Joe Weiss ma megjelent blogposztjában részletesen áttekinti a december 23-i, nyugat-ukrajnai áramszünetet okozó kibertámadáshoz használt Blackenergy malware-ről eddig megtudott részleteket. Meglehetősen nyugtalanító megállapításai vannak azzal kapcsolatban, hogy a Blackenergy nyomait az USA villamosenergia-rendszereiben is több helyen beazonosították és felteszi a kérdést, hogy ha a decemberi ukrajnai támadás valójában üzenet volt a támadók részéről ("Látjátok, bármikor képesek vagyunk kiütni a kritikus rendszereiteket?"), akkor vajon kinek vagy kiknek szánták a figyelmeztetést?
Amit egyelőre nem tudunk, az az, hogy pontosan hogyan okoztak áramkimaradást a támadók? A Blackenergy, a KillDisk és más malware-ek, amik az elmúlt években többek között a villamosenergia-rendszert vették célba (pl. a Havex.A) jellemzően információgyűjtésre és/vagy rombolásra specializálódtak, nem pedig arra, hogy módosítsák a kritikus infrastruktúrák működését. Felmerül a kérdés, hogy vajon a támadók már évek óta hozzáférnek a kritikus infrastruktúrákat vezérlő ICS rendszerekhez és az eltelt időt arra használták, hogy tanuljanak és tapasztalatokat szerezzenek a rendszerek működési sajátosságairól (ahogyan erről a tavalyi Hacktivity-n Marina Krotofil kiváló előadást tartott)?
A helyzet annyiban még rosszabb, hogy bár vannak olyan szabványok (többek között a NERC CIP, ezekről valamikor majd részletesebb áttekintést tervezek), amik pont a kritikus infrastruktúrák biztonságának fejlesztésére fókuszálnak, sajnos az ezeknek való megfelelés gyakorlatilag nem jelent semmit. Ahogy Joe is megemlíti a blogbejegyzésben, a tavaly októberi ICS Cyber Security konferencián volt egy előadás, ahol a Washington állami Nemzeti Gárda és a Snohomish Public Utility Department mutatta be azokat a tapasztalatokat, amiket a közösen végrehajtott penetration teszt során gyűjtöttek. Nos, NERC CIP-nek minden szempontból megfelelő közműszolgáltató rendszerébe a Nemzeti Gárda kiberbiztonsági szakemberei kevesebb, mint 30 perc alatt törtek be...
A jelek szerint szembe kell néznünk azzal a ténnyel, hogy a Stuxnet nyilvánosságra kerülése óta eltelt időben a kritikus infrastruktúrákat kiszolgáló informatikai rendszereket üzemeltetők és azok biztonságáért felelős emberek és szervezetek nem tudtak felnőni az új helyzet jelentette kihívásokhoz. Sem az USA-ban, sem Európában nem jól használták fel az eltelt több, mint 5 évet. Tartok tőle, hogy a jövőben több hasonló esetre lehet számítani, mielőtt a felelős (állami) döntéshozók végre érdemi lépéseket tennének a helyzet javítására.