Miközben legtöbbször a hagyományos informatikai infrastruktúrák információbiztonsági kérdései kerülnek terítékre, aközben egyre több védelmi nehézség üti fel a fejét a kritikus és ipari rendszerek kapcsán is. A biztonsági szakértők egy ideje kongatják a vészharangot, és igyekeznek felhívni a figyelmet arra, hogy az informatika és az infokommunikáció fejlődésével párhuzamosan a SCADA (Supervisory Control and Data Acquisition), a PLC (Programmable Logical Controller) és a DCS (Distributed Control System) technológiák biztonsága jelentős mértékben meggyengült.

A szervezetek – egyebek mellett költség és hatékonysági szempontokból – egyre több általános célú hardvert, operációs rendszert és szoftvert vontak be a vezérlőrendszerek üzemeltetésébe, melyek ezáltal mind nyitottabbá váltak. Eközben a hálózati kommunikáció iránti igények is megváltoztak, aminek következtében napjainkban már nyilvános hálózatok is szerephez juthatnak e kritikus rendszerek működtetésében. Míg korábban a kritikus és ipari infrastruktúrák védelmében a fizikai biztonság megteremtése volt a legfontosabb cél, addig mára bebizonyosodott, hogy ez már korántsem elegendő.

Az elszabadult teszteszköz esete

Az IBM által nemrégen kiadott felmérés szerint az ipari vezérlőrendszerek (ICS) elleni támadások száma 2016-ban 110 százalékkal emelkedett. Ez pedig nagyon aggasztó, főleg annak fényében, hogy sok esetben kritikus infrastruktúrák is érintettek lehettek. A SCADA különösen sokszor került a támadók figyelmének középpontjába, és az esetek többségében brute force technikákkal kellett szembe nézniük a védelmi technológiáknak.

Érdekesség, hogy az elmúlt évben a támadások mennyiségének jelentős növekedése mögött egy kis teszteszköz, az smod állt, amely eredetileg a Modbus protokoll biztonsági vizsgálatához készült, de sajnos rossz kezekbe kerülve ez az eszköz is kockázatokat vetett fel.

Mivel az USA-ban található a legtöbb interneteléréssel is rendelkező ICS rendszer, ezért nem meglepő, hogy az Egyesült Államokban következtek be a legnagyobb számban ilyen jellegű incidensek. Ezt követően Kínai, Izrael, Pakisztán és Kanada következik a legtöbb támadást elszenvedő államok toplistáján. Nemcsak a célpontok, hanem a támadások forrásának tekintetében is az USA viszi a prímet, mivel onnan indult ki a legtöbb biztonsági esemény.

Az energetikai, vízügyi, közlekedési, infokommunikációs, egészségügyi és ipari szektorokban is helyet kapó vezérlőrendszereket érő támadások azért kiemelten kezelendők, mert hatalmas anyagi károk mellett nemzetbiztonsági kockázatokat is felvetnek, és emberi életeket is veszélyeztethetnek.

Már voltak súlyos incidensek

Számos incidens igazolta már, hogy e kritikus fontosságú rendszerek sem sebezhetetlenek. Ezek kapcsán is éppúgy számolni kell a külső és belső incidensek, a szándékos és véletlen károkozások lehetőségeivel, mint a hagyományos IT-környezetek esetében. Ezt támasztotta alá már 2003-ban a Sobig malware, amely bejutott az egyik amerikai vasúti irányítórendszerbe, és megbénította a keleti part vasúti közlekedését. 2010-ben pedig a híres Stuxnet féreg lépett színre, amikor iráni nukleáris létesítményeket állított célkeresztbe. A Stuxnetet pedig további olyan hírhedt károkozók követték, mint amilyen Flame vagy a magyar Crysys labor által vizsgált Doqu.

A kritikus infrastruktúrákat nem kizárólag kártékony programok veszélyeztethetik, hanem technikai és emberi hibákra, nem szándékos károkozásokra visszavezethető események is. Ezek közé tartozott az amerikai Edwin atomerőmű 2008-as incidense is, amikor egy félresikerült szoftverfrissítés vezetett a létesítmény leállásához. Szerencsére emberi élet nem került veszélybe, és környezeti károk sem keletkeztek, de sok millió dolláros anyagi veszteség érte az erőművet. Két éve pedig az ukrán elektromos hálózatot érte súlyos támadás.

A kritikus rendszereket sújtó támadásokkal és a bekövetkező incidensekkel kapcsolatos trendek feltérképezése nem egyszerű feladat, mivel – akár csak a hagyományos informatikai környezetekben – az incidensdetektálás és -kezelés sok kívánni valót hagy maga után. Elég aggasztó kérdéseket vet fel például, hogy miért csak 2016-ban derült fény egy olyan biztonsági eseményre, amely 2013-ban iráni feketekalapos hackerek nemkívánatos ténykedése folytán sodort veszélybe egy New York-i gátat.

Cikksorozatunk folytatásában azt fogjuk megvizsgálni, hogy ha „mindennapi” fenyegetettségekkel kell számolni a kritikus és az ipari rendszerek esetében, akkor miért is van szükség az átlagostól nagyon is eltérő kockázatmenedzsmentre.

A szerző a Biztonságportál főszerkesztője, forensic szakértő.