Már a 2017 is elég mozgalmas év volt az ICS kiberbiztonságban dolgozók számára (elég csak a CrashOverride és Triton/Trisis ICS malware-ekre gondolni), de a jelek szerint 2018-ban sem fogunk unatkozni. Lássuk, milyen kihívásokat jósolnak a jövő évre az ICS világában dolgozóknak:
Az újabb ransomware-ek között már olyanok is lehetnek, amik kifejezetten ipari rendszereket céloznak.
2017-ben több nagy ransomware illetve ransomware/wiper malware-támadást éltünk át és már ezek között is több olyan volt, ami súlyos károkat okozott ipari környezetekben is. 2018-ra vannak olyan várakozások, hogy megjelennek az első, kifejezetten ipari rendszereket célzó zsarolóvírusok is - idén a Georgia Institute of Technology munkatársai kutatási céllal már készítettek egy olyan proof-of-concept malware-t (amit LogicLocker-nek nevezetek el), ami képes volt különböző gyártók vezérlőit megfertőzni. Ismerve az ICS eszközök gyakori biztonsági hiányosságait (most elsősorban a gyenge authentikációra és a hibajavítások hiányára vagy késedelmes telepítésére), egyáltalán nem túlzás egy ilyen malware-támadás lehetőségét komolynak, hatását pedig súlyosnak nevezni.
Az ipari dolgok Internete (IIoT) egyre nagyobb kihívásokat fog jelenti biztonsági szempontból
Az IIoT az elmúlt néhány évben egyre nagyobb teret nyer az ICS világában, ennek oka többnyire a modernizáció és a költséghatékonyság egyre nagyobb nyomása az ipari szereplők üzleti részlegei felől. Magyarországon egy további tényező erősítheti az IIoT alkalmazását, ez pedig az egyre több területen, így lassan az ipari szereplőknél is súlyosabbá váló, képzett munkaerő hiánya, amit például a gyártásban vagy akár a közmű szektorban egy ideig még ellensúlyozni lehet az automatizálás fokozásával.
Az automatizálás növelése azonban egyre jobban elmossa a (fizikai elkülönítés) jelentette határokat az üzleti/vállalati és az ipari hálózatok, illetve egyre gyakrabban az ipari hálózatok és az Internet illetve egyéb publikus hálózatok között, ami a korábbiaknál nagyságrendekkel nagyobb fenyegetéseket és támadási felületeket jelentenek az ICS rendszerek számára.
Az ICS kiberbiztonsági szakemberek hiánya egyre súlyosabb lesz
Bár világszerte már ezres nagyságrendben vannak minősített és tapasztalt ipari biztonsági szakemberek, az igény az ilyen, speciális biztonsági ismeretekkel rendelkező profikra sokkal gyorsabb ütemben nő, mint ahogy új szakemberek tudnak megjelenni a piacon. Ebből a szempontból a helyzet talán még rosszabb, mint (az egyébként szintén komoly hiányszakmának számító) IT biztonsági szakemberek esetében, hiszen az ICS világában gyakran azokat a technikákat és eszközöket sem lehet használni, amik az IT biztonság világában mindennaposnak számítanak.
Magyarországon jelenleg gyakorlatilag szó sem esik erről a témáról - nem véletlenül indítottam két éve a blogot, de egyelőre nem igazán látszik, hogy a hazai ICS közösség aktivizálná magát az ICS kiberbiztonság témájában. Az nyilvánvaló, hogy érdeklődés a téma iránt van (ez általában látható azokon a ritka előadásokon, amiket a témában néhányan időnként tartanak), de azok a szakemberek, akik az ICS kiberbiztonság területén tevékenykednek, továbbra is bezárkóznak a saját munkahelyük elefántcsont tornyába és még egymással sem igen osztják meg a tapasztalataikat.
Egyre nagyobb valószínűség egy súlyos ICS incidensre
Na nem mintha az elmúlt évek ICS incidensei (a Stuxnet, majd a német acélkohóban bekövetkezett incidens és a 2015-ös és 2016-os ukrán villamosenergia-rendszer elleni támadások) ne lettek volna önmagukban is súlyos incidensek, de a Triton/Trisis malware megjelenés és felhasználása egyre inkább abba az irányba mutat, hogy a különböző helyi és globális politikai konfliktusokban (a Közel-Keleten Szaúd-Arábia és Irán konfliktusában, a Távol-Keleten Észak-Korea és Dél-Korea illetve az USA egyre romló viszonya, illetve Oroszország egyre komolyabb kibertér-képességei, amiket mind több állítás szerint fel is használnak az orosz politikai érdekek érvényesítéséhez) egyre nagyobb esélye lehet egy olyan incidensnek, ami nagyon súlyos, akár végzetes hatással járhat az ICS rendszerek által felügyelt/vezérelt ipari folyamatokra, vagy akár (ahogy a Triton/Trisis malware esetén már az SIS rendszer volt a célpont) emberéletet is követelhet az incidens.
A rossz jelek és előérzetek mellett azért pozitív várakozások is vannak 2018 kapcsán. Az első és talán legfontosabb, hogy már érezhetően nő az ICS világban élő és dolgozó ipari automatizálási (OT) mérnökök biztonságtudatossága. Személy szerint is érzem, hogy az OT mérnökök már gondolnak olyan biztonsági szempontokra is, amiket néhány évvel ezelőtt még csak nem is értettek, miért fontosak ezek a dolgok. Ugyanígy kezdik megérteni az OT-ben az események átláthatóságának értékét is, így aztán egyre inkább magától értetődővé válik olyan, tradicionálisan az IT biztonság világából ismert megoldásoknak, mint például a SIEM (Security Incident and Event Management, naplóelemző) rendszerek.
Fókuszba kerül az épületautomatizálási rendszerek biztonsága
Sok éven át az épületautomatizálási rendszerek biztonsága nem került fókuszba, még azután a Stuxnet után a figyelem középpontjába került az ICS rendszerek biztonsága. Annak ellenére volt ez így, hogy általában az épületautomatizálási rendszerek felelnek a szervezetek szervertermeinek/szerverszobáinak hűtéséért és szünetmentes tápellátásáért, ezeken keresztül pedig a teljes vállalati IT rendelkezésre állására is hatással lehetnek.
Kiberbiztonsági keretrendszerek növekvő alkalmazása az ICS rendszereknél
Bár itthon és a világban is ritka, hogy törvényi kötelezettsége lenne az ICS rendszereket üzemeltető szervezeteknek a különböző ICS biztonsági keretrendszerek alkalmazására, mégis az elmúlt években egyre terjed a kifejezetten ICS rendszerek kiberbiztonságával foglalkozó keretrendszerek, mint pl. az NIST 800-82 vagy a NERC-CIP alkalmazása. Várhatóan ez a folyamat csak gyorsulni fog, még akkor is, ha a jogszabályok ezt továbbra sem fogják megkövetelni, de a különböző szervezetek egyre inkább felismerik, hogy ezeknek a keretrendszereknek az alkalmazásával nagy mértékben lehet javítani az ICS rendszerek kiberbiztonsági helyzetét.
Biztonságosabb ICS eszközök és rendszerek
Ahogy az ICS rendszereket használó szervezetek biztonságtudatossága is magasabb szintre lép, az ICS eszközöket és rendszereket gyártó vállalatok közül egyre több ismeri fel, hogy nem elég az ipari folyamatvezérlési funkciókban kiszolgálni az ügyfeleik igényeit, hanem ugyanígy fontossá vált az ICS rendszerek kiberbiztonsága is. Várhatóan egyre több ICS eszköz és rendszer lesz képes titkosított protokollokon keresztül kommunikálni és talán eljutunk végre ahhoz a régen várt állapothoz, hogy az ICS rendszerek biztonsági funkciói gyári alapértelmezés szerint be lesznek kapcsolva és akkor lehet kikapcsolni őket, ha az ügyfél kifejezetten ki akarja kapcsolni őket.
Bár ez egy kifejezetten örömteli fejlemény, azonban figyelembe kell venni, hogy a legtöbb ipari rendszert 15-20 éves életciklussal tervezték és helyezték üzembe, ezért még hosszú ideig nem lesz lehetőség minden régi ICS rendszert lecserélni az újabb, biztonságosabb verziókra. Emiatt még sokáig szükség lesz a mélységi védelem és a biztonságos ICS architektúra modellben leírt elvek gyakorlati alkalmazására.