29 czerwca 2023
Cyberbezpieczeństwo w branży offshore
Dlaczego branża offshore stała się celem dla cyberprzestępców? Amin Nasser, dyrektor generalny państwowego giganta naftowego Arabii Saudyjskiej, Aramco, powiedział w wywiadzie podczas szczytu sztucznej inteligencji w Rijadzie, że ataki cybernetyczne to jeden z najważniejszych problemów, z jakimi boryka się firma. Wie, co mówi – w 2021 roku hakerzy zażądali od Saudi Aramco 50 milionów dolarów okupu za 1 terabajt wyciekłych plików firmy.
Co sprawia, że branża jest tak powszechnym celem dla sprawców zagrożeń?
Bardzo prawdopodobne, że zapłacą okup
Wiedząc, jak praktycznie każda branża zależy od regularnych dostaw ropy i gazu, przestępcy wiedzą, że właściciele platform naftowych lub gazowych nie mogą sobie pozwolić na zatrzymanie lub zamknięcie produkcji. Oznacza to, że mogą liczyć na szybkie spełnienie swoich żądań.
Rzeczywiście, mówi się, że firmy energetyczne, naftowe i gazowe są jednymi z najbardziej prawdopodobnych do zapłacenia okupu. Badania WSJ Pro wykazały, że 43% firm energetycznych i komunalnych poważnie rozważyłoby zapłacenie okupu za swoje dane.
Przestarzała infrastruktura
Wiele firm offshore nadal korzysta z systemów starszej generacji i przestarzałej technologii w swoich obiektach, ponieważ ich wymiana byłaby zbyt kosztowna lub skomplikowana. Jednak te narzędzia lub urządzenia często nie otrzymują już aktualizacji oprogramowania ani łatek bezpieczeństwa, co czyni je bardziej podatnymi na ataki. Hakerzy mogą następnie wykorzystać jedno przestarzałe urządzenie lub program, aby uzyskać dostęp do całej sieci i rozprzestrzenić atak dalej.
Złożona infrastruktura
Zważywszy na rozmiar zarówno infrastruktury IT, jak i OT w firmach offshore, zabezpieczenie wszystkich punktów końcowych i wykrycie wszystkich luk jest niemal niemożliwe. Dla hakerów znalezienie jednego miejsca, przez które mogą zakłócić systemy lub ukraść dane, jest jednak bardzo prostym zadaniem.
Co więcej, ponieważ obecnie obiekty offshore są często połączone, hakerzy mogą szybko rozprzestrzenić atak na kilka innych lokalizacji, powodując jeszcze większe szkody.
Jakie są potencjalne konsekwencje cyberataku na branżę offshore?
Inną rzeczą, która wywiera presję na firmy offshore podczas radzenia sobie z cyberatakiem, są potencjalnie poważne konsekwencje ataku, takie jak:
Uszkodzenie sprzętu
Przez uzyskanie dostępu do wewnętrznych systemów lub kradzież danych dotyczących systemów wiertniczych, rurociągów lub systemów sterowania, cyberprzestępcy mogą manipulować parametrami i w ten sposób uszkodzić sprzęt. Zmusiłoby to firmy offshore do zatrzymania maszyn do czasu ich naprawy lub wymiany – co oznacza znaczne straty finansowe.
Zagrożenie dla bezpieczeństwa ludzi
Większość sprzętu i systemów monitorowania warunków pracy oraz systemów reagowania na sytuacje awaryjne jest obecnie również podłączona do internetu. Przez naruszenie tych systemów, sprawcy zagrożeń mogliby na przykład odciąć linie komunikacyjne lub wyłączyć systemy bezpieczeństwa odpowiedzialne za monitorowanie warunków pracy załogi offshore.
W skrajnych przypadkach taki atak mógłby prowadzić do wypadków, obrażeń, a nawet śmierci pracowników na platformie offshore – na przykład, gdy hakerzy przejmują kontrole nad dźwigami używanymi do załadunku i rozładunku.
Katastrofy środowiskowe
Ataki cybernetyczne na firmy offshore mogą również mieć poważne, długotrwałe skutki dla środowiska. Uszkodzenie sprzętu mogłoby na przykład spowodować, że ropa lub inna toksyczna substancja wyciekłaby do oceanu. Stanowiłoby to poważne zagrożenie zarówno dla życia morskiego, jak i społeczności nadbrzeżnych.
Wpływ ekonomiczny
To, co czyni skutki cyberataków na firmy offshore szczególnie dramatycznymi, to fakt, że zakłócenia mogą wpłynąć na gospodarkę, wpływając na dostawy energii, ceny i stabilność rynku. Na przykład atak na platformę gazową mógłby zmusić firmę do tymczasowego ograniczenia lub zaprzestania dostarczania gazu do klientów, wpływając na ich codzienną działalność (i przychody).
Dlatego ataki na krytyczną infrastrukturę często są przeprowadzane nie tylko z powodów finansowych, ale również geopolitycznych lub ideologicznych.
Atak ransomware na rurociąg Colonial Pipeline i jego konsekwencje
Atak na Colonial Pipeline w maju 2021 roku zrobił furorę, ponieważ był to największy atak na infrastrukturę naftową w historii Stanów Zjednoczonych.
7 maja Colonial Pipeline został zmuszony do zamknięcia swojego 5 500-milowego rurociągu po tym, jak jego sieć IT została zainfekowana ransomware przez grupę hakerów Dark Side. Chociaż linie OT firmy najwyraźniej nie zostały dotknięte, firma obawiała się, że hakerzy mogą powtórzyć atak, korzystając z 100 GB danych, które skradli z sieci, i zdecydowali się zamknąć wszystkie swoje systemy.
Po zapłaceniu okupu w wysokości 75 Bitcoinów (około 4,4 miliona dolarów w tamtym czasie), grupa Dark Side przesłała firmie Colonial Pipeline klucz do odszyfrowania, dzięki czemu mogła odzyskać dostęp do swoich danych. Jednak narzędzie do deszyfracji było najwyraźniej tak wolne, że firma musiała polegać na własnych kopiach zapasowych, aby pomóc przywrócić systemy do normalnego funkcjonowania.
Rurociąg wznowił działalność 12 maja, a do 15 maja wszystkie systemy i operacje wróciły do normy.
Jakie były konsekwencje ataku? Ponieważ Colonial Pipeline dostarcza prawie połowę paliwa dla wschodniego wybrzeża (w tym benzynę, olej napędowy i olej opałowy), skutki ataku odczuły liczne stany.
Gas Buddy, aplikacja do monitorowania popytu na paliwo, cen i braków, stwierdziła, że do godziny 16:00, 68% wszystkich stacji benzynowych w Karolinie Północnej 45% w Georgii, 49% w Virginii i 45% w Karolinie Południowej było już bez benzyny, ponieważ ludzie kupowali paliwo w panice. Braki zostały również zgłoszone w Tennessee (18%), na Florydzie (14%), w Maryland (13%) i Waszyngtonie DC (12%). Sytuacja stała się tak poważna, że prezydent Biden zezwolił na przewóz paliwa drogami, a nie tylko przez rurociąg, aby pomóc złagodzić niedobory.
Niezależnie od tego, w jaki sposób patrzy się na ten incydent, Colonial Pipeline nie tylko poniosło koszty bezpośrednie (w postaci okupu), ale także szereg skutków pośrednich – od utraty zaufania klientów do wpływu na całą branżę i gospodarkę jako całość.
A co było przyczyną całego tego chaosu? Według śledczych, był to jeden skradziony hasło VPN, dzięki któremu grupa hakerów mogła wejść do głównej sieci. Tylko tyle wystarczyło grupie Dark Side, aby wywołać ogólnokrajową panikę.
Jak zespoły SOCaaS mogą pomóc firmom offshore w ochronie swojej sieci?
Atak ransomware na Colonial Pipeline dobrze pokazuje, ile chaosu może spowodować jeden cyberatak, jeśli celuje w kluczowe branże – i jak ważne jest dla tych branż wzmocnienie bezpieczeństwa swoich sieci. Zatrudnianie ekspertów ds. cyberbezpieczeństwa do zespołu wewnętrznego nie jest jednak łatwe ani tanie – zwłaszcza biorąc pod uwagę, jak trudno jest ich znaleźć.
Na szczęście, nowoczesna technologia przyniosła także rozwiązanie tego problemu w postaci SOCaaS (Security Operation Team as a Service – Zespół Operacji Bezpieczeństwa jako Usługa). SOCaaS to usługa cyberbezpieczeństwa świadczona przez firmy zewnętrzne, dzięki której przedsiębiorstwa mogą „wynająć” zespół cyberbezpieczeństwa do monitorowania i ochrony swojej sieci.
Dzięki temu nie muszą tworzyć własnego zespołu cyberbezpieczeństwa wewnętrznego ani tworzyć specjalistycznego oprogramowania i sprzętu, ale mogą polegać na doświadczeniu i infrastrukturze dostawcy SOCaaS. Członkowie zespołu SOCaaS mogą również wykonywać wszystkie zadania, które wykonywałby regularny zespół cyberbezpieczeństwa, takie jak:
Ciągłe monitorowanie i wykrywanie zagrożeń
Zespół SOCaaS może monitorować sieć firmy offshore na okrągło, aby szybko identyfikować potencjalne zagrożenia i ataki. Dysponując wieloma zaawansowanymi narzędziami i wiedzą, jak z nich korzystać, mogą szybko zauważyć wszelką podejrzaną aktywność w sieci i zapobiegać uszkodzeniu systemów.
Reagowanie na incydenty i ich łagodzenie
Członkowie zespołu SOCaaS mają doświadczenie w radzeniu sobie z różnymi rodzajami cyberataków i mają gotowe procedury, jak zminimalizować incydent, zminimalizować szkody i jak najszybciej przywrócić normalne działanie. W ten sposób mogą szybko wybrać najlepszy sposób na zapobieżenie wpływowi ataku na działalność firmy offshore i ochronę danych przed naruszeniami.
Zarządzanie podatnościami
Aby zminimalizować ryzyko zakłócenia działalności offshore przez cyberataki, zespoły SOC mogą przeprowadzać regularne oceny podatności, aby zidentyfikować wszelkie słabe punkty w ich infrastrukturze sieciowej. Następnie wdrażają łatki bezpieczeństwa i aktualizacje do systemu, aby zminimalizować podatności i zapewnić odpowiednią ochronę systemów przed potencjalnymi zagrożeniami.
Zbieranie i analiza informacji o zagrożeniach
Zespoły SOC na bieżąco śledzą najnowsze zagrożenia i trendy w dziedzinie cyberbezpieczeństwa dzięki ciągłemu zbieraniu informacji o zagrożeniach. Analizując te dane, mogą proaktywnie identyfikować nowe zagrożenia i potencjalne ryzyka, również te, które konkretnie celują w branżę offshore. Dzięki temu są w stanie opracować skuteczne strategie i środki zaradcze do ochrony sieci przed nowymi typami zagrożeń.
Szkolenia i świadomość bezpieczeństwa
Profesjonaliści SOC mogą również regularnie przeprowadzać szkolenia z zakresu świadomości bezpieczeństwa dla personelu firmy offshore. Na przykład, mogą edukować pracowników, jak obchodzić się z danymi wrażliwymi, tworzyć silne hasła, czy co robić, gdy otrzymają podejrzaną wiadomość. Poprzez zwiększenie wiedzy pracowników na temat cyberbezpieczeństwa, zespoły SOC mogą upoważnić ich do stania się pierwszą linią obrony przed potencjalnymi zagrożeniami.
Chcesz wzmocnić sieć swojej firmy offshore przeciwko ciągle ewoluującym cyberzagrożeniom, ale nie masz czasu (lub budżetu) na wewnętrzny zespół ds. cyberbezpieczeństwa? CyberDefender może pomóc.
Nasz zespół doświadczonych profesjonalistów ds. cyberbezpieczeństwa może obserwować twoją sieć, aby ewentualne naruszenia lub złośliwe działania były identyfikowane i obsługiwane natychmiast, 24/7. A jeśli twoja firma offshore ma jakiekolwiek specyficzne potrzeby czy wymagania dotyczące bezpieczeństwa, chętnie dostosujemy dla ciebie odpowiednie rozwiązanie.
Spotkaj się z naszymi ekspertami ds. cyberbezpieczeństwa, aby dowiedzieć się, jak możemy pomóc poprawić bezpieczeństwo twojej firmy offshore.