ИТ Thames Water разваливается и регулярно подвергается кибератакам

Издание Guardian продолжает шокировать своими находками о деятельности Thames Water, частной компании, управляющей водными ресурсами Великобритании. Компания, как выяснилось, полагается на устаревшие ИТ системы с крайне тревожными уязвимостями в части безопасности. Некоторые ИТ системы были введены в эксплуатацию в 1980х годах и безнадежно устарели. ИТ системы настолько «древние», что они легко становятся целью кибератак. Сотрудник ИТ поддержки заявляет, что порой ему приходится использовать клейкую ленту и клей, так как зап.частей к устаревшему оборудованию просто нет. В компании используют Lotus Notes. Использование Lotus Notes – сигнал о том, насколько компании не хватает инвестиций в технологии с момента приватизации в конце 1980х гг. Другой пример устаревших или почти устаревших технологий – это использование 2G, огромного количества аналоговых счетчиков, требующих проверки человеком мануально, а также оборудование, которому более 30ти лет. Поставщики компании сообщили, что получали доступ в зоны, где стоит чувствительное ИТ оборудование, без специальных допусков. Thames уже объявила, что приняла амбициозный план на 2025-2030 года, в рамках которого необходимо выделить как минимум £20,7 млрд. для соответствия ожиданиям клиентов и выполнения обязательств по сохранению окружающей среды. Регулятор по водным ресурсам сообщил, что работает в тесной связке с другими регуляторами, чтобы мониторить вопросы соблюдения безопасности водных ресурсов и кибербезопасности в компании.

Siddharth, сотрудник Thames Water: «ПО, которые мы используем, и инфраструктура старше моего отца». Siddharth работает в службе ИТ поддержки и каждый день пытается поддерживать устаревшую ИТ инфраструктуру в Thames Water.

Иногда защита оказывается не в состоянии противостоять угрозам. Thames, крупнейшая управляющая водными ресурсами компания Великобритании, находится «на грани». Ее устойчивость зависит от очень старой- часто викторианских* времен – инфраструктуры.

* Викторианской эпохой (1837 — 1901 годы) называют годы правления в Англии Виктории, королевы Великобритании и Ирландии.

Хотя трубам, магистралям и стокам уделяется много внимания, тем не менее упускается из виду другая большая проблема компании – ИТ система. Некоторые ИТ системы были введены в эксплуатацию в 1980х годах и безнадежно устарели.

Источник Guardian: ИТ системы настолько «древние», что они легко становятся целью кибератак.

Siddharth, 20 лет: «Инфраструктура разваливается буквально на глазах. Мы поддерживаем работоспособность систем, заменяя вышедшие из строя компоненты на такие же устаревшие. Но у нас уже не осталось запасов этих зап.частей. Мы в буквальном смысле используем клейкую ленту и клей. Мы не можем выключить оборудование, так как выяснили, что если выключим, то не сможем включить».

В Whitehall* и за его пределами растет беспокойство: в эпоху повышенного риска, начиная от шпионажа до атак на национальную критическую инфраструктуру, уязвимость Thames и других компаний все больше привлекает внимание. Компания обслуживает 16 млн клиентов в Лондоне и Thames Valley. Клиенты опасаются последствий серьезной атаки или сбоя ИТ систем.

* Whitehall. Улица Уайтхолл (Whitehall) существует несколько столетий и даже дала название британскому правительству — часто, когда речь идет о сообщениях правительства, говорят: «Уайтхолл заявил...»

Споры о финансовом состоянии Thames Water на фоне огромных дивидендов и увеличивающейся долговой нагрузки, а также критика того, как компания непрофессионально управляет сточными водами, затмевает тщательное изучение деятельности компании.

Регулятор водных ресурсов Ofwat* несет ответственность за устойчивость системы управления водными ресурсами в Англии. Другой регулятор - Drinking Water Inspectorate (DWI) – отвечает за безопасность питьевой воды и безопасность ИТ систем, включая кибербезопасность.

* Ofwat - Управление водоснабжения и канализации в Англии и Уэльсе

Штат регулятора DWI – всего лишь 50 человек. Давление на них огромное. Они несут ответственность за то, является ли питьевая вода, которую предоставляют жителям Англии и Уэльса такие компании как Thames, безопасной для потребления.

DWI уже направила Thames уведомление о обязательном исполнении своих обязанностей на физическом объекте компании в начале этого года.

Siddharth и другие работники компании: часть основных ИТ систем компании Thames работает на ПО Lotus Notes, версия 1980-х годов и начала 1990-х гг., которую никто не обновлял.

Thames подтвердила, что до сих пор использует Lotus Notes. Однако источник издания сообщает, что Lotus Notes – только «база данных», а не «критические» системы.

Использование Lotus Notes – сигнал о том, насколько компании не хватает инвестиций в технологии с с момента приватизации в конце 1980х гг.

Другой пример устаревших или почти устаревших технологий – это использование 2G, огромного количества аналоговых счетчиков, требующих проверки человеком мануально, а также оборудование, которому более 30ти лет.

Явная нехватки инвестиций в ИТ системы создает серьезную угрозу водным ресурсам Лондона и юго-востока на фоне рисков атаки киберпреступных групп. Кибератаки на системы Thames уже совершались.

Есть предположение, что эти атаки связаны с Россией. Атаки вывели на некоторое время часть операций. Thames отказалась комментировать кибератаки.

Источники Guardian сообщили, что в Thames нет возможности отключить ряд функций и установить базовые протоколы кибербезопасности и устойчивости систем.

Кибер группировка от GCHQ (National Cyber Security Centre) предупреждала об атаках на водные ресурсы со стороны «государственных структур, симпатизирующих СВО».

Источники внутри компании заявляют о целом спектре ИТ оборудования, которое небезопасно.

По данным источников, можно получить доступ к чувствительному оборудованию компании, не проходя специальные проверки на безопасности.

Подрядчик Thames входил в зоны, где установлено чувствительное ИТ оборудование, не получая специальных допусков, и устанавливал инфраструктурное оборудование в компьютеры.Thames отказалась от комментариев о допуске подрядчиков к зонам чувствительного ИТ оборудования.

Представитель регулятора Drinking Water Inspectorate: «DWI считает, что безопасность питьевой воды – наивысший приоритет для компании, управляющей водными ресурсами. Если возникают какие-либо уязвимости, компания обязана уведомить регулятора».

DWI: «Персонал компании имеет возможность сообщить об инцидентах напрямую регулятору. Регулятор проведет расследование и предпримет соответствующие действия. Регулятор придерживается программы мониторинга рисков»

Представитель Thames Water: «Благополучие и безопасность наших коллег и клиентов -наш главный приоритет. Мы поставляем клиентам 2,6 млрд литров воды ежедневно. Наша вода считается одной из самых чистых в мире.

Мы открыто говорим о проблеме «дефицита активов» и вызовов, с которыми мы столкнёмся при удовлетворении будущего спроса. Компания приняла амбициозный план на 2025-2030 года, в рамках которого необходимо выделить £20,7 млрд и еще £3 млрд (резервный бюджет), чтобы соответствовать ожиданиям клиентов и выполнять обязательства по сохранению окружающей среды».

«Более того, мы соблюдаем все обязательства по защите персональных данных клиентов и поддерживаем критические ИТ системы».

«Мы контролируем наш бюджет, как любая компания, которая находится на этапе восстановления».

Представитель Ofwat: «Guardian подняла много серьезных проблем о деятельности Thames Water. Мы предпримем действия, если получим подтверждения о нарушении компанией своих обязательств».

«Мы уже заставили Thames Water значительно инвестировать в улучшение операционной деятельности и финансовую стабильность. Разумеется, самое важное, чтобы компании, управляющие водными ресурсами, обеспечивали безопасную и надежную поставку воды. Компания уже сделала запрос на увеличение расходов, чтобы решить вопрос о здоровье своих активов. Мы также мониторим этот запрос и отчетность, которую предоставляет Thames. Мы объявим о нашем решении об увеличении расходов в декабре».

«Оценивая бизнес-кейс, представленный компанией, мы тесно работаем с другими регуляторами, в том числе с Drinking Water Inspectorate ( в части безопасности и кибербезопасности услуг по предоставлению водных ресурсов), Health and Safety Executive и National Cyber Security Centre (в части кибербезопасности)».

Ссылка на статью: