«Цифровая осада»: как формируются угрозы для умных жилых комплексов

Зачем хакеры атакуют умные ЖК

В России автоматизация многоквартирного жилого фонда только развивается, и практик по защите инфраструктуры не так много. Но есть международный опыт, на который можно опираться. Например, в Германии пользователей систем автоматизации зданий BAS (Building Automation Systems) в три раза больше, в Китае и США — более чем в десять. В англоязычных источниках по кибербезопасности используют отдельное наименование для атак на здания — siegeware (от английского siege – осада), что можно перевести на русский как «осадное вредоносное ПО».

Многоквартирные умные дома привлекательны для киберпреступников по нескольким причинам. Одни атакуют ЖК для наживы, другие — для вывода из строя городской инфраструктуры. В жилищно-коммунальном хозяйстве много подрядчиков и операторов данных, а значит, много точек входа для злоумышленников. Отыскав уязвимость в одной из цепочек поставок услуг и сервисов, хакеры могут перехватить управление всеми системами умного дома.

По теме: Тенденции в сфере информационной безопасности и прогнозы на 2024 год

Как и кого атакуют кибермошенники

Во-первых, индустрия цифровизации умных домов — популярная цель для атак ransomware. При них вымогатели требуют выкуп за восстановление работоспособности оборудования зданий или за неразглашение данных жильцов и арендаторов. Причём найти атакуемый объект достаточно легко. Например, по запросу «BAS» в поисковике по интернету вещей Shodan можно в открытом доступе получить информацию о тысячах операторов таких систем: начиная от IP-адресов, заканчивая данными об используемых сертификатах безопасности SSL и маршрутизаторах.

Обладая подобными знаниями и списком жертв, у злоумышленника есть практически безграничная свобода действий.

Те же учетные данные по умолчанию для различных систем можно найти в интернете. И, как показывает практика расследования инцидентов информационной безопасности, далеко не все операторы BAS-систем меняют значения учетных данных с предустановленных на безопасные.

Даже если учётные данные решили поменять, иногда операторы систем автоматизации умных домов не применяют инструменты уведомления или ограничения количества неудачных попыток входа в систему. В результате учётные записи взламывают методом многократного подбора паролей. Из этого следует вывод, что атаки siegeware могут совершать даже хакеры-любители без обширных знаний.

Во-вторых, обычные жители тоже попадают в круг потенциальных жертв. Ведь взлом цифровых систем домов используется и для несанкционированного доступа к устройствам и персональным данным людей в квартирах, а также для реализации мошеннических схем социальной инженерии. Например, телефонные мошенники звонят по украденным базам ЖКХ, чтобы люди оплатили счета за «коммунальные услуги».

По теме: Премии по страхованию от кибератак за год выросли на 80%

Что делать для решения проблемы

Как видим, стандарты ИБ для многоквартирных домов — комплексная задача и до появления регламентирующих документов должны пройти многоуровневые тесты, а также согласования с разработчиками ПО автоматизации зданий. При этом в основу стандартов безопасности должны лечь политики контроля и разграничения доступа, чтобы к любым важным системам могли подключаться только идентифицированные и защищенные хосты или пользователи.

Вместе с повышением осведомленности об угрозах, более эффективное управление привилегированным доступом будет иметь важное значение для снижения рисков атак на жилые объекты цифровизации. Необходимо понимать, что стратегические планы учитывают разрастание умных кварталов до районов и целых городов. 

Чтобы избежать катастрофических последствий от выведения из строя такой инфраструктуры, управляющие организации жилым фондом должны работать над каждым новым проектом в тесном контакте с экспертами по информационной безопасности, заранее продумывая управление в каждом умном здании.

По теме: Геймдев и безопасность: рекомендации по защите от хакерских атак

Как можно снизить риск роста киберугроз для жилищного фонда

Есть два вопроса, ответы на которые определяют действия всех участников отрасли цифровизации:

1. насколько высока степень автоматизации жилых объектов;
2. насколько хорошо защищён доступ к системам.

Девелоперы, управляющие компании, подрядчики, производители ПО и «железа» должны чётко понимать, что как бы ни был удобен постоянный удалённый доступ ко всем системам через простой веб-интерфейс, администраторам зачастую не хватает знаний о возможных опасностях и опыта реакции на ИБ-инциденты.  

При внедрении систем автоматизации зданий все участвующие стороны должны обеспечить хотя бы базовый уровень информационной безопасности. Для этого рекомендуем пройти по пунктам чек-листа:

• учётные данные для входа во все системы изменены на безопасные комбинации со сложными паролями;
• для обеспечения безопасности доступа включены межсетевые экраны;
• доступ защищён многофакторной аутентификацией;
• внедрены инструменты ограничения неудачных попыток входа в систему, включая блокировку;
• используются сервисы уведомлений о любой неудачной попытке входа в систему;
• определён ограниченный список людей, имеющих привилегированный доступ к критически важным элементам BAS, и обеспечена защита таких учетных записей;
• в договорах с поставщиками услуг и подрядчиками прописаны обязательства о регулярном обновлении ПО до актуальных версий;
• важные системы отключаются от глобальной сети, когда в интернет-соединении нет необходимости;
• утверждён план реагирования на кризисные ситуации, когда информационные системы оказываются недоступны или вышли из строя.

При несоблюдении хотя бы одного из перечисленных пунктов система автоматизации умного дома становится уязвима для вмешательства извне. Учитывая разрушительный потенциал «осадных» кибератак, операторам инфраструктуры умных домов полезно осознавать риски и прикладывать усилия для информационной защиты.

Фото на обложке: Freepik