W ostatnich latach obserwuje się wzrost liczby cyberataków kierowanych na infrastrukturę o znaczeniu krytycznym. Są to ataki o charakterze strategicznym, zmierzające do zakłócenia funkcjonowania systemów w celu uzyskania korzyści finansowych, rynkowych, politycznych bądź militarnych – pisze Tomasza Łużak, Kierownika ds. Rozwoju Produktów Bezpieczeństwa Exatel SA.
Taki atak został przeprowadzony na elektrownie na Ukrainie. 23 grudnia 2016 roku hakerzy skutecznie przełamali zabezpieczenia systemów informatycznych i przy użyciu złośliwego oprogramowania „wyłączyli” elektrownie w Zaporożu. Ukraińskie władze otwarcie oskarżyły Rosję o dokonanie ataku hakerskiego. Data 23 grudnia nie jest przypadkowa. Dokładnie rok wcześniej, miała miejsce pierwsza na świecie awaria w energetyce wywołana obcym złośliwym kodem. Pionierskiego cyfrowego blackoutu udało się dokonać w trzech firmach dystrybucyjnych obwodu Ivano-Frankowskiego na Ukrainie. Co ciekawe, w obu przypadkach zostało zastosowane to samo zaawansowane oprogramowanie, znane od 2010 roku (w pierwszych wersjach) jako wirus „Black Energy”. Ten sam złośliwy kod, w połowie stycznia został wykryty na lotnisku w Boryspolu na Ukrainie (największy port lotniczy u naszych wschodnich sąsiadów), przez co port lotniczy pod Kijowem miało duży problem z funkcjonowaniem. Według ekspertów złośliwe oprogramowanie „BlackEnergy”, jakie znaleziono w systemach ukraińskiej elektrowni, było wcześniej wykorzystane do ataków na amerykańskie elektrownie w 2014 roku. Na szczęście udało się uniknąć strat, ale służby bezpieczeństwa w USA wydały specjalne ostrzeżenie przed możliwymi kolejnymi atakami hakerskimi.
Powstaje od razu pytanie, w jakim stopniu służby informatyczne polskich operatorów infrastruktury krytycznej są przygotowane na reagowanie na zagrożenie typu Black Energy?
W przypadku ataków na systemy kontroli automatyki, kluczowe są dwie kwestie. Większość systemów kontroli automatyki przemysłowej tworzono przed sieciami korporacyjnymi, a czasami – zupełnie niezależnie od nich. Wskutek tego powszechnie uważa się, iż do tych systemów nie można uzyskać dostępu przez sieci korporacyjne, co oczywiście nie jest prawdą. Oznaczana to jedno – zabezpieczenia systemów typu ICS są tylko tak skuteczne, jak zabezpieczenia sieci korporacyjnej. Dlatego w takich przypadkach bezwzględnie zalecane jest używanie wewnętrznych zapór ogniowych i systemów wykrywania przed włamaniami (IDS/IPS) w połączeniu z regułami wymuszającymi stosowanie silnych haseł. W idealnym świecie bezpieczeństwa IT, systemy te powinny być całkowicie odizolowane od sieci korporacyjnej. W praktyce, z różnych powodów, taka sytuacja występuje bardzo rzadko.
Drugą kluczową kwestią jest budowanie świadomości wśród wszystkich pracowników firm z sektora infrastruktury krytycznej – m.in. poprzez ciągły system szkoleń. Nawet przesłany e-mail do działu księgowości czy administracji takiej firmy, zawierający załącznik ze złośliwym oprogramowaniem, może powodować poważne konsekwencje. Otwarcie załącznika infekuje bowiem komputer pracujący w sieci korporacyjnej, co stanowi początek do dalszych działań cyberprzestępców. W tym – do infekowania wspomnianej infrastruktury krytycznej.
Zapobieganie takim atakom jest możliwe. W ostatnich latach można było usłyszeć o ogromnych inwestycjach w systemy bezpieczeństwa. Wiele firm przeznaczyło budżety idące w dziesiątki milionów złotych na różnego rodzaju systemy monitoringu, które mają być receptą na słabości systemów kontroli. Wiele organizacji, które mają rozbudowaną infrastrukturę przemysłową, zaczęło tworzyć profesjonalne zespoły reagowania kryzysowego. Niestety, zasoby kadrowe osób mających wiedzę oraz doświadczenie jak rozwiązywać problemy systemów przemysłowych, są bardzo ograniczone. Dodatkowo, o tych samych specjalistów konkurują branże, które mają większe możliwości finansowego motywowania pracownika jak np. branża finansowa.
W związku z powyższym bezpieczeństwo automatyki i sterowania w przemyśle cieszy się coraz większym zainteresowaniem, zarówno ze strony użytkowników, jak i dostawców różnego rodzaju rozwiązań bezpieczeństwa ICT.