16 февраля, менее чем через две недели после того, как таинственный злоумышленник попал в заголовки газет по всему миру, взломав систему водоочистительной станции в Олдсмаре, штат Флорида, и чуть не спровоцировав массовое отравление, мэр города объявил о победе.
«Это история успеха», - сказал мэр Эрик Сейдел членам городского совета Олдсмара, пригорода Тампы с населением 15,000 человек, признав «некоторые недостатки». Как он выразился, «наши протоколы, протоколы мониторинга, сработали». Наши сотрудники выполнили их в совершенстве. И, как сказал градоначальник, у них были и другие, запасные варианты. ... «Нас взломали, без сомнений. И мы проследим, чтобы это больше не повторилось. Но это история успеха». Два члена совета поздравили мэра, отметив его вклад на пресс-конференции, во время которой рассказали о взломе. «Даже по телевизору ты был изумителен», - сказал один из них.
«Успех» - не то слово, которое эксперты по кибербезопасности используют для описания эпизода в Олдсмаре. Они рассматривают этот эпизод как пример цифровой некомпетентности, пугающей близорукости и того, как менеджеры систем водоснабжения годами продолжают преуменьшать или игнорировать все более зловещие предупреждения.
Эксперты говорят, что виды элементарных уязвимостей, выявленных в ходе взлома - включая отсутствие интернет-брандмауэра и использование общих паролей и устаревшего программного обеспечения - распространены среди 151,000 американских государственных систем водоснабжения.
«Честно говоря, им очень повезло», - сказал отставной адмирал Марк Монтгомери, исполнительный директор федеральной комиссии Cyberspace Solarium Commission, которую Конгресс создал в 2018 году для модернизации системы защиты страны от крупных кибератак. Монтгомери сравнил результат Олдсмара с посадкой самолета после того, как во время полета загорелся двигатель. «Они не должны радоваться, будто они выиграли Суперкубок, - сказал он. - Они не победили. Они предотвратили катастрофу благодаря удаче».
Мотивы и личность хакеров, иностранных или отечественных, остаются неизвестными. Но Монтгомери и другие эксперты говорят, что более опытный хакер, чем тот, что действовал в Олдсмаре и пытался довести количество щелочи в питьевой воде до опасного уровня, мог нанести серьезный ущерб. Они скептически относятся к заверениям властей города в том, что «резервные» электронные мониторы на станции защитили людей от возможного вреда. «Если злоумышленники могли взломать систему управления щелочью, - сказал Монтгомери, - не кажется ли вам, что они могли бы взломать систему сигнализации и изменить контрольные точки? Ошибочно думать, что хакер не смог бы слить загрязненную воду в наши системы водоснабжения».
Последствия крупного взлома системы водоснабжения могут быть катастрофическими: тысячи людей, заболевших от отравленной питьевой воды; паника из-за перебоев в снабжении; масштабные наводнения; прорывы труб и потоки сточных вод. (Это не просто теория. В 2000 году в Австралии бывший муниципальный подрядчик по очистке сточных вод, которому отказали в работе на город, дистанционно манипулировал компьютерными системами управления и слил 264,000 галлонов неочищенных сточных вод в общественные парки, реку, на территорию отеля Hyatt Regency Hotel, результатом чего стало зловоние, которое расследователи называли «невыносимым». Этот человек был приговорен к двум годам лишения свободы).
В своих показаниях в Конгрессе 10 марта Эрик Голдстин, начальник отдела кибербезопасности Федерального агентства по кибербезопасности и инфраструктурной безопасности (CISA), охарактеризовал инцидент в Олдсмаре как пример «серьезнейшего риска, который CISA видит на национальном уровне». По его словам, это должен быть «громкий сигнал нашей стране в отношении риска, с которым мы сталкиваемся со стороны кибервторжений в столь важные системы».
Мрачные предупреждения звучали годами. Еще в 2011 году в своем предупреждении Министерство национальной безопасности сообщило, что хакеры могут получить доступ к американским системам водоснабжения с помощью «легкодоступных и в целом бесплатных» инструментов поиска в интернете. В последние годы таких предостережений было предостаточно. В своем «Обзоре киберугроз» за 2019 год консалтинговая фирма Booz Allen Hamilton назвала коммунальные предприятия водоснабжения Америки «идеальной мишенью» для кибератак; в обзоре Journal of Environmental Engineering за 2020 год отмечается «увеличение частоты, разнообразия и сложности киберугроз в водном секторе»; а в докладе Cyberspace Solarium Commission за март 2020 года содержится предупреждение о том, что американские системы водоснабжения «остаются в значительной степени плохо подготовленными для защиты своих сетей от сбоев, спровоцированных хакерами».
Несмотря на предупреждения и некоторые громкие взломы, имевшие место в течение прошедших 10 лет, федеральное правительство в значительной степени оставило киберзащиту на усмотрение коммунальных служб водоснабжения. В течение многих лет оно полагалось на добровольные отраслевые меры, отвергая любую необходимость в новом регулировании. Затем, в 2018 году Конгресс включил положение, касающееся кибербезопасности, в 129-страничный законопроект о воде, который охватывал все вопросы, от ремонта дамб на реках до грантов на школьные фонтаны с водой.
Требования были, мягко говоря, нестрогими. Каждая американская система водоснабжения, обслуживающая более 3300 клиентов, была обязана провести самооценку рисков и устойчивости своих физических и электронных систем, а также подготовить план реагирования на чрезвычайные ситуации. У коммунальных предприятий разных размеров были разные сроки; для самых маленьких из них, таких как в Олдсмаре, самооценку нужно было провести до 30 июня 2021 года, спустя более чем 2,5 года после подписания закона. (Согласно заявлению, представленному городским управляющим, Олдсмар завершил проверку кибербезопасности к началу ноября, но до февральского взлома еще не включил свои рекомендации в городской план реагирования на чрезвычайные ситуации). Десятки тысяч американских систем водоснабжения, обслуживающих менее 3300 клиентов, были полностью освобождены от требований, обозначенных в законе. Другими словами, проверки на них не проводились вовсе.
Те коммунальные службы, которые обязаны проводить самооценку, не обязаны представлять отчет в какие-либо государственные органы. Коммунальные предприятия должны лишь подтвердить Агентству по охране окружающей среды, что они проводили такую оценку. В законодательстве 2018 года также предусматривается выделение $30 млн на предоставление субсидий для оказания помощи водохозяйственным окружным управлениям в решении проблем, связанных с «рисками и устойчивостью к внешним воздействиям», включая кибератаки. Однако Конгресс так и не выделил эти деньги.
По словам Монтгомери, федеральные требования (включая штрафы за нарушение правил) и финансирование, направленные на защиту электроэнергетической инфраструктуры, значительно превосходят эти показатели в отношении водохозяйств. «Оценка - это хорошо, - сказал он. - Но это намного меньше того, что мы требуем от энергетических компаний. Мы разработали инструмент для самостоятельного определения проблем. Но если вы действительно плохо относитесь к кибербезопасности, я не уверен, что ваши самооценки решат проблему».
Он также указал на низкую укомплектованность штата Отдела водной безопасности Агентства по охране окружающей среды. «Отдел водной безопасности - это пара человек, может, трое, - сказал Монтгомери. - Исторически они не делали почти ничего в области кибербезопасности. Это результат 20 лет низкой приоритетности». В последнем докладе агентства Конгрессу о «Потребностях инфраструктуры питьевой воды», представленном в 2018 году, были определены долгосрочные приоритеты в размере $472,6 млрд, однако на 75 страницах ни разу не было упомянуто слово «кибербезопасность».
Артур Хаус, который работал в Коннектикуте ведущим специалистом по рискам в области кибербезопасности, сказал: «Я надеюсь, что для того, чтобы люди сказали: "О боже мой, это серьезно", не потребуется отравление большого количества людей или катастрофическое отключение. Федеральное правительство должно сыграть свою роль. Нельзя оставлять то, что может навредить нам как стране, в руках 50 разных штатов».