Скрытая угроза: как умным лифтам не стать лазейкой для хакеров
Современные подъемники, подключенные к интернету или другим сетям передачи данных, уже становились мишенью для кибератак. Эксперты рассказали об эффективных стратегиях защиты, повышающих уровень безопасности жильцов и персонала зданий, где используются интеллектуальные технологии.
Минимизируем риски
В последнее время в мире участились случаи несанкционированных проникновений в системы управления лифтами. Не миновали такие инциденты и Россию. По информации СМИ, в начале июля 2024 года у злоумышленников получилось взломать контроллеры SCADA-систем, отвечающих за работу лифтового оборудования, и использовать их в качестве плацдарма для дальнейших атак на госсектор и частные компании нашей страны.
Самая очевидная цель хакеров — получить контроль над управлением лифта, системой двусторонней связи или видеонаблюдением.
— Но не все так однозначно, — считает руководитель ООО «Могилёвлифт» Анатолий Черников. — Умные контроллеры (SCADA) являются в некотором роде самостоятельными мини-компьютерами: система SCADA состоит из программных и аппаратных компонентов и позволяет удаленно и на месте собирать данные с промышленного оборудования, в том числе и лифтового. Но важно учитывать, что лифты — это сложные многокомпонентные системы, и взлома одного из компонентов, скорее всего, недостаточно, чтобы повлиять непосредственно на работу оборудования в целом. Хотя, обнаружив уязвимость в подобных устройствах и получив к нему доступ, злоумышленник может попытаться отсканировать его в поисках новых возможностей для взлома, а также использовать такое устройство в иных целях, например для последующей атаки на какое-нибудь предприятие через сеть интернет.
— Есть ли механизмы защиты от несанкционированного проникновения?
— Лифтовое оборудование не должно соединяться с серверной стороной открыто, — поделился своим мнением сетевой инженер связи и систем коммутации ООО «Могилёвлифт» Артем Тарасов. — Для минимизации рисков эксплуатирующие компании поверх сети интернет организовывают свои виртуальные частные сети (VPN-туннели) с надежным шифрованием данных, обеспечивающие безопасное взаимодействие между сетевыми узлами лифтового оборудования в зданиях и контролирующими серверами. Система мониторинга регистрирует ключевые события в серверной части, а также запросы на установление различных соединений от оконечных устройств, затем пишет их в базу данных для возможности последующего анализа и выявления нетипичного поведения. На предупреждение известных и выявляемых в процессе эксплуатации оборудования типов атак в системе мониторинга создаются определенные триггеры, при срабатывании которых автоматически выполняются некоторые действия, необходимые для нейтрализации угрозы, а также отправляются информационные сообщения о событии в группу ответственных специалистов.
— А если принципиально не подключать к интернету устройства, которые могут работать автономно? Тогда никакие хакеры их в принципе не взломают…
— Мы все понимаем, что в связи со все бо́льшим использованием удаленных систем контроля через сеть интернет растут и риски взлома софта. Самое безопасное, конечно, — организация локальных доступов. Это не всегда легко реализуемо в многоквартирных домах из-за необходимости дополнительно оборудовать помещения и держать персонал, — поделилась своим мнением руководитель ООО «НС-ЛИФТ» Ирина Степанова. — Основной защитой является усиление парольной политики в компаниях, использование дополнительных кодировок, обновление антивирусных программ, ввод двухфакторной аутентификации, есть возможность замены сети интернет радиоканалом. Ну и разработчики систем тоже не дремлют.
Защитить точку доступа
Сегодня практически все компании, обслуживающие лифты, стремятся к организации удаленного управления их системами. Активно используются беспроводные технологии для связи с диспетчерскими пунктами или другими устройствами. Однако они потенциально могут стать точкой для входа хакеров. Необходимость подниматься по лестнице, пока подъемник не работает, — это, пожалуй, минимальная неприятность при подобных взломах. Гораздо серьезнее будут последствия, если злоумышленникам удастся удаленно вызвать сбой в системе безопасности всего оборудования здания и осуществить, к примеру, доставку вредоносного программного обеспечения.
— Действительно, сейчас большое количество лифтов в новостройках оснащены функциями удаленного доступа, — соглашается генеральный директор Санкт-Петербургского лифтового завода Дмитрий Мареев. — Однако диспетчерский пункт, помимо своих основных функций, также обеспечивает контроль за работой оборудования, сигнализирует об обнаружении неисправностей в его работе, в том числе о случае несанкционированного доступа к станции управления. И такие возможности будут только расширяться, так как в этом направлении сейчас работают многие заводы и производители станций управления, разработчики программного обеспечения. Протоколы мониторинга защищены, и взломать удаленно станцию управления не получится, по крайней мере повлиять на ее безопасное функционирование уж точно не удастся. Доступ возможен только физически, непосредственно через саму станцию управления с использованием специального оборудования.
По мнению технического специалиста ООО «KOYO Lift» Романа Хоменко, чтобы эффективнее защитить оборудование от хакерских атак, необходимо улучшить систему сетевой безопасности и прежде всего обратить внимание на канал передачи данных. Также важно учитывать человеческий фактор: должна быть усилена проверка личности специалиста, имеющего доступ к системе, и легитимности его действий.
— При дистанционном управлении лифтом необходимо помнить о соответствующих ограничениях, — рассказал специалист. — Например, нужно придерживаться только стандартной системы связи и сигнализации лифта. В случае серьезных изменений параметров или других отклонений стоит приостановить использование удаленного управления.
В компании следуют классической стратегии обеспечения безопасности. SaaS-сервис позволяет не только защитить оборудование от хакерских атак, но и выявить неисправности лифта и провести их тщательный анализ. Дистанционное управление происходит с помощью основных протоколов HTTPS, SSH, RDP и так далее, тем самым сохраняется целостность и конфиденциальность данных во время их передачи. Проверка сетевой безопасности осуществляется ежегодно.
Технология IoT (интернета вещей) позволяет контролировать работу лифта в любой момент времени. IoT-платформа предоставляет отчеты статистического анализа работы и состояния лифтов, что способствует более эффективному их использованию и, конечно, повышению уровня безопасности жильцов.
Контроля много не бывает?
Мнения экспертов по поводу внедрения многофакторной аутентификации (МФА) для систем контроля доступа лифта, кроме карточки доступа, разделились.
— Вопрос использования биометрии — очень тонкий, без согласия пользователя собирать такую информацию запрещено, тут необходим баланс в рациональности внедрения этих систем в лифтах, чтобы впоследствии не было утечки таких данных, — считает генеральный директор Санкт-Петербургского лифтового завода Дмитрий Мареев. — Обычно этот метод аутентификации используют на закрытых предприятиях и секретных объектах. Для многоквартирных домов и бизнес-центров в ней нет необходимости.
В целом поддерживает внедрение многофакторной аутентификации в системах контроля доступа генеральный директор ООО «Траст лифт» Сергей Тимофеев. Такие меры, по его мнению, не только повысят безопасность пользователей и помогут предотвратить нежелательные инциденты, но и будут способствовать созданию более безопасной городской инфраструктуры в целом.
— Биометрические технологии делают процесс идентификации быстрым и удобным, что особенно важно в общественных местах, где пользователи могут не всегда иметь при себе карты доступа. К тому же это надежная защита от подделок, так как биометрические данные уникальны для каждого человека и не могут быть просто скопированы или переданы другому лицу, — считает руководитель предприятия.
Также он видит несколько перспективных направлений для внедрения МФА: установка камер на входах в лифты, которые будут сканировать лица пользователей и сопоставлять их с базой данных; использование сканеров отпечатков пальцев на панелях управления лифтами для быстрой аутентификации. Такой метод, как распознавание радужной оболочки глаза, также может быть рассмотрен в качестве варианта для повышения уровня безопасности.
— Распознавание лиц, радужной оболочки глаза, отпечатков пальцев и другие новейшие технологии позволяют нам, во-первых, ускорить процесс прохода пассажиров, а во-вторых, предотвратить риски, возможные при использовании карточек доступа, — отмечает технический специалист KOYO Lift Роман Хоменко.
Руководитель ООО «НС-ЛИФТ» Ирина Степанова уверена, что контроля много не бывает.
— Уже сегодня существуют зашифрованные дополнительным кодом ключи доступа, есть возможность кодировки отдельных этажей. Мы живем в век цифровизации, и разработчики умных систем не стоят на месте, — говорит она.
Слово — за потребителем
Все эксперты единодушны в том, что необходим комплексный подход к обеспечению защищенности лифтовых систем, включающий технические, организационные и правовые меры, что позволит минимизировать риски успешных хакерских атак и обезопасить критически важную инфраструктуру от киберугроз.
Заместитель генерального директора ЗАО «Предприятие ПАРНАС» Ольга Егоренко уверена, что на сегодняшний день, помимо удаленного управления и мониторинга, контроля доступа, планово-предупредительных систем профилактики, все более актуальными «умностями» для лифтов становятся грамотный расчет пассажиропотока (это к вопросу о высотных зданиях и скоростных лифтах) и защита информационных каналов.
— Но готов ли потребитель правильно сформулировать требование: какие именно из умных функций должны быть в лифте реализованы и что ожидать в результате от их работы? — задается она вполне закономерным вопросом.
Эксперт признает, что пока такой готовности не наблюдается. Но, вероятно, подобный заказ сформируется довольно скоро. И сегодня, по ее мнению, хорошо было бы окончательно утвердить в запросе заказчика требование на реальное качество отечественного продукта и информационную безопасность.
— Нам необходимо внедрять умные технологии и умное хозяйствование, стремиться к развитию внутреннего лифтового рынка, к рациональным отраслевым решениям и, как бы пафосно это ни звучало, – промышленному суверенитету страны, — резюмировала она.
Включить «автопилот». Современные технологии позволяют ускорить строительство
Современные информационные технологии позволяют ускорить этапы строительства и усилить контроль над ними. Внедрение этих сервисов требует дополнительных финансовых затрат, но их использование впоследствии положительно отражается на эффективности деятельности компании.
Эксперты выделяют три основных вида автоматизированных систем, которые сейчас активно используются в строительстве. Все они помогают оптимизировать и ускорить технологическую и экономическую деятельность компании.
Три в одном
К первому виду относятся приложения САПР (системы автоматизированного проектирования). Они управляют проектированием в 2D и 3D, дизайном и т. п. Здесь есть и российские, и зарубежные нишевые решения.
Второй вид – это системы учета, начиная от классических ERP (планирование ресурсов предприятия) и заканчивая специфическими решениями, актуальными именно для строительной отрасли. Например, для учета работ подрядчиков на строительной площадке подходит российская разработка «1С:Подрядчик строительства». «Это достаточно простое и доступное решение. Зарубежные аналоги – более дорогие», – говорит исполнительный директор компании «Первая форма» Михаил Хаскельберг.
Третий вид автоматизированных систем связан с управлением, решением операционных задач, поддержкой принятия решений и контроля исполнения поручений. Оптимально для этого использовать BPM-платформы.
Специализированное программное обеспечение помогает справиться с большими объемами информации, ускоряет поиск «узких мест» и увеличивает возможности для роста, отмечает генеральный директор ITLand Сергей Лебедев. По его словам, обычно в первую очередь автоматизируют ключевые процессы – трудоемкие, с большим количеством операций и документов, комплексно их объединяя. Наиболее эффективно использовать единовременно ERP, PM и BIM. Информационное моделирование зданий (BIM) задействует 3D-модели объектов, сопоставляя их с информацией из ERP и PM о материалах, работах, подрядчиках, сроках, стои-мости. Соответственно, девелоперская компания получает сквозной контроль над полным циклом работ, от проектирования до эксплуатации.
Тем не менее, по мнению исполнительного директора компании DMSTR Антона Романова, комплексный процесс автоматизации на сегодняшний день является достаточно сложным, трудоемким и не всегда применимым в условиях современного строительства. К тому же автоматизация требует достаточно больших затрат, которые окупаются при «длинном» сроке реализации проекта, и с наибольшей долей вероятности – не по одному объекту. «Что касается унификации IT строительной отрасли, на мой взгляд, сегодня говорить об этом несколько преждевременно, так как непременным и обязательным условием для внедрения унификации в любой сфере деятельности является унификация составных элементов автоматизированной системы. В строительстве сейчас, несмотря на наличие множества передовых технологий, существует ряд моментов, которые процесс автоматизации не охватывает», – считает Антон Романов.
Работа на перспективу
Как рассказывают представители группы компаний Softline, стоимость внедрения автоматизированных систем может быть очень разной и зависит от величины и потребностей бизнеса. Внедрение простых систем автоматизации в сегменте среднего и малого бизнеса может уложиться в сумму порядка 2 млн рублей. Масштабные проекты в крупных строительных компаниях, имеющих в активах большие производственные мощности, будут стоить в разы дороже, иногда затраты доходят до миллиардов рублей. По мнению руководителя отдела САПР и ГИС группы компаний Softline в Москве Дмитрия Русина, целесообразность их применения зависит от постановки задачи, бюджета на закупку ПО и оборудования, а также конечных целей, которых нужно достигнуть за определенный временной интервал. «Программные решения позволяют автоматизировать управление проектом в целом и организовать эффективный обмен данными между всеми участниками строительного производства для оперативного принятия решений на всех этапах его реализации», – добавляет он.
По словам руководителя компании «ИМПУЛЬС-ИВЦ» Дмитрия Марикуца, в среднем, как показывает практика, стоимость внедрения программ автоматизации всех строительных процессов варьируется в пределах 1–2% от готовой выручки компании. Затратно это для строительной компании или нет, безусловно, решать собственникам, отмечает он. Наиболее правильно рассматривать такой проект как инвестиционный, направленный на повышение эффективности (рост объема производства и экономию затрат по всем направлениям). Ведь современная система автоматизации позволяет держать все строительные процессы под контролем и окупает себя в разумный срок.
Руководитель направления компании «БАРС Груп» Тимур Валиев отмечает, что при использовании системы автоматизации важно ее взаимодействие с информационными ресурсами участников рынка на каждом этапе жизненного цикла объектов капитального строительства: «В рамках каждого этапа – у всех свои бизнес-процессы и свои информационные ресурсы от различных вендоров. И на каждом этапе необходимо обмениваться этими данными – как с информационными ресурсами других участников процесса, так и с государственными информационными ресурсами. К сожалению, сегодня пока отсутствуют государственные стандарты и форматы такого взаимодействия».
Непосредственно под объекты строи-тельства в ближайшее время будут создаваться индивидуальные сервисы по управлению производством работ, основанные на шаблонах для различных типов объектов, считает директор департамента по работе с проектными организациями Partner Projects Division компании Schneider Electric Дмитрий Бибик. «В соответствии с сервисами будет выстраиваться дальнейшее взаимодействие участников процесса: подрядчиков, заказчиков, надзорных органов и проч. По полученной исполнительной модели можно будет проводить анализ качества выполненных работ. Сейчас технологии автоматизации строительных процессов находятся на начальных этапах развития, поэтому затраты на внедрение таких технологий вряд ли будут низкими, при том, что качество новых инструментов будет относительно невысоким. Однако, несмотря на это, использование подобных приложений будет сокращать затраты на строительство», – полагает эксперт.
Директор компании «СибКапСтрой» Сергей Басараб считает, что пока рано говорить о необходимости широкого применения технологий автоматизации: «Если быть точнее, их нужно применять там, где нужно, где это действительно приведет к повышению эффективности, при этом без удорожания стоимости работ. Ведь в рыночной экономике конечному потребителю неважно, с помощью каких технологий выполнялись работы, если при одинаковом качестве цена работ будет выше. Иными словами, не нужно забивать гвозди микроскопом. Я полагаю, что сегодня автоматизация может быть эффективна в процессах планирования и контроля работ, так как эти направления напрямую связаны с оптимизацией сроков и повышением качества производимых работ».
Степень защиты. Производителям электрокабельной продукции приходится ориентироваться на устаревшие ГОСТы
Производителям электрокабельной продукции приходится ориентироваться на устаревшие ГОСТы пожаробезопасности. Специалисты считают важным пересмотреть нормативные стандарты.
На площадке Союза строительных объединений и организаций (ССОО) состоялся круглый стол, посвященный вопросам пожарной безопасности возводимых и эксплуатируемых объектов. Эксперты обсудили особенности пассивной огнезащиты, а именно противопожарное качество электрокабельных коммуникаций, используемых в зданиях.
По словам начальника научно-исследовательского сектора кабельных изделий и силового электрооборудования Всероссийского научно-исследовательского института противопожарной обороны (ВНИИПО) МЧС России Андрея Варламкина, в связи с постоянным возрастанием энергомощностей очень часто возгорание объектов начинается с кабельных сетей. В частности, именно короткое замыкание в силовом кабеле стало причиной пожара в ТЦ «Зимняя вишня» в Кемерово, который унес много человеческих жизней.
Специалист отмечает, что в настоящее время производителям электрокабельной продукции приходится ориентироваться на некоторые устаревшие ГОСТы пожаробезопасности. Соответственно, сейчас, по его словам, очень важно пересмотреть нормативные стандарты, устранить ряд противоречий. Работа в этом направлении на федеральном уровне с подключением экспертов уже началась.
По словам Андрея Варламкина, в настоящее время на рынке очень много контрафактной электрокабельной продукции, которая не соответствует заявленным характеристикам. «В стране работают около тысячи «заводов-фантомов». Они постоянно меняют свою дислокацию. Подделывают все, что можно. Продукция таких предприятий – не только низкого качества, она может быть небезопасна. Но в силу экономии она очень часто используется при строительстве зданий», – сообщает специалист.
Директор архитектурно-конструкторского департамента ЗАО «Сигни Груп» Олеся Губерт отметила, что к ЧП может привести несоответствие антипожарных технологий, которые были учтены в проектной документации, и тех, которые используются в реальности: «Зачастую, приходя на стройку с авторским надзором, мы видим, что все монтируется без учета антипожарных стандартов. Если в маленьких проектах относительно легко все отследить, то в больших – почти невозможно».
Игроки рынка считают, что обезопаситься от «оптимизации» заказчиком противопожарных решений можно, только если они будут включены в стадию П (проектная) проектной документации, а не в Р (рабочая). Тогда все соответствия пожарным требованиям заявленным проектом будут проверяться надзорными органами перед вводом здания в эксплуатацию.
Руководитель инженерного отдела Hilti Александр Пименов делает вывод, что в настоящее многие подрядные организации крайне слабо заинтересованы в качественном выполнении работ, связанных с пожарной безопасностью: «Как правило, огнезащита – не основной вид деятельности таких компаний. Это те работы, которые они вынуждены выполнять по требованию заказчика и обычно в последний момент. Все материалы, которые могут быть заменены на более дешевые, меняются. К сожалению, компетенция и ситуация на нашем строительном рынке таковы, что здания доводят до эксплуатации несмотря на несоответствия с огнезащитой».