Кибератаки на бельгийские и голландские порты расследуются прокуратурой
После раскрытия информации о кибератаках на ИТ-службы различные порты Нидерландов и Бельгии сообщили о проблемах в работе. По данным France24, терминалы Oiltanking, SEA-Tank и Evos в Генте, Антверпене, Тернезене и Антверпене сталкиваются с проблемами в своих операционных системах.
Представитель Evos сказал, что хотя их терминалы в настоящее время работают, они сталкиваются с различными задержками в результате кибератаки.
«На наших терминалах в Тернезене, Генте и на Мальте произошел сбой ИТ-услуг, что вызывает некоторые задержки в исполнении. Все операции продолжают проходить в безопасном режиме", – говорится в сообщении.
Прокуратура Антверпена уведомила Ассошиэйтед Пресс о том, что расследование началось, и этот вопрос изучается Федеральным отделом по борьбе с компьютерными преступлениями.
Несколько организаций сообщили о проблемах с разгрузкой барж из-за взлома их программного обеспечения, что затруднило обработку каждой из них.
Об этих инцидентах стало известно после того, как нефтяные компании Mabanaft и Oiltanking, принадлежащий немецкому логистическому конгломерату Marquard & Bahls Group, подверглись кибератаке, которая отключила их системы погрузки и разгрузки.
Согласно заявлению Oiltanking, они «объявили форс-мажор» и теперь их терминалы работают с ограниченной пропускной способностью.
По данным немецкой газеты Handelsblatt, в результате кибератаки около 233 заправочных станций в Германии работают в ручном режиме.
Во внутреннем отчете Федерального управления информационной безопасности Германии (BSI) было уведомлено, что за кибератакой на Oiltanking стоит группа вымогателей BlackCat .
Бретт Кэллоу, аналитик угроз Emsisoft, упомянул, что, возможно, BlackCat — это ребрендинг BlackMatter, который сам по себе является ребрендингом DarkSide.
Ранее BlackMatter ударил по японскому технологическому гиганту Olympus, но якобы прекратил свою деятельность из-за давления правоохранительных органов.
Полицейское агентство Европола ЕС заявило, что им известно об инцидентах и они оказали властям поддержку. Пресс-секретарь Европола Клэр Жорж заявила:
«На данном этапе расследование продолжается и находится на чувствительной стадии»,
Нидерландский национальный центр кибербезопасности обязался принять меры в случае необходимости и заявил, что атака «вероятно, была совершена с преступным мотивом».
Энди Нортон, специалист по киберрискам Armis, заявил, что кибербезопасность ICS не существовала десятилетиями, потому что в ней не было необходимости. Операционные и информационные технологии представляли собой независимые системы, не требующие соединения друг с другом. И устаревшие промышленные устройства не подключались друг к другу или к Интернету.
Нортон заявил:
«Считалось, что это отключение — так называемый «воздушный зазор» — обеспечивает всю безопасность, в которой нуждаются системы OT, помимо контроля физического доступа. Однако сейчас интеграция IT/OT становится нормой. Подключенные устройства передают данные, контролируют оборудование и процессы, а также поддерживают автоматизацию линий и другие функции Industry 4.0, поэтому воздушный зазор больше не является надежным методом безопасности OT».
«Поскольку ОТ и ИТ продолжают объединяться, требования кибербезопасности теперь применяются к АСУ ТП так же, как и к корпоративным сетям, но многие организации изо всех сил пытаются найти правильный подход к защите своих операционных технологий».
«Объекты, которые не могут работать безопасно, рискуют отключиться в любой момент. Атака программы-вымогателя на объект АСУ ТП может привести к остановке операций и утечке операционных и корпоративных данных в даркнет или к полному уничтожению этих данных».