Приводим краткое содержание исследования, проведенного специалистами компании Positive Technologies (далее PT).

Согласно транспортной стратегии России, транспортный комплекс выполняет важные функции по достижению государственных целей, обеспечивая географическую связанность между территориями страны и экономическую связанность всех отраслей экономики. Кроме того, транспортные компании сотрудничают с большим числом физических и юридических лиц, и зачастую через них проходят значительные финансовые потоки. Именно поэтому организации транспортного сектора привлекают внимание злоумышленников, как политически, так и финансово мотивированных, и являются одной из основных целей кибератак: по данным компании Positive Technologies, в 2023 году транспортная отрасль вновь оказалась в топ-10 наиболее атакуемых.

В 2023 году количество успешных атак на транспортную отрасль увеличилось во всем мире на 36% по сравнению с 2022 годом. Традиционно наиболее популярными объектами атак в 2023 году стали компьютеры, серверы и сетевое оборудование — на них было направлено 87% всех успешных атак на транспортную отрасль. В половине случаев мишенью становились веб-ресурсы компаний. В каждом пятом случае злоумышленники проводили атаки с использованием социальной инженерии, по большей части путем рассылки фишинговых писем.

Семь из каждых 10 инцидентов приводили к нарушению основной деятельности компаний транспортного сектора. В 2023 году доля этого последствия оставалась на уровне 2022 года. Чаще всего наблюдались сбои в предоставлении сервисов клиентам (83% атак, повлекших нарушение основной деятельности), потеря доступа к инфраструктуре или данным внутри организаций (30% атак); также злоумышленникам удавалось нарушить внутренние бизнес-процессы (14%).

В некоторых случаях успешная атака приводила к недопустимым для компании последствиям. Например, в сентябре KNP Logistics, одна из крупнейших частных логистических групп Великобритании, объявила себя неплатежеспособной, ссылаясь на июньскую атаку вымогателей, затронувшей ключевые системы, процессы и финансовую информацию. Сообщается, что на фоне сложных рыночных условий и отсутствия возможности обеспечить срочные инвестиции бизнес не смог продолжать работу. В результате были уволены более 700 сотрудников.

Потенциальные кибератаки и их последствия: гипотезы специалистов PT

Авиация

В 2022 году пассажирооборот воздушных видов транспорта составлял 44,8% всего пассажирооборота в России. В 2023 году группа «Аэрофлот» перевезла 47 миллионов пассажиров, показатель загрузки воздушных судов составил 87%.

Поскольку многие авиационные компании ориентированы на перевозку пассажиров, недоступность официального веб-ресурса может стать недопустимым для компании событием: простой системы бронирования может привести к убыткам.

Еще одним последствием кибератаки может стать сбой системы управления багажом: в этом случае самолету придется либо лететь без багажа, либо лететь с задержкой. Помимо того, подобная атака с высокой вероятностью вызовет коллапс в аэропорту. Можно привести такой пример: в январе 2024 года национальное агентство новостей Ливана сообщило, что кибератака на аэропорт Бейрута нарушила работу системы досмотра багажа.

Кроме того, злоумышленники могут попытаться внести изменения в систему сообщения между землей и бортом судна, перехватить управление трапом, нарушить работу средств навигации. Так, в 2022 году исследователи безопасности сообщили об устранении уязвимости в компьютерных системах, используемых на некоторых самолетах Boeing, которая могла позволить злоумышленникам изменять данные и заставлять пилотов совершать опасные просчеты: например, самолет мог приземлиться на слишком короткую взлетно-посадочную полосу или взлететь на неправильной скорости, что потенциально может привести к удару хвостом или вылету за пределы взлетно-посадочной полосы.

Потенциально опасный инцидент произошел в начале 2023 года в США. По данным FlightAware, более 10 000 рейсов были задержаны и более 1300 отменены вследствие сбоя в системе оповещения пилотов NOTAM, что стало первым прекращением полетов в масштабе всей страны примерно за два десятилетия. Причиной сбоя в системе оповещения стал поврежденный файл в базе данных; подобное может произойти и в результате кибератаки.

Железные дороги

Одним из ключевых экономических показателей работы транспорта является грузооборот, объем перевозки грузов. На сегодняшний день доля железнодорожного транспорта в грузообороте составляет 87% в целом по стране (без учета трубопроводов). Значимость железных дорог означает, что кибератаки будут иметь серьезные последствия, от частичного или полного блокирования перевозок до повреждения или уничтожения грузов. Среди наиболее часто перевозимых грузов — каменный уголь, нефть и нефтепродукты, строительные грузы, железная руда. Их уничтожение или повреждение (например, разлив нефти или пожар) является недопустимым событием для железнодорожных перевозчиков, поскольку может негативно сказаться на других важных отраслях промышленности. Кроме того, сейчас 78% всех грузов доставляется железной дорогой в порт, откуда они уходят на экспорт — а значит, успешная атака может сказаться на внешней экономике государства. И, конечно, атаки злоумышленников могут создавать угрозу для жизни и здоровья пассажиров, а это десятки миллионов человек каждый месяц.

Какие элементы железнодорожной инфраструктуры подвержены вредоносному воздействию? В результате успешной кибератаки злоумышленники могут, например, получить возможность управлять путевым оборудованием. Злоумышленник сможет поднять шлагбаум на автоматическом железнодорожном переезде или изменить сигнал светофора. Такое вмешательство может повлечь за собой недопустимые события — крупную аварию, человеческие жертвы, порчу перевозимых грузов и железнодорожного полотна. Кроме того, потребуется вносить корректировки в график и маршруты движения поездов. Отметим здесь, что нарушение логистики на крупных железнодорожных перегонах может привести к срывам контрактов и штрафным санкциям для перевозчика.

В случае если злоумышленник сможет получить доступ непосредственно к бортовым системам управления, он сможет вмешаться в движение поезда: разогнать или наоборот резко затормозить его, что повлечет за собой порчу груза. Так, при неправильном распределении груза сильный разгон или торможение может привести к передвижению или повреждению груза. Кроме того, слишком быстрая остановка поезда может вызвать срыв вагонов или привести к аварии, что может стать причиной утраты груза. Система позиционирования и определения местонахождения подвижных составов также может стать объектом кибератаки. К примеру, в случае вмешательства злоумышленника и нарушения доступности данных диспетчер не будет знать, где находится поезд: возникнет необходимость остановить все поезда на линии, чтобы избежать столкновения. Похожий случай произошел в 2023 году: в Польше злоумышленникам удалось остановить движение поездов. Используя железнодорожные частоты, они транслировали сигнал, вызывающий экстренную остановку составов.

Атака также может повлечь финансовый ущерб из-за простоя систем продажи билетов. Например, в сентябре 2023 года в результате атаки была прервана продажа билетов на поезда национального железнодорожного перевозчика Эстонии. Представитель компании сообщил, что пока ситуация не будет решена и по техническим причинам невозможно будет купить билет в поезде, пассажиры могут путешествовать бесплатно.

Морские перевозки

Морские порты представляют собой сложные инфраструктурные объекты, в которые входят краны, подъемники, системы управления контейнерами, топливные терминалы, судовые средства управления, навигационные и другие системы. Вмешательство в процессы управления топливным складом или краном в худшем случае может привести к катастрофе, что будет недопустимым событием в масштабе отрасли. В то же время атака на систему управления погрузкой и ее простой могут привести к порче груза, к финансовым потерям из-за штрафов и неустоек. Так, согласно данным HFW и CyberOwl, средняя кибератака в морской отрасли в 2023 году обходилась целевой организации в 550 тыс. $ (по сравнению со 182 тыс. $ в 2022 году).

Морские порты являются объектами критически значимой информационной инфраструктуры, и успешные атаки приводят к серьезным последствиям для смежных отраслей. Так, в январе 2022 года объектом кибератак стали несколько североевропейских нефтяных узлов в крупных портах. Работоспособность IT-систем была нарушена в компаниях Oiltanking в Германии, SEA-Invest в Бельгии и Evos в Голландии. Последствия подобных атак значительны не только для организаций, но и для обычных граждан: компании снабжают топливом множество заправочных станций, и нехватка бензина может вызвать кризис, повлияв на национальную экономику.

Отметим и развитие концепции умного порта, которая также предполагает все большее внедрение информационных технологий, интеграцию в технологические и бизнес-процессы. В 2021 году к созданию такого порта приступили во Владивостоке. Предполагается, что технология обеспечит удаленный доступ и возможность контролировать операционные процессы в порту в режиме реального времени. Важно понимать, что новые автоматизированные объекты также могут быть подвержены киберугрозам, что их также необходимо защищать.

Морские суда также уязвимы к вмешательству злоумышленника: например, одним из опасных сценариев развития кибератаки является захват системы управления балластом большого корабля, в результате которого он может опрокинуться и затонуть. Кроме того, на судах могут быть установлены датчики для мониторинга внутренних систем и контроля работы двигателя, расхода топлива, температуры и целостности корпуса. Данные передаются на берег, что позволяет судоходным компаниям контролировать состояние своего флота и удаленно выполнять профилактическое обслуживание. Эксперты отмечают эффективность дистанционного обслуживания систем, однако оно же создает и потенциальный вектор атаки. Злоумышленник может атаковать судоходную компанию и нарушить работу информационных систем судна. Похожий инцидент произошел в январе 2023 года: DNV — одна из крупнейших в мире морских организаций — подверглась атаке программы-вымогателя и была вынуждена отключить IT-серверы, подключенные к системе ShipManager. Эта программная платформа предназначена для управления целыми морскими флотами и включает в себя модули для управления техническим обслуживанием, экипажем, целостностью корпуса и другими аспектами контроля за флотом морских судов. В результате 1000 судов остались без подключения к береговым серверам.

Городская дорожная инфраструктура и автомобильный транспорт

Злоумышленник может атаковать городские транспортные организации, что может повлиять на качество работы общественного транспорта. Например, в ноябре 2022 управляющая компания городского транспорта Севильи (TUSSAM) сообщила, что стала целью кибератаки, в результате которой мобильное приложение и информационные панели на автобусных остановках были отключены. А в начале 2023 года в результате атаки на австралийскую компанию Black and White Cabs была нарушена работа системы бронирования такси.

Злоумышленник может также воздействовать на дорожную инфраструктуру. В марте 2023 года в Тюмени неизвестные взломали дорожное информационное табло, и еще один похожий случай произошел в апреле 2022 года в Красноярске. Светофоры также могут быть уязвимы для атак: в конце 2022 года с помощью простого ноутбука, рации и антенны группе исследователей удалось взломать светофоры на различных перекрестках Ганновера. Получив доступ к управлению светофором, злоумышленник может поменять сигнал, что может стать причиной аварии.

Кроме того, злоумышленники могут атаковать зарядные устройства для электромобилей. Яркий пример — изменение транслируемых изображений на общественных зарядных устройствах. Хотя такие нарушения до сих пор оставались относительно безобидными, эксперты по кибербезопасности отмечают, что последствия могут быть гораздо более серьезными: например, в случае если злоумышленник сможет одновременно включить тысячи зарядных устройств, это может дестабилизировать и даже вывести из строя целые электрические сети.

Помимо дорожной инфраструктуры возможно вредоносное воздействие на системы управления транспортом, приводящее к ДТП, что также является недопустимым событием. Подобные инциденты уже имели место: в феврале 2023 года корейские автопроизводители Hyundai и Kia сообщили о выпуске обновлений ПО для некоторых своих моделей после сообщений в соцсетях о методе угона, названном «Kia Challenge». Государственная администрация контроля безопасности на дорогах США (NHTSA) сообщила, что это привело как минимум к 14 зарегистрированным авариям и к гибели восьми людей. Известны и другие случаи взлома систем управления автомобилей. В январе 2022 года один из пользователей Twitter объявил, что ему удалось взломать как минимум 25 автомобилей Tesla в 13 странах и частично захватить их. А в марте 2023 команда хакеров выиграла 100 000 долларов и Tesla Model 3 после того, как взломала систему Tesla Energy Gateway и оттуда открыла основные системы управления автомобилем.

Опасения аналитиков вызывает и постепенное внедрение беспилотных видов транспорта. После анализа беспилотных автомобилей на британских дорогах был представлен следующий тревожный сценарий: по мнению экспертов, крупная кибератака, нацеленная на операционные системы многих беспилотных транспортных средств одновременно, может привести к массовым жертвам.

Выводы

Транспортная отрасль во всем мире активно развивается: внедряются новые информационные технологии, идет строительство новых и модернизация уже существующих инфраструктурных объектов, повышается удобство услуг для пассажиров. В России транспорт особенно значим для экономики, поэтому цифровая трансформация, одна из основ национального развития, пронизывает среди прочего и транспортный сектор. Согласно стратегии цифровой трансформации транспорта, в ближайшие годы планируется активное внедрение технологий искусственного интеллекта, сбора и обработки больших данных, технологий в области управления производством, систем автоматизации управления. Например, уже в 2024 году планируется введение в эксплуатацию беспилотных авиационных систем. Ожидается, что интеграция новых технологий поможет сократить число ДТП, увеличить грузооборот, а также приведет к снижению стоимости логистических сервисов и увеличению средней скорости логистики на региональной маршрутной сети. Все эти изменения приведут к более эффективной и безопасной работе транспорта. Однако важно помнить, что технологии должны быть прежде всего спроектированы и интегрированы с учетом принципов информационной безопасности, поскольку любое усложнение информационных систем увеличивает и количество потенциальных киберугроз.

Транспортный сектор имеет огромное значение для экономики и социальной жизни общества. Кибератака может нарушить нормальное функционирование города, региона или целого государства, а ее последствия могут нанести ущерб сразу нескольким отраслям экономики. Чтобы не допустить разрушительных последствий, регуляторам необходимо обращать внимание на потенциальные киберугрозы в масштабе отрасли, а компаниям транспортного сектора — выстраивать процессы ИБ, основываясь прежде всего на понимании недопустимых для организации событий.