industry-security

Kritický stav bezpečnosti průmyslových kontrolních systémů

Konečně začínáme řešit problém, který máme už léta.” Do takto lakonické věty by se dal shrnout závěr první konference zaměřené na bezpečnost průmyslových kontrolních systémů (ICS, častěji známé jako SCADA) SCADAconf, která se konala 6. října 2015 ve slovenském Vígľaši nedaleko Zvolena. První konference svého druhu v Čechách i na Slovensku spojila provozovatele technologií, které využívají ICS a poskytovatele bezpečnostních služeb a řešení v této oblasti. Vedle energetiků, provozovatelů distribučních soustav a výrobců se prezentovaly i společnosti připravující bezpečnostní řešení (pořadatelská společnost Fortinet vyvíjí hardware s vysokým bezpečnostním standardem) a etičtí hackeři z Citadelo, kteří se v poslední době intenzívně zaměřili na tuto novou výzvu, tj. pochopit ICS v jejich komplexnosti a následně být schopni je testovat na zranitelnosti, které by potenciálnímu útočníkovi umožnili ovládnutí systému.

Otázka bezpečnosti těchto systémů se stala značně aktuální zejména po obřím zásahu do mimořádně citlivé oblasti jaderného vývoje v roce 2010. Virus Stuxnet napadl vedle dalších zejména íránská výzkumná centra a poničil celou pětinu tamních jaderných centrifug. Celý útok mířil primárně na tzv. Programmable Logic Controler (PLC), což jsou koncové kontrolery, které napřímo komunikují a řídí samotný proces nebo úlohu. Jakákoliv kompromitace, která je schopná ovlivnit chod PLC je obrovským rizikem, které fakticky znamená, že útočník - hacker - je schopen nahradit řízení daného provozu svými vlasntími příkazy. Ačkoliv se antiviry a nástroje pro analýzu a detekci hrozeb rychle zdokonalují, kybernetická mafie je napřed a nabízí svým klientům útočné nástroje založené na tzv. zero-day vulnerabilities, tzn. doposud neznámých zranitelnostech a exploitech, které jich dokáží využít pro úspěšný průnik. Je více než naivní domnívat se, že by oblast ICS zůstala stranou pozornosti. Naopak na hackerských fórech můžeme zazanamenat další vývoj nástrojů obdobných Stuxnetu a můžeme jen věštit, jak daleko již vývoj dospěl. 

V důsledku přijetí zákona o kybernetické bezpečnosti byly stanoveny vysoké standardy bezpečnosti a požadavky na bezpečnostní audity u všech kritických infrastruktur, tj. takových systémů, jejichž nefunkčnost by měla závažný dopad na bezpečnost a základní životní potřeby obyvatel. Realita však značně pokulhává za zákonným rámcem a je třeba společně hledat cesty k efektivnímu zabezpečení kritických systémů. Trend poslední doby je totiž takový, že vývojáři ICS kladou důraz na pohodlnější a funkčnější řešení založené na vzdálených přístupech a kontrole mimo samotný provoz, často prostřednictvím internetu nebo firemních sítí. V minulosti bylo standardem, že kritické systémy zůstávaly izolované v uzavřených okruzích, což výzmnaně snižovalo rizika průniku. Co však v minulosti bylo běžné, je dnes spíše vzácným úkazem. V kombinaci s často velmi zastaralou architekturou a předpotopními komunikačními protokoly kontrolerů se tak jedná o aktuální a v souvislosti s globální politickou situací i zcela zásadní bezpečnostní hrozbu. Stačí si uvědomit aspoň příkladmý výčet oblastí, kde se kontrolní systémy běžně využívají pro řízení základních procesů: výroba elektrické energie (včetně jaderné elergetiky), provoz distribučních sítí, dopravní infrastruktura, těžba a distribuce nerostných surovin, telekomunikace, výroba v oblasti těžkého i lehkého průmyslu a mnoho dalších. Jak se cítíte při představě, že někdo ovládá závoru vodní přehrady ze svého tabletu a komunikuje přes nešifrované spojení?

Jak na konfrerenci zaznělo, je těžko představitelné, že by se trend propojování ICS s veřejně přístupnými sítěmi začal radikálně obracet, takže je teď na nás - profesionálech IT security zabezpečit v maximální možné míře všechny vstupy do systémů, kterými by je mohl kompromitovat nezvaný host. Citadelo začalo narostoucí poptávku po bezpečnostních auditech ICS reagovat výzkumem v této oblasti a vyčleněním několik specialistů pro tuto oblast. Naplňujeme tak naší dlouhodobou vizi, tj. poskytovat služby ve všech otázkách informační bezpečnosti a dělat z internetu bezpečné místo.

Martin Leskovjan Citadelo CZ

O autorovi

Citadelo
Citadelo je dům plný etických hackerů na vaší straně. Myslíme jako útočník, avšak nezneužíváme toho. Ba naopak, naším hlavním cílem je odhalit zranitelnost bez napáchaných škod. Pro naše klienty připravujeme simulované útoky již od roku 2006. Pomáháme otestovat jejich informační bezpečnost. Podrobte své IT prostředí výzvě a odhalte, do jaké míry jsou vaše citlivá data chráněna.
Zobrazit více od autora

Podobné blogy