В статье рассматриваются инциденты информационной безопасности, произошедшие в транспортных компаниях, меры по устранению последствий этих инцидентов, а также создание Министерством транспорта РФ единой среды мониторинга защищенности.

Ключевые слова: информационная безопасность, транспортная отрасль, инцидент, утечка данных, информационная система, программное обеспечение.

Мировая транспортная система не стоит на месте и ежегодно увеличивает темпы роста объемов пассажирских и грузовых перевозок. Вместе с этим возрастает объем и ценность информации, обрабатываемой транспортными компаниями, что приводит к необходимости обеспечения достаточно высокого уровня информационной безопасности. Ценность информации, хранящейся на серверах предприятий, побуждает злоумышленников к атакам на информационные системы компаний с целью копирования или блокировки этой информации и получения выкупа за неё. Рассмотрим несколько инцидентов, произошедших в транспортных компаниях, а также введение Министерством транспорта РФ мер по обеспечению защищенности отрасли от угроз информационной безопасности.

Австралийская транспортно-логистическая компания Toll, которая поставляет до 95 миллионов единиц продукции по всему миру каждый год, дважды подверглась кибератакам в первом полугодии 2020 года.

Первый инцидент произошёл 31 января. После обнаружения подозрительной активности на серверах, компания была вынуждена временно отключить свои IT-системы в качестве меры предосторожности. Из-за проведения работ по восстановлению атакованной злоумышленниками информационной системы, компания была вынуждена частично перейти на ручное управление процессами. Данная мера существенно снизила скорость обработки, что привело к сбою в работе по отправке и отслеживанию грузов. В результате расследования, проведённого внутри компании совместно с Австралийским центром безопасности, было установлено, что результатом атаки стали утечка данных и заражение серверов компании программой-вымогателем, известной как Malito. Более чем через шесть недель после заражения, компания включила отслеживание поставок и снова вывела свои основные службы в интернет.

Второй инцидент произошёл 4 мая. Аналогичным образом были обнаружены нарушения и отключены информационные системы для предотвращения дальнейшего заражения. Основываясь на опыте, полученном при предыдущей атаке, восстановление было проведено более оперативно, так как был реализован схожий сценарий действий злоумышленников. В результате данной кибератаки также произошли утечка данных и заражение серверов компании программой-вымогателем, однако на этот раз другой, называемой Nefilim.

Руководство Toll Logistics оба раза отказалось выполнять требования злоумышленников по оплате выкупа. Компания не раскрывает количество пострадавших клиентов и ущерб от произошедших атак. По мнению экспертов, из-за того, что услуги компании используются для транспортировки товаров eBay и поставок мобильных телефонов, а также из-за большого числа обращений от пострадавших клиентов через Twitter, экономический ущерб от кибератак может достигать ста миллионов долларов.

В мае 2020 года одна из крупнейших европейских лоу-кост авиакомпаний британская EasyJet заявила, что подверглась кибератаке. В заявлении говорилось о том, что хакеры получили доступ к базе данных, содержащей адреса электронной почты, личные данные и детали поездок 9 миллионов клиентов авиакомпании. Также, были скомпрометированы данные кредитных и дебетовых карт 2 208 клиентов, в том числе трёхзначные секретные коды CVV на обратной стороне карты. О вторжении EasyJet стало известно в январе. Однако, только в начале апреля, после проведения расследования, компания уведомила клиентов об утечке данных их банковских карт. Кроме этого, EasyJet обязалась оповестить всех клиентов, чьи личные данные были украдены злоумышленниками, об инциденте и принятых мерах безопасности. При проведении расследования, было установлено, что изначально хакеры были нацелены на интеллектуальную собственность компании, а не на кражу личных данных клиентов, а также, что основной угрозой действий злоумышленников, имеющих адреса электронной почты и личные данные миллионов клиентов, является фишинг. В качестве мер предосторожности EasyJet призвала к бдительности клиентов, особенно, при получении непредусмотренных электронных писем и электронных писем, отправитель которых представляется как EasyJet. Данные меры необходимы в связи с тем, что поддельные письма могут содержать вредоносное вложение или ссылаться на сайт-клон, предназначенный для кражи личных данных.

Швейцарский производитель подвижных составов Stadler заявил 7 мая 2020 года, что его IT-сеть была атакована вредоносными программами. Компания немедленно инициировала необходимые меры безопасности, а также выяснила, что атака на сеть компании, скорее всего, привела к утечке данных. Масштабы этой утечки на момент публикации заявления неизвестны. Stadler предполагает, что этот инцидент был вызван профессиональной атакой, преступники вымогали крупную сумму денег и угрожали компании потенциальной публикацией данных, чтобы навредить ей. Резервные данные компании уцелели и функционируют после перезагрузки всех затронутых систем.

В конце первого полугодия 2020 Министерство транспорта РФ анонсировало создание единой среды мониторинга защищенности (ЕСМЗ). Планируется, что данная система в режиме реального времени будет выявлять сбои в работе оборудования, уязвимости информационной системы и попытки хакерских атак. То есть, ЕСМЗ будет работать не только для обеспечения информационной безопасности, но и для обеспечения устойчивой работы транспортной отрасли в целом. Именно своевременно не выявленные сбои и уязвимости в настоящее время чаще всего приводят к задержкам в работе логистических компаний и транспорта. Несмотря на то, что большинство компаний способно самостоятельно отслеживать инциденты и своевременно реагировать на их, создание единой системы упростит мониторинг защищенности и работоспособности как внутри организаций, так и во всей транспортной отрасли. Кроме этого, сбор и анализ данных позволит создать единый реестр инцидентов, на основе которого Министерство совместно с органами безопасности сможет выявлять потенциальные угрозы и связанные с ними риски, формировать рекомендации по предупреждению инцидентов и принятию мер при том или ином виде состоявшегося происшествия.

Одним из основных преимуществ ЕСМЗ является отсутствие нового единого стандарта программно-технических средств, на основе которых планируется применение этой системы. То есть компании продолжат работать со своим, ранее установленным, сертифицированным оборудованием и программным обеспечением. Это также позволит на основе сравнения результатов выяснить преимущества и недостатки программно-технических средств при том или ином виде сбоев или хакерских атак. В перспективе, с использованием наиболее предпочтительного оборудования и программного обеспечения возможно создание на основе ЕСМЗ некоторой системы противодействия вторжениям и восстановления последствий атак специально для всей транспортной отрасли.

Вероятно, основой станет новейшая сертифицированная или специально созданная для ЕСМЗ система обнаружения вторжений. Разработка ЕСМЗ будет производиться в рамках федерального проекта «Информационная безопасность». Назначенное ответственным исполнителем Министерство транспорта проведет в начале 3 квартала тендер на разработку пилотного проекта единой системы мониторинга защищенности транспортной информационной инфраструктуры.

Литература:

1. Crozier, R. Toll Group confirms «targeted» ransomware attack / R. Crozier. — Текст: электронный // itnews: [сайт]. — URL: https://www.itnews.com.au/news/toll-group-confirms-targeted-ransomware-attack-537494 (дата обращения: 30.06.2020).
2. Crozier, R. Toll Group 'returns to normal' after Mailto ransomware attack / R. Crozier. — Текст: электронный // itnews: [сайт]. — URL: https://www.itnews.com.au/news/toll-group-returns-to-normal-after-mailto-ransomware-attack-539507 (дата обращения: 30.06.2020).
3. Wakefield, J. EasyJet admits data of nine million hacked / J. Wakefield. — Текст: электронный // BBC: [сайт]. — URL: https://www.bbc.com/news/technology-52722626 (дата обращения: 30.06.2020).
4. Гаврилюк, А.; Волобуев, А Массированно на атаку: госсистема защитит транспорт от хакеров / А. Гаврилюк, А. Волобуев. — Текст: электронный // Известия: [сайт]. — URL: https://iz.ru/1028446/anastasiia-gavriliuk-aleksandr-volobuev/massirovanno-na-ataku-gossistema-zashchitit-transport-ot-khakerov (дата обращения: 30.06.2020).
5. Cyber-attack targeted Stadler’s IT network. — Текст: электронный // Global Railway Review: [сайт]. — URL: https://www.globalrailwayreview.com/news/100586/cyber-attack-stadler/ (дата обращения: 01.07.2020).