Індустрія логістики і транспорту давно стала однією з улюблених цілей для кіберзлочинців, кількість атак на інфраструктуру в цьому секторі глобально лише зростає. Втручання хакерів у роботу логістичних компаній може спричинити дуже серйозні наслідки. Зокрема, минулого року зухвала кібератака на тиждень паралізувала роботу американської компанії Colonial Pipeline, що забезпечує постачання нафтопродуктів для половини усього східного узбережжя США. Великі вантажовідправники регулярно потерпають від хакерів, збитки індустрії рахують у десятках мільйонів доларів.
Для України виклики кібербезпеки ще гостріші, адже вона веде війну за власне існування проти агресивної росії. Не секрет, що на війні логістика завжди стає пріоритетною ціллю для ворога, а хакерські атаки - один з найулюбленіших інструментів путінського режиму. Російське вторгнення супроводжувалось масштабною кібератакою на органи державної влади, медіаресурси, енергетичну сферу та сферу логістики. За даними Держспецзв’язку, у порівнянні з минулим роком кількість кібератак на Україну збільшилась втричі.
Як українським логістичним компаніям відповісти на ці виклики? Які практики та технології можуть стати у пригоді?
Цифрові вразливості логістики
Аналітична компанія BCG у своєму дослідженні кібер-ризиків для транспорту та логістики розподіляє фактори вразливості на три великих категорії: технології, проблеми регулювання та проблеми у процесах. За їх оцінкою, галузь загалом страждає від відставання у регуляції, недостатньої поінформованості про кібербезпеку та браку кваліфікованих кадрів у сфері кіберзахисту. Якщо придивитися до вразливостей трохи детальніше, що ми побачимо?
Якщо говорити про технології, то в усіх секторах транспортної галузі природним чином збільшується "поверхня" для кібератак. Логістичні оператори переходять на нові цифрові платформи, інтегруються у велику галузеву інфраструктуру. Наприклад, за минулі 10 років великі морські перевізники перейшли від відносно простих безпекових систем оповіщення про НП до повноцінних місцевих мереж з хмарними технологіями (типовий приклад - програма електронної навігації IMO). Такі системи постійно збирають, інтегрують та аналізують надважливу бізнес-інформацію, тож стають привабливими цілями для хакерів. Аналогічна ситуація і в залізничному секторі. Традиційні системи управління рухом поїздів, що раніше працювали ізольовано від мережі, переходять до безпровідних мережевих стандартів, таких як GSM-Railway. Усе це надає злочинцям більше можливостей для втручання у роботу систем.
В українських реаліях ситуація з технологічними вразливостями галузі ще гірша. Адже значна частина бізнесу (в тому числі великі компанії національного рівня) досі використовують софт з російським корінням - 1С та його похідні, CRM-системи на кшталт "Бітрікс", тощо. Не секрет, що російський режим давно взяв під політичний контроль весь великий бізнес в рф, зокрема й tech-сектор. Хтозна, які бекдори можна виявити в російському софті, і як цими бекдорами можуть скористатись ворожі спецслужби. Достатньо сказати, що в перші дні російського вторгнення в українських користувачів 1С раптово та масово "злетіла" ліцензія.
Проблеми регулювання. Логістика традиційно залишається дуже зарегульованою сферою, однак стандартам кібербезпеки у галузі приділяється не так багато уваги. Якщо мова йде про глобалізовані ланцюжки постачання, що зачіпають чимало країн, то регулюючим органам загалом складно домовитись про єдині стандарти кібербезпеки та зосередитись на їх дотриманні. Певні успіхи на цьому полі є. Зокрема, зовсім нещодавно, наприкінці 2021 року, в ЄС узгодили оновлену директиву про мережеву та інформаційну безпеку (NIS2), яка встановить нові стандарти захисту для енергетики, транспорту, охорони здоров’я та цифрової інфраструктури. Є відповідні галузеві ініціативи для залізничного, морського, автотранспорту тощо.
В Україні регулювання кібербезпеки перебуває скоріше на початку свого формування. У 2017 році, після масованої та спустошливої кібератаки вірусом NotPetya, в Україні ухвалили закон "Про основні засади забезпечення кібербезпеки України", але це рамковий стратегічний документ. Деталізація галузевих норм кіберзахисту (зокрема, в логістиці) ще попереду, як і нормативне введення в Україні західних стандартів. Великим кроком вперед стане впровадження принципів NIST Cybersecurity Framework - американських стандартів кібербезпеки, що наразі застосовуються багатьма приватними та державними організаціями в усьому світі.
Проблеми з людьми та процесами. Технології та стандарти не даватимуть бажаного результату, якщо люди на місцях не володіють базовими навичками кіберзахисту. Працівник, який не може розпізнати фішинговий лист та безстрашно переходить за сумнівними посиланнями у Facebook, може звести нанівець всі корпоративні зусилля із кіберзахисту. Як показує практика, першою ланкою в кібератаці часто стають нерозумні дії самих постраждалих. Тож брак компетенцій та недоліки в процесах можуть бути джерелом загрози.
Відповідь на кіберзагрози потребуватиме від бізнесу зміни корпоративної культури та впровадження оцінки своїх вразливостей на основі ризикового підходу та принципу zero trust. Пріоритет слід надавати захисту критично важливих активів, хай би якою неймовірною не здавалася б атака на них.
Як убезпечити ланцюжки постачання?
Вочевидь, потрібно рухатися за трьома напрямками - впроваджувати нові технології, переходити на стандарти безпеки найкращих світових зразків, покращувати процеси та працювати з персоналом.
З технологічної точки зору українським транспортним компаніям слід якомога швидше відмовлятися від софту з російським корінням: від систем бухгалтерського обліку (як би важко не було декому прощатися з 1С та BAS); від популярних CRM-системи російської розробки тощо. Звісно, іноді знайти альтернативу цьому софту за прийнятною ціною буває складно, але це цілком можливо. Особливо з огляду на те, якими ризиками може обернутися використання софту з країни-агресора: від витоку або втрати даних, до саботажу і повного паралічу бізнесу.
Сьогодні на ринку є різноманітні хмарні сервіси та платформи для обліку української розробки, які закривають принаймні базові потреби транспортного бізнесу. Великі компанії можуть замислитись про заміну старого софту на нові СRM- та TMS-системи кастомної розробки. Таке рішення потребуватиме часу та інвестицій, але воно може повністю закрити потреби окремо взятої компанії, знизити до мінімуму ризик несанкціонованого втручання в процеси, локалізувати та убезпечити бази даних, а в подальшому і безпечно інтегрувати компанію у нову національну цифрову інфраструктуру.
Перехід на нові перспективні платформи відкривають шлях і для широкого впровадження нових технологій безпеки:
- блокчейн;
- верифікація даних на основі ШІ;
- методи обчислення для підвищення конфіденційності даних (PEC);
- хмарні платформи з високим рівнем захисту.
У сфері регулювання Україна має і буде рухатись назустріч найкращим світовим практикам кібербезпеки. Євроінтеграція приведе українську логістичну галузь до загальноєвропейських стандартів NIS2, а тісна співпраця з американськими партнерами - до завершення впровадження стандартів кіберзахисту NIST. Одночасно з цим українські регулятори та законодавці мають деталізувати вимоги до цифрової інфраструктури транспорту та логістики.
Примітно, що у Держспецзв’язку українським підприємцям рекомендують не чекати нормативного закріплення нових стандартів для окремих галузей бізнесу чи критичної інфраструктури, а починати роботу з впровадження принципів NIST просто зараз.
З точки зору процесів українському бізнесу настав час дещо змінити свій спосіб мислення та корпоративну культуру. Логістика історично залишається консервативною галуззю, де об'єктивно важко проводити масштабні реформи. Однак сучасні виклики потребують від неї дуже великої уваги до діджиталу загалом і до кібербезпеки зокрема. Видатки на діджитал в галузі так чи інакше зростатимуть, і важливо зробити так, аби ці інвестиції були максимально ефективними та безпечними.
Логістичним компаніям сьогодні як ніколи важливо приділяти особливу увагу локалізації своєї діджитал-інфраструктури та залученню фахівців з кібербезпеки. Важливим трендом стає впровадження концепції zero trust (нульової довіри), в якій усі пристрої, користувачі та софт, що взаємодіє з мережею, розглядаються як потенційні загрози. За прогнозами Gartner, до 2025 року 60% організацій приймуть zero trust як відправну точку для забезпечення безпеки, однак понад половина з них не зможе реалізувати переваги цього підходу через неправильне використання його практик.
Відтак важливо приділяти увагу не лише новим технологіям, але й підготовці та тренінгам персоналу. Кожен співробітник логістичної галузі має підходити до ризиків кібербезпеки усвідомлено, мати високий рівень технічних компетенцій та "zero trust-мислення".
Висновки
Українська логістична галузь останніми роками опинилась в особливо тяжкому становищі. З одного боку, вона змушена швидко йти у диджитал, аби зберегти свою ефективність та конкурентоспроможність на тлі небачених криз. З іншого, цей бізнес ніколи не існував сам по собі, адже це частина критичної інфраструктури, яка забезпечує країні звичне, нормальне життя.
Неконтрольоване зростання кібер-вразливостей - це зворотна сторона стрімкої диджиталізації, якої ніяк не можна уникнути. Нехтування кібербезпекою може стати надзвичайно дорогою помилкою у масштабах цілої країни - спровокувати гуманітарну або політичну кризу. В українських реаліях 2022 року воно може призвести й до трагічних наслідків та людських жертв.
Тож сьогодні логістичні компанії не мають шукати відповіді на складні питання самотужки. Допомогти їм має і держава, що може формувати нові стандарти кібербезпеки та сприяти їх впровадженню, і сфера IT, яка має відповідну експертизу, фахівців та технології. Переконаний, за такої співпраці будь-які глобальні виклики можна подолати з мінімальними ризиками.
