Mióta az ipar erőteljesen alkalmazza az IT-megoldásokat, ott is ugyanúgy harcolnak a behatolók ellen – csak épp csendben. Hogyan észlelhetjük az ipari rendszerek kiberbiztonsági hiányosságait? Ezek a legtöbbször rejtve maradnak az átlagember előtt?
Az iparban a hangsúlyt sokáig arra helyezték, hogy egy rendszer működjön, és nem arra, hogy biztonságosan működjön. A legszembetűnőbb és manapság legrelevánsabb probléma, ha egy kibertámadás miatt leáll egy szolgáltatás, vagy szünetel a termelés. Ennek előidézésében évek óta élen járnak a ransomware, magyarul zsarolóvírus-támadások, amelyek során a vállalathoz bejuttatott rosszindulatú szoftver titkosítja a szervezet adatvagyonát, és ennek feloldásáért a támadók váltságdíjat kérnek. Ilyen volt 2021 májusában a Colonial Pipeline ellen elkövetett ransomware-támadás, amelynek folyományaként az USA keleti partján majdnem egy hétig erősen akadozott az üzemanyag-ellátás. Hasonló eset a JBS nevű húsfeldolgozó elleni kibertámadás, szintén 2021-ből, ott az USA-ban és az Ausztráliában lévő húsfeldolgozó üzemek álltak le egy időre. A leállás ideiglenes ellátási problémákat okozott a disznóhús és a szárnyasok területén, Amerika egyes államaiban hiány keletkezett, és az ára is megemelkedett a húsárunak.
Az elmúlt évek fejleménye, hogy a zsarolóvírusokat fejlesztő hackerek vagy csapatok nemcsak maguk használják fel a „terméküket”, hanem szolgáltatásként másoknak is eladják.
Ennek köszönhetően ez az iparág is demokratizálódik, és hiába fejlődnek a védekező mechanizmusok, évek óta töretlenül magas szinten áll vagy nő a támadások száma. Ráadásul a legtöbb ilyen jellegű akciónál kicsi a láthatóság, mivel sok szervezet – a jó híre megőrzése érdekében – eltitkolja az esetet, és inkább kifizeti a váltságdíjat.
Mennyit hajlandók fizetni a cégek?
A váltságdíjak mértékéről inkább az USA-ból tudunk adatokat, ott az egymillió dollárt is meghaladhatják – cégmérettől függően –, de vélhetően az Európai Unióban is hasonló nagyságrendről beszélhetünk. Ritka kivételként az említett JBS esetében ismertté vált a váltságdíj mértéke,
a vállalat ugyanis 11 millió dollárt fizetett ki.
Ezzel kiváltotta a hatóságok rosszallását, hiszen a hackerek bitcointárcájába befolyt összeg azt erősítette meg az elkövetőkben, hogy „jó” úton járnak, így is lehet pénzt keresni. Sajtóhírek szerint a Holland Labdarúgó-szövetséget is komoly dilemma elé állította a zsarolás, de az információ terjedésének megakadályozása végső soron fontosabbnak bizonyult számukra. A kifizetett összeg nem került nyilvánosságra, de az RTL News szerint több mint egymillió euróról van szó.
Olvashattunk már arról, hogy magyar és külföldi államokkal is tárgyalnak hazai kiberbiztonsági cégek, amelyek például azért dolgoznak, hogy ne lehessen megbuktatni egy ország kormányát – online támadásokkal. Mondjuk a teljes áramszolgáltatás lekapcsolásával.
A szolgáltatás- vagy termeléskieséssel fenyegető támadások egy alcsoportja az állami háttérrel elkövetett, kritikus infrastruktúrát célzó támadás vagy adatlopás. Ez a kiberhadviselés természetéből kifolyólag nagyrészt rejtetten zajlik, csak ritkán lebben fel a fátyol a mélyben zajló folyamatokról, elsősorban konfliktusok idején. Ilyen támadásból kaphatott ízelítőt Ukrajna még 2016-ban, amikor az Ukrenergo áramszolgáltatása állt le napokra karácsony előtt Kijevben és környékén. Vagy hasonló támadás volt az egyik első és legjobban ismert példa, a Stuxnet. Ez egy évekig rejtve maradt károkozó, amely leginkább Iránban terjedt, és a célja az iráni atomprogramban részt vevő dúsítógépek károsítása volt. A célját elérte, hiszen
az iráni atomprogramot a becslések szerint több évvel visszavetette.
Az orosz–ukrán háború kapcsán meg kell jegyezni, hogy az ukrán, azon keresztül pedig a nyugati kibervédelem szintjét jelzi, hogy az orosz kibertámadások hatására 2022-ben nem állt meg az ukrán állam működése – tehát létezik sikeres védekezés. Más kérdés, hogy sok esetben fizikai eszközökkel, jellemzően drónokkal és tüzérséggel sikerül hasonló eredményt elérniük a támadóknak. Tény, hogy a fenyegetettséget az egész világ komolyan veszi, az is frissíti a kibervédelemmel foglalkozó irányelvét, a NIS2-t, és EU-szerte lázban tartja az IT-biztonsággal foglalkozó szervezeteket, hogy mi kerül bele az októberig nemzetenként elkészülő részletezésbe. Hasonlóan az EU-hoz, az USA-ban is forró a téma, hiszen a napokban publikáltak egy támadást, amelyben feltételezetten kínai hackerek fértek hozzá az USA Guamon elhelyezkedő, kulcspozícióban lévő támaszpontjainak kommunikációs vonalaihoz.
Ezekben a percekben is támadhatnak olyan rendszereket, amelyek a hétköznapjainkra is hatással lehetnek?
Bár néhány hackercsoport deklaráltan nem támad szociális feladatot ellátó intézményt, általánosságban a közszférát sem kímélik a támadók. Számos önkormányzatot, kórházat és egyéb közintézményt ért már támadás. Jellemzően ezek a szervezetek kevésbé tudnak a kiberbiztonságukra koncentrálni, nyitott ajtókat hagynak a támadóknak. Az emberek zsigeri félelmeire hatnak azok a behatolások, amelyek a fizikai létünket veszélyeztetik. Szerencsére ezekből kevesebb van, de azok annál erősebben érintenek meg bennünket. A Trisisnak nevezett támadás egy közel-keleti olajcég üzemének biztonsági kontrollját ellátó alrendszer ellen zajlott. Ez az alrendszer felelős egyebek között a veszélyes helyzetekben a folyamatok leállításáért, így szükség esetén megállíthat forgó eszközöket, leállíthatja forró folyadékok és gázok áramlását, gépkarok mozgatását. A malware-t (a rosszindulatú szoftverek gyűjtőneve) időben felfedezték, nem okozott senkinek fizikai károsodást, és az üzemben sem okozott leállást, de valószínűsíthető, hogy hasonló károkozók jelenleg is aktívak más üzemekben.
A bennünket körbevevő okosgépek nagy része távolról elérhető, és bizonyos fokig irányítható, így támadható is?
Igen, a potenciálisan tömegeket érintő utolsó problémakör a lakosság által használt rendszerek kiberbiztonsága: az okosotthonok gépei, az autók irányítási rendszerei. Majdnem minden kiberbiztonsági konferencián bemutatnak olyan támadást, amelyben egy autót vagy okosotthont irányító rendszer felett veszik át illetéktelenek a hatalmat, és akár veszélyes műveleteket is végrehajtanak. Ebben az évben a Synacktiv nevű francia etikushacker-cég egy Tesla Model 3 ajtaját tudta távolról kinyitni, akár mozgás közben is. A Tesla kvázi szoftvergyártó cégként részt vesz kiberbiztonsági konferenciákon, és pénzzel jutalmazza, ha etikus hackerek ellenőrzött körülmények között feltörik az autóikat (bug hunting). Majd a cég ki is javítja az így felfedezett hibákat. Fontos lenne, hogy minél több vállalat kövesse ezt a példát, és minél több pénzt, energiát fektessen a termékei biztonságába. Jelenleg ez messze nem általános, hiszen például az autógyártók annak ellenére sem vesznek részt tömegesen a bug hunting programokban, hogy a kocsik egyre nagyobb részben szoftvertermékek. Hasonlóan hiányos még más területeken is a gyártók biztonságtudatossága. Sok eszköz közvetlenül elérhető az interneten, ezek között nemcsak hálózati eszközök (routerek, tűzfalak), hanem IoT-készülékek – kamerák, ajtóvezérlők, háztartási gépek – is megtalálhatók. Ha ezek nem eléggé védettek, például nem kötelező megváltoztatni a gyári belépési jelszavakat, vagy sérülékeny kommunikációs csatornát használnak, akkor
a támadók be tudnak férkőzni az otthonunkba, és jogosulatlanul megnézhetik egy kamera képét, vagy akár egy ajtót is kinyithatnak.
Talán az említett NIS2 irányelv elég motiváció lesz arra, hogy a gyártók az EU-ban csak olyan termékekkel álljanak elő, amelyek biztonsága eléri az elfogadható szintet.
