В мире строят всё больше «умных» зданий, что не удивительно. Управление освещением, климатом и лифтами, энергоэффективное использование электроэнергии, обнаружение пожаров и видеонаблюдение – и это всего лишь часть преимуществ, которые предлагают нам застройщики. Однако о проблемах безопасности, связанных с использованием IoT-устройств, почему-то говорят неохотно. Корректная работа каждой из этих функций зависит от сотен, тысяч датчиков и компьютеров, подключенных к локальным серверам и Интернету. Для успешной кибератаки достаточно всего лишь одного скомпрометированного IoT-устройства! Большое их количество дает хакером простор для маневров и означает, что взлом может оставаться незамеченным в течение длительного времени. В этом контексте, подобные кибератаки становятся все менее «если» и переходят в категорию «когда».
Отчет Касперского, опубликованный в 2019 году, показал, что почти 40% из 40 тыс. «умных» зданий подверглись кибератаке. В большинстве случаев были скомпрометировать компьютеры, которые управляют системами автоматизации зданий (BAS). Причем 26% угроз исходили из Интернета, 10% — со съемных носителей, 10% — из фишинговых ссылок и 1,5% — из общих папок в корпоративных сетях. В большинстве случаев это были обычные вредоносные программы в форме вымогательского ПО, червей и шпионских программ, а не вредоносные программы специального предназначения.
Примеры и последствия атак
Киберпреступники могут взламывать системы автоматизации зданий (BAS) с разными целями: чтобы отвлечь внимание от своих первоочередных намерений, создать хаос, напугать, навредить чьей-то жизни. Вот несколько реальных примеров:
— взлом данных сети розничной торговли Target в 2013 году стал печально известной кибератакой на систему отопления, вентиляции и кондиционирования воздуха, которая использовалась для получения доступа к корпоративным финансовым системам для кражи данных платежных карт более 40 миллионов человек.
— в 2017 году распространились новости о кибератаке на Romantik Seehotel Jägerwirt, известный отель в Австрии, киберпреступники взломали систему электронных ключей, в результате чего гости отеля не смогли попасть в свои номера и были нарушены другие бизнес-процессы.
— кибератаки на промышленные системы управления (ICS) в секторах критической инфраструктуры известны своими физическими последствиями. Например, вредоносная программа BlackEnergy, которая вывела из строя украинскую энергосистему в 2015 году, и червь Stuxnet, нанесший ущерб ядерной программе Ирана в 2010 году и признанный первой в мире крупномасштабной кибер-атакой.
Можно также легко представить себе последствия подобных атак для бизнеса. Например, манипулирование температурой с помощью взлома системами автоматизации зданий может привести к физическому повреждению серверов или скорой порче товаров. Вмешательство в работу водоснабжения, электроснабжения, вентиляции, а также систем пожарной сигнализации и пожаротушения, могут навредить человеческому здоровью. Представьте, что будет если сбой произойдет в больнице при операции или в бизнес-центре, лифты с людьми внутри одновременно остановятся либо начнут с бешенной скоростью ехать вниз.
Выводы
Как отмечают в Forbes, системы автоматизации зданий – лакомый кусочек для хакеров. Учетные данные безопасности «умных» зданий могут быть проданы киберпреступниками в Даркнете с целью получения прибыли или же можно самим потребовать выкуп у владельцев бизнеса.
Среди заинтересованных могут также быть хактивисты, выступающие против корпоративной политики определенных компаний и продуктов. Не стоит забывать и о спонсируемых государством преступных группировках.
Мотивы могут быть всевозможными, но факт остается фактом, такие виды кибератак могут нанести значительный ущерб коммерческим арендаторам здания в виде простоя бизнеса, финансовых потерь и угрозы общественной безопасности.
Решение этих проблем требует сотрудничества между градостроителями, инженерами и специалистами по кибербезопасности, а также разработки механизмов кибербезопасности и инструментов анализа рисков для строительной отрасли. Это поможет эффективно решать настоящие и будущие задачи по обеспечению безопасности «умных» зданий.