Krytyczna infrastruktura zagrożona cyberatakami

W drugim przypadku analiza komputera należącego do kontrahenta firmy Calpine – największego amerykańskiego producenta energii elektrycznej z gazu ziemnego i złóż geotermalnych – wykazała, że komputer ten został zaatakowany przez hakerów, którzy skradli dane dotyczące koncernu. Skradzione informacje znaleziono na jednym z serwerów FTP należących do cyberprzestępców, który kontaktował się z zainfekowanymi systemami. Były to m.in. nazwy użytkowników i hasła umożliwiające zdalny kontakt z sieciami Calpine oraz szczegółowe rysunki techniczne sieci i 71 stacji zasilania w całych Stanach Zjednoczonych.

Zainfekowane systemy SCADA oferowane do sprzedaży w cyberpodziemiu

Na podziemnych forach internetowych znaleziono oferty sprzedaży zainfekowanych systemów SCADA odpowiedzialnych za nadzór procesów produkcyjnych i technologicznych. Oferty obejmowały zrzuty ekranowe, a nawet trzy francuskie adresy IP i hasła VNC. Choć autentyczność tych danych nie została potwierdzona, jest duże prawdopodobieństwo, że gotowe do użycia, podatne na ataki systemy SCADA stają się kolejnym towarem, który można łatwo kupić w cyberprzestępczym podziemiu.

Przytoczone powyżej sytuacje to tylko trzy przykłady ze znacznie dłuższej listy. Jak wynika z biuletynu organizacji ICS-CERT, w roku finansowym 2015 do ICS-CERT zgłoszono łącznie 295 incydentów. Najwięcej (97,33%) dotyczyło ataków na infrastruktury w sektorze produkcji krytycznej. Na drugim miejscu znalazł się sektor energetyczny (46,16%). Za przyczynę wzrostu tych pierwszych w porównaniu z rokiem 2014 uznano zakrojoną na szeroką skalę kampanię spear-phishingu, której celem były głównie firmy z tego sektora (ataki na inne sektory miały mniejszy zasięg).

Jak się chronić?

Jednym z największych problemów dla firm, które chcą zabezpieczyć swoje systemy ICS, jest wysoki stopień zaawansowania współczesnych ataków. Istnieją też dodatkowe utrudnienia, takie jak branżowy charakter systemów, regulacji i praktyk. Systemy ISC w poszczególnych firmach pochodzą najczęściej od różnych dostawców i są wyposażone we własne systemy operacyjne, aplikacje oraz protokoły (np. GE, Rockwell, DNP3 lub Modbus). Z tego powodu zabezpieczenia oparte na hoście, przeznaczone dla systemów informatycznych przedsiębiorstw, w zasadzie nie są dostępne dla ICS, a wiele zabezpieczeń sieci opracowanych z myślą o powszechnie używanych aplikacjach i protokołach raczej nie spełni swojej funkcji w systemach ICS.

Można sformułować kilka zaleceń dotyczących bezpieczeństwa, które pomogą firmom w uniknięciu poważnych problemów:

Walka z phishingiem. Dobre oprogramowanie antywirusowe ostrzegające o niebezpiecznych załącznikach może stanowić dodatkową warstwę ochronną, która pomoże w walce z phishingiem, czyli wyłudzaniem danych wrażliwych za pomocą wiadomości e-mail. Praktycznie we wszystkich atakach zarówno na systemy ICS, jak i środowiska informatyczne przedsiębiorstw zastosowano phishing ukierunkowany (tzw. spear-phishing). Na przykład jeden z ataków zgłoszonych do zespołu ICS-CERT polegał na tym, że cyberprzestępcy utworzyli konto na portalu społecznościowym, z którego następnie wysyłali wiadomości, podszywając się pod osoby szukające pracy. W ten sposób dotarli do pracowników przedsiębiorstwa zarządzającego infrastrukturą o znaczeniu krytycznym, od których wyłudzili takie dane, jak nazwisko dyrektora ds. informatycznych oraz wersje używanego w firmie oprogramowania. Pracownicy ci otrzymali e-mail z CV domniemanego kandydata załączonym jako plik „resume.rar”. Załącznik zawierał szkodliwe oprogramowanie, które zainfekowało systemy pracowników. Na szczęście udało się zapobiec jego rozprzestrzenieniu na systemy kontrolne.

Rejestrowanie incydentów i regularne skanowanie sieci. Rejestrowanie zdarzeń w dzienniku jest bardzo dobrym sposobem monitorowania działań wykonywanych w systemach, a w przypadku incydentów ułatwia znalezienie ich przyczyn. Wielokrotnie umożliwiło również szybkie wykrycie infekcji. Z tego powodu prowadzenie dziennika jest szczególnie polecane administratorom systemów ICS. Inną dobrą praktyką jest regularne skanowanie sieci, które również ułatwia szybkie wykrywanie infekcji.

Wzrost świadomości i konkretne działania

Jest jednak dobra wiadomość ― w ostatnich latach znacznie wzrosła świadomość problemów związanych z podatnością systemów ICS na ataki i podjęto już pierwsze kroki w celu ich wyeliminowania. Mają w tym swój udział instytucje rządowe, takie jak zespół ds. reagowania na problemy z zabezpieczeniami przemysłowych systemów sterujących (Industrial Control Systems Cyber Emergency Response Team ― ICS-CERT) w Stanach Zjednoczonych oraz centrum ochrony infrastruktury krajowej (Centre for Protection of National Infrastructure ― CPNI) w Wielkiej Brytanii. Instytucje te publikują porady, wskazówki i najlepsze praktyki dotyczące bezpieczeństwa systemów ICS.

Nie bez znaczenia było również wprowadzenie wspólnych standardów, takich jak ISA/IEC-62443 (dawniej ISA-99). Opracowany przez Międzynarodowe Stowarzyszenie ds. Automatyzacji (International Society for Automation ― ISA) jako ISA-99, a następnie przemianowany na ISA/IEC 62443 zgodnie z wymaganiami Międzynarodowej Komisji Elektrotechnicznej (International Electro-Technical Commission ― IEC), dokument ten określa ogólne ramy projektowania, planowania i integrowania bezpiecznych systemów ICS oraz zarządzania nimi.

Ruchna Nigam, analityk ds. bezpieczeństwa FortiGuard Labs, Fortinet