Néhány napja jelent meg az IT biztonsági szaksajtóban a hír, hogy 2019. március 5-én egy meg nem nevezett, az USA villamosenergia-rendszerben működő szervezetet ért kibertámadás. Az incidensnek alacsony hatása volt a NERC (az Észak-amerikai villamosenergia-ipari szabályozó szervezet, North American Electric Reliability Corporation - NERC) szerint és nem okozott áramkimaradást, de a 10 órán át tartó támadást az érintett szervezet elég súlyosnak ítélte, hogy jelentse a NERC-nek.
A NERC vizsgálata és az incidens tapasztalatait összefoglaló publikációja szerint a támadók a szervezet egyik Internetes tűzfalának webes interfészén talált sérülékenységet kihasználva, egymás után sokszor újraindítva a tűzfalat, gyakorlatilag egy szolgáltatás-megtagadásos támadást indítottak a cég ellen. Ami még súlyosabbá tette az incidenst, hogy ez a tűzfal az adott villamosenergia-ipari szervezet vezérlőközpontja és távoli erőművi alállomásai közötti kommunikációt kiszolgáló távközlési vonalak védelméért felelt, így azonban az állandó újraindulások miatt kimaradások voltak a központ és az alállomások közötti kommunikációban.
Az incidens utáni vizsgálatok rámutattak, hogy a szervezet elmulasztotta a tűzfalhoz rendelkezésre álló legújabb firmware telepítését, amivel megelőzhető lett volna a támadás. Az incidensről részleteket az E&E News cikkében és a NERC esetről készült publikációjában lehet olvasni.
Az esetből több tanulságot is le lehet vonni. Egyrészt a publikus hálózatokra (elsősorban az Internetre) csatlakoztatott eszközök elérhető frissítéseinek telepítését a lehető leggyorabban ki kell értékelni, azt vizsgálva, milyen következményekkel járhat a telepítésük és csak nagyon súlyos üzembiztonsági kockázatok esetén érdemes mérlegelni a telepítés elhalasztását. Másrészt a különböző, out-of-band menedzsment felületekkel rendelkező eszközök esetén a menedzsment felületeket nem szabad publikus hálózatokból elérhetővé tenni. Ha olyan eszközt használ a szervezet, aminek van dedikált menedzsment portja, azt célszerű egy erre a célra kialakított, a publikus hálózatoktól és a szervezet más hálózataitól (belső ügyviteli hálózatok, DMZ-k, stb.) elkülönített menedzsment célokra fenntartott hálózati szegmensbe bekötni és szigorúan a minimumra szabályozni, hogy ki és honnan érheti el ezeket az eszközöket.
Az incidens nyomán Joe Weiss az Unfettered blogon ismét hangot adott annak a véleményének, hogy hamisak az olyan állítások, amik szerint az USA villamosenergia-rendszerét mostanáig nem érték volna kibertámadások. Saját adatbázisa alapján Joe állítja, hogy az amerikai villamosenergia-rendszer ellen már 2001-ben is történt kibertámadás, amikor kínai támadók próbáltak hozzáférést szerezni a kaliforniai rendszerirányító SCADA rendszeréhez, de akkor végül nem jártak sikerrel.
Ez a hír, illetve a héten szerdán és csütörtökön a sajtót és a hazai IT biztonsági szakmát rendesen felkavaró MFK-s incidens együtt megint fel kell, hogy elevenítse a mindmáig megválaszolatlan kérdést: vajon Magyarországon a villamosenergia-ipari szereplők ellen hány kibertámadás történt az elmúlt években és az állam (aki gyakran tulajdonosa is ezek közül a szervezetek közül soknak) mikor fog végre olyan előírásokat kötelezővé tenni, amik egyrészt kikényszerítik egy minimális biztonsági szint elérését, másrészt kötelezik a nemzetgazdaság számára nélkülözhetetlen villamosenergia-ipari szervezeteket a kiberbiztonsági incidensek jelentésére legalább az MEKH és az NKI felé?
