Генеральный директор Colonial Pipeline рассказал, почему он заплатил хакерам выкуп в размере 4,4 миллиона долларов

29.05.2021 от 3gis854 Выкл

В течение многих лет Федеральное бюро расследований советовало компаниям не платить в случае обнаружения программ-вымогателей.

Оператор Colonial Pipeline узнал о проблемах на рассвете 7 мая, когда сотрудник обнаружил на компьютере в диспетчерской записку хакеров с требованием выкупа. К вечеру исполнительный директор компании пришел к трудному выводу: он должен заплатить.

Джозеф Блаунт, генеральный директор Colonial Pipeline Co., сказал The Wall Street Journal, что он санкционировал выплату выкупа в размере 4,4 миллиона долларов, потому что руководители не были уверены, насколько серьезно кибератака нарушила его системы и сколько времени потребуется, чтобы восстановить трубопровод.

Г-н Блаунт впервые публично признал, что компания заплатила выкуп, сказав, что это вариант, который, по его мнению, он должен был реализовать, учитывая ставки, связанные с остановкой такой критически важной энергетической инфраструктуры. По данным компании, Колониальный трубопровод обеспечивает примерно 45% топлива для Восточного побережья.

«Я знаю, что это очень спорное решение», — сказал Блаунт в своем первом публичном выступлении после хакерского взлома. «Я сделал это нелегко. Признаюсь, мне было неудобно видеть, как деньги уходят к таким людям».

«Но это было правильное решение для страны», — добавил он.

В течение многих лет Федеральное бюро расследований советовало компаниям не платить при обнаружении программ-вымогателей — типа кода, который захватывает компьютерные системы и требует оплаты за разблокировку файлов. По словам официальных лиц, это поддержит бурно развивающийся криминальный рынок.

Но многие компании, муниципалитеты и другие организации, ослабленные атаками, действительно платят, делая вывод, что это единственный способ избежать дорогостоящих сбоев в их деятельности.

Официальные лица США связали атаку вымогателей на Colonial с преступной группировкой DarkSide, предположительно базирующейся в Восточной Европе, которая специализируется на создании вредоносных программ, используемых для взлома систем, и делится ими с аффилированными лицами — за небольшую часть выкупа, который они получать.

Г-н Блаунт сказал, что Colonial заплатила выкуп после консультации с экспертами, которые ранее имели дело с преступной организацией, стоящей за атаками. Он и другие участники отказались сообщить подробности, кто помогал в этих переговорах.

Взамен платежа, совершенного в ночь на 7 мая в форме биткойна, по словам человека, знакомого с этим вопросом, компания получила инструмент дешифрования, чтобы разблокировать системы, в которые проникли хакеры. По словам этого человека, хотя это и оказалось полезным, этого оказалось недостаточно для немедленного восстановления систем трубопровода.

Трубопровод, который транспортирует бензин, дизельное топливо, авиакеросин и другие продукты нефтепереработки с побережья Мексиканского залива в Линден, штат Нью-Джерси, был закрыт на шесть дней. Остановка привела к перерасходу бензина в некоторых частях Восточного побережья, что подняло цены до самого высокого уровня за более чем 6,5 лет и оставило тысячи заправочных станций без топлива.

Трубопроводная компания, базирующаяся в Альфаретте, штат Джорджия, и принадлежащая подразделениям IFM Investors, Koch Industries Inc., KKR & Co. и Royal Dutch Shell PLC, восстановила работу трубопровода на прошлой неделе. В понедельник компания сообщила, что перевозит топливо в нормальных объемах, но предупредила, что для восстановления цепочки поставок потребуется время.

Кризис стал испытанием лидерства для 60-летнего г-на Блаунта, который руководит компанией с 2017 года. В 2013 году он стал соучредителем финансируемой частным капиталом трубопроводной компании Century Midstream LLC, после того как работал руководителем и занимал другие должности. в энергетических компаниях за почти 40-летнюю карьеру.

По словам г-на Блаунта, за последние пять лет Colonial инвестировала около 1,5 миллиарда долларов в поддержание целостности своей трубопроводной системы протяженностью 5 500 миль и потратила 200 миллионов долларов на ИТ.

Для г-на Блаунта кибератака была сродни ураганам на побережье Мексиканского залива, которые часто вынуждают сегменты трубопроводов и нефтеперерабатывающие заводы останавливаться на несколько дней или недель. Однако в некотором смысле это было более разрушительно. «Колониальный трубопровод никогда раньше не закрывался сразу», — сказал он.

Атака была обнаружена около 5:30 утра 7 мая и быстро вызвала тревогу по всей цепочке командования компании, которая достигла г-на Блаунта менее чем через полчаса, когда он готовился к рабочему дню. Компания подчеркнула, что операционные системы не пострадали напрямую, и что она перекрыла потоки трубопроводов, пока выясняла, насколько глубоко внутрь проникли хакеры.

Colonial потребовалось около часа, чтобы перекрыть трубопровод, который имеет около 260 пунктов доставки в 13 штатах и ​​Вашингтоне, округ Колумбия. Этот шаг также был предназначен для предотвращения потенциального переноса инфекции в систему оперативного контроля трубопровода.

Когда Colonial закрыла трубопровод, сотрудникам было дано указание не входить в корпоративную сеть, а руководители сделали серию телефонных звонков в федеральные органы власти, начиная с офисов ФБР в Атланте и Сан-Франциско, а также с представителем отдела кибербезопасности и безопасности. Агентство безопасности инфраструктуры, или CISA, сказал г-н Блаунт.

Представители CISA подтвердили, что представители Colonial сообщили им о взломе вскоре после инцидента. Представители ФБР не ответили на запросы о комментариях.

По словам г-на Блаунта, в течение следующих нескольких дней министерство энергетики действовало как канал, через который Colonial мог предоставлять обновленную информацию нескольким федеральным агентствам, участвующим в ответных мерах. Министр энергетики Дженнифер Грэнхольм и заместитель госсекретаря Дэвид Терк поддерживали регулярные контакты с компанией, отчасти для того, чтобы «получить информацию для принятия мер реагирования на федеральном уровне», заявил официальный представитель министерства энергетики Кевин Ляо.

Пока Colonial готовилась к восстановлению работы, ее персонал патрулировал трубопровод в поисках любых признаков физических повреждений, проехав около 29 000 миль. По словам г-на Блаунта, компания направила около 300 рабочих, чтобы они следили за трубопроводом, в дополнение к обычному электронному мониторингу.

Хотя поток топлива по трубопроводу вернулся в норму, последствия взлома едва ли закончились выплатой выкупа. Для восстановления некоторых бизнес-систем потребуются месяцы восстановительных работ, что в конечном итоге будет стоить Colonial десятки миллионов долларов, сказал г-н Блаунт, отметив, что компания по-прежнему не может выставлять счета клиентам после выхода из строя этой системы.

Еще одна дорогостоящая потеря, как отметил г-н Блаунт, — это уровень анонимности, который компания предпочитает.

«Мы были совершенно счастливы, что никто не знал, кто такой Colonial Pipeline, и, к сожалению, это уже не так», — сказал он. «Все в мире знают».