АЭС в США имеет изолированные ключевые системы управления, то есть компьютеры и другое ключевое оборудование для безопасности, защиты и производства электроэнергии не подключены к сети или Интернету, таким образом АЭС защищены от любых кибератак, происходящих за пределами станции.

Ведется жесткий контроль за использованием портативных носителей и оборудования. Флешки, съемные жесткие диски, ноутбуки, которые используются для взаимодействия с оборудованием АЭС, должны пройти проверку на вирусы и получить разрешение на использование для выполнения конкретной задачи. Этот шаг делает невозможным такую кибератаку как Stuxnet, которая распространялась с помощью портативных носителей.

Также ведется усиленная защита от внутренней угрозы. Программы обучения были усовершенствованы и лица, работающие с цифровым оборудованием АЭС, подлежат усиленной проверке безопасности, обучению по кибербезопасности и наблюдению за поведением сетевого оборудования.

Меры для эффективного противостояния кибератакам на АЭС включают техническое обслуживание оборудования, указанного в программе управления конфигурацией установки, и обеспечение контролируемого выполнения изменений в оборудовании. Анализ влияния на кибербезопасность проводится перед внесением изменений в соответствующее оборудование. Эффективность средств контроля кибербезопасности периодически оценивается, а там, где это необходимо, вносятся усовершенствования. Оценка уязвимостей проводится для обеспечения поддержки кибербезопасности оборудования.

Что касается общенациональных угроз, то опыт Израиля нам близок именно из-за столкновения с геополитическими вызовами и угрозами. Постоянная борьба с российскими кибератаками стимулирует в Украине развитие передовых технологий для защиты инфраструктуры и данных.

Специалисты видят несколько шагов, которые приблизят Украину к Израилю по уровню защищенности от кибератак:

• Увеличение инвестиций в кибербезопасность: Украине нужны значительные ресурсы для развития кибербезопасности, включая инвестиции в исследования и разработки, образование и подготовку специалистов.
• Развитие киберустойчивости: Украина должна разработать четкую стратегию кибербезопасности и инвестировать в защиту своих критически важных инфраструктур от кибератак.
• Сотрудничество с другими странами и международными организациями: Украина может многому научиться, сотрудничая с другими странами и международными организациями в борьбе с киберпреступностью.
• Повышение осведомленности граждан о киберугрозах: важно, чтобы украинцы знали о киберугрозах и то, как от них защититься.

В начале июля 2024 года Королевский институт международных отношений, более известный как Chatham House, опубликовал отчет “Кибербезопасность гражданского ядерного сектора. Ландшафт угроз и международно-правовая защита в мирное время и во время конфликта”. Chatham House – это неприбыльная, неправительственная организация, которая находится в Лондоне. Цель организации – анализ и содействие пониманию основных международных вопросов и текущих дел.

Выводы, к которым в своем отчете пришли ученые, следующие:

• в долгосрочной перспективе государствам следует разработать стратегии, направленные как на усиление соблюдения международного права в киберпространстве, так и на обеспечение ответственности за незаконные кибероперации, в том числе направленные против гражданских ядерных объектов.
• государствам также может потребоваться оценить необходимость разработки новых договоров или адаптации существующих норм международного права для комплексного противодействия киберугрозам в ядерном секторе.

В исследовании организация Chatham House предлагала различные меры для защиты от киберинцидентов, направленных на гражданские ядерные объекты. Эти рекомендации включали:

• создание международной стратегии управления кибербезопасностью, скоординированные планы действий для устранения технических недостатков;
• инициативы по развитию культуры кибербезопасности среди ядерного сообщества;
• активный диалог между ядерными инженерами и подрядчиками с целью повышения осведомленности о рисках кибербезопасности;
• содействие развитию киберстрахования;
• мониторинг сетей;
• содействие раскрытию уязвимостей;
• создание национальных групп реагирования на компьютерные чрезвычайные ситуации (CERT), специализирующихся на промышленных системах управления;
• продвижение концепции “безопасности по замыслу”;
• шаги для обеспечения достаточного резервирования в цифровых системах;
• меры для защиты целостности цифровых систем цепей поставок.

Несколько норм международного права – как общих, так и специальных, применяются к вопросу кибербезопасности в ядерном секторе, но ни один конкретный международно-правовой режим не защищает гражданский ядерный сектор от киберопераций или других рисков кибербезопасности. И задача человечества на сегодня заключается в том, чтобы создать этот режим и требовать его беспрекословного соблюдения от всех стран, использующих ядерную энергетику.

Редакция вебсайта Uatom.org