Цифровая трансформация, проводимая на предприятиях транспортной отрасли, характеризуется созданием современных цифровых экосистем. Последние представляющих собой организационно-техническую совокупность людских ресурсов, данных, взаимосвязанных цифровых технологий (информационных и операционных), платформ, информационных систем, информационно-телекоммуникационных сетей, которые взаимодействуют друг с другом для создания ценности для бизнеса и потребителей и предназначены для предоставления собственных и партнерских сервисов [1,2]. Такой подход позволяет эффективно автоматизировать и роботизировать многие аспекты управления бизнес- и технологических процессов предприятия [3-6].
Одним из ключевых вопросов создания цифровых экосистем является решение вопросов защиты как информации, хранящейся и обрабатываемой в них, так и отдельных элементов, и экосистемы в целом [7]. Особое значение в условиях реализации концепции «Больших данных» и технологии «искусственного интеллекта» (ИИ) [8] приобретает влияние информационной безопасности (ИБ) на транспортную безопасность, целями которой являются устойчивое и безопасное функционирование транспортного комплекса, защита интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Под транспортной безопасностью понимается состояние защищенности объектов транспортной инфраструктуры и транспортных средств от актов незаконного вмешательства [9].
Предприятия транспортного сектора российской экономики относятся к числу субъектов критической информационной инфраструктуры (КИИ), которые наиболее интересны злоумышленникам. Например, железнодорожный транспорт всё чаще рассматривается как одна из основных целей для киберпреступников. Системы сигнализации, системы тяги, системы управления движением, системы информирования пассажиров и инфраструктура вокзалов и станций потенциально подвержены риску кибератак. В настоящее время парадигму транспортной безопасности необходимо рассматривать с учётом современных подходов к ИБ, а именно с позиций киберустойчивости цифровой экосистемы предприятий транспортной отрасли, т.е. способности цифровой экосистемы противостоять существующим и будущим киберугрозам способным нарушить нормальное функционирование применяемых на предприятиях транспортной отрасли информационных технологий (ИТ) и операционных технологий (ОТ). Под операционными технологиями [10] предприятий транспортной отрасли понимается аппаратное и программное обеспечение, которое детектирует или вызывает изменения посредством прямого наблюдения и (или) управления транспортными системами, активами, процессами и событиями.
Транспортные системы, которые десятилетиями считались безопасными, теперь могут быть «скомпрометированы» введенными злоумышленниками через цифровые устройства командами. Манипуляции с такими командами могут привести к коллизиям и другим нежелательным сценариям: киберпреступники могут решить атаковать автоматы по продаже билетов, дисплеи с информацией для пассажиров и пассажирские системы Wi-Fi и т.п. Эти системы становятся уязвимыми для кибератак, потому что в настоящее время они перешли от индивидуальных автономных систем к стандартизированному оборудованию с открытой платформой, построенному с использованием готовых коммерческих компонентов, и все более широкому использованию сетевых систем управления и автоматизации, которые могут быть доступны удаленно через общедоступные и (или) частные сети передачи данных.
К основным причинам, по которым ИТ и ОТ предприятий транспортной отрасли становятся объектами кибератак, можно отнести: сложную, детерминированно-стохастическую, территориально-распределенную, динамически развивающуюся архитектуру систем, средств и элементов транспортных коммуникаций; длительный жизненный цикл применяемого на железных дорогах, вокзалах, станциях, в морских- (речных) и аэропортах технологического оборудования; разнообразие цепочек поставок и технологий; расширение возможностей подключения к цифровым системам и сервисам; большое число и разнообразие используемых аппаратно-программных средств; внедрение беспилотных транспортных средств; большая численность работников различной квалификации. Чем более оцифрованным становится транспорт, тем более уязвимыми становятся важные системы сигнализации и управления движением для киберсаботажа. По мере создания цифровой экосистемы предприятия транспортной отрасли, внедрения современных систем управления поездами, городским и магистральным общественным транспортом с использование искусственного интеллекта и облачной аналитики, усложнения цепочек поставок расширяются возможности злоумышленников по несанкционированному подключению к цифровой экосистеме. Всё это создаёт угрозы для безопасной, надежной и рентабельной работы предприятий транспортной отрасли.
Большой риск для транспортной безопасности возникает при подключении систем, средств и устройств предприятий транспортной отрасли к внешней информационно-телекоммуникационной сети интернет по мере роста устройств Промышленного Интернета вещей (англ. IIoT). Это обусловлены тем, что увеличивается число периферийных компонентов транспортной инфраструктуры с большим числом цифровых датчиков, а также подключенных «умных устройств» в поездах, автомобилях, аэропортах, на морских и речных судах. Злоумышленники могут получить через них доступ к транспортным ИТ и ОТ, т.к. часто используются дешевые «умные устройства» с минимальной защитой к киберугрозам или без нее. Например, многие критически важные системы управления движением подключаются к тем же сетям, которые используются пассажирами. Связь между подвижным составом и стационарными системами часто основана на технологии беспроводной локальной сети (англ. WLAN) для управления движением. Уязвимости в критических технологиях, таких как аутентификация, шифрование и передача, подвергают WLAN целому ряду информационных рисков, которые могут перерасти в угрозы транспортной безопасности. Кроме того, в более ранних реализациях такой связи используются старые технологии Wi-Fi со слабой киберзащитой. В результате они могут пострадать от таких атак, как прослушивание, мошенническая точка доступа, «человек посередине» (англ. Man-in-the-Middle), отказ в обслуживании (англ. DoS) и т.п. Это открывает новые возможности для злоумышленников [11]. Поскольку применяемые на транспорте цифровые системы включают проприетарные протоколы и приложения, использование решений кибербезопасности, разработанных только для обычных ИТ, может быть неэффективным против киберугроз транспортным ОТ.
Выделим основных акторов информационных угроз на транспорте и основные информационные угрозы, с которыми сталкиваются все виды транспорта.
Отдельные лица или организации могут преднамеренно или непреднамеренно раскрывать и использовать уязвимости, которые потенциально могут вызвать инциденты и повлиять на качество транспортных услуг, безопасность транспортной инфраструктуры, привести к технологическим, финансовым и репутационным рискам. Особое внимание следует обращать на безопасность «цифровых двойников» (англ. Digital Twins) транспортной организации в которых содержится детальная информации о бизнес- и технологических процессах, а также персональные данные работников предприятия [12,13].
Наиболее значимыми злоумышленниками, преднамеренно нацеленными на предприятия транспортной отрасли, являются киберпреступники (хакеры), инсайдеры (работники предприятия), национальные государства (иностранные технические разведки) и спонсируемые недружественными государствами группы киберпреступников.
Киберпреступники, проводят массовые атаки (DoS и DDoS атаки), как правило за денежное вознаграждение.
Инсайдеры могут преднамеренно или случайно совершать действия, приводящие к нарушениям информационной безопасности, и которые могут привести к киберинцидентам, влияющим на транспортную безопасность. Инсайдеры знают особенности предприятий, в которых они работают, и часто хорошо осведомлены об особенностях применяемой на предприятии политики безопасности. Отметим, что доля умышленных утечек в I-м полугодии 2022 г. составила порядка 75 процентов от всех утечек за счёт инсайдеров [14]. Субъектами внутренней угрозы могут быть недовольные и (или) увольняемые работники, а также поставщики и индивидуальные подрядчики (являются основной группой потенциальных злоумышленников на которую необходимо обратить внимание в ближайшие несколько лет).
По мере усиления геополитической напряженности недружественные государства и спонсируемые ими группы злоумышленников нацелены на достижение стратегических долгосрочных целей по нанесению максимально возможного ущерба предприятиям транспортной отрасли, которые относятся к стратегическим. Например, внедрив вредоносное программное обеспечение в ИТ и (или) ОТ в одной из дочерних компаний или в компании, участнице цепочки поставок, они могут атаковать автоматизированные системы управления технологическими процессами, информационные системы или элементы информационно-телекоммуникационной сети головного предприятия транспортной отрасли, используя сетевые подключения.
Выделим наиболее актуальные киберугрозы, влияющие на транспортную безопасность: внедряемое в ИТ и ОТ вредоносное программное обеспечение, (распределенный) отказ в обслуживании, несанкционированный доступ и кража конфиденциальной информации, фишинг, фальсификация или обход процесса принятия решения оператором безопасности, маскировка личности, злоупотребление правами доступа, социальная инженерия, порча оборудования, подслушивание, неправомерное использование активов и манипуляции с оборудованием, а также манипулирование программным обеспечением с целью воздействия на автоматизированные системы управления элементами транспортной инфраструктуры и сервисные системы, а также системы контроля и управления доступом (СКУД, англ. Physical Access Control System, PACS) к объектам предприятий транспортной отрасли, системы сигнализации, оповещения, видеонаблюдения, аудио- и видеозаписи, интеллектуальные системы видеонаблюдения, досмотра подвижного состава и пассажиров и т.п.
В целях защиты предприятий транспортной отрасли и предоставляемых ими услуг, а также минимизации рисков возникновения угроз транспортной безопасности в новых складывающихся политических и экономических условиях требуется глубокая профессиональная и экспертная проработка обозначенных в данном материале проблем, а именно: доработка действующих и разработка новых нормативных и правовых актов федерального [15] и корпоративного уровня, применение лучших отечественных и мировых практик (в частности, практик и рекомендаций Международного союза железных дорог, англ. UIC) [16,17], совершенствование организационно-технических методов и средств защиты ИТ и ОТ, которые могут оказывать влияние на качественный функционал транспортной безопасности.
Докучаев Владимир Анатольевич,
д.т.н., профессор, заведующий кафедрой СИТиС МТУСИ
член Экспертного совета Комитета Государственной Думы РФ
по информационной политике, информационным технологиям и связи,
эксперт группы по инициативам по наращиванию потенциала МСЭ при ООН
Уважаемые коллеги!
Фонд «Транспортная безопасность» приглашает принять участие в работе экспертного совета по кибербезопасности на транспорте. Резюме необходимо отправить на электронную почту: director@tb-inform.ru
Дирекция ФТБ