ГОСТ Р МЭК 62443-2-1—2015
- загрязнение продукции;
- уголовную или гражданско-правовую ответственность;
- потерю служебной или конфиденциальной информации;
- потерю имиджа брэнда или доверия клиентов;
- экономические потери.
При определении приоритетности риска наступления этих последствий также важно учитывать потенциаль
ный источник или угрозу, которая инициирует кибератаки, и вероятность наступления такого события. Киберугрозы
могут возникнуть из источников внутри или вне организации. Угрозы могут быть результатом как преднамеренных,
так и непреднамеренных действий, а также быть направленными на конкретные цели или ненаправленными. Ин
циденты в системе информационной безопасности могут быть результатом факторов угрозы различных типов,
включая;
- любителей острых ощущений, любителей или аутсайдеров, которые обретают чувство власти, контроля,
собственной значимости и удовольствия посредством успешного проникновения в компьютерные сети или нена
правленных {вирусы и «черви») или направленных атак (взлом) с целью кражи или уничтожения информации или
нарушения деятельности организации;
- недовольных работников и подрядчиков, которые повреждают системы или крадут информацию изчувства
мести или для получения прибыли;
- благонамеренных сотрудников, которые случайно допустили ошибку при внесении изменений в контрол
лер или работающее оборудование;
- работников, которые нарушают политики качества, безопасности или процедуры удовлетворения других
насущных потребностей (например, производственные цели);
- террористов, как правило движимых политическими убеждениями, для которых кибератаки имеют потен
циал недорогих, низкорискованных, но мощных атак, вособенности, когда они связаны с координированными фи
зическими атаками;
- профессиональных воров (в том числе организованную преступность), которые осуществляют кражу ин
формации для продажи;
- враждебные государства или группы, которые используют Интернет как военное оружие для кибервойны,
чтобы повредить системы командования, управления и коммуникаций противника.
Документально подтвержденные случаидают представление о том. каким образом и как часто один изтаких
факторов угрозы становятся причиной негативных последствий для бизнеса. Быстрое внедрение новых сетевых
технологий привело к разработке новых инструментов, позволяющих осуществлять кибератаки. В отсутствие при
знанной общедоступной системы уведомления об инцидентах в ближайшем будущем будет крайне сложно опре
делить количественную вероятность какого-либо конкретного типа произошедшего события. Вероятность будет
необходимо оценивать качественно на основе собственной внутренней истории инцидентов ворганизации, а также
на основе нескольких случаев, документация о которых является общедоступной. Ниже представлено несколько
примеров таких случаев.
Пример 1— В январе 2003 года с одного компьютера на другой по всему Интернету и в частных
сетях быстро распространялся вирус «SQL Slammer Worm». Он проник в компьютерную сеть атом ной
электростанции «Davis-Besse»e Огайо и отключил систему мониторинга почти на пять часов,
несмотря на убежденность персонала станции в том, что сеть защищена брандмауэром. Это произо
шло из-за незащищенного соединения между станцией и корпоративными сетями. Вирус кSQL Slammer
Worm» атаковал критически важную сеть диспетчерского управления и сбора данных одной из энерге
тических компаний после перемещения из корпоративной сети в локальную сеть центра управлении.
Другая энергетическая компания потеряла сеть ретрансляции кадров, используемую для связи, а
неко торые нефтехимические предприятия потеряли HMI и архивы данных. Колл-центр 911 был
переведен в автономный режим, были задержаны авиаперелеты, а также выведены из строя банкоматы.
Пример 2— В течение нескольких месяцев в 2001 году была проведена серия кибератакна компью
теризированную систему очистки сточных вод недовольным подрядчиком в Квинсленде, Австралия.
Одна из этих атак вызвала утечку миллионов галлонов неочищенных сточных вод в местную реку и
парк. Было проведено 46 вторжений, пока преступника не арестовали.
Пример 3— В сентябре 2001 года подросток предположительно взломал компьютерный сервер в
порту Хьюстона, выбрав своей целью женщину-пользователя чата после спора с ней. Было заявлено,
что подросток намеревался отключить компьютер женщины от Интернета, бомбардируя его огром
ным количеством бесполезных данных, и ему нужно было использовать ряд других серверов, чтобы
сделать это. Во время атаки компьютерные системы планирования в восьмом по величине порту
мира подверглись бомбардировке тысячами электронных сообщений. Веб-служба порта, содержащая
важные данные для командиров судов, швартовочных компаний и вспомогательных фирм, отвечаю
щих за оказание помощи судам при входе и выходе из гавани, стала недоступной.
Организация «CERT» (группа реагирования на нарушения компьютерной безопасности) осуществляла мони торинг
и отслеживание количества атак на подключенные к Интернету системы с 1988 года. Ни один из инцидентов
33