Hiába foglalkozom már lassan egy évtizede különböző ICS/SCADA rendszerek kiberbiztonságával (na jó, igazából 2011-ben még csak elkezdtem ismerkedni a témával és csak 2013-2014 körül kezdtem igazán mélyebben foglalkozni ezzel a területtel), de még mindig meg tud lepni, hány újabb és újabb iparág esetén kell nekem személy szerint is rádöbbennem, hogy bizony ott is alkalmaznak különböző folyamatvezérlő rendszereket és hogy ezeknek a kiberbiztonsági kockázataival pont ugyanúgy nem foglalkoznak, ahogy 8-10 éve még nem foglalkoztak a villamosenergia-szektor ICS-einek biztonságával vagy petrolkémiai cégek folyamatirányító rendszereinek biztonságával és a sort még folytathatnánk. Néhány hónapja már a listámon volt az élelmiszeripari ICS rendszerek biztonságával foglalkozó poszt ötlete, aztán a JBS elleni kibertámadás rámutatott, hogy nincs több időm ennek a posztnak a megírására (ez még akkor is így van, ha az eddig megismert részletek alapján a JBS elleni támadás valószínűleg nem érintette a termelésirányítási rendszereiket, "csak" a nagyvállalati IT egyes rendszereit, mégis, a cég egyes telephelyein egész műszakokra leállt a munka).
Az élelmiszeripari cégek mérete nagyon változatos lehet, a kicsi, háztáji cégektől a JBS-méretű multikig, de a legtöbb ilyen vállalat ma már bizonyos szintű automatizálással oldja meg a termelést, így itt is régóta jelen vannak a különböző PLC-k és egyéb vezérlők, amiknek a felügyeletéhez más iparágakhoz hasonlóan HMI-okat és mérnöki munkaállomásokat használnak. Nem különböznek ezek olyan nagy mértékben azoktól a rendszerektől, amiket például az autógyártó cégek használnak, mégis a jelek szerint minden egyes iparágban újra és újra rá kell döbbeni, hogy bizony a folyamatautomatizáláshoz használt ICS rendszerek és berendezések kiberbiztonsági kihívásaitól az éppen vizsgált iparág sem mentes.
Mi lehet akkor mégis az oka annak, hogy majdnem minden iparágnak kell egy saját incidens, ami az okosabb cégek, mérnökök és menedzserek szemét felnyitja, hogy bizony ideje elkezdeniük kidolgozni a saját OT biztonsági programjukat? Valószínűleg az lehet a háttérben itt is, hogy azok a mérnökök, akik az adott iparág automatizált folyamatait tervezik és építik, ugyanolyan vagy nagyon hasonló környezetben szocializálódnak szakmailag és azok az idősebb mérnökök, akiktől ők tanulták a gyakorlatban a szakmájukat, tudással együtt ugyanúgy átadták azt a (saját idejükben helyes, de mára már megváltozott) helyzetképet, hogy a folyamatvezérlő rendszereket nem lehet elérni a vállalati IT hálózatokból és még kevésbé az Internetről. Ez azonban az IT-OT konvergencia és még inkább az Ipar 4.0 és az ipari IoT térhódításával már évek (ha nem fél-egy évtizede) nem igaz.
Mik az élelmiszeripari ICS rendszerek egyedi kockázatai? Ebből a szempontból az élelmiszeripari folyamatvezérlő rendszerek egy furcsa amalgámot képeznek. Egyrészt nagyon nagy mértékben hasonlítanak a más iparágakban használt gyártásautomatizálási rendszerekre, ugyanakkor egy nagyon fontos szempontból hasonlítanak a gyógyszeripari és a vízművekben használt ICS rendszerekre is, ez pedig az élelmiszerekhez adagolt különböző vegyszerek (gondoljunk csak a többször felhasznált üvegek mosásánál használt tisztító/fertőtlenítő szerekre vagy a különböző tartósítószerekre) pontos és engedélyezett határértékeken belüli mennyiségének ellenőrzésére. Nem olyan régen láttuk az Oldsmar-i vízmű elleni kibertámadásnál, hogy egy illegális hozzáférést szerzett támadó viszonylag könnyen képes lehet módosítani egyes összetevők arányát, aminek az élelmiszeripari ICS rendszerek esetén akár súlyos, szélsőséges esetben halálos következményei is lehetnek.
A probléma és a kihívás tehát adott, a kérdés csak az, hogy vajon az élelmiszeripari cégek képesek-e idejekorán megfelelni ezeknek a kihívásoknak. Bár pontos információim nincsenek, de erős a gyanúm, hogy legnagyobb akadály ebben az iparágban is ott lesz, hogy a folyamatirányításért felelős mérnökök és az IT biztonsággal foglalkozó mérnökök nem csak, hogy nem értik, mivel foglalkozik a másik, de nincs is köztük érdemi munkakapcsolat. Márpedig ennek a két csoportnak a szoros és hatékony együttműködése nélkül nem lehet előrelépni az ICS biztonsági helyzet javítása terén.
