Защищайтесь!

Не так давно на ресурсе Security Week была опубликована авторская колонка, где журналист Эрин О’Малли ставит вопрос: может ли в наши дни повториться трагедия «Титаника», пассажиры которого погибли не только из-за айсберга и ледяной воды, но также из-за человеческого фактора — спеси, пагубного тщеславия и устаревших законов?

Обращаясь к примеру современного колосса — лайнера Seven Seas Explorer вместимостью 54 000 рег. т, автор напоминает, что в погоне за роскошью на борту верфь Fincantieri снова и снова добавляла вес, проводила перерасчеты и испытывала остойчивость судна, уделяя при этом гораздо меньше внимания его защите от другой серьезной опасности — атак из киберпространства. И дело даже не в утечке конфиденциальных данных, которая может навредить владельцам или гостям, а также подорвать репутацию управляющей компании, — речь о более серьезных последствиях. Если преступникам удастся получить доступ к электронной навигации и другим ключевым бортовым системам, то это может привести к гибели судна, и физическая изоляция сети с важным оборудованием вовсе не является гарантией безопасности. Например, известны «дыры» в программном обеспечении спутниковых антенн VSAT, через которые можно получить доступ не только к журналу звонков, но и к другим бортовым системам, а также установить точное местоположение судна. Каналами для несанкционированного проникновения могут стать даже камеры наблюдения (CCTV) с инфракрасной подсветкой!

Одна из тенденций в судостроении такова, что все приборы, с которыми возможно цифровое общение, включаются в сеть, и производители стремятся обеспечить их удаленное обслуживание и администрирование. По расчетам компании Inmarsat, система управления современного контейнеровоза Maersk будет включать 2800 аппаратных датчиков (200 в машинном отделении), снимающих показания каждые 5 секунд; кроме того, прослушиваются 7000 каналов сигнализации, и ежемесячный массив накопленных данных достигает 30 терабайт.

  • По количеству IT-оборудования суперяхты не уступают крупным офисным зданиям

Яхты с их «умной» навигацией и сложнейшей мультимедийной инфраструктурой не являются исключением: с появлением AIS, CCTV и прочих цифровых систем объем обрабатываемых данных многократно увеличился. Это не только сказалось на внутренних информационных потоках, но также затронуло каналы «судно — судно» и «судно — суша». Одновременно с удобством и новыми возможностями «цифрового яхтинга» появились и новые риски, главный из которых — вражеское проникновение в бортовую сеть и перехват управления судном.

Разумеется, на многих крупных судах вроде лайнеров в экипаже предусмотрены IT-специалисты, да и спроектированные компаниями-интеграторами сети изначально планируются с соблюдением основных требований безопасности. Однако интерфейсы и протоколы передачи данных быстро эволюционируют (а значит, устаревают), и если владельцы суперяхт имеют возможность довольно часто обновлять оборудование, то про лодки меньшей длины говорить не приходится.

Связанные одной сетью

Американская ассоциация NMEA (National Marine Electronics Association) уже несколько десятилетий занимается разработкой и внедрением стандартов для создания корабельных бортовых сетей. С 1980 года и по сей день используются три цифровых интерфейса морской электроники: NMEA 0183, NMEA 0183 HS и NMEA 2000. Первый из них до сих пор широко применяется на коммерческих судах, а также, например, в горнодобывающих машинах, и, несмотря на возраст, постоянно дорабатывается.

Разработка более продвинутого интерфейса NMEA 2000 началась в 1994 году, и с 2001 года он постепенно стал стандартом для прогулочных яхт, поскольку позволяет объединить в сеть не только навигационную электронику, но и прочее наделенное цифровыми «мозгами» оборудование. В свое время NMEA 2000 явился существенным прорывом, позволившим создавать бортовую сеть с меньшими затратами, легче ее обслуживать и расширять, а также экономить топливо и пространство на борту. Судите сами: чтобы соединить 15 устройств с помощью NMEA 0183, нужно в десять раз больше кабеля (и по длине, и по весу), чем для их объединения по NMEA 2000!

Поскольку главным плюсом этого интерфейса стала возможность добавлять и удалять компоненты сети без нарушения ее работы, он по-прежнему активно обновляется (в будущем появится возможность обработки данных спутниковых систем Galileo и Beidou, подключения с управляемых электроникой лебедок и подруливающих устройств, AIS и DSC нового поколения), однако лежащий в его основе протокол передачи IPv4 морально устарел и не соответствует требованиям времени.

Уже пять лет под «зонтиком» NMEA ведется разработка сетевого интерфейса нового поколения OneNet. Этим занимаются разнопрофильные специалисты из 40 стран; в число компаний-участников входят Garmin, Flir, Furuno, Mastervolt, KVH, Raymarine, Navico, Cisco, Microsoft, Mercury Marine, а также береговая охрана США и Канады и южнокорейский Морской университет.

Ключевое преимущество OneNet заключается в том, что в его основу положен более гибкий и безопасный протокол IPv6 (адресное пространство 2128 адресов), а не исчерпавший себя IPv4 (2³² адресов). Распространенные пользовательские операционные системы уже давно поддерживают IPv6, однако переход к его массовому использованию еще только предстоит, и главным движителем этого процесса выступает лавинообразное проникновение в жизнь Интернета вещей (IoT).

Для исключения возможных «тормозов» в будущем NMEA приняла для OneNet максимальную скорость передачи данных 10 Гбит/с: это требует использования современных кабелей и соединений, которые еще предстоит стандартизировать, однако позволяет не беспокоиться о пропускной способности два-три десятилетия.

Но высокая скорость — не главный плюс нового интерфейса: гораздо важнее его модульная структура, включающая ответственные за безопасность сети блоки. Как реализована защита OneNet? Во время первичной настройки бортовой сети генерируется случайный криптографический мастер-ключ, который становится уникальным для данной яхты (или сегмента сети, если речь о крупном судне). При установке нового оборудования инженер, уверенный в его происхождении, производит сопряжение с сетью (по аналогии с Bluetooth) и сообщает устройству ее ключ. После этого устройство осуществляет обмен исключительно зашифрованными данными: проверяется криптографическая подпись каждого сообщения, и если она не совпадает с контрольной, сообщение игнорируется.

Этот алгоритм позволяет защититься от атак со стороны неавторизованных устройств и пользователей, при этом дополнительная нагрузка на сеть незначительна. Важный нюанс состоит в том, что для построения защищенной сети на базе OneNet все подключенные к ней устройства должны иметь сертификат безопасности. Его получение будет осуществляться по тому же принципу, что и для NMEA 2000: производители оборудования должны предоставить NMEA исходный код программного обеспечения для анализа на предмет уязвимостей.

Тем не менее пользователи смогут включать в сеть своей яхты и не сертифицированное оборудование — главное, что OneNet позволяет видеть всю структуру сети на смартфоне или планшете и получать уведомления о наличии устройств, которые могут стать потенциальными воротами для проникновения.

В течение этого года NMEA планирует завершить бета-тестирование OneNet. Первая версия интерфейса не подразумевает поддержку Wi-Fi и Bluetooth — ее обещают добавить в последующих версиях, если к этому времени вообще не откажутся от этих способов передачи данных в пользу мобильных сетей пятого поколения.

Как жить дальше?

Сетевая инфраструктура на крупной яхте по сложности сопоставима с таковой в большом офисном здании и требует к себе соответствующего отношения. Специалисты в области компьютерной безопасности давно сошлись во мнении, что невозможно создать систему, на 100% устойчивую к взлому, поэтому на первый план выходит время, которое понадобится злоумышленникам, чтобы в нее проникнуть. Здесь работает принцип «лучше перебдеть, чем сожалеть», но нужен ли в свете сказанного на борту яхты системный администратор? Думаю, нет, однако наличие в экипаже человека с базовыми знаниями о том, как работают киберпреступники, весьма полезно, ведь успех их «работы» во многом обеспечивается тонко выстроенной социальной инженерией, а не аппаратными или программными уязвимостями в самом оборудовании.

Можно ли в свете возросшего числа успешных кибератак вообще говорить о приватности на суперяхте?
Нужно понимать, что в плане обеспечения кибербезопасности суперяхта в море ничем не отличается от здания в центре города. Притом что сейчас активно обсуждаются различные потенциальные возможности несанкционированного проникновения в бортовые сети, реальных примеров успешного взлома яхт пока практически нет.

Если оценить десять случайных суперяхт в марине, сколько из них имеют достаточный уровень защиты от киберугроз?
Исходя из собственного опыта, думаю, что менее 30%, то есть в лучшем случае три из десяти.

Насколько критичен человеческий фактор?
Именно он является основным камнем преткновения в обеспечении кибербезопасности. Чтобы исправить положение, необходимо прививать пользователям иную культуру взаимодействия с компьютерами и сетями, которая не позволит злоумышленникам успешно использовать приемы социальной инженерии. Также важно ни в коем случае не делегировать функции обеспечения кибербезопасности IT-отделу или бортинженеру — этим должны заниматься другие специалисты.

Можно ли застраховать киберриски?
Лидирующие страховые компании вроде Willis Towers Watson давно уделяют внимание этому вопросу. Они постоянно дорабатывают пакеты по страхованию таких рисков и понимают, что условия страхования должны соответствовать реальной ситуации.

Системные интеграторы стремятся удаленно обслуживать и обновлять программное обеспечение в своих устройствах. Как это влияет на безопасность?
Интеграторы хотят постоянно подключаться для мониторинга своих систем, чтобы обеспечить их бесперебойную работу и не вызывать нареканий со стороны верфи и владельца яхты. Однако их удаленные подключения представляют собой серьезную потенциальную уязвимость, поэтому с ними нужно проводить определенное обучение и не давать карт-бланш на доступ к бортовым системам.

Усложняет ли вашу работу растущее количество датчиков на современных яхтах?
Если датчики не обладают стопроцентной надежностью, то на яхте их быть не должно. Самая нежелательная для нас ситуация — когда человек устает от постоянных сбоев системы безопасности, вызванных ненадежными компонентами, и попросту отключает ее. А такое на крупных яхтах случается часто. Вы можете поставить множество датчиков, измеряющих любые параметры, но справится ли система со своей задачей, в конечном счете зависит от реакции членов экипажа на ее предупреждения. Я не против комплексных систем безопасности, если только в них использованы надежные компоненты, а экипаж обучен быстро и согласованно отвечать на возникшие проблемы. Что касается биометрических сенсоров, то они пока далеки от совершенства, поэтому я предпочитаю грамотно настроенный механический контроль доступа.

Вы работаете с Imperial Yachts. Насколько тщательно компания заботится о кибербезопасности яхт своих клиентов?
Мне довелось иметь дело с различными управляющими компаниями, и без всяких сомнений могу сказать: Imperial Yachts уделяет защите от киберугроз гораздо больше внимания, чем большинство конкурентов.

Обучаете ли вы персонал ваших клиентов?
Veritas тесно сотрудничает с компанией Blackberry, которая является одним из мировых лидеров в вопросах защиты цифровой информации. Мы постоянно проводим совместные консультации по техническим и поведенческим аспектам кибербезопасности, поэтому можем осуществлять полное обучение и разрабатывать всеобъемлющую политику безопасности.

Как часто вы рекомендуете проводить аудит кибербезопасности яхты?
Вид и количество потенциальных угроз меняются настолько быстро, что я бы советовал проводить проверку каждые шесть месяцев. Если у вас нет собственных специалистов, аудит может обеспечить управляющая компания или другие квалифицированные сторонние подрядчики. Это не занимает много времени и в первую очередь связано с донесением свежей информации о новых угрозах и мерах борьбы с ними.

Текст Антон Черкасов-Нисман Фото Гийом Плиссон, Videoworks

 

Яхты

Плюс два в корму

Известная своими скоростными легкосплавными яхтами верфь Van der Valk успешно развивается и в нише эксплореров, порой предпринимая неожиданные шаги для удовлетворения запросов заказчиков.

Новости

Красота круглый год

Спа-комплекс Pride Beauty & Spa — настоящая гордость семейного загородного клуба Pride Wellness Club (поселок Жуковка XXI, Московская область). Здесь следят за трендами и новыми технологиями и регулярно обновляют аппаратуру и комплексы процедур.

Стиль жизни

Иду на PRO!

К сезону 2019 года BRP обновила линейку снегоходов Lynx, включая интересную и востребованную универсальную модель 49 Ranger.
По теме

Яхтенный Сочи

С 1 по 3 октября 2015 года в олимпийском городе Сочи состоялся "Имеретинский" яхтенный салон - первая осенняя выставка, объединившая игроков яхтенного рынка, автомобильной индустрии и представителей вертолетного сервиса.

Гонка за комфортом

Создание гоночно-круизной яхты — всегда поиск компромисса. Но если он найден, лодка скорее не теряет, а приобретает полезные качества обоих классов.

Королева Анна в огне

Очередной пожар в турецкой марине. В акватории Фетхие сгорела моторная яхта Princess 95 "Queen Anna". Это уже вторая новость подряд из Турции о пострадавших от пламени суперяхтах...

Плата за комфорт

Наш аппетит в отношении комфорта на борту яхты не знает границ. Но как поведут себя этакие плавучие хоромы на волнении?