Одно судно под названием «Orange Star» прибывает в порт Элизабет, штат Нью-Джерси, с 38 848 кубическими метрами концентрата апельсинового сока. Один корабль, прибывающий еженедельно, обеспечивает апельсиновым соком всех крупных ритейлеров города. Если системы порта Элизабет выйдут из строя завтра из-за кибератаки, 46 миллионов потребителей в радиусе четырехчасовой автомобильной перевозки ощутят последствия в течение нескольких дней.
Угроза реальна. Недавнее приостановление работы правительства привело к временному отстранению сотрудников CISA и FEMA в критический период уязвимости. Правовая база, позволявшая обмениваться разведывательными данными об угрозах между правительством и промышленностью? Она истекла 30 сентября, когда Конгресс не смог продлить срок действия Закона об обмене информацией о кибербезопасности 2015 года. А вредоносное ПО? Оно уже на месте, преднамеренно размещено акторами, связанными с государством, которые ждут подходящего геополитического момента для его активации.
Это то, что можно назвать «идеальным штормом уязвимости», и он прямо сейчас обрушивается на морскую инфраструктуру США.
Доказательства не теоретические
В конце 2024 года хакеры атаковали порт Сиэтла с помощью программы-вымогателя, требуя 6 миллионов долларов и угрожая опубликовать конфиденциальные данные в даркнете в случае невыполнения их требований. Но реальная угроза выходит далеко за рамки случайных злоумышленников, использующих программы-вымогатели.
Будучи членом Комитета по безопасности морской зоны (AMSC) Сектора Нью-Йорка при Береговой охране США, я на собственном опыте вижу, как морские объекты готовятся к новым требованиям кибербезопасности Title 33 CFR, вступившим в силу в июле 2025 года. Некоторые порты, такие как Порт-автономия Нью-Йорка и Нью-Джерси, обладают ресурсами и зрелостью для соблюдения этих требований. Они годами проводят тесты на проникновение, учения «красной команды» и штабные учения.
Но как насчет остальных более чем 2300 объектов, регулируемых Законом о безопасности морских перевозок (MTSA)?
Рассмотрим порт Си-Порт-Манати во Флориде — объект, который в 2024 году перевалил 11,8 миллиона тонн грузов, обеспечив экономический эффект в 7,3 миллиарда долларов. В июне 2024 года они потратили 97 500 долларов на оценку кибербезопасности, 75% которой было профинансировано за счет Грантовой программы FEMA по безопасности портов Министерства внутренней безопасности. Это один объект, который действует правильно. Но пока они еще восстанавливались после ущерба от урагана «Милтон», сколько мелких объектов боролись за то, чтобы найти хотя бы такой уровень финансирования?
Когда в 2023 году японский порт Нагоя подвергся атаке программы-вымогателя, первоначально приписываемой связанной с Россией группировке LockBit, центральная компьютерная система была скомпрометирована, а грузовые операции были приостановлены на несколько дней. Блокировка Суэцкого канала в 2021 году контейнеровозом Ever Given — физический инцидент, а не кибер — привела к остановке торговли на сумму около 10 миллиардов долларов в день. А теперь представьте, что подобный сбой был вызван преднамеренно вредоносным ПО, уже внедренным в портовые системы, такие как козловые краны.
Это проблема кадров, а не поставщиков
Новые правила требуют, чтобы все 3000 объектов MTSA назначили сотрудника по кибербезопасности (почему Береговая охрана назвала их CySO, а не просто CISO, мне неизвестно). Найти сотни квалифицированных специалистов, которые разбираются как в операционных технологиях в морской среде, так и в кибербезопасности, практически невозможно. Многие объекты рассматривают IT-специалистов, которым потребуется дополнительное обучение по морским технологическим системам и активам со сроком службы более 30 лет. Это сильно отличается от списания капитальных затрат на ноутбук каждые 3–5 лет.
Особенно вызывает беспокойство тот факт, что тысячи CISO рассматривают возможность ухода со своих корпоративных должностей, потому что устали быть козлами отпущения, когда происходят утечки данных. Надеюсь, некоторые из них теперь ищут подработку в качестве частичных подрядчиков для морских объектов, рассматривая это как способ смягчить потерю работы, занимаясь при этом чем-то, что приносит им истинное удовлетворение. В случае найма они сразу увидят преимущества своей работы, улучшающей состояние безопасности портового объекта в их родном городе.
Это наша стратегия защиты критически важной инфраструктуры: измотанные профессионалы, подрабатывающие в свободное время, потому что объекты не могут позволить себе штатных квалифицированных сотрудников.
Что разработчики и команды безопасности могут реально сделать
Если вы читаете это и думаете: «Я не работаю в порту, почему это важно?», подумайте о собственных зависимостях в цепочке поставок. Ваша компания, скорее всего, предоставляет услуги, используя сторонние решения, многие из которых зависят от морской логистики, о которой вы никогда и не задумывались. Системный риск, возникающий в сложных системах, означает, что остановка порта не просто задерживает доставку Amazon.
Во время пандемии мы не могли достать туалетную бумагу или ноутбуки. Наши цепочки поставок были глубоко нарушены кризисом в области здравоохранения. А теперь представьте себе подобный повсеместный сбой, вызванный преднамеренно, когда сотрудники правительственных органов по кибербезопасности были временно отстранены в критический момент, или когда отсутствовала правовая база для безопасного обмена информацией об угрозах, поскольку Конгресс позволил ей истечь.
Три конкретных шага на этот квартал:
- Если вы отвечаете за критически важную инфраструктуру или предоставляете услуги для основных систем цепочки поставок, проведите реалистичную оценку устойчивости того, что 72-часовое нарушение морской логистики будет означать для ваших операций. Не теоретическую оценку рисков, а практическое упражнение по обеспечению непрерывности бизнеса.
- Для объектов среднего размера, сталкивающихся с этими требованиями, заложите в бюджет от 20 000 до 25 000 долларов на тестирование на проникновение. Изучите Грантовую программу штатов и муниципалитетов по кибербезопасности FEMA (SLCGP), хотя имейте в виду, что они часто требуют софинансирования. Еще лучше, найдите способы сотрудничества между академическими кругами, частным и государственным секторами, такие как MTS-ISAC, вместо того чтобы действовать в изоляции.
- Если вы CISO и задумываетесь о своем карьерном пути, учтите, что морским объектам отчаянно нужна ваша экспертиза. Это не корпоративный театр безопасности. Это работа, имеющая критическое значение для защиты инфраструктуры, от которой зависят миллионы людей. От которой зависят вы и ваши семьи.
Звон оружия становится громче
Текущий геополитический климат ставит морскую безопасность на повышенный уровень готовности к международному конфликту. Если бы государство хотело препятствовать вмешательству США в какую-либо форму агрессии в Азиатско-Тихоокеанском регионе, Южной Америке или где-либо еще, предполагается, что вредоносное ПО уже находится на месте и готово к активации.
В рамках AMSC мы постоянно прорабатываем сценарии. Что считается инцидентом, когда уровень MARSEC (MARitime SECurity — Морская безопасность) необходимо повысить с 1 до 2 из-за угрозы кибербезопасности? Уровень MARSEC 2 требует дополнительных мер безопасности на определенный период времени для морских объектов и судов.
Это то, чего еще не произошло, но к чему мы постоянно готовимся. Проблема в том, что любое компрометирование систем безопасности в порту приведет к остановке всего порта. Существует элемент системного риска для сложной экосистемы, которую поддерживают порты, включая железные дороги, грузоперевозки, судоходство, топливо или, да, ту еженедельную доставку апельсинового сока.
Береговая охрана США получила довольно широкие полномочия в случае инцидента. Но эти полномочия оказываются под угрозой, когда сотрудники CISA временно отстранены, а обмен информацией об угрозах потерял свою правовую защиту. Мы можем ожидать, что владельцы активов и отраслевые агентства продолжат сотрудничать, но они будут делать это с дополнительным (и избегаемым) риском.
План действий на понедельник утром
Я жил на Манхэттене во время первых локдаунов из-за COVID. Я видел, как команды спецназа с винтовками занимали позиции на крышах напротив продуктовых магазинов. Это было планирование на случай чрезвычайных ситуаций, которое, к счастью, не потребовалось активировать. Но оно выявило нечто важное: все, что угрожает возможности приобретения основных товаров, быстро обострится до такой степени, которую мы предпочли бы не рассматривать.
Пример с апельсиновым соком — это не про апельсиновый сок. Он о том, что представляет собой «Orange Star». Сложная система, скрепленная устаревшей инфраструктурой, которую теперь должны лучше обезопасить 3000 объектов, с сотрудниками по кибербезопасности, которых у них нет, используя грантовое финансирование, застрявшее во время приостановки работы правительства, в то время как правовая база для обмена информацией об угрозах истекла, а вредоносное ПО, размещенное государством, бездействует в их системах.
Что вам следует сделать в понедельник утром: поднять вопрос о риске кибербезопасности на обсуждения с избранными должностными лицами, советами директоров и обычными гражданами. Примите мантру реагирования на инциденты: вопрос не в том, произойдет ли это, а лишь в том, когда.
Как специалист по информационной безопасности, проработавший в этой отрасли более 30 лет, который стоял у истоков крупных сайтов электронной коммерции во время пузыря доткомов Web 1.0, а затем строил и защищал банки и критически важную инфраструктуру в последующие годы, я не испытываю оптимизма. Хватит ли у нас смелости и упорства сделать то, что необходимо?
Мы должны работать вместе сейчас с сосредоточенностью, убеждением и энергией, потому что альтернатива немыслима. Я упоминаю слово «энергия», потому что считаю, что должна быть творческая сила в том, как мы отстаиваем нашу коллективную устойчивость и как мы защищаем наше сообщество, нашу демократию и наш образ жизни.
Нет плана реагирования на идеальный шторм. Только подготовка до его наступления.
Эта статья публикуется в рамках Foundry Expert Contributor Network.
Хотите присоединиться?
Автор – Mike Wilkes
