Cyber sigurnost Security Services

Najčešći mitovi o sigurnosti industrijskih kontrolnih sistema

U prošlom tekstu govorili smo o najčešćim cyber napadima, a ovaj put ćemo se osvrnuti na neke od najčešćih mitova kada je sigurnost industrijskih kontrolnih sistema u pitanju

Piše: Goran Milić
E-mail: redakcija@asadria.com

Sigurnost industrijskih kontrolnih sistema dosad se bazirala na vjerovanju da je fizička izolacija sasvim dovoljna za siguran rad ovakvih sistema. Međutim, primjeri iz prakse pokazuju da tako nešto jednostavno nije istina. Direktor Odjela za buduće tehnologije kompanije Kaspersky Lab Andrey Nikishin objavio je pet najčešćih mitova kada je  sigurnost industrijskih kontrolnih sistema u pitanju. Tradicionalni pristup sigurnosti industrijskih sistema više nije dovoljno efikasan da bi pružio dovoljnu zaštitu, pa rukovodioci sigurnosnih odjeljenja moraju prihvatiti nove paradigme sigurnosne zaštite industrijskih sistema u 21. vijeku.

Naš sistem nije zanimljiv hakerima

Ova izjava u 21. vijeku nije istinita ni za jedan IT sistem, pa makar se on sastojao od samo jednog kompjutera. Mnogo je razloga za to. Prvo, industrijski sistemi ne moraju da budu meta napada da bi postali žrtve. Tako je 80 procenata sigurnosnih incidenata povezanih sa kontrolnim sistemima plod slučajnosti. Nažalost, šteta je bila itekako stvarna. Dobar primjer je crv Slammer, koji je obarao sve sisteme na koje je nailazio, iako nije bio specijalno napisan za industrijske sisteme. Druga česta pojava je izloženost napadu zbog nedovoljno sigurnih operativnih sistema koje ti sistemi koriste. Na osnovu velikog istraživanja Kaspersky Laba može se uočiti da se sve veći broj kompjutera koji koriste SCADA softver suočava s istim zlonamjernim softverima koji napadaju i druge sisteme, uključujući trojance, crve, viruse i druge maliciozne softvere koje iskorištavaju ranjivosti Microsoft operativnih sistema.

Naš sigurnosni sistem ima dovoljno dobru zaštitu

Treba biti svjestan jednostavne činjenice da veliki broj postojećih sigurnosnih sistema ima određene tehničke nedostatke. Navedimo neke od glavnih problema koji muče moderne operativne sisteme. Kao prvo, IEC 61508 certifikacija (SIL) ne uzima u obzir sigurnost. Moderni sistemi za industrijsku sigurnost bazirani su na mikroprocesorima, a konfigurišu se pomoću kompjutera sa Windowsom. Ethernet komunikacija, koja se koristi za integraciju i kontrolu je bazirana na otvorenim nesigurnim protokolima kao što su Modbus TCP ili OPC. Što je još gore, mnogi sigurnosni sistemi i dalje koriste operativne sisteme i Ethernet protokole koji imaju poznate ranjivosti.

Naš sistem nije povezan na internet, pa je i dovoljno siguran

Statistika kaže da industrijski kontrolni sistem prosječno ima 11 direktnih priključaka na internet. Istraživanja provedena u jednoj velikoj energetskoj kompaniji su pokazala da većina zaposlenika smatra da su kontrolni sistemi i poslovna mreža razdvojeni. Međutim, daljnja analiza je utvrdila da je 89% sistema te energetske kompanije zapravo povezano na zajedničku mrežu. Sigurnost poslovnog dijela mreže bila je fokusirana na opšte poslovne procese, a da se pri tome nije obraćala pažnja na sisteme koji upravljaju kritičnim procesima. Pronađene su višestruke konekcije između mreže kompanije i interneta, uključujući intranet kompanije i Wi-Fi konekciju. Na ovaj način kompanija je izložena svim mogućim napadima. Ponovo možemo za primjer uzeti Slammer napad. Ovaj crv je napao različite infrastrukture kao što su hitne službe, kontrole vazdušnog saobraćaja i bankomate. Pri tome je uspio da uspostavi maksimalnu brzinu skeniranja od 55 miliona operacija u sekundi za manje od tri minute. Ironično, jedina stvar koje je usporila Slammer crva je nedostatak mrežne propusnosti na mrežama koje je napao.

Kompjuteri i sistemi za kontrolu nuklearne elektrane Davis-Besse zaraženi su putem T1 linije jednog od podugovarača, pa sigurnosno nadgledanje nije funkcionisalo pet sati. Sjevernoamerički savjet za pouzdanost električne energije utvrdio je postojanje jednog zajedničkog izvora infekcije Slammer crvom. Radilo se o VPN konekciji udaljenog kompjutera. Do zaraze je došlo putem poslovne mreže, a crv se multiplicirao blokirajući SCADA saobraćaj.

Napadači nisu upućeni u rad SCADA/DSC/PLC sistema

Ovo je naročito velika zabluda jer su SCADA softver i sistemi za kontrolu procesa postale obavezne teme na sigurnosnim konferencijama gdje se okupljaju hakeri. Nije teško zaključiti zašto je to tako: digitalni kriminal je već neko vrijeme vrlo unosan posao, pri čemu cijene po kojima se prodaju virusi i ostali maliciozni softveri često premašuju cifre od 80.000 američkih dolara. Svi koji misle da hakeri nisu zainteresovani ili im nedostaju mogućnosti da napadaju industrijske kontrolne sisteme, treba da znaju nekoliko osnovnih činjenica. Maliciozni softveri poput virusa, crva ili drugog špijunskog softvera se kreiraju za vrlo određene napade, mete ili aplikacije. Specifikacije SCADA softvera su dostupne na internetu, ponekad za određenu cijenu, a ponekad čak i potpuno besplatno. Web-pretraživač Shodan omogućava pronalaženje nesigurnih industrijskih uređaja ili cjelokupnih sistema i to na globalnom nivou. Hakeri vrlo dobro znaju da ovakvi sistemi u velikom broju slučajeva operišu u skladu sa fabričkim postavkama i šiframa, pa je tako moguće ostvariti pristup sistemu sa autentifikacijskim podacima kao što su “admin” za korisničko ime i “1234” za šifru.

Firewall je dovoljna zaštita

Analizom 37 firewall rješenja u finansijskom, energetskom, telekomunikacionom, medijskom i automobilskom sektoru utvrđeno je nekoliko vrlo indikativnih činjenica. Tako, naprimjer, gotovo 80 procenata testiranih firewall rješenja ima “any” postavku na ulaznim servisima, te nezaštićen prilaz samom firewallu i „demilitarizovanoj“ zoni mreže (dio mreže u kojoj su firewall pravila nešto blaža kako bi se obezbijedio neometan rad pojedinih servisa). Skoro 70 procenata testiranih firewall rješenja omogućava pristup samom firewallu sa kompjutera izvan mreže koju štite, što je ogroman sigurnosni propust. Kao što se može vidjeti iz samo nekoliko primjera, sigurnost industrijskih sistema je na prilično niskom nivou, te je neophodno što prije podići svjesnost o važnosti njihove zaštite.

Related Posts

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *