Опубликовано 04.10.2022 11:18

Овощеводство — интересная отрасль для хакеров

Теплица подверглась атаке хакеров — звучит фантастически и несколько странно? Однако современные реалии таковы, что подобные нападения злоумышленников на сельхозпроизводства могут стать реальной угрозой уже в скором будущем

Внезапно в теплице становится очень жарко. Делянки–трубы нагреваются до максимума, а форточки закрыты. Системы затенения, по всей видимости, не реагирует на солнце, а система полива настроена на ноль. Компьютер климатического контроля больше не реагирует на настройки, вместо этого он выдаёт непонятное сообщение. Теперь ты — заложник. Плати или не получишь назад контроль над теплицей. Этот сценарий выглядит неправдоподобным, но в то же время не таким уж невозможным.

Овощеводство находится на острие использования современных технологий, и это делает отрасль отличной целью для хакеров. Данные и знания поставщиков, производителей и селекционеров также привлекают внимание мошенников. Марко ван Лусен (Marco van Loosen) и Патрик Данкерс (Patrick Dankers) из компании Priva объясняют, каким образом овощеводство может быть самой прогрессивной отраслью в мире и одновременно с этим несколько наивно относиться к информационной безопасности.

В феврале 2021 года в одной из Нидерландских газет вышла статья под громким заголовком «Электронный шпионаж с Востока». Специалисты сферы информационной безопасности отмечают: вирусные атаки в целях вымогательства выкупа являются серьёзным вызовом для Нидерландских компаний. Например, в феврале компьютерная сеть Нидерландской научной организации NWO была взята в заложники. Злоумышленники требовали крупный выкуп, но их требования не были удовлетворены, в результате чего конфиденциальная информация NWO была обнародована в Даркнете. По словам Марко ван Лусена, о такой опасности должны знать и овощеводы. Он вступил в должность главы по информационной безопасности компании Priva в прошлом году. Его коллега Патрик Данкерс (управляющий сектором овощеводства и плодоводства в компании) объясняет, как сельское хозяйство может оказаться мишенью для хакерской атаки. Так, одной из целей злоумышленников могут стать секретные технологии.

«Мы ожидаем, что облачные решения для сельского хозяйства станут популярными в следующие пять лет. После этого можно будет думать об автономной культивации, роботах-уборщиках урожая, предсказании урожая и других подобных алгоритмах. Кроме того, облачные решения могут использоваться для хранения данных, например, селекционных компаний. И вся эта информация может быть интересна третьим лицам», — отмечает Патрик Данкерс.

С другой стороны, эта информация не очень полезна без понимания того, как она применяется на практике, продолжает мысль Марко ван Лусен. А это, в свою очередь, делает данные о процессах в теплице целью хакеров. Сочетание технологии и технологических процессов даёт возможность применять похищенные знания где-то ещё или не отстать от конкурентов.

Вторая опасность, с которой могут столкнуться овощеводы и плодоводы, — проникновение хакеров в теплицы. «Изменение параметров или настроек, а также кража аккаунтов пользователей могут нанести серьёзный урон. При этом злоумышленники даже не всегда требуют выкуп за заложницу-теплицу, иногда атаки совершаются исключительно ради нанесения вреда. К примеру, некоторые DDOS атаки на правительство были организованы подростками, — приводит пример Патрик Данкерс. — Но кто бы ни стоял за этим, факт остаётся фактом: нарушение работы систем — это риск, который станет реальностью как на локальном уровне [теплицы], так и на уровне облачных сервисов».

Тот факт, что именно Priva заявляет об этом, удивляет. Эта компания предлагает различные услуги в сфере контроля и оптимизации сельского хозяйства через облачные технологии. Priva рада поделиться информацией о том, как эти решения помогают, например, в автоматизации теплиц или расширении сектора. «Необходимо сохранить хрупкий баланс: мы не хотим описывать сценарий апокалипсиса или сеять страх, однако эта тема беспокоит всю отрасль. В настоящее время много внимания уделяется большим возможностям, а не рискам. Поэтому Priva как поставщик решений для бизнеса желает возглавить кампанию по информированию сектора о возможностях, которые дают облачные технологии, но при этом будет делать акцент на правильном и безопасном использовании этих замечательных технологий. А бдительные и информированные сотрудники и клиенты Priva будут только способствовать этому», — говорит Патрик Данкерс.

В самой Priva информационная безопасность находится в приоритете. В прошлом году фирма наняла Марко ван Лусен, который со своей отдельной командой отвечает за информационную безопасность. При разработке новых продуктов и сервисов его команда работает на основе известных принципов информационной безопасности, а при запуске обновлений программ уделяется особое внимание защите данных. Кроме того, тесты на проникновение в системы выполняются «белыми хакерами».

«Мы выпускаем хакеров в наши сервисы и смотрим, где мы можем что-то улучшить. Вначале им разрешается попытаться проникнуть в наши программы извне, а на следующих этапах мы даём им доступ туда, чтобы они сами могли найти слабые места в системе безопасности с точки зрения клиента. Результаты оцениваются, и мы закрываем бреши. Такие двойные тесты не дают нам расслабляться и позволяют постоянно повышать уровень безопасности наших систем», — поделился ван Лусен.

Кроме этого, необходимо постоянно проводить работу на гораздо более элементарном уровне с самими клиентами. Есть довольно большая группа клиентов, которые относятся к безопасности серьёзно, но мы также понимаем, что в отрасли в целом к безопасности относятся несколько наивно. За примерами такой наивности далеко ходить не надо: есть компании, где пароли записаны на самоклеящихся листах на мониторе, где пароль для сети Wi-Fi для посетителей не менялся годами или совпадает с паролем для рабочих сетей. Ещё одно распространённое явление — фермер, который контролирует теплицу с помощью смартфона через Priva Operator, но не задумывается о том, как обезопасить свой телефон.

«В Priva мы делаем всё, что в наших силах, чтобы данные и процессы в облачных сервисах были защищены: информация находится под постоянным контролем нашей компании и остаётся с клиентом. Для обеспечения безопасности мы переходим к двухфакторной идентификации по умолчанию среди наших новых пользователей облачных систем, — продолжает Марко ван Лусен. — Таким образом мы помогаем пользователям делать выбор в пользу безопасности. Мы также просим компании самостоятельно думать о безопасности их систем, интересуемся, есть ли у них кто-то ответственный за IT. Есть ли кто-то, кто регулярно проверяет и следит за защитой данных».

«С исторической точки зрения, хакеры, конечно, не самая большая проблема для отрасли, поскольку всё эти системы пока достаточно новые. Однако наши наблюдения последних лет говорят о том, что крупные игроки стали более вовлечёнными в вопросы безопасности. Возможно, потому что уже научились на своих ошибках и заплатили за них», — говорит Патрик Данкерс. В свою очередь, Марко ван Лусен добавляет, что они уже работают с департаментами информационной безопасности крупных игроков тепличной отрасли для настройки требований по безопасности. А компании, в штате которых нет таких специалистов, могут выбрать сервис по аутсорсингу для обеспечения информационной безопасности.

К тому же фермерам обычно нет необходимости нанимать полную команду по информационной безопасности. «Фермеры часто удивляются: что им скрывать и что может пойти не так, если, например, кто-то незаметно проникнет в нашу систему и получит доступ к данным производственных процессов. Но фермеры обладают собственными, иногда уникальными знаниями, наилучшими для их условий выращивания томатов, огурцов или роз. Все эти знания, которые добывались и оттачивались годами, теперь оцифрованы и находятся в системе управления. И наверняка никто не хочет, чтобы хакеры, конкуренты или соседи получили эти сведения без ведома владельца. В то же время есть большое желание воспользоваться преимуществами и новыми возможностями облачных технологий, что, конечно, возможно, если в тепличной отрасли начнут уделять безопасности должное внимание».