December 30-án (Európában már 31-én) a Washington Post weboldalán megjelent egy cikk, amiben azt állították, hogy orosz támadók betörtek a Vermont állambeli Burlington Electric Department rendszereibe és malware-t telepítettek legalább egy számítógépre. Másnap a WP helyesbítést tett közzé, amely szerint mostanáig nincsenek arra utaló jelek, hogy valóban kompromittálták volna a Berlington Electric rendszerét, a malware-t pedig egy, a villamosenergia-rendszerhez nem csatlakoztatott számítógépen, egy notebook-on találták. A hírt (már a WP helyesbítése után, január 2-án) lehozta az itcafe.hu is, korrekt módon feldolgozva a rendelkezésükre álló információkat. Úgy döntöttem, hogy egy kicsit én is körbejárom a hírt.
 
A WP cikkéhez mindenképp fontos tudni, hogy a DHS és a US-CERT december 29-én jelentette meg a GRIZZLY STEPPE címmel ellátott, orosz ártó szándékú kibertér-műveletekre figyelmeztető publikációját. (A GRIZZLY STEPPE-pel kapcsolatban egy igen részletes, negatív és pozitív meglátásokat egyaránt tartalmazó kritika olvasható Robert M. Lee blogján.) Ismerve az elmúlt év utolsó néhány hetének kiberbiztonsággal kapcsolatos híreit az USA-ból, egyáltalán nem meglepő (bár nem is örvendetes), hogy a jelek szerint vannak, akik a fenyegetések mostanáig történt alábecslése után hirtelen mindenhol orosz hackereket vélnek felfedezni. Az eddig rendelkezésünkre álló információk szerint ez az eset valóban nem egy ICS kiberbiztonsági incidens, azonban néhány dolgot nem árt leszögezni (és hozzá kell tenni, hogy annak ellenére, hogy mint a blogon leírtak általában, az alábbiak is az én személyes, szakmai véleményem, ugyanezt gondolja több ismerősöm is, akiknek átfogó és alapos ismereteik vannak az USA villammosenergia-rendszerének ICS kiberbiztonságával kapcsolatban).

1. Feltételezhetően orosz támadók korábban bizonyítottan juttattak be malware-t az amerikai villamosenergia-hálózatba. Ezzel kapcsolatban érdemes elolvasni a DHS által kiadott, 2015 júniusi ICS-CERT Monitor-t. Ebben ismételten felhívták az ICS rendszereket üzemeltetők figyelmét arra, hogy kiemelten fontos az ICS rendszerek Internet-kapcsolatát megszüntetni - hivatkozva a BlackEnergy malware-rel amerikai kritikus infrastruktúrák ellen elkövetett támadásokra (a BlackEnergy egyik variánsát használták - feltételezések szerint orosz - támadók az ukrán áramszolgáltatók elleni, 2015. decemberi támadások során is).

2. Vannak olyan vélemények, amelyek szerint az európai (és más fejlettebb országok) kritikus infrastruktúráiban használt ICS rendszereihez már ma is hozzáféréssel rendelkeznek különböző külföldi, állami támogatással rendelkező támadók és a nukleáris fegyverek világából ismert MAD (Mutually Assured Destruction - kölcsönösen biztosított megsemmisítés) elve alapján egyelőre senki nem indított elsőként támadást egy másik ország ellen, tudva, hogy a saját rendszereit ő sem lesz képes megvédeni egy hasonló támadástól.

A Burlington Electric incidenssel kapcsolatban jelenleg több a kérdés, mint a biztos válasz. Nincs publikusan elérhető információ arról, hogy milyen malware-t találtak a fertőzött notebook-on és azt sem lehet tudni, mikor történt a fertőzés. Nem tudjuk, hogy a fertőzött számítógépet milyen feladatokra használták, a pontosított hírek szerint "az erőművet vezérlő hálózatra nem csatlakoztatott" eszközről van szó. Annyi minden esetre jól látszik, hogy az ICS rendszerekkel illetve a kritikus infrastruktúrákkal kapcsolatos kiberbiztonsági incidensek száma egyre gyorsabban növekszik. A kérdés már csak az, mikor történik a következő komoly incidens és mit fogunk tenni annak érdekében, hogy megelőzzük vagy legalább képesek legyünk csökkenteni a károkat, amiket okozni fog?