2021-ben ismét nagy számú, különböző ipari szektorokban tevékenykedő céget ért súlyos kiberbiztonsági incidens, ezekből választott három olyan Daniel Dos Santos, a Forescout munkatársa a HelpnetSecurity.com-on megjelent cikkében, amik fontos tanulságokkal szolgálhatnak mindenkinek, aki folyamatvezérlő rendszerek kiberbiztonságával foglalkozik.
Az első a Colonial Pipeline elleni támadás, amiről én is írtam és ami talán a legnagyobb visszhangot keltett ICS biztonsági esemény volt 2021-ben (bár még van nem egész két hét az évből, szóval talán kicsit korai ez a kijelentésem). A Colonial Pipeline-incidens legnagyobb tanulsága, hogy a folyamatirányító rendszerek esetén egyre fontosabb a megfelelő hálózat-szegmentálás. Sajnos ez itthon és a világban is létező probléma, OT hálózatok esetén nem meglepő, ha egyetlen, ún. flat network-öt találunk, ahol a különböző SCADA/DCS szerverek és munkaállomások ugyanabban a hálózati zónában találhatóak, mint az RTU-k, PLC-k, és egyéb berendezések. Pedig a megoldás alapjául szolgáló Purdue-modellre alapozó biztonságos ICS architektúra-modellek (akár már az Ipari 4.0/ipari IoT/ipari felhőmegoldásokkal felturbózott változatok is) nagyon régen és szabadon elérhetőek. Persze önmagában ez sem fogja megoldani az adott szervezet ICS biztonsági problémáit, csak egy jó alapot adnak, amire az IT és OT hálózati és biztonsági szakemberek már elkezdhetik felépíteni a saját architektúrájukhoz illeszkedő egyedi megoldásaikat. A Colonial Pipeline-incidens másik tanulsága, hogy végképp leáldozott az egyfaktoros (felhasználónév-jelszó-alapú) azonosítást használó VPN-megoldásoknak, ezeket egyszerűen már nem tekinthetjük biztonságosnak, ezek helyett szükséges minimálisan 2 vagy többfaktoros authentikációt használni a távoli hozzáférések esetén.
A második az Oldsmar-i viziközmű cég elleni támadás Floridában, ahol a támadó(k) az ivóvízhez adagolt vegyszer mennyiségét is képesek voltak megváltoztatni. Ugyan a vízmű egyik dolgozója időben felismerte az illetéktelen módosítást és meg tudta előzni, hogy komolyabb baj legyen, az eset vizsgálata rámutatott arra, hogy mennyire fontos a különböző, távoli hozzáférésre használható protokollok és szoftverek (SSH, RDP, VNC különböző változatai, stb.) megfelelő monitorozása és ebben az esetben is előkerült a biztonságos távoli hozzáférés és hálózat-szegmentálás kérdései (a támadó VNC kapcsolaton keresztül jutott be a vízmű egyik Windows 7-et futtató, közvetlenül az Internetről elérhető munkaállomására, ahol már képes volt hozzáférni az ivóvízhez adagolt vegyszerek vezérlését végző rendszerhez). Megfelelő hálózat-szegmentálás, biztonságos és megfelelően monitorozott távoli hozzáférések kialakítása, nem lehet eleget hangsúlyozni ezek fontosságát.
A harmadik eset júliusban történt, amikor támadók bejutottak az iráni állami vasúttársaság IT rendszereibe és egy MeteorExpress-nek elnevezett malware-t terjesztettek szét a rendszerekben. A hivatkozott cikk szerint ez az eset a beszállítói lánc kezelésével kapcsolatos ICS biztonsági kockázatok kiváló példája, bár erre szerintem még 2021-ben is a 2020 végén kipattant SolarWinds-incidens a legjobb és minden érintett számára a leginkább érthető példa.
