Miközben dübörög az Ipar 4.0, és mindent átsző a digitalizáció, úgy tűnik, az ipari rendszerek biztonságára egyelőre nincs megnyugtató megoldás. Illetve valószínűleg lehetne a jelenleginél sokkal jobb helyzet is, csak hát a költségek…

Két világ találkozása

A SecurityWeeken egy amerikai ipari kiberbiztonsággal foglalkozó cég vezetője, Barak Perelman foglalta össze, miért nincs elégséges védelme az ipari rendszereknek, és főleg a kritikus infrastruktúráknak (elektromos hálózat, vízhálózat stb.).
 

Az okok mindenekelőtt történetiek. Pontosabban a probléma a különböző informatizált rendszerek eltérő fejlődési sebessége. A személyi számítógépek elterjedése, de még a 90-es évek közepén beindult internetboom idején sem volt tudatában senki annak, hogy egy számítógépes biztonsági incidens komoly hatással lehet az életünkre. Bár a PC-kkel egy időben megjelentek a vírusok – és velük a vírusirtók –, magának a kérdésnek nem szenteltek kiemelt figyelmet. Ahhoz, hogy a probléma átüsse a nagyközönség ingerküszöbét, kellett valamilyen személyesebb, húsba vágóbb probléma. Sokan csak akkor szembesültek a probléma súlyával, amikor megtörténtek az első nagy a hitelkártya-incidensek, vagy amikor tömegessé vált, hogy lopott online identitásokkal éltek vissza kiberbűnözők.

Az ipar azonban máshogy működött. A vállalatok sokáig sérthetetlennek vélték magukat. Ipari környezetben ugyanis olyan rendszereket használtak, melyek nem kapcsolódtak a világhálóra. A közvetlenül bejuttatható vírusok ellen ugyan többé-kevésbé védték ezeket a rendszereket, de ezen nem is léptek túl, hiába működtek mondjuk egy erőmű vezérlőtermében, vagy az ivóvíz-hálózatban, esetleg élelmiszer- vagy gyógyszeripari létesítményekben. A biztonságtudatosság szinte ezekben a szervezetekben meg is rekedt egy kb. 20 évvel ezelőtti állapotban.

Ennek a – ma már tudjuk: hamis – biztonságnak a hátterében az állt, hogy egészen a közelmúltig az ipari létesítmények és berendezések a világ többi részétől elszigetelten működtek. A gyártásban használt vezérlőrendszerek (SCADA/ICS – Supervisory Control and Data Acquisition/Industrial Control Systems) általában még a vállalaton belül sem kapcsolódtak más rendszerekhez, így a kibertámadás veszélye lényegében kizárható volt. Ráadásul az ezeket futtató számítógépek életciklusa és frissítési periódusa köszönő viszonyban sem volt az általános számítástechnikai eszközökével. Az ipari folyamatok futtatásához használt számítógépek évekig, olykor 20-30 évig is működtek (sőt működnek) frissítések és változtatások nélkül.

Minden felborított az internet

A status quót azonban felrúgta az IIoT, azaz az Industrial Internet of Things megjelenése. Ez volt ugyanis az, ami eltüntette "légrést" a külvilág és a termelést közvetlenül irányító rendszerek között. A IIoT ugyanis az addig izoláltan működő ipari eszközöket összekapcsolja az üzleti hálózattal anélkül, hogy ezeket a sokszor 15-20 éve működő rendszereket felkészítették volna az új biztonsági kockázatok kivédésére.

Ez aztán gyorsan hozta a látványos "eredményeket". Például lényegesen gyakoribbá váltak a rendszerfrissítések, melyek magukban hordozzák a hibalehetőségeket. A magyar sajtóban is megjelent az a tavaly szeptemberi eset, amikor Boston két külvárosában sorozatos gázrobbanások történtek. Több mint hetven lakásban történt robbanás, sokan megsérültek, sőt egy haláleset is volt. Először terrortámadásra gyanakodtak. A vizsgálat azonban kiderítette, hogy bűnös a vezérlőrendszer volt. Egy rendszerfrissítés "megbolondította" a gáznyomás ellenőrzéséhez használt mérőműszereket, minek következtében az egy nagyobb gázvezeték megsérült. Végül kiderült, hogy a gázszolgáltatónál a frissítés során elkövetett emberi hiba okozta a robbanásokat.

Ugyancsak ilyen látható hatás volt egy 2017-es kibertámadás, amelynek célpontja az USA elektromos hálózata volt. Bár a támadást sikerült lokalizálni, majd kivédeni, egy utólagos rekonstrukció szerint ha a támadók sikerrel jártak volna, az Egyesült Államok legsúlyosabb áramkimaradását tudták volna elérni.

Vagy például az is jól mutatja az új kockázatokat, hogy idén januárban két hekker 500 dolláros eszközzel átvette az irányítást egy építkezésen tizenöt daru és más építőipari berendezés fölött. A támadók itt az ICS egy viszonylag egyszerűen feltárható sebezhetőségét használták ki.

Saját kárunkon tanulunk

Szerencsére az esetek többségében nem történt komolyabb probléma, de arra mindenképpen jók voltak, hogy ráirányították a figyelmet az ipari rendszerek biztonságára. Ma már egyértelműen látható az igény például a kritikus infrastruktúrák átfogó biztonságának a megoldására. A kormányzatok szintén kiemelten foglalkoznak vele, az ENISA (European Union Agency for Network and Information Security) is fókuszba helyezte az utóbbi években.

Maga a piac egyre felkészültebb. Innovatív megoldások sora próbálja pótolni az eddig elmaradt biztonsági fejlesztéseket. Mivel az ipari és üzleti rendszerek nem csak összekapcsolódnak, hanem működésükben is egyre több a hasonlóság –például az API-k használatában –, ezért sok szempontból egységesen is kezelhetők a biztonsági kockázataik.