Idén év elején egy atlantai férfi 34 hónapos börtönbüntetést kapott, mert a Georgia-Pacific papírgyár korábbi alkalmazottjaként az elbocsátásakor vissza nem vett VPN-hozzáférésével bejelentkezett a papírgyár hálózatába és a saját szoftvereit telepítve nem engedélyezett változtatásokat végzett termelésirányító rendszerben. Az incidens közel 1,1 millió dolláros kárt okozott a Georgia-Pacific-nek.
Ez az eset kiválóan mutatja, hogy a belső ember(ek) által végrehajtott támadások milyen komoly fenyegetést jelentenek az ipari rendszereket üzemeltető szervezetek számára. Ennek számos oka van:
1. A távoli hozzáférés mára széles körben elterjedt az ICS rendszerek esetében is, ami nagyságrendekkel növeli ezeknek a rendszereknek a biztonsági kitettségét. Természetesen az ICS rendszerek távoli elérésének számos pozitív következménye is van (növekvő produktivitás, alacsonyabb üzemeltetési és üzemeltetés-támogatási költségek, kényelmesebb és munkavédelmi szempontból biztonságosabb munkavégzés, stb.), a használatukból adódó kockázati szint emelkedést nem szabad figyelmen kívül hagyni. Különösen azért nem, mert számos olyan esetről lehet tudni, amikor a VPN-megoldást (vagy sok évvel ezelőtt a betárcsázós modemet) egy, az OT-ben dolgozó mérnök egy projekthez kapcsolódóan, "csak a projekt idejére, ideiglenesen" helyezte üzembe, aztán ezt a megoldást elfelejtették vagy n+1. vészhelyzeti tartalék megoldásként mégis meghagyták és a mai napig üzemel. Jellemzően az ilyen módosítások soha, sehol nem kerülnek dokumentálásra, így esély sincs arra, hogy az ICS rendszerek kockázatelemzései/sérülékenység vizsgálatai során ezekről a felmérést végző szakemberek tudomást szerezzenek (hacsak a vakszerencse nyomra nem vezeti őket), így pedig az ilyen megoldások kockázatainak csökkentésére sincs mód. Ne legyen azonban kétségünk, egy felkészült támadó (nem is beszélve egy elégedetlen alkalmazottról) tudni fog az ilyen biztonsági résekről és nem fog hezitálni, hogy kihasználja-e a saját céljai eléréséhez.
2. Az ipari hálózatok hagyományos IT biztonsági kontrollok és monitoring terén rosszul teljesítenek. Ezt a témát már többször boncolgattam én is itt, a blogon, az ipari rendszerek és hálózatok IT biztonsági szempontból jellemzően rosszabbul teljesítenek, mint a legtöbb vállalati IT hálózat. Emiatt az ICS rendszerek biztonságáért felelős szakemberek gyakran nem vagy csak rossz hatásfokkal képesek kikényszeríteni a hozzáférési, biztonsági és változáskezelési szabályok betartását. Tovább rontja a helyzetet, hogy az ipari hálózatokban gyakran hiányoznak a naplózás és naplóelemzés funkciók, amik miatt nagyon gyengék az események észlelésével kapcsolatos kontrollok is, így pedig egy incidens esetén az azt elszenvedő szervezetnek nagyon kicsi esélye van a kiváltó ok gyors és költséghatékony beazonosítására.
3. Nem megfelelő átláthatóság az ICS vezérlési funkciók esetén. A hiányzó naplózás és naplóelemzés másik következménye, hogy az egyes szervezetek nem rendelkeznek tiszta képpel és nem képesek visszamenőleg ellenőrizni az OT-ben dolgozó mérnökök illetve a szállítók és támogatók munkatársai által a folyamatvezérlő rendszerekben végrehajtott változtatásokat. Emiatt, ha bárki a felsoroltak közül (vagy akár egy külső támadó) ártó szándékú változtatásokat hajt végre a rendszerben és ez akár komoly üzemzavarhoz is vezethet. Ez az ICS biztonság egy olyan vakfoltja, amit egy tapasztalt belső ember nagyon hatékonyan lehet képes kihasználni.
Valósidejű, ICS-fókuszú hálózatbiztonsági monitoring alkalmazása
A hálózatbiztonsági monitoring (NSM) az ICS biztonság egyik alapköve. Igaz ez az IT biztonságra is és fokozottan igaz az ICS kiberbiztonság területére, ahol az IT biztonsági monitoring funkciókon túl külön figyelmet kell fordítani az ipari vezérlési folyamatok minél részletesebb és zártabb naplózására és ellenőrzésére. Egyrészt ez segíthet időben észlelni az ártó szándékú beavatkozásokat, ezzel megelőzni egy komoly incidenst, de ha megelőzni nem is sikerül egy támadást, a részletes ICS NSM segítséget tud nyújtani az incidenskezelési folyamat során az incidens által okozott károk mielőbbi felszámolásában és az üzemszerű működés gyors helyreállításában.
