USD 97.3261

+0.1

EUR 105.4375

+0.21

Brent 71.01

+0.2

Природный газ 2.888

+0.01

5 мин
...

Вслед за Киевстаром? Кибератаки на жизненно важную инфраструктуру на Украине продолжаются

В России вопросы обеспечения безопасности КИИ жестко регламентируются, но внедрение норм законодательства идет с большими проблемами.

Вслед за Киевстаром? Кибератаки на жизненно важную инфраструктуру на Украине продолжаются

Москва, 23 янв - ИА Neftegaz.RU. В результате кибератаки в г. Львов без тепла и горячей воды остался крупный жилой массив.
Об этом 23 января 2024 г. сообщило коммунальное предприятие Львовтеплоэнерго.

Проблемы в Сыхове

Тезисы от Львовтеплоэнерго:
  • в результате хакерской атаки нарушена система управления теплоснабжением,
  • продолжаются работы по восстановлению услуг по отоплению и горячему водоснабжению в жилом массиве Сыхов,
  • ориентировочный срок восстановления 21:00 (22:00 мск).

Ранее Львовский горсовет сообщил, что сбой в работе системы теплоснабжения Львовтеплоэнерго произошел около 02:00 по местному времени 23 января 2024 г..
В результате часть микрорайона Сыхов осталась без отопления и горячей воды.
Всего остановились 324 индивидуальных тепловых пункта (ИТП) в районе.
Работники Львовтеплоэнерго в ручном режиме начали перезапускать ИТП на Сыхове.
К 9:30 удалось восстановить функционирование 175 ИТП, к 15:00 возобновилась подача тепла ко всем домам района, работы по возобновлению подачи горячей воды продолжились.
На момент написания материала (22:45 мск) информации о восстановлении горячего водоснабжения не поступало.

Львовтеплоэнерго сообщило о подозрении в том, что сбой произошел из-за внешнего вмешательства в систему.
Эту версию сейчас проверяют компетентные органы.
Если она подтвердится, то сбой в сети Львовтеплоэнерго будет уже второй за 1,5 месяца кибератакой на жизненно важную инфраструктуру на Украине.

Киевстар и что это было?

12 декабря 2023 г. в работе крупнейшего на Украине оператора фиксированной и мобильной связи Киевстар произошел масштабный сбой.
Сеть оператора подверглась мощной хакерской атаке, целью которой было ядро сети сотовой связи (Core Network), отвечающее за обработку и маршрутизацию трафика между пользователями и сервисами, а также базы данных компании.
Атакующим удалось не только вывести из строя главный пункт управления сетью Киевстар, но и снести конфигурацию на транзитных базовых станциях.

Это привело к масштабным последствиям:
  • по всей Украине абоненты Киевстара остались без мобильной связи и домашнего Интернета,
  • возникли проблемы в работе систем, связанных с Киевстаром - управлении уличным освещением, сбои в работе части банкоматов и платежных терминалов украинских банков, некоторых охранных систем и горячих линий,
  • другие украинские операторы связи, Vodafone и lifecell, продолжали работать, но на их сети резко выросла нагрузка,
  • ИТ-инфраструктура Киевстара была частично разрушена,
  • неофициально сообщается, что персональные данные абоненты были скомпрометированы, сам Киевстар это отрицает.

Вечером 12 декабря Киевстар начал восстанавливать доступ абонентов к услугам фиксированной связи, а утром 13 декабря - мобильную связь.
Полностью восстановить работу сети Киевстар сумел лишь спустя неделю, 20 декабря 2023 г.
Глава Киевстара А. Комаров назвал произошедшее самой большой в мире хакерской атакой на телеком-инфраструктуру.
Veon, основной акционер Киевстара, оценил ущерб от атаки в 100 млн долл. США.
К ликвидации последствий атаки были привлечены компании Microsoft, Cisco, Ericsson.

Версии произошедшего:
  • А. Комаров заявил, что хакеры взломали компьютерную защиту Киевстара с помощью скомпрометированной учетной записи одного из сотрудников,
  • предположительно, атакующие скрытно присутствовали в сети Киевстара, как минимум, с мая 2023 г., постепенно повышая уровень доступа и к ноябрю получили доступ к ключевым узлам инфраструктуры Киевстар - контроллеру домена и сервисам виртуализации,
  • СБУ выдвинула версию, что за случившимся стоят спецслужбы России,
  • ответственность за атаку взяли на себя российские хакерские группировки Killnet и Солнцепек, Killnet никаких доказательств предоставил, а Солнцепек выложил скриншоты, которые призваны были подтвердить их причастность и заявил, что им было уничтожено 10 тыс. компьютеров, более 4 тыс. серверов, все системы облачного хранения данных и резервного копирования.

А что в России?

В России вопросы обеспечения информационной безопасности (ИБ) жизненно важной инфраструктуры жестко регламентируются.
Для этого законодательно определен список областей экономики, в которых государство требует обеспечивать безопасность критической информационной инфраструктуры (КИИ), и порядок действий при кибератаках на нее:
  • КИИ - информационные системы (ИС), информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия;
  • субъекты КИИ - компании, работающие в стратегически важных для государства областях - здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс (ТЭК), атомной энергетике, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ;
  • для определения мер по защите информации в КИИ введено понятие категорий значимости объектов КИИ (их 3, самая высокая категория - 1я, самая низкая - 3я);
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК) назначена уполномоченным органом в области обеспечения безопасности КИИ;
  • на Федеральную службу безопасности (ФСБ) возложены функции обеспечения функционирования Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГОССОПКА);
  • приказом ФСБ создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который координирует деятельность субъектов КИИ и чья техническая инфраструктура используется для функционирования системы ГОССОПКА,
На языке кибербезопасности, в масштабе государства НКЦКИ представляет собой SOC (Security Operations Center или Ситуационный центр информационной безопасности), а ГОССОПКА - SIEM (Security Information and Event Management или Система управления информационной безопасностью и событиями безопасности).

Все эти аспекты определены законом 187-ФЗ «О безопасности КИИ РФ», вступившим в силу в 2018 г.
Несмотря на то, что закон действует уже более 5 лет, многие компании только в 2023 г. начали плотно работать над выполнением требований 187-ФЗ.
В декабре 2023 г. компания К2 Тех представила результаты исследования, согласно которым, 32% субъектов КИИ сталкивались с инцидентами безопасности разной степени серьезности.
Из этих инцидентов минимум 35% влекут за собой ущерб, который можно оценить в финансовых потерях.
Наиболее частым последствием инцидентов являются простои, причиной которых называют в основном DDoS-атаки и взломы сайтов.
Кроме этого, приводятся следующие негативные последствия: репутационный ущерб, потеря данных без восстановления и прямой финансовый ущерб.

ФСТЭК указывает на ряд проблем в обеспечении безопасности КИИ, в т.ч. на стремление занизить категорию значимости объектов КИИ и большое число уязвимостей в информационных системах.
По озвученным на SOC-Форуме в ноябре 2023 г. замдиректора ФСТЭК В. Лютиковым данным:
  • с конца 2022 г. и за 2023 г. ФСТЭК было проверено около 40 тыс. систем объектов КИИ, 1/3 систем проверку на соответствие той или иной категории значимости не прошли;
  • операторы или владельцы объектов КИИ пытаются занизить потенциальный ущерб или убедить, что никаких последствий не будет, однако те инциденты, которые происходили за последние 2 года, они свидетельствуют об обратном;
  • выявляется немало нарушений при проверке соответствия систем ИБ объектов КИИ нормативным и техническим требованиям, в 2023 г. выявлено более 700 нарушений, из них около 98% - типовые, к которым ФСЭК относит отсутствие обновления антивирусных баз, правильной настройки антивирусов, мер обеспечения безопасности рабочих мест администраторов;
  • значимой проблемой остается большое число уязвимостей в ИС, почти каждая вторая проверяемая система имеет критические уязвимости, что связано с уходом иностранных вендоров, которые перестали поддерживать свои решения, установленные на инфраструктуре российских заказчиков;
  • аналогичная ситуация наблюдается в т.ч. в компаниях-разработчиках ПО, продукты которых используются для замены решений иностранных разработчиков, уровень зрелости российских разработчиков в вопросах выявления и устранения уязвимостей в их продуктах недостаточный.

Новости СМИ2




Подписывайтесь на канал Neftegaz.RU в Telegram