Az elmúlt 1-2 évben új fogalmak jelentek meg az iparban: a negyedik ipari forradalomról vagy az ipari dolgok Internetéről (Industrial Internet of Things, IIoT) egyre gyakrabban lehet olvasni és hallani. Ahogy a konzumer IoT eszközök megváltoztatták a mindennapi életünket, úgy változtatják meg az IIoT rendszerek az ipari környezetek mostanáig meglehetősen statikus világát. Ezek változások azonban új kockázatokat és fenyegetéseket is magukkal hoznak, amelyeket értékelni és szükség esetén csökkenteni kell. Annál is inkább így van ez, mert az üzleti és pénzügyi szakterületek többnyire az IIoT bevezetése alapján tapasztalható hatékonyságnövelés és költségcsökkentés lehetőségeit látják, azzal azonban már jóval kevésbé vannak tisztában, milyen problémákat okozhat az új technológiák és a különböző eszközök fokozott méretű összekapcsolása. Az IoT kiberbiztonsági problémáinak legjobb példája a 2016. október 21-i, DynDNS elleni DDoS-támadás, amit a nem megfelelően üzembe helyezett és kompromittált IoT eszközök százezreivel hajtottak végre. Ezek az eszközök (pl. vezeték nélküli CCTV rendszerek) is egyre jobban terjednek az ipari környezetekben, de ezeket még nem nevezhetjük IIoT-nek.

Az előrejelzések szerint az IIoT eszközök 2015-2020 között 228%-os növekedést fognak produkálni, 2030-ra pedig várhatóan a 2015-ös érték 15-szörösére fognak nőni. Ez a mértékű növekedés várhatóan azt is fogja jelenteni, hogy a fenyegetések száma is exponenciálisan fog nőni.

Az ipari rendszerek biztonsága ma

Az ipari szektorban már az Internet megjelenése és térnyerése, valamint a vállalati és ipari hálózatok egyre gyakoribb és egyre szorosabb összekapcsolása is sok évtizedes beidegződések és szokások megváltoztatását követelte. Ezek a változások sok helyen a mai napig nem vagy csak nehezen indultak meg - a különböző ICS kiberbiztonsági konferenciákon és előadásokon még mindig alapvető mondanivaló az IT és OT szakterületek közötti együttműködés javításának fontossága. Ahogy látható, a legtöbb szervezet még ezeknek a kihívásoknak sem képes megfelelni, most pedig az IIoT térnyerésével a kockázatok és fenyegetések egy újabb, még magasabb szintre fognak lépni.

2010-ig, a Stuxnet nyilvánosságra kerüléséig az ICS kiberbiztonság egy nagyon szűk és nagyon megválogatott kör témája volt, éppen ezért szinte senki más nem is tudott róla. Az elmúlt közel 7 évben a helyzet alapjaiban változott meg, nem utolsó sorban a különböző ICS rendszerek izoláltságának fokozatos megszűnése miatt és ez korábban nem látott növekedést hozott a kockázatok és fenyegetések terén az ICS rendszerek számára. Az IIoT megjelenésével ugyanez a folyamat játszódik le újra - az IIoT alkalmazásától remélt pozitív hatások mellett a biztonsági megfontolások legjobb esetben is csak másodlagosak a döntéshozók szemében. További probléma, hogy a különböző rendszerek fokozottabb összekapcsolása miatt korábban nem látott fenyegetések kerülnek egyre közelebb az ICS rendszerekhez is. Elég a tavaly november végén, San Francisco-ban történt incidenst említeni, amikor egy zsaroló vírus miatt a tömegközlekedési vállalatnak - annak ellenére, hogy az ICS rendszereikig nem ért el a malware - jelentős kieséseket okozott a támadás. Ráadásul a támadók motivációi is sokszínűek lehetnek, az állami háttérrel rendelkező (kvázi kiberháborús műveleteket végrehajtó) csoportok mellett az IoT és IIoT eszközöket tisztán pénzszerzési céllal támadó csoportok is kezdik felfedezni az ipari környezetek biztonsági hiányosságait.

Mi lehet a megoldás?

Annak érdekében, hogy az IIoT térnyerése ne rontsa tovább az ICS kiberbiztonság egyébként sem magas szintjét, két vonalon kell mielőbb fejlődést elérni. Ezek egyáltalán nem új gondolatok, az IT rendszereknél ezeket már több, mint egy évtizede ismerik és sok esetben használják is.  Egyrészt az IIoT fejlesztések során a rendszertervezési fázistól foglalkozni kell a kiberbiztonság kérdéseivel és a biztonságot a rendszer elválaszthatatlan részeként kell kezelni. Másrészt az elkészült rendzsereket a teljes életciklus során rendszeresen biztonsági teszteknek kell alávetni és a feltárt sérülékenységeket kezelni kell. Nem lehet elégszer kiemelni, hogy az ICS rendszerek életciklus az IT rendszerekénél sokkal hosszabb, gyakran akár 15-20 év is lehet, így az ICS fejlesztőknek sokkal hosszabb támogatási ciklusokkal kell számolniuk - az IIoT fejlesztőkre ez fokozottan igaz, hiszen amíg egy, a gyártó által már nem támogatott ICS rendszer esetén megfelelő kompenzáló kontroll lehet a rendszer minden elemének egy zárt és biztonságosnak tekintett hálózatba történő használata, az IIoT rendszereknél ez sokkal nehezebb - ha egyáltalán megvalósítható.

A tendenciákat figyelve csak idő kérdése, hogy a támadók (és a különböző exploit kit-eknek köszönhetően akár az egészen alacsony technikai tudású támadók is) célba vegyék az IIoT rendszereket. Az ipari rendszerek, folyamatok és elsősorban az emberek biztonságának biztosítása az üzemeltetők és fejlesztők felelőssége, ezért fontos, hogy az együttműködésük a biztonságosabb IIoT rendszerek kialakításáért minél előbb elkezdődjön.