В течение многих лет правительственные чиновники и руководители отрасли тщательно моделировали целевую кибератаку на энергосистему или газопровод в США, представляя страна ответит.
Но когда настал настоящий момент, это не тренировка, это совсем не походило на военные игры.
Нападавший не был террористическая группа или враждебное государство, такое как Россия, Китай или Иран, как предполагалось при моделировании. Это было преступное вымогательство. Целью было не подорвать экономику, отключив трубопровод, а сохранить корпоративные данные для выкупа.
Наиболее заметные эффекты — длинные очереди нервных автомобилистов на заправочных станциях — возникли не из реакции правительства, а из-за решение потерпевшей компании Colonial Pipeline, которая контролирует почти половину бензина, топлива для реактивных двигателей и дизельного топлива, протекающего вдоль Восточного побережья, перекрыть кран. Это было сделано из опасений, что вредоносное ПО, заразившее его служебные функции, могло затруднить выставление счетов за топливо, доставляемое по трубопроводу, или даже распространиться на операционную систему трубопровода.
То, что произошло дальше, было ярким пример разницы между настольным моделированием и каскадом последствий, которые могут последовать даже за относительно несложной атакой. Последствия этого эпизода все еще проявляются, но некоторые уроки уже очевидны и демонстрируют, как далеко должны пойти правительство и частный сектор в предотвращении и борьбе с кибератаками, а также в создании систем быстрого резервного копирования на случай выхода из строя критически важной инфраструктуры.
В данном случае, давнее убеждение, что работа трубопровода была полностью изолирована от систем данных, которые были заблокированы DarkSide, банда вымогателей, которая, как полагают, действовать за пределами России, оказалось ложным. И решение компании отключить трубопровод вызвало серию домино, включая панические покупки насосов и тихий страх внутри правительства, что ущерб может быстро распространиться.
Конфиденциальная оценка, подготовленная Energy and Homeland Департаменты безопасности обнаружили, что страна может позволить себе еще три-пять дней с закрытым трубопроводом Colonial, прежде чем автобусы и другой общественный транспорт будут вынуждены ограничить работу из-за нехватки дизельного топлива. В докладе говорится, что химические заводы и нефтеперерабатывающие заводы также будут закрыты, потому что не будет возможности распространять то, что они производят.
И хотя помощники президента Байдена объявили об усилиях по поиску альтернативных способов транспортировки бензина и авиакеросина по Восточное побережье, ни одного не было сразу на месте. Не хватало водителей грузовиков и цистерн для поездов.
«Были выявлены все уязвимости», — Дмитрий Альперович, соучредитель CrowdStrike, фирмы по кибербезопасности, а ныне председатель аналитического центра Silverado Ускоритель политик. «Мы узнали много нового о том, что может пойти не так. К сожалению, наши противники тоже ».
Список уроков длинный. Частная компания Colonial могла подумать, что у нее есть непроницаемая стена защиты, но ее легко сломать. Даже после того, как она заплатила вымогателям почти 5 миллионов долларов в цифровой валюте за восстановление своих данных, компания обнаружила, что процесс расшифровки данных и повторного включения конвейера был мучительно медленным, а это означает, что до Востока еще оставалось несколько дней.
«Это не то же самое, что щелкнуть выключателем», — сказал в четверг Байден, отметив, что на трубопроводе протяженностью 5500 миль никогда прежде не закрывался.
Для администрации это событие оказалось опасной неделей в управлении кризисом. Г-н Байден сказал своим помощникам, как один из них напомнил, что ничто не может нанести политический ущерб быстрее, чем телевизионные кадры газовых линий и растущих цен, с неизбежным сравнением с худшими моментами Джимми Картера на посту президента.
Байден опасался, что, если трубопровод не возобновит работу, паника не утихнет, а взвинчивание цен не будет пресечено в зародыше, ситуация вызовет опасения по поводу того, что восстановление экономики все еще хрупкое, а инфляция растет.
Помимо шквала действий по продвижению нефти на грузовиках, поездах и кораблях, г-н Байден издал давно назревающий административный указ, который впервые направлен на внесение изменений в кибербезопасность.
И он предположил, что готов принять меры, которые администрация Обамы не решалась предпринять во время взломов на выборах 2016 года, — прямые действия, чтобы нанести ответный удар нападавшим.
«Мы также собираемся предпринимать меры, чтобы помешать их работе », — сказал г-н Байден, и эта фраза, казалось, намекала на то, что Киберкомандование Соединенных Штатов, военная сила кибервойны, уполномочено отключить DarkSide, так же, как это было сделано с другой группой вымогателей. осенью, накануне президентских выборов.
Через несколько часов интернет-сайты группы погасли. К началу пятницы DarkSide и несколько других групп вымогателей, в том числе Babuk, взломавшая полицейское управление Вашингтона, объявили о выходе из игры.
Darkside намекнул на подрывные действия неуказанного правоохранительного органа, хотя было неясно, было ли это результатом действий США или давления со стороны России в преддверии ожидаемого саммита г-на Байдена с президентом Владимиром Путиным. А "молчание" могло просто отражать решение банды вымогателей сорвать ответные меры, прекратив свои операции, возможно, временно.
Киберкомандование Пентагона направило вопросы в Совет национальной безопасности, который отказался от комментариев [
.
Этот эпизод подчеркнул появление новой «смешанной угрозы», которая может исходить от киберпреступников, но часто терпима, а иногда и поощряется страной, которая считает, что атаки служат ее интересам. . Байден выделил Россию — не как виновницу, а как нацию, укрывающую больше групп программ-вымогателей, чем в любой другой стране.
«Мы не полагаем, что к этой атаке причастно российское правительство, но у нас есть веские основания полагать, что преступники, совершившие эту атаку, живут в России », — сказал г-н Байден. «Мы напрямую общались с Москвой о том, что ответственные страны должны принять меры против этих сетей-вымогателей».
Когда системы Darkside отключены, неясно, как администрация Байдена будет принимать дальнейшие ответные меры, помимо возможных обвинительных заключений. и санкции, которые раньше не удерживали российских киберпреступников. Нанесение ответного удара кибератакой также сопряжено с риском эскалации.
Администрация также должна считаться с тем фактом, что значительная часть критически важной инфраструктуры Америки принадлежит и управляется частным сектором и остается готовой к атаке.
«Эта атака показала, насколько низка наша устойчивость», — сказала Кирстен Э. Тодт, управляющий директор некоммерческой организации Cyber Readiness Institute. «Мы слишком задумываемся об угрозе, хотя все еще не делаем базовых шагов для защиты нашей критически важной инфраструктуры».
Хорошая новость, по словам некоторых официальных лиц, заключалась в том, что американцы получили тревожный сигнал. Конгресс столкнулся лицом к лицу с реальностью того, что у федерального правительства нет полномочий требовать от компаний, которые контролируют более 80 процентов критически важной инфраструктуры страны, принятия минимальных уровней кибербезопасности.
Плохая новость, по их словам. , заключалась в том, что американские противники — не только сверхдержавы, но и террористы и киберпреступники — узнали, как мало нужно разжечь хаос на большей части страны, даже если они не проникнут в ядро электрической сети или в системы оперативного управления. которые перемещают бензин, воду и пропан по стране.
Что-то столь же простое, как хорошо спланированная атака с использованием программ-вымогателей, может легко помочь, предлагая правдоподобное отрицание таким государствам, как Россия, Китай и Иран, которые часто привлекают посторонних для секретные кибероперации.
Остается загадкой, как Darkside впервые проник в бизнес-сеть Colonial. Частная компания практически ничего не сказала о том, как развивалась атака, по крайней мере, публично. Он ждал четыре дня, прежде чем начать предметные обсуждения с администрацией, — целую вечность во время кибератаки.
Эксперты по кибербезопасности также отмечают, что Colonial Pipeline никогда не пришлось бы закрывать свой трубопровод, если бы у него было больше уверенности в разделении между его бизнес-сеть и операции с трубопроводом.
«Абсолютно должно быть разделение между управлением данными и фактическими эксплуатационными технологиями, — сказала г-жа Тодт. «Откровенно говоря, невыполнение основных требований непростительно для компании, которая доставляет 45 процентов газа на Восточное побережье».
Другие операторы трубопроводов в США Государства развертывают передовые межсетевые экраны между своими данными и операциями, которые позволяют данным передаваться только в одном направлении, из конвейера, и предотвращают распространение атаки вымогателей.
Colonial Pipeline не сообщила, развернула ли она этот уровень безопасности на своем трубопроводе. Отраслевые аналитики говорят, что многие операторы критически важной инфраструктуры говорят, что установка таких однонаправленных шлюзов вдоль трубопровода протяженностью 5 500 миль может быть сложной или чрезмерно дорогой. Другие говорят, что развертывание этих средств защиты обходится дешевле, чем потери от возможного простоя.
Сдерживать преступников-вымогателей, число и наглость которых за последние несколько лет увеличивалось, определенно будет сложнее, чем сдерживание наций. . Но на этой неделе срочность стала очевидной.
«Когда мы крадем деньги друг друга, это все забавы и игры», — сказала Сью Гордон, бывший главный заместитель директора национальной разведки и давний член ЦРУ. аналитик, специализирующийся на киберинетиках, заявил на конференции, проводимой информационным бюллетенем Cipher Brief. «Когда мы подрываем способность общества действовать, мы не можем этого терпеть».
