By dokonać prawdziwego ataku na infrastrukturę, nie wystarczy skorzystać z tradycyjnych wirusów. Hakerzy muszą jeszcze rozumieć specyfikę konkretnego procesu przemysłowego. Dlatego też agresorzy korzystają z podatności w oprogramowaniu obsługującym proces technologiczny. Są w stanie wydawać polecenia urządzeniom - i to w sposób, który nie uruchomi żadnych alarmów - mówi Andriej Suworow, szef działu rozwoju rozwiązań ochrony infrastruktury krytycznej w Kaspersky Lab w rozmowie z portalem Cyberdefence24.
Co jest największym zagrożeniem dla bezpieczeństwa infrastruktury krytycznej? Czy są to zagrożenia terrorystyczne, czy agresja ze strony wrogich państw?
Chciałbym rozdzielić wszystkie typy zagrożeń na trzy obszary. Obszar pierwszy to czynnik ludzki. Wewnętrzne działania w większości niezamierzone, które jednak mogą poważnie uszkodzić fizyczny sprzęt. Koszt takich niezamierzonych akcji może być bardzo wysoki. Dla przykładu wyobraźmy sobie pracowników, którzy prowadzą prace konserwacyjne na potrzeby swoich robót zmienili ustawienia w systemie. Po skończonych pracach mogą zapomnieć przywrócić ustawienia do właściwej pozycji. Dobry system powinien naprawić każdą próbę niekontrolowanej zmiany kluczowych ustawień. W innym wypadku może to doprowadzić do naprawdę kosztownych uszkodzeń sprzętu. Drugi obszar ryzyka to oszustwa przemysłowe. To może być miks zagrożeń wewnętrznych i zewnętrznych. Jeśli mamy nieuczciwego pracownika z dostępem do systemów SCADA, który w stanie zmienić ustawienia dotyczące np. gęstości produktu, możesz ukraść część produktu, manipulując tymi ustawieniami. Dziś nikt nie potrafi wyśledzić takiej operacji w systemie Scada. Warto, by firmy miały specjalne systemy monitorowania i audytu takich aktywności. Trzeci rodzaj zagrożeń to kierunkowe ataki mające na celu dokonanie fizycznych zniszczeń. Gracze w tym wypadku mogą być różni. To mogą być wrogie państwa, to może być konkurencja, mogą to być grupy hacktywistów. Niestety, coraz częściej widać, że to bardzo realne zagrożenie, które z rzeczywistego świata przenosi się do wirtualnej rzeczywistości.
Ostatnio widzieliśmy wiele ataków na systemy przemysłowe, np. operacje wymierzone w ukraińskie elektrownie, niemiecką hutę czy tamę w USA. Z czego wynika zwiększona aktywność hakerów w tym obszarze?
Posłużę się analogią. Dziesięć albo piętnaście lat temu w branży bankowej słyszeliśmy głównie o fizycznych napadach, gdzie przestępcy próbowali z młotem lub bronią wejść do skarbca lub zniszczyć bankomat i zdobyć pieniądze. Teraz w branży bankowej mamy przede wszystkim sytuacje, gdy ludzie używając tylko klawiatur próbują zdobyć pieniądze bez żadnej przemocy. Ten sam trend pojawia się w obszarze przemysłowym. Dużo łatwiej jest użyć komputera, by spenetrować system i dokonać zniszczeń, niż spędzać mnóstwo czasu, by rozwiązać problem fizycznej ochrony obiektów. Cyberataki to narastający trend.
Czy prawdziwe byłoby stwierdzenie, że ataki są coraz lepiej przygotowane, a hakerzy korzystają z coraz wymyślniejszych rozwiązań?
Zdecydowanie. By dokonać prawdziwego ataku na infrastrukturę, nie wystarczy skorzystać z tradycyjnych wirusów. Z tradycyjnym podejściem hakerzy zdobędą hasła dostępu, które są oczywiście potrzebne, ale to za mało. Muszą jeszcze rozumieć specyfikę konkretnego procesu przemysłowego i specyfikę elementów danego fizycznego środowiska. Dla przykładu: twórcy wirusa Stuxnet zmienili programy odpowiadające za sterowanie procesem technologicznym. Kiedy to zrobili, żadne systemy SCADA wykorzystywane dla monitoringu tej instalacji atomowej nie wykazały naruszeń bezpieczeństwa. Nie uruchomiły się żadne alarmy. Stało się tak, ponieważ agresorzy skorzystali z oprogramowania obsługującego proces technologiczny. Dzięki temu wygenerowali specjalny rodzaj polecenia dla wirówek, które nie nakazały im niszczenia od razu po wydaniu komendy, tylko demolowania urządzeń w dłuższym czasie, stopniowo. Taki efekt można osiągnąć tylko wtedy, gdy ktoś posiada głęboką wiedzę o rodzaju wirówek, o sterownikach PLC (programowalny sterownik logiczny, Programmable Logic Controller) oraz o typie oprogramowania w PLC. Przygotowanie operacji zajęło hakerom dużo czasu, ale dzięki temu byli w stanie działać jako zwykli użytkownicy systemu, a nie atakujący.
Czy ochrona systemów SCADA jest najważniejszym zadaniem, jeżeli chodzi o cyberbezpieczeństwo?
Tak Z jednej strony mamy często do czynienia z tradycyjnymi technikami ataku, jak próby infiltracji sieci przemysłowej czy próby zdobycia dostępu do PLC. Takie działania jesteśmy w stanie wykryć na poziomie systemu, dzięki monitorowaniu incydentów IT. Ale widzimy wielkie zapotrzebowanie na produkty pozwalające na wykrywanie anomalii procesów. Może się bowiem zdarzyć, że w zakładzie nie będzie żadnych podejrzanych zdarzeń na poziomie urządzeń podłączonych do sieci, czy zwiększonego ruchu w sieci. Będzie można jednak wykryć podejrzane zdarzenia na poziomie poleceń dla procesów technologicznych. Haker zdolny do skompromitowania komputera twojego dostawcy jest w stanie wysłać polecenie na poziomie PLC lub procesu technologicznego, które w przyszłości wygeneruje poważne zagrożenie. Polecenie będzie rozpoznawane jako aktualne dla twojego systemu, Może dotyczyć np. prędkości silnika albo zamknięcia jakiś przegród, co w przyszłości będzie bardzo groźne. Każdy system powinien być gotowy, by zidentyfikować i unikać takich niechcianych poleceń. Detekcja anomalii jest więc kluczowa dla kompleksowej ochrony infrastruktury.
Ma Pan wiedzę o poziomie cyberzabezpieczeń polskich firm?
Mogę potwierdzić, że sektor energetyczny – ropa, gaz i chemiczny – jest bardzo istotny z punktu widzenia cyberbezpieczeństwa. Nie ma wielkiej różnicy w poziomie ryzyka systemów w poszczególnych krajach. Wszędzie tradycyjnie używa się tych samych protokołów międzynarodowych. Zawsze wybiera się też podobnych dostawców oprogramowania, jak ABB czy Siemens. Nasza firma prowadzi już rozpoznanie lokalnego rynku. Prowadzimy rozmowy z rodzimymi firmami. Spodziewam się, że wkrótce zaangażujemy się na tym terenie.
Zobacz też: Kto będzie odpowiadał za cyberobronę infrastruktury krytycznej USA?