Кібернапади на інфраструктуру більше не публікують у розділі шпигунських романів. Навіщо, якщо це буденність для Гамбурга? Один збій у системі – і пальне не надходить на термінали, сонячні станції зависають у «помилці з’єднання», а дані – ідуть у вільне плавання. Особливо чутливо це для енергетики, де будь-яка атака може боляче вдарити по інфраструктурі міста. Наш огляд на hamburgfuture.eu – стислий огляд того, що вже сталося в Гамбурзі, чому це тривожний сигнал для енергетичних компаній і як вони намагаються підготуватися до наступних загроз кібератак.
Які кібератаки вже були: кейси з Гамбурга і висновки для енергетики
Почнемо з найбільш резонансного: зламу компанії Oiltanking – оператора нафтотерміналів, штаб-квартира якого розташована саме в Гамбурзі. У січні 2022 року ІТ‑системи компанії паралізувала атака з використанням шкідливого програмного забезпечення. Постраждали кілька десятків об’єктів, включаючи гамбурзькі, а також клієнти на кшталт Shell. Для німецької енергетичної логістики це був ляпас – пальне не могло бути розподілене, бо системи не працювали.
Це не поодинокий випадок, а радше перший гучний дзвіночок. Наприкінці того ж року Гамбурзький університет прикладних наук (HAW Hamburg) заявив про масштабну кібератаку на свою ІТ-інфраструктуру. Освітній заклад – не енергокомпанія, але його хмара сервісів, бази даних, адміністративні модулі та система електронної ідентифікації – усе це вразливе так само як і SCADA‑системи електропостачання. Зрештою, університет готує майбутніх інженерів енергетики, працює з індустріальними партнерами.
Обидві історії мають спільний знаменник – відсутність системного публічного обміну інформацією. Про справжні масштаби атак і конкретні слабкі місця дізнаємося або з витоків, або з натяків у звітах. І це – ризик, який не менш небезпечний, ніж самі атаки. Бо без аналізу власних помилок навряд чи вдасться захиститися наступного разу.
Далі – що з цим робить сам енергетичний сектор Гамбурга. Спойлер: не сидять склавши руки.
Як енергетичний сектор Гамбурга реагує на загрозу: що реально роблять компанії
Після історії з Oiltanking у Гамбурзі швидко зникла ілюзія, що кібератака – це нас не стосується. Енергетичні компанії міста почали діяти прагматично й обережно. По-перше, кібербезпека перестала бути суто ІТ-темою та перейшла на рівень менеджменту. У міських і регіональних операторах енергетики її дедалі частіше обговорюють разом із надійністю мереж і фізичною безпекою об’єктів.
Показовим став профільний захід у Гамбурзі, присвячений захисту відновлюваної енергетики. Там ішлося про те, як захищати вітрові турбіни, сонячні парки й водневі установки, які керуються через цифрові системи. Особливий акцент – на так звану секторну інтеграцію, коли електрика, тепло, газ і водень з’єднані в одну керовану мережу. Для інженерів це ефективність, для хакерів – зручна точка входу.
На практиці це означає кілька паралельних кроків. Компанії переглядають архітектуру своїх ІТ- і OT-систем, відокремлюють критичні сегменти, проводять аудит доступів. У Гамбурзі щораз частіше залучають зовнішніх фахівців для моделювання атак – без романтики, зате з холодним розрахунком: що зламається першим і як швидко це помітять. Паралельно зростає інтерес до навчання персоналу, бо фішинговий лист і досі залишається дешевшим і ефективнішим інструментом, ніж складний технічний злам.
Є і менш очевидний момент. Гамбург як великий портовий та енергетичний майданчик дедалі сильніше залежить від ланцюгів постачання – програмного забезпечення, сервісних компаній, хмарних рішень. Тому кіберзахист у Гамбурзі виходить за межі власних серверів і охоплює партнерські системи.
Наступний рівень – правила гри. Бо навіть найкращі технічні рішення мало що варті, якщо їх не підкріплює чітка відповідальність. Тут на сцену в Гамбурзі виходить NIS2 – не теоретично, а на практиці.
Що змінює NIS2 для енергетики Гамбурга
Для гамбурзьких енергетичних компаній директива NIS2 прямо зачіпає тих, хто забезпечує місто електрикою, теплом, пальним і воднем. І головне – тепер відповідальність не ховається десь у технічних департаментах. За кібербезпеку відповідає керівництво, з усіма юридичними наслідками.
На практиці це означає кілька речей. По-перше, регулярні аудити безпеки стають обов’язковими, а не «за наявності бюджету». По-друге, про інциденти доведеться повідомляти – швидко й офіційно. Для Гамбурга, де репутація бізнесу має вирішальне значення, виконати вимогу психологічно непросто, але необхідно – і це не обговорюється. По-третє, навіть невеликі постачальники енергії та оператори мереж більше не зможуть ховатися – NIS2 дістає і до них.
Міфи і факти про кібербезпеку енергетики Гамбурга
Наостанок – кілька міфів і фактів.
Міф 1. «Німеччина – технологічна країна, тут усе давно захищено».
Факт. Кейси Oiltanking і HAW Hamburg показують протилежне. Рівень цифровізації високий, а от узгодженість захисту – ні. Саме це робить кібернапад у Гамбурзі таким болючим.
Міф 2. «Проблема стосується тільки великих гравців».
Факт. Найчастіше атакують не флагманів, а підрядників і сервісні компанії. Через них і заходять у великі енергетичні системи.
Міф 3. «Достатньо купити дороге програмне забезпечення».
Факт. У гамбурзьких інцидентах вирішальним був не софт, а організація процесів – доступи, резервні сценарії, реакція персоналу.
У найближчі роки Гамбург, скоріш за все, стане тестовим майданчиком для нової моделі кіберзахисту енергетики в Німеччині: більше прозорості, більше контролю ланцюгів постачання, менше ілюзій. Але що зробити, аби кібератак Гамбург більше не знав? Напевно, для цього потрібні асоціації на кшталт HITeC і генії типу Бернгарда Нохта.
