Orpak система идентификации авто
В ПО для автозаправок Orpak обнаружены множественные уязвимости
Уязвимости позволяют хакерам отключать топливные насосы, перехватывать платежи и похищать данные кредитных карт.
Израильские исследователи кибербезопасности Идо Наор (Ido Naor) и Амихаи Нейдерман (Amihai Neiderman) обнаружили множественные уязвимости в разработанной компанией Orpak Systems автоматизированной системе управления автозаправочными станциями, используемой на тысячах заправок по всему миру. Об этом сообщает издание Motherboard.
Уязвимости позволяют отключить топливные насосы, перехватить платежи и похитить данные кредитных карт клиентов, а также подключиться к сети для управления камерами наблюдения и другими системами. Помимо этого, атакующий может изменить цены на топливо и украсть бензин.
Программное обеспечение SiteOmat от компании Orpak является частью системы ForeSite для коммерческих заправочных станций и системы ForeHB для управления транспортными средствами. Система отслеживает объем топлива, хранящегося в подземных резервуарах, и контролирует в реальном времени температуру и давление в каждом резервуаре. Она также используется для установки цен на топливо и обработки карточных платежей, а также отслеживания объема и типа топлива, закачиваемого в каждое транспортное средство. Система имеет удобный web-интерфейс, позволяющий владельцам нескольких заправочных станций удаленно получать доступ к элементам управления каждой из них.
Однако данная система позволяет легко получить доступ к АЗС не только их владельцам, но и хакерам. Используя поисковик Shodan, исследователи обнаружили несколько тысяч подключенных к интернету уязвимых автозаправок.
Несмотря на то, что web-интерфейс систем Orpak должен быть защищен паролем, на web-сайте компании исследователи обнаружили руководство пользователя, в котором указан пароль по умолчанию. После выявления одной системы в Испании с установленным паролем по умолчанию, они смогли загрузить всю файловую систему с сайта АЗС и проанализировать код.
Одной из первых обнаруженных проблем был бэкдор, встроенный в исходный код Orpak с вшитым именем пользователя и паролем. Он позволяет злоумышленникам удаленно обойти защиту системы и получить доступ к любой бензоколонке независимо от того, изменил ли владелец пароль по умолчанию или нет. Бэкдор предоставляет полный административный доступ к web-панели Orpak, включая возможность изменения цен на топливо и других настроек. Несмотря на то, что система отслеживает изменения цен в журнале, уязвимость переполнения буфера, которую обнаружили эксперты, может позволить злоумышленнику удалить необходимые записи.
Как выяснили эксперты, программное обеспечение Orpak хранит информацию пользователя, такую как логины и пароли, в незашифрованном виде и использует неподписанную и незашифрованную прошивку.
Не все автозаправочные станции под управлением SiteOmat напрямую подключены к Интернету. Некоторые из них используют маршрутизаторы и доступ к ним можно получить только из внутренней сети компании. Однако если компания с несколькими заправочными станциями имеет хотя бы одну систему, подключенную к Интернету, злоумышленник, получивший доступ к этой системе, сможет контролировать все АЗС предприятия.
Исследователи уведомили Orpak об уязвимостях в сентябре 2017 года. Компания отреагировала на сообщение экспертов и заявила о разработке более защищенной версии своей системы. В настоящее время неясно, эксплуатировались ли уязвимости хакерами.
ORPAK — простые и изящные решения для АЗС и корпоративных автопарков
Собственник АЗС не может постоянно быть на АЗС, а тем более, когда у него их несколько. Поэтому для него важно выстроить логистику для оптимизации ее работы.
При помощи ORPAK решается две главные «головные боли»:
Любая автоматизированная система учета и контроля топлива снижает риск возникновения ошибки в отчете, в т.ч. из-за невнимательности персонала.
Радиочастотный метод идентификации (RFID), на сегодняшний день, идеальное средство контроля отпуска топлива. Используя его, Вы можете забыть о топливных картах и талонах, т.к. привязка идет к самому автомобилю или мотоциклу, а не к персональным данным человека.
Все транзакции будут перед вами перед глазами в любое время суток. Программа позволяет установить лимит на объем топлива и его марку. Необходимость расчетов с персоналом АЗС просто отсутствует.
Если вы владелец транспортной компании или ведомственной АЗС, то решение ORPAK ForeFuel с использованием RFID-меток – для вас!
Как это работает?
Выгода для владельца АЗС:
Заказать оборудование для АЗС Gilbarco Veeder-Root можно по телефону +7 (495) 664-75-75
Связь ИТ с бизнесом: через топливный бак
О компании
ПТК — частная топливная компания с оборотом более 200 млн долл. Ее розничная сеть состоит из более чем 120 автозаправочных станций, расположенных в Санкт-Петербурге, Ленинградской, Псковской, Тверской областях, а также в Эстонии.
Когда речь заходит об эффективности ИТ для бизнеса, чаще всего обсуждаются более или менее удачные внедрения систем управления, оптимизирующие работу менеджеров, бухгалтеров, плановиков, сотрудников отделов сбыта. Но проекты, непосредственно затрагивающие основной бизнес, прямо влияющие на процесс производства или продаж, меняющие отношения фирмы с ее клиентами, пока достаточно редки. Если исключить телекоммуникационный и банковско-финансовый секторы экономики, где, по общему мнению, ИТ имеют к функционированию бизнеса самое прямое отношение, немного остается отраслей, где бы за счет применения ИТ-систем непосредственно зарабатывались деньги,. Однако постепенно конкуренция подталкивает владельцев компаний к тому, чтобы и в самых «заветных», базисных процессах не просто применить ИТ, а опереться на новые возможности и получить прямой и ощутимый выигрыш.
Борьба с «леваком»
Такой подход демонстрирует Петербургская топливная компания (ПТК). Здесь реализуется уникальный пока для России проект на стыке ИТ и промышленной автоматизации. На автомобилях покупателей топлива устанавливаются контроллеры, в том числе непосредственно на горловине топливного бака. АЗС оборудуется своим комплектом датчиков, включая пистолеты заправочных колонок. Монтируются блоки управления и передачи информации с АЗС в центральный офис. При контакте топливного пистолета с топливным баком происходит идентификация автомобиля, а затем заправка нужным видом топлива в необходимом количестве. Это технология израильской фирмы Orpak. Компания существует 14 лет, имеет множество внедрений в 20 с лишним странах, но в России это ее первый проект.
Применение Orpak позволяет решить, хотя бы в некоторой мере, две проблемы. Одна приоритетна для автопредприятий, а именно на корпоративных покупателей топлива в основном ориентируется ПТК в данном случае. Она связана с несанкционированными действиями водителей (как использование в личных целях самого бензина, так и выполнение «левых» перевозок). Идея системы в том, что через топливные пистолеты, оборудованные специальными датчиками, нельзя заправить не оснащенные контроллерами Orpak транспортные средства или емкости. Так как с каждого автомобиля при заправке собирается достаточно обширная информация, автопредприятие круглосуточно получает данные о количестве и виде заправленного топлива, месте заправки, о пробеге машины, о времени работы двигателя. На основе этих данных несложно высчитать удельный расход топлива на километр пробега и сравнить этот показатель с заданным. Эталонный уровень каждый клиент может установить по своему усмотрению. Казенную машину можно, конечно, заправлять и на других заправках, но только за свой счет.
Поставщиком оборудования и ПО была петербургская компания «ЭЛСИ», которая имеет опыт создания систем класса CIME (Computer Integrated Manufacturing and Engineering) и является системным интегратором ПТК в части программно-аппаратных комплексов, функционирующих на АЗС. Но значительная часть работ по внедрению новой системы легла на внутреннюю ИТ-службу. Константин Старовойтов, ИТ-директор ПТК, рассказывает, что ИТ-подразделение участвовало в большинстве этапов проектирования и разворачивания проекта. Кроме того, нужно было переоснащать АЗС, согласовывать форматы данных и интерфейсы, решать множество текущих ежесекундных задач. Работы велись быстро: первые контакты с фирмой Orpak состоялись в феврале 2005 г., а к лету система уже работала в тестовом режиме, времени на полноценное предпроектное проектирование не было. Проблем возникало достаточно много, поскольку проект практически шел «с колес». Но, как считает Старовойтов, все участники внедрения сработали достаточно слаженно.
Надо сказать, что это далеко не первый проект ПТК, нацеленный на оптимизацию общения с потребителями при помощи ИТ. Движение в этом направлении началось еще в 1995 году с введения карточных систем учета и отпуска топлива. Внутренняя ИТ-служба разработала несколько инструментов, которые позволяют клиентам и управлять своими платежами, и налаживать документированный автоматический контроль за правомерным расходованием горючего, в том числе используя Интернет и онлайн-доступ. В частности, система «ПоТоК», разработанная специалистами ПТК, позволяет управлять поставками и распределением топлива, а также контролировать его расходование круглосуточно. Менеджер получает все данные и передает команды через Интернет, соответственно он может осуществлять управление вне зависимости от своего местонахождения и количества автомобилей. Это особенно ценят директора и собственники структур с небольшими автопарками, в которых управляющий лично контролирует все бизнес-процессы. «ПоТоК» дает им возможность контроля при любых обстоятельствах, в том числе из дома, в поездках и командировках. Немаловажно для снижения транзакционных издержек и то, что «ПоТоК» позволяет обмениваться документацией дистанционно. Сама Orpak таких возможностей напрямую не дает, поэтому потребовалась значительная интеграционная работа, которую тоже выполняла ИТ-служба.
Весь Северо-запад
Понятно, что чем больше клиентов ПТК захотят воспользоваться Orpak, тем ощутимее будет выигрыш ПТК. Но это уже дело бизнеса. Специалисты по ИТ свое дело сделали.
Топливо под контролем
Там, где идёт добыча, всегда работает большое количество единиц спецтехники. А где машины – там запасы топлива. А где топливо – там большая русская проблема.
Хотя, как показывает опыт компании Gilbarco Veeder-Root, не только русская: вопросом защиты своих топливных запасов и оптимизации бизнес-процессов топливной инфраструктуры озадачены владельцы крупных автопарков по всему миру.
На своём стенде на MiningWorld Russia компания представила выставочный образец оборудования. С точки зрения потребителя, решение очень простое. На горловину топливных баков всех машин предприятия устанавливают специальные RFID метки, а на топливозаправочные пистолеты – считыватели. Таким образом, собственник начисто исключает нецелевые заправки: всё топливо, которое подаётся из пистолета, попадает только в авторизованные баки.
«Конечно же, это актуальная проблема. Не только для добывающих предприятий – для всех объектов, где закуплено топливо и работает большой автопарк. Контролировать выдачу в ручном режиме очень сложно: на пути движения топлива есть множество точек, где его могут похитить, есть большое количество отработанных схем», – сетует менеджер по развитию бизнеса Gilbarco Veeder-Root Владислав Шамин.
Систему устанавливают как на стационарные АЗС, так и на мобильные топливозаправщики. Причём на топливозаправщиках RFID-идентификация и автоматический учёт работают даже при отсутствии интернета, а для удалённых объектов добычи это вполне реальная и очень актуальная ситуация. Даже без подключения к мировой сети система будет работать: запишет информацию о выдаче топлива в собственный блок памяти, а как только сигнал появится, передаст в общую базу.
Решение интегрируется с SAP-системой или 1С, и вот управленческий персонал автопарка уже может отследить, какая машина заправилась, какому парку она принадлежит, какое топливо и в каком объёме она получила. Человеческий фактор удаётся исключить в принципе, потому что программа сама ведёт отчётность, повлиять на неё извне невозможно.
«Сама метка не имеет элементов питания и может работать в достаточно суровых условиях: переживёт и низкие температуры, и механические повреждения», – отмечает Владислав Шамин.
Разработчики шагнули и дальше: система может опознавать не только машину, но и водителя, что позволяет говорить о возможности двухфакторной авторизации. Для этого созданы специальные брелоки – их представители компании также привезли с собой для демонстрации.
Также возможно использование специальных блоков, благодаря которым система может считывать ещё и информацию о работе машины: сколько мото-часов отработано, сколько километров пройдено, сколько времени двигатель работал на различных оборотах», – демонстрирует элементы системы г-н Шамин.
Ещё одним компонентом является контроллер – на выставку Gilbarco Veeder-Root привезла версию контроллера OrIC Prime Island. Как объясняют специалисты компании, это «островное решение» – его устанавливают на «островке безопасности» АЗС.
Данная версия контроллера выполнена по принципу «всё в одном»: устройства ввода данных, считыватель для брелоков, принтер – все находится в одном хорошо защищённом от внешнего воздействия корпусе.
Представлен и контроллер, который предназначен для монтажа на топливозаправщики – такое оборудование имеет более компактные размеры, для него предусмотрен взрывозащищённый корпус, а также специальная пружинная подвеска для предотвращения повреждений от тряски и вибраций при движении топливозаправщика. Блок обеспечивает управление процессами и хранение оперативных данных по заправке.
Кому-то современные решения, конечно, ограничат возможность дополнительного – незаконного – заработка, что может вызвать недовольство сотрудников. Однако разработчики учли и это: в случае попытки несанкционированного съёма метки она автоматически дезактивируется. В этом случае заправка вообще станет невозможной – система просто не выдаст топливо. В Gilbarco Veeder-Root соглашаются, что проблема человеческого фактора существует, но решается она легко.
Решение уже опробовали на объектах «Восточной стивидорной компании». Система успешно работает два года, и сегодня готовятся к установке новые её элементы. Развивается проект по оборудованию системой ORPAK автопарков Мосгортранса, система установлена на 18-м и 5-м троллейбусных парках, и на очереди новые.
Помимо этого ORPAK успешно используют на Новоангарском ГОКе, в аэропорту города Ставрополь и многих других объектах. Пилотный проект недавно реализовала и «Северсталь» – результаты также были признаны успешными.
«Система ORPAK отражает основные ценности компании Gilbarco Veeder-Root. Она позволяет нашим партнёрам не просто поставить заправки и учёт под контроль, но сделать прозрачными все бизнес-процессы топливной инфраструктуры. Сделать так, чтобы эти процессы протекали так, как были изначально задуманы. Мы хотим, чтобы партнёры, используя наши решения, выходили на новый уровень эффективности в своей работе.
Наши официальные дилеры, ООО «Интеллект 4 Джи Сервис» и АО «Топкон», также, всегда рады проконсультировать потенциальных заказчиков, провести предварительный аудит предприятия, что поможет выявить слабые места, и выполнить все работы под ключ», — подчёркивает Владислав Шамин.
Колода без козырей
Наилучшие перспективы на российском рынке топливных карт имеют традиционные для Европы карты вертикально интегрированных нефтяных компаний и расчетных сервисных фирм
У истоков
Карты, выпускаемые топливной или сервисной компанией, предназначены для безналичного расчета за приобретаемое на автозаправочных станциях (АЗС) топливо, а также для оплаты сопутствующих товаров и услуг. Этот старейший тип небанковских карт появился на рынке еще в начале 1920-х годов, когда нефтяные компании США, имеющие АЗС, стали выпускать «карты учтивости» (courtesy cards) для предоставления кредита на бензоколонках.
Практически все зарубежные компании, выпускающие топливные карты, дают возможность корпоративным клиентам легко контролировать их использование сотрудниками, а также учитывать соответствующие финансовые потоки. В последнее время сервисные компании предоставляют клиентам данные по счетам в электронной форме, что значительно повышает оперативность контроля и качество анализа работы автопарка.
В России первые топливные карты появились в начале 1990-х годов, и с тех пор их популярность неуклонно росла. Так, сегодня, по результатам опроса АСМАП, картами пользуются около 80% международных перевозчиков. Структура данного сегмента топливного рынка в России аналогична европейской. Здесь представлены карты, эмитированные процессинговыми центрами крупных нефтяных компаний («ЛУКОЙЛ», «ТНК»), а также карты межрегиональных сервисных компаний («Арис», «Мега Ойл»). Пока они работают в основном с корпоративными клиентами.
Специфической особенностью российского рынка является то, что сервисные фирмы не только заключают договоры на прием их карт операторами топливной розницы, но имеют собственные АЗС. Кроме того, в Москве, Петербурге и других крупных городах, где значительная доля розничного топливного рынка принадлежит независимым местным операторам, распространены их локальные карточные продукты, ориентированные в том числе и на физических лиц. Топливные карты не только обладают всеми достоинствами системы безналичных расчетов, но и позволяют минимизировать дополнительные риски, характерные для автомобильного транспорта, особенно российского.
Риски старые и новые
В России еще с советских времен существует система безналичных расчетов на основе бумажных талонов на топливо. До сих пор в Санкт-Петербурге около десятка топливных компаний выпускают сервисные абонементы, талоны, билеты на бумажных носителях, которыми по привычке пользуются многие предприятия и организации. Однако как в советские времена, так и сегодня безналичная форма оплаты сама по себе не мешает распространенной у водителей практике использования топлива для личных нужд или сбыта «левого» бензина.
Топливные карты позволяют минимизировать дополнительные риски, характерные для автомобильного транспорта, особенно российского
Необходимость безналичных расчетов на российском автотранспорте всегда обосновывалась тем, что выдавать водителям денежные средства для оплаты топлива рискованно. Помимо возможности нецелевого использования денег сегодня в связи с ростом цен на топливо появилась другая опасность: увеличились подотчетные суммы, а значит, возросли риски их утраты при разбойных нападениях и кражах.
Пионером на петербургском рынке топливных карт было ООО «Несте Санкт-Петербург». Компания первой предложила своим клиентам возможность оплаты топлива по банковским пластиковым картам, а в 1994 году выпустила собственный карточный продукт.
Сегодня используются не только традиционные топливные пластиковые карты, но и смарт-карты (со встроенным микрочипом). На этих технологиях и основаны карточные программы большинства операторов рынка. Однако предлагаемые ими карты весьма различны.
Разное содержание
«Литровые» карты в основном выпускают локальные операторы. В силу ограниченности сети АЗС для привлечения клиентов они должны предложить лучшие условия и сервис. Поэтому для них характерно формирование комплекта топливных карт, предназначенных для определенных групп клиентов. Так, ЗАО «Петербургская топливная компания» (ПТК) является эмитентом нескольких видов пластиковых карт.
Дальнейшее развитие карточных программ, расширение линейки топливных карт планирует большинство операторов. Это свидетельствует о росте рынка.
Вширь и вглубь
Директор по сбыту холдинговой компании «Фаэтон» Андрей Григоровский поддержал коллегу: «В связи с обновлением автопарков за счет приобретения современной техники у потребителей нефтепродуктов появляется потребность усовершенствовать систему учета топлива. В связи с этим развитие направления топливных карт очень перспективно. За последние два года реализация топлива по картам увеличилась в три раза».
Таким образом, корпоративные смарт-карты становятся действенным инструментом для совершенствования системы обеспечения топливом транспортных компаний, особенно при условии предоставления дополнительного сервиса, который активно внедряется петербургскими эмитентами. Сегодня заявку на пополнение карты можно послать в электронном виде (с электронной подписью) прямо в офис эмитента, а получить эту услугу покупатель может прямо на АЗС во время очередной заправки. С помощью специального программного комплекса можно просматривать необходимую информацию по всем топливным картам предприятия прямо в сети Интернет.
Масштабы эмиссии топливных карт локальными операторами ограничиваются размерами и географией сети АЗС, принимающих эти карты. Совместимость платежных терминалов делает процедуру расширения сети технически несложной, однако этому все чаще мешает конкуренция.
Каждому свое
Большинство эмитентов топливных карт утверждают, что на этом быстрорастущем рынке конкуренция пока невелика. Однако менеджер одной из сервисных компаний посетовал, что в последнее время владельцы АЗС все более неохотно идут на заключение договоров по приему топливных карт. Особенно это касается тех нефтяных компаний, которые имеют собственные карточные программы. Поэтому для расширения своих сетей игрокам рынка все больше приходится рассчитывать на строительство собственных АЗС.
По мере развития сетей АЗС, дорожной инфраструктуры и сервиса, с появлением платных дорог востребованность топливных карт различных эмитентов будет меняться. Прогнозировать динамику этих процессов и действия игроков формирующегося рынка очень сложно. Если судить по опыту Европы, то наилучшие перспективы имеют карты вертикально интегрированных нефтяных компаний и межрегиональных расчетных сервисных фирм.