На одной из недавних профильных конференций прозвучала мысль об отсутствии значимых бизнес-рисков взлома бортовой системы автомобиля. Логика понятна: ну, авто и авто, его стоимость по сравнению с другими корпоративными активами незначительна, товар серийный — легко поддается замене.
Предлагаю разобраться.
Возьмем пять ключевых секторов российской экономики — госуправление и ОПК, промышленность, АПК, финансы и транспорт. Идентифицируем модели использования авто в разрезе каждого из них, определим угрозы и опишем итоговое влияние на бизнес.
Модели использования (use cases) корпоративного автотранспорта:
- перевозка топ-менеджмента — все отрасли;
- перевозка секретоносителей — госуправление, ОПК;
- перевозка работников — ОПК, промышленность, АПК;
- поставки сырья — промышленность, АПК;
- поставки готовой продукции — промышленность, АПК;
- перевозка денежных средств — финансы;
- оказание транспортных услуг — транспорт.
Перевозка топ-менеджмента может быть сорвана конкурентами (актуально во время корпоративного конфликта за важный актив или поглощения), топ-менеджер может быть физически устранен (путем вмешательства в работу автомобиля или отслеживания передвижений автомобиля), автомобиль может послужить каналом утечки ценной информации (подслушка через встроенный микрофон или отслеживание передвижений автомобиля).
Перевозка секретоносителей с точки зрения информационной безопасности является частным случаем перевозки топ-менеждмента, основная проблема — автомобиль как канал утечки ценной информации.
Перевозка работников может быть использована для компрометации компании перед государственными органами, в частности регулятором в сфере промышленной безопасности (через рост показателей смертности на производстве из-за ДТП), а также для ослабления способности компании выполнять ежедневные операции при существенных потерях среди работников.
Поставка сырья в промышленности является не только существенной статьей затрат (потери закупленного сырья негативно скажутся на операционной рентабельности бизнеса), но и необходимой предпосылкой для непрерывного функционирования производственных процессов. Непредвиденная остановка бизнес-процессов из-за нехватки сырья (например, нехватка корма для птиц или остановка доменной печи) влечет немедленные убытки и дополнительные затраты на восстановление производства. Особенно актуален риск сейчас, когда в целях снижения затрат промышленность внедряет lean-подходы и минимизирует запасы сырья.
Поставки готовой продукции не только формируют доходную часть отчета о прибылях и убытках предприятия, но и предоставляют необходимую для функционирования предприятия денежную ликвидность. Приостановки поставок, недопоставки приводят к недополучению прибыли, необходимости привлекать оборотный капитал на финансовых рынках (например в кредит под 20% годовых), а в случае скоропортящихся продуктов АПК — и к невозможности дальнейшей реализации продуктов.
Перевозка денежных средств — очевидная цель для криминалитета, автомобиль может быть использован как канал утечки схем инкассации, так и для выведения из строя инкассаторов во время ограбления.
Оказание транспортных услуг зависит от правильной работы всех узлов автомобиля, несанкционированное вмешательство в его работу создает бизнесу проблемы в части роста издержек и возможность недополучения дохода, штрафных санкций от клиентов в случае невыполнения доставки в срок.
Конечно, не все из описанных рисков актуальны уже сейчас. В отдельных случаях приняты другие методы конкурентной борьбы, есть очевидные предохранители (например, склады сырья), могут быть использованы неизвестные автору компенсирующие контрольные меры, да концепция Connected Car еще не настолько развита (нет технологии — нет уязвимости). Но с каждым годом будет оставаться все меньше неподключенного к Сети автотранспорта и риски будут расти.
Пока еще не поздно, стоит посмотреть на покупку автотранспорта как на введение в корпоративный периметр еще одной информационной системы, со стандартной необходимостью предварительного анализа рисков, формирования портфеля сдерживающих мер ИБ и тестирования уровня защищенности перед передачей в продуктив.
Благо, архитектуры информационных систем автомобилей сравнительно просты (например, им далеко до ERP), а фирмы-поставщики услуг анализа защищенности могут быть рады дать значительные скидки за возможность получить первые коммерческие проекты и отзывы клиентов в области ИБ автотранспорта.
Автор статьи — сертифицированный специалист по управлению информационной безопасностью корпоративных и облачных ландшафтов, член ISACA, ASIS, ACFE.