IT-эксперт Крис Кубека выявляет уязвимости в электростанциях, системах водоснабжения и энергосетях Европы. По ее словам, противники ЕС уже давно обосновались внутри самой системы. Крис Кубека — одна из самых известных хакеров в мире. Сейчас американка выступает на конференции в Афинах перед специалистами по безопасности. Между двумя панельными дискуссиями у нее находится время для видеозвонка с нами. Эксперт по кибербезопасности из США руководит собственной компанией HypaSec, которая консультирует правительства и госучреждения, выступает с докладами в ООН, ЕС, Европоле и Интерполе. После того как в 2012 году в результате кибератаки вирусом были заражены 35 000 компьютеров крупнейшей в мире нефтяной компании Saudi Aramco, Кубека получила задание восстановить все системы. Затем в течение нескольких лет она отвечала за цифровую безопасность и разведывательную деятельность этой корпоративной группы. Сейчас она живет в Нидерландах. ИноСМИ теперь в MAX! Подписывайтесь на главное международное >>> Тим Гайер: госпожа Кубека, министр обороны Германии Борис Писториус недавно заявил: "Мы не находимся в состоянии войны, но и о полном мире говорить уже нельзя". Крис Кубека: Мы уже давно находимся в разгаре холодной кибервойны. — Что вы имеете в виду? — Как и во времена Холодной войны, сейчас нет прямого военного столкновения между Россией и Западом. Но на цифровом уровне конфликт кипит повсюду. Ветряные электростанции, военные системы, самолеты — все это потенциальные цели для кибератак. Приведу лишь несколько примеров: в прошлом году были взломаны электронные почты ряда немецких ведомств и компаний, в том числе оборонных предприятий, — хакерской группой, подконтрольной российской военной разведке (данная информация не подтверждена и не доказана — прим. ИноСМИ). Несколько месяцев в Восточной Германии замечают дроны, выслеживающие маршруты поставок оружия на Украину. А в сентябре хакеры атаковали системы регистрации и обслуживания пассажиров в аэропорту BER и других аэропортах Европы. — Но за атаками на аэропорты могут стоять и обычные преступники. — Определять виновных должны правительства, не я. Знаете, за закрытыми дверями европейские политики с момента начала спецоперации на Украине уже сталкивались с куда более серьезными кибератаками, о которых публично не сообщалось. На этом уровне всегда возникает вопрос: стоит ли обнародовать информацию, ведь тогда потребуется задействовать 4 статью Устава НАТО, как это недавно сделала Эстония после нарушений своего воздушного пространства. — Статья гласит, что страны НАТО проводят консультации, если одна из них считает, что ее территориальная целостность или безопасность находится под угрозой. В худшем случае альянс может объявить о коллективной обороне даже в ответ на кибератаку. — Разумеется, все хотят сохранить возможность для мирного урегулирования. Но факт остается фактом: число таких атак растет. — Вы упомянули ветряные электростанции, которые сейчас активно строятся по всей Германии, а также солнечные панели. Хорошо ли защищены эти современные установки от кибератак? — Нет. (смеется) Вообще нет. Наоборот, хуже всего. Голландские хакеры в 2024 году публично сообщили, что нашли способ проникнуть в большую часть европейских солнечных установок, включая популярные в Германии "балконные электростанции". Система управления одного из производителей имела открытую незащищенную "дверь" к миллионам таких устройств. А ветротурбины? Несколько лет назад я показала британской разведке, что 82% турбин в Великобритании были настроены со стандартным паролем "admin admin", и я могла получить к ним онлайн-доступ. — Надеюсь, это было исключением из правил. — Нет. Это встречается очень часто. Производители стараются максимально упростить жизнь клиентам. Когда вы покупаете устройство с подключением к интернету и включаете его впервые, хорошо бы, чтобы система сразу заставила вас установить новый пароль. Сейчас это становится нормой, но такая практика появилась совсем недавно — и в основном для бытовых приборов. А теперь представьте крупные промышленные установки, которые обычно отстают в цифровизации на несколько лет и прежде всего рассчитаны на совместимость с другими системами. В ЕС действительно установлено правило, что до 2027 года такие объекты должны быть защищены паролями. Но, похоже, эти требования пока не везде исполняют или не слишком строго контролируют. — Что может произойти, если хакеры захватят электростанции в Германии? — Пример тому можно было наблюдать несколько лет назад на Украине. До начала военной операции Россия уже совершала многочисленные кибератаки на критическую инфраструктуру страны. В декабре 2015 года российские хакеры вывели из строя части энергосети на западе Украины. Без электричества остались около 230 000 человек. К счастью, системы были настолько старыми, что их удалось вручную перезапустить через три часа. В случае с современными установками, как в Германии, это было бы куда сложнее. Если подобное произойдет зимой, страну можно просто парализовать. Атака на энергоснабжение и вызванный ею блэкаут — лишь начало. — Что произойдет, если электричество отключится надолго? — Тогда начнут постепенно выходить из строя и другие системы — водоснабжение, больницы, коммуникации, платежные сети. Даже заправиться топливом станет невозможно. Все это оказывает мощное психологическое воздействие: вдруг перестает работать что-то жизненно важное для конкретного человека. Это подрывает доверие людей к своему правительству и его способности реагировать. А для дезинформационных и пропагандистских кампаний это идеальные условия. Скандинавы помешались: теперь даже звезды им кажутся беспилотниками — Если теоретически возможно атаковать кибератаками электростанции в Германии или других странах НАТО, почему этого еще не произошло? — Возможно, потому что это означало бы пересечение "красной линии", что могло бы привести к серьезной эскалации конфликтов. В 2019 году мы разыгрывали подобный сценарий в Брюсселе во время кибер-учений с представителями стран НАТО и ЕС. В ходе симуляции нападения одни государства ограничились дипломатическими выпадами, а другие решили ответить запуском ядерного боеприпаса в верхние слои атмосферы над страной-агрессором, чтобы электромагнитным импульсом вывести из строя ее энергосистему и цифровую связь. Но независимо от таких учений я убеждена: части критической инфраструктуры Германии и других стран уже давно заполнены иностранными структурами. — То есть вы хотите сказать, что Россия, Китай или какая-то другая страна "сидят" в нашей энергосети и только ждут, чтобы нажать кнопку? — Нет, это не совсем так. Речь идет скорее о сборе информации и разведке систем — в том числе в рамках промышленного шпионажа. — Почему вы так уверены? — Я знаю это из бесед с депутатами Европарламента, но и сама не раз это наблюдала. Как я уже говорила, в некоторые системы невероятно легко проникнуть. И если это получается у меня, было бы наивно думать, что другие не способны сделать то же самое. О многом из этого я не могу говорить публично. Но все это действительно происходит. Поэтому нам нужно заранее разработать планы и стратегии, чтобы уметь быстро реагировать. Я своими глазами видела, что способен причинить один лишь вредоносный код. "Сбивать российские самолеты можно и даже нужно": в НАТО совсем потеряли берега — Вы консультируете правительства и компании по кибербезопасности, но также выступаете в роли "белого" хакера. Что это значит на практике? — Финансирование кибербезопасности часто носит реактивный характер. Сначала все должно загореться, и только тогда бегут покупать огнетушитель. В результате я с моими знаниями и умениями в любой момент могу найти множество общедоступных критических уязвимостей — например, в ветроэнергетике. В отличие от преступников или государственных хакеров, я информирую тех, у кого я нахожу уязвимости. К сожалению, в некоторых странах это нелегально. — Где еще вы находили такие "открытые двери"? — Пару лет назад через тестовую систему, которая по идее не должна была быть в сети, я смогла проникнуть в сеть электроснабжения ЕС. Доказательства я представляла перед Еврокомиссией. Я также получила доступ к 72 системам выработки электроэнергии в США и Канаде — после этого США закрыли такую программу. Еще у меня был доступ к итальянскому акведуку, управление которым было открыто в интернете — без логина. Там ты фактически стоишь как оператор и можешь нажимать кнопки, менять давление и пропорции смеси. В США в Флинте, Мичиган, в 2014 году из-за изменения химического состава (вероятно, по соображениям экономии и из-за незнания) свинец начал идти из труб — и некоторые люди получили отравление свинцом. — Почему такие системы вообще должны быть развернуты в сети интернет? — Вовсе не обязательно. Но во многих критически важных системах производители хотят иметь удаленный доступ для диагностики и обслуживания. Это касается и АЭС, и вооружений, и самолетов. Понятно, какие плюсы: иногда нужно быстро вмешаться, ведь отправка инженера на объект займет слишком много времени. Но, к сожалению, некоторые из этих удаленных соединений устарели. Поставщик может использовать для всех клиентов — то есть для всех электростанций, всех видов вооружений — одно и то же имя пользователя и пароль, чтобы упростить администрирование. При этом нет обязательства проходить независимые тесты безопасности или сертификацию. — Это выглядит как халатность. — Снижение рисков требует времени и денег — это относится и к дополнительным тестам, и к привлечению внешней организации для проверок и сертификации. По сути, многие виды вооружения и даже электростанции стали частью "интернета вещей" — как ваши смарт-устройства в доме. И они тоже могут быть точкой входа для хакеров. — Можете привести пример? — Чем больше данных компании собирают о вас, тем больше они могут на этом заработать. Вспомните "умные счетчики" (Smart Meter), цифровые приборы учета электроэнергии, которыми в Германии к 2032 году должны быть оснащены все домохозяйства. Кто имеет к ним доступ, сможет по времени суток и потреблению понять, сколько людей и когда находится в доме. В США преступники использовали такие данные, чтобы подобрать идеальное время для краж. Пока такие устройства не проверяет независимая организация на безопасность и конфиденциальность, я бы не хотела иметь их у себя дома. — Опасности кибератак кажутся абстрактными. Может ли обычный человек как-то защититься? — Есть очень простая мера. Когда вы в последний раз перезагружали свой интернет-роутер? — Давно. Звучит как-то слишком просто. — Существует понятие "персистентность" — когда атакующие стремятся удержать контроль над устройством (будь то ваш роутер или телефон). Если вы перезагрузите устройство, вы прерываете текущую сессию атаки. Тогда злоумышленникам придется находить вас заново в сети, они будут тратить ресурсы. Вы делаете атаку дороже — всего лишь перезагрузкой роутера и телефона. Правда, это не помогает против всех типов атак. Есть продвинутое шпионское ПО, например Pegasus, против которого простое вкл/выкл бессильно. Пентагон ставит крест на желаниях Киева: у США не найдется "лишней" ракеты — В фильме о Джеймсе Бонде "007: Координаты „Скайфолл“" (2012 года) хакер манипулирует газоснабжением штаб-квартиры MI6 и подрывает здание. Это чисто голливудская выдумка? — Это вовсе не так далеко от реальности. В 2014 году Федеральное ведомство по информационной безопасности Германии (BSI) опубликовало отчет о кибератаке на немецкий сталелитейный завод. Злоумышленники проникли из офисной IT-сети в системы управления завода. В результате доменная печь не могла быть корректно выведена из работы и получила серьезные повреждения. Кто стоял за атакой, так и не было официально обнародовано. — С момента начала российской операции, по-моему, сообщения о кибератаках на Украину как будто стали реже. Отражает ли это реальную ситуацию? — Конечно, Россия смещает акцент на физические атаки. Но я знаю людей, которые на Украине постоянно заняты восстановлением цифровой инфраструктуры после кибератак — компании, энергосети, телекомы, банки. Они проделывают невероятную работу, причем многие из них — женщины. Если когда-нибудь воцарится мир, этих украинцев нужно брать в команды по безопасности. — Как обществу лучше подготовиться к кибератакам? — Мы встречаем все больше подростков и молодых людей, которых вербуют и манипулируют ими в целях киберпреступности и шпионажа. Им платят криптовалютой, они ставят подавители GPS-сигнала или летают дронами над охраняемыми объектами — часто не понимая, на чью сторону работают. Несколько дней назад задержали двух 17-летних нидерландцев, которых подозревали в попытках по заданию хакеров добыть данные из Wi-Fi сетей Europol, Eurojust и посольства Канады в Гааге в пользу РФ. Родители понятия не имели. Вербовка детей в онлайн-играх или в Telegram — звучит как сюжет Бонда, но это происходит на самом деле. Нам нужно повышать осведомленность и создавать климат, где об этом можно говорить. И нужно давать технически одаренным молодым людям возможности — как в Нидерландах, где их привлекают помогать полиции искать пропавших граждан, одновременно обучая их. В Германии таких программ нет. Под Зеленским зашатался табурет. Чехия проголосовала против русофобских властей и помощи Украине — Что Германия могла бы улучшить? — Координацию. В Германии десятки организаций и ведомств на федеральном и земельном уровне занимаются кибератаками. Но лишь немногие из них общаются друг с другом. Германия обсуждает создание наступательных кибер-возможностей, но пока не умеет их координировать. Я считаю это катастрофой. При атаке на критическую инфраструктуру все силы должны собраться и действовать совместно — без этого не обойтись.