Az elmúlt hetekben két, ICS biztonsággal kapocslatos felmérésről is publikáltak részleteket. Az elsőt a Control Systems Cyber Security Association International (CS2AI) az idei ICS Cyber Security Conference nevű, évente megrendezésre kerülő Atlanta-i szakmai konferencián mutatta be.
A felmérésükben közel 300-an válaszoltak a feltett kérdésekre, az anonimizált válaszok alapján készülő publikáció várhatóan november folyamán fog napvilágot látni.
A felmérés egyik leginkább figyelemfelkeltő része az elmúlt 12 hónapban történt ICS biztonsági incidensekre vonatkozóan adott válaszok között található, ugyanis a válaszolók 1 %-a jelzett személyi sérüléssel és szintén 1 % ismerte be, hogy a biztonsági incidens halálos balesetet okozott. Jelenleg semmilyen további részlet nem ismert ezekkel az incidensekkel kapcsolatban, mert a CS2AI minden választ névtelenként kezel, így a válaszadók megbízhatósági szintjéről sem állnak rendelkezésre információk, minden esetre aggasztó, hogy (ha most még csak névtelenül is), de az ipari szektorban működő szervezetek már hajlandóak elismerni, hogy az ICS biztonsági események safety incidensekhez vezethetnek és egyes esetekben vezetnek is.
A válaszadók további negyede jelezte, hogy a biztonsági incidens üzemzavarhoz vezetett és sokan nem tudtak válaszolni az általuk képviselt szervezetek belső szabályai miatt.
A fenyegetések közül még mindig az ICS környezetekben használt adathordozókon terjedő malware-ek vezetnek, valamivel kisebb százalékban nevezték meg az e-mailt, mint jelentős támadási vektort.
Annak ellenére, hogy sok éve az egyik első számú ICS biztonsági javaslat úgy a gyártók, mint a független biztonsági szakértők részéről, hogy ne csatlakoztassanak az ipari szektorban működő cégek ICS rendszereket és berendezéseket az Internetre vagy más, nem védett hálózatra, mégis, még mindig több olyan választ adtak a megkérdezettek, hogy PLC-k, HMI-ok, szerverek, munkaállomások és történeti adatbázisok érhetőek el a hálózataikban az Internetről.
Amint lesz információm a CS2AI teljes, publikusan elérhető jelentéséről, frissíteni fogom ezt a posztot.
Két további felmérés is megjelent, egy az amerikai számvevőszéktől (U.S. Government Accountability Office - GAO), egy pedig a Siemens-től. Ezekből a felmérésekből ismét az derül ki, hogy a villamosenergia-rendszer elleni kibertámadások hatására súlyos károkat okozhatnak. A Siemens és a Ponemon intézet közös felmérése alapján a villamosenergia-rendszer kockázatai nőttek az utóbbi időben. A válaszadók 54%-a számít kibertámadásra a kritikus infrastruktúrák ellen a következő egy évben és 64%-uk szerint a kiberbiztonság egyike a legnagyobb kihívásaiknak.
A GAO felmérése szerint az amerikai villamosenergia-hálózat kiberbiztonsági kitettsége egyre nagyobb. A GAO publikációjában a villamosenergia-ipari cégek mellett az amerikai energiaügyi minisztérium (Department of Energy, DoE) szerepét is kiemeli, akik kidolgoztak ugyan terveket és értékelési módszereket az érintett szektor szereplőinek kiberbiztonsági szintjének javítására, de a GAO szerint ezek a dokumentumok nem tartalmazzák mindazokat a kulcsfontosságú részleteket, amik egy hatékony nemzeti stratégiához szükségesek.
A GAO szerint a villamosenergia-ipari cégek öt fontos területen küzdenek jelentős kihívásokkal:
1. Nehézséget jelent a megfelelő számú kiberbiztonsági szakember alkalmazása.
2. Korlátozott a minősített információk megosztásának lehetősége az állami szervek és magánkézben lévő cégek között.
3. Korlátozott erőforrások a kiberbiztonsági védelmi eszközök beszerzésére.
4. Kitettség más kritikus infrastruktúrák felé, amik szintén sérülékenyek lehetnek a kibertámadásokra.
5. Bizonytalanság, hogyan kellene megvalósítani a kiberbiztonsági szabványokban és útmutatókban foglaltakat.