+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo IT - oficjalny blog 4 IT SECURITY

22 stycznia 2017

Brak prądu w wyniku ataku hakerskiego?

Sytuacje kryzysowe, które mogą stanowić zagrożenie dla egzystencji infrastruktury energetycznej obejmują szerokie spektrum zdarzeń. Ich wspólną cechą jest utrudnienie lub uniemożliwienie zdobycia i wykorzystania tych zasobów, które są niezbędne do realizacji najistotniejszych procesów gospodarczych. Awaria urządzeń, które powinny zapewniać przetwarzanie informacji może sparaliżować funkcjonowanie państwa, jeżeli nie przewidzieliśmy wcześniej środków zaradczych. Współczesną cywilizację cechuje zasadnicze uzależnienie od dostaw energii, a rolę szczególną odgrywa sektor zaopatrzenia w energię elektryczną. Nie tylko funkcjonowanie przemysłu, transportu, telekomunikacji i systemów komputerowych zależy od ciągłości zaopatrzenia w energię, ale nawet sfera życia prywatnego ulega zapaści przy przerwie w zasilaniu.

Wojny cybernetyczne stały się faktem

Zagrożenie cyberprzestępczością staje się coraz poważniejsze, a walka z hakerami coraz bardziej skomplikowana. Najpoważniejszymi i mającymi największe skutki są próby dokonania sabotażu, poprzez cyberatak na infrastrukturę energetyczną. Cyberataki wymierzone w przedsiębiorstwa przemysłowe zyskują na sile i stają się coraz bardziej wyrafinowane. Energetyka ze względu na strategiczne znaczenie dla bezpieczeństwa państwa, staje się jednym z kluczowych celów cyberprzestępców. Uwaga hakerów uderzających w firmy przemysłowe skupia się m.in. na systemach takich jak stosowane w energetyce SCADA (supervisory control and data acquisition) czy PLC (programmable logic controllers, programowalne sterowniki logiczne).

Kilka przykładów z niepokojąco bliskiej historii pokazuje, że hakerzy nie ustają w wysiłkach, aby złamać zabezpieczenia infrastruktury energetycznej.

Elektrownia jądrowa Ignalina, Litwa, 1992
Jeden z pracowników litewskiej elektrowni jądrowej celowo wprowadził wirusa do systemu sterowania jednego z dwóch reaktorów działających w tym zakładzie.

Elektrownia jądrowa Davis-Besse, USA, 2003
Jedną z amerykańskich elektrowni jądrowych zainfekowano wirusem SQL Slammer. Rozprzestrzeniał się on bardzo szybko za pośrednictwem Internetu, zarażając kolejne komputery, na których zainstalowany był program Microsoft SQL 2000. Robak zaatakował sieć zakładową, która była połączona, bez firewalla, z systemem SCADA elektrowni. Po wniknięciu tam SQL Slammer wygenerował ruch sieciowy o tak dużym natężeniu, że zablokował system, który zbierał dane m.in. z instalacji chłodzenia reaktora, czujników temperatury oraz mierników promieniowania.

Elektrownia atomowa Natanz, Iran, 2010
Użycie wirusa o nazwie Stuxnet, który zainfekował system teleinformatyczny elektrowni. Wirus ten przejął całkowitą kontrolę nad komputerami sterującymi elektrownią, powodując kompletny jej paraliż. Atak z użyciem Stuxneta był jedną z najbardziej kompleksowych i skomplikowanych prób przejęcia kontroli nad infrastrukturą krytyczną w historii cyberzagrożeń. Stuxnet pokazał potencjalne zagrożenie, jaki niesie ze sobą złośliwe oprogramowanie (malware) atakujące kluczowy system komputerowy zarządzający dostawami energii.

Korea Hydro and Nuclear Power, Korea Południowa, 2014
Włamano się do sieci zakładowej firmy, która zarządzała elektrowniami nuklearnymi w Korei Południowej. Ataku tego dokonano, wysyłając jej pracownikom e-maile z linkami. Po kliknięciu na te łącza automatycznie pobierane było złośliwe oprogramowanie. Za jego pośrednictwem przestępcy pozyskali poufne dane, m.in. plany i dokumentację techniczną dwóch reaktorów, dane pracowników i informacje o wpływie promieniowania z reaktorów na okolicznych mieszkańców.

Operatorzy sieci energetycznych, przedsiębiorstwa energii elektrycznej, 2014
Systemy informatyczne setek europejskich i amerykańskich spółek z branży energetycznej zostały zarażone wirusem „Energetic Bear", który pozwala monitorować w czasie rzeczywistym zużycie prądu oraz fizycznie uszkadzać taką infrastrukturę energetyczną, jak np. turbiny wiatrowe, maszyneria w elektrowniach czy rurociągi.

Dostawcy energii, Ukraina, 2015
Hakerzy spowodowali awarię sieci energetycznej, która dotknęła ponad 200 tys. mieszkańców Ukrainy. Za pośrednictwem specjalnie przygotowanych e-maili z załącznikami przestępcom udało się zainfekować sieć zakładów energetycznych złośliwym oprogramowaniem. Następnie wykradli poufne dane i przejęli zdalną kontrolę nad wyposażeniem elektrowni, powodując przerwy w dostawach prądu. Dodatkowo zablokowali infolinie, by uniemożliwić klientom zgłaszanie awarii.

Infrastruktura energetyczna to realne i typowe cybernetyczne systemy, a w nich obiekty, urządzenia czy też instalacje, które są niezbędne do zabezpieczenia minimalnego funkcjonowania gospodarki naszego państwa. Jest ona zatem najważniejszą i niezbędną dla państwa i jego obywateli dziedziną. W wyniku działania cyberprzestępców, infrastruktura ta może ulec zniszczeniu lub uszkodzeniu, a jej działanie będzie zakłócone. Dzisiejszy obraz cyberprzestrzeni wskazuje na konieczność traktowania tej sfery jako jednej ze strategicznych z punktu widzenia obronności kraju. Wskazują na to dwie podstawowe przesłanki. Pierwsza to fakt, że technologia IT jest kluczowym komponentem infrastruktury krytycznej państwa, np. jest wykorzystywana do zarządzania sieciami energetycznymi, telekomunikacyjnymi, transportowymi. Cyberatak na infrastrukturę krytyczną może automatycznie postawić pod znakiem zapytania bezpieczeństwo całego kraju. Drugą przesłanką jest znaczenie, jakie zyskują technologie IT w jakiejkolwiek sytuacji konfliktowej.

Czynniki wpływające na podatność infrastruktury energetycznej na cyberataki

  • Popularność systemów SCADA (Supervisory Control And Data Acquisition), czyli systemów nadzorujących przebieg procesu technologicznego oraz produkcyjnego. Używane są one do kontrolowania i sterowania automatyką przemysłową. Powszechnie uważane są za podatne na ataki hakerów, które stają się coraz częstsze,
  • Masowe wprowadzenie inteligentnych systemów dostarczania energii elektrycznej - Smart Grids. Rozwiązanie te rewolucjonizują systemy elektroenergetyczne jeszcze bardziej je integrując i optymalizując ich działanie. Smart Grids oparte są na nowych technologiach wykorzystujących protokół TCP/IP, co może czynić je wrażliwymi na ataki pochodzące z cyberprzestrzeni i zwiększa pole działań dla podmiotów mających nielegalne intencje.

 

Słynnym przykładem jest wspomniany wirus Stuxnet, który uszkodził część instalacji w irańskiej elektrowni atomowej i zainfekował oprogramowanie w wielu innych elektrowniach na całym świecie. Systemy SCADA zaprojektowane do wieloletniego działania, nie uwzględniały w swoim schemacie bezpieczeństwa sieciowego. Operatorzy na całym świecie pilnują, aby komputery odpowiedzialne za sterowanie pracą elektrowni (OT) nie były połączone ani z Internetem, ani z siecią biurową (ICT). Z drugiej strony, informacje o pracy urządzeń siłowni muszą być okresowo przenoszone na inne komputery (biurowe), wtedy bez połączenia nie da się obyć. Dodatkowo pomiędzy systemami SCADA a korporacyjnymi systemami informatycznymi często istnieje połączenie, powstałe w wyniku wprowadzenia zmian w zarządzaniu informacjami. Wynika ono z potrzeby zdalnego dostępu do systemu – umożliwienie administratorom systemu SCADA jego nadzorowanie i sterowanie nim z punktów dostępu znajdujących się w sieci korporacyjnej. Systemy SCADA są włączane do infrastruktury, której przez wzgląd na oczekiwania biznesowe nie da się w pełni odizolować od środowisk publicznych. Przestały być systemami całkowicie wyizolowanymi i stają się częścią infrastruktur działających w oparciu o protokół IP. Taka ewolucja usprawnia działanie oraz zarządzanie systemami przemysłowymi, a jednocześnie eksponuje je na zagrożenia, ponieważ z uwagi na dotychczas zakładany wyizolowany charakter systemów przemysłowych, kwestia ich bezpieczeństwa nie była uznawana dotychczas za priorytetową.

Mając świadomość negatywnych skutków oddziaływania na infrastrukturę energetyczną należy bezwzględnie ją chronić. Przez ochronę infrastruktury energetycznej należy rozumieć wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury energetycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie. W skład prewencji mogą wchodzić zarówno czynności o charakterze operacyjnym (np. ochrona obiektu w celu ograniczenia dostępu osób nieupoważnionych, zabezpieczenie systemu informatycznego, ochrona informacji), jak i decyzje strategiczne określające m.in. lokalizację obiektów organizacji lub sposób prowadzenia działalności. Przewidywanie przyszłego poziomu zagrożeń dla infrastruktury energetycznej jest niezwykle trudne ponieważ jej elementy są funkcjonalnie zależne, a możliwe scenariusze zagrożeń są praktycznie niepoliczalne. Bezpieczeństwo cyberprzestrzeni dotyka kwestii bezpieczeństwa narodowego. Ochrona cyberprzestrzeni stanowi obecnie jeden z podstawowych celów strategicznych w obszarze bezpieczeństwa każdego państwa. Bardzo ważna jest umiejętność monitorowania, a w tym, przewidywanie zagrożeń i potencjalnych ataków. Należy się zastanowić nad jej bezpieczeństwem ponieważ z jednej strony zmiany technologiczne ułatwiają i przyśpieszają pracę, z drugiej wywołują dodatkowe ryzyko i możliwości ataku cybernetycznego. Zarówno skala, jak i charakter ataków świadczą o tym, że atakujący, świadomie i z rozmysłem, wykorzystują fakt olbrzymiej współzależności między organizacjami oraz dostępność nowych technologii, a także brak skutecznej kontroli nad ich wykorzystaniem. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. To, kto lub co jest celem, wyznaczane jest przez interes polityczny oraz finansowy lub ideologię. Tylko działanie proaktywne i zauważalne nakłady finansowe na bezpieczeństwo cyberprzestrzeni pozwolą na skuteczną reakcję w obliczu ataku na infrastrukturę o kluczowym znaczeniu dla bezpieczeństwa państwa. Ważne przy tym jest, aby cyberbezpieczeństwo było rozumiane szeroko, co pozwoli stosować kompleksowe rozwiązania sprowadzające się nie tylko do umacniania rozwiązań IT. Równie ważne jak wprowadzanie najlepszych rozwiązań technicznych jest całościowe spojrzenie na problem i umacnianie wszystkich jego elementów, w tym czynnika ludzkiego. Cyberataki wykorzystują bowiem tak słabości technologiczne jak i błędy ludzkie. 

Komentarze (0)

Dodaj

Popularne wpisy