@logiman: Köszönöm. Igazság szerint, amikor elkezdtem írni ezt a blogot, nem igen hittem, hogy közel 6 évvel később még mindig lesz időm, energiám és késztetésem foglalkozni vele, de szerencsére még egyikből sem fogytam ki :)
Ami ebben az elemzésben meglepő, hogy egyes nyomok alapján egy bő 3 éve zajló supply-chain támadás-sorozatról lehet szó, ami (a SolarWinds után) másodszor célzott monitoring megoldást a célba vett intézmények rendszereibe történő bejutáshoz.
A Trump adminisztrációt sok mindenért lehet kárhoztatni, de a történtek tükrében a villamosenergetikai ellátási lánc sérülékenysége kapcsán idén május 1-én kiadott executive order (E.O. 13920) indokoltnak tűnik. Más kérdés, hogy az október 1-jei határidőre – sőt jelen pillanatig is! – a DoE képtelen volt kiadni a végrehajtási rendeletet!
Az az érzésem, hogy ez a támadás a kibertámadások történetének 9/11-e lesz.
És ahogy a 9/11-nek voltak hazai hatásai, úgy szerintem ennek is lesznek.
@logiman: Bátran merem azt válaszolni, hogy biztosan nem. A legtöbb ipari szervezetnél dolgozó IT és OT szakember (tisztelet a ritka kivételnek) még mindig a rendelkezésre állás bűvkörében él, a biztonsági incidens számukra egyenlő a rendelkezésre állás sérülését okozó incidensekkel és csak legyintenek, amikor az általad is említett ukrán incidensekre hivatkozik valaki.
Az igazán szörnyű az, hogy mindeközben a felügyeleti szervek és az állam sem igyekezett az elmúlt 5 évben egy átfogó (akár a nemzeti kritikus infrastruktúrák közül azokat szervezeteket érintő, ahol ICS rendszereket használnak - pedig a mostani veszélyhelyzetből látszik, van listája az államnak arról, melyik szervezeteket is tartja kiemelten fontosnak) és egyenszilárd kiberbiztonsági szabályrendszert kidolgozni, bevezetni/bevezettetni és (ami talán a legfontosabb lenne) számonkérni. Hiszen látjuk, hogy a 2013. évi L törvény és a kapcsolódó 41/2015. BM rendelet (ami ugyan az ipari szervezeteknél az IT-ra inkább, OT-ra kevésbé alkalmazható) is velünk él lassan 5 éve (az L törvény 7 éve, de a végrehajtási rendelet határozza meg pontosan az elvárásokat), de leszámítva a számlázó rendszerek éves kötelező auditálást, tudtommal még soha, senkin nem kérték számon ezeket a biztonsági követelményeket. Úgy pedig nagyon kevesen fognak jelentős összegeket a kiberbiztonság fejlesztésére fordítani, hogy senki nem kötelezi őket erre - a saját jól felfogott(?) érdekükön kívül.
De mindenek előtt: tanulni a már megtörtént - főleg a 2015-ös és 2016-os ukrajnai - támadások tanulságaiból. Biztos, hogy ennek kapcsán nálunk minden illetékes megcsinálta a maga "házi feladatát"?!...
Végre egy komplex, láthatóan sokirányú és mély ismereten alapuló analízis és szintézis. Jó volna mielőbb egyetértésre jutni, hogy utána el lehessen kezdeni a gyakorlati lépések kidolgozását. Elismerés Joe-nak!
@logiman: "De sajnos van egy olyan rossz érzésem, hogy egy nagyon-nagyon szűk szakmai körön kívül nem is nagyon ismerték fel ennek szükségességét..."
Mert a vezetők öregek és azt látták egész életükben, hogy az a helyes válasz, hogy mindenre amit a techcégek kitalálnak igent kell mondni és ez sokáig igaz is volt. Mostmár viszont elég sok a rossz ötlet, de ők már nem tudnak változtatni az eredeti berögződésen.
" A folyamatvezérlés során keletkező adatok el fogják hagyni a folyamatirányítási rendszerek hálózatait és be fognak kerülni a felhő-alapú rendszerekbe (privát-, hibrid- és publikus felhőkbe egyaránt), majd ezek egy része (valamilyen feldolgozás, elemzés után) akár vissza is kerülhet a folyamatirányító rendszerekbe;"
Szóval nem elég, hogy sérülékennyé tesszük az ipari termelést az által, hogy netre tesszük, ezt még tegyük úgy, hogy elég legyen egy felhőt támadni, hogy akár több száz ipartelep leálljon? Nem lenne jó a hosszútávú érdekeknek. Inkább csak a techcégek vágyálma.
Más szempontból is azt mondják, hogy a felhő a jövő, de épp nemrég jött arról ki cikk, hogy azok is farolnak ki belőle akit behülyítettek vele:
"az informatikai vezetők 73%-a dolgozik azon, hogy a nyilvános felhőből egyes szolgáltatásokat visszavigyenek egy privát felhőalapú megoldásba vagy hagyományos adattárolókba (de csak 22% mondta azt, hogy több mint ötféle szolgáltatást mozgatnak vissza),"
Az a baj, hogy azzal, hogy biztonságossabbá tesszük még nem értünk el semmit, hisz olyan szereplők mint külföldi titkosszolgálatok még így is ha akarják tönkre tudják tenni, amíg meg béke van kémkedésre használhatják.
Vagyis ha valami igazi nagy konfliktus lesz országok között, az egyik ország teljesen tönkre tudná tenni a másik iparát, hisz annak a termelő eszközei mind a neten lógnak. Vagyis igazából... az ország jóléte szempontjából egyáltalán nem kívánatos az Ipar 4.0.
Állítólag hatékonyságot növel, de ennek túl sok tere nem lehet, hisz évtizedek óta vannak sok vállalatnál csak olyan posztok amiknek az a feladata, hogy a hatékonyságot növelje.
Ha viszont kibertámadás van és leállítják a gépeket akár csak egyszer pár percre egy évben, az dollár milliós károkat okozhat és sokkal több támadás várható mint egy.
@icscybersec: " Szia! Igen, valóban furcsa, hogy itthon ennek az incidensnek a kibertér-műveleti része mennyire nem került felszínre"
Talán azért, mert ezerrel építjük a digitális államot és ha azt látnák, hogy máshol amiatt, hogy nem tudják megvédeni mekkora pánikolás van, itthon kellemetlen kérdésekre kéne felelniük... mint például, hogy annak fényében, hogy nem tudnánk megvédeni, miért építjük ki. Tavaly már pl. beteg adatokat is elloptak, pedig hogy bizonygatták, hogy ez nem fog megtörténni...
"azok, akiket az "elithez" soroltam, egészen más szinten űzik ezt az ipart."
Mert náluk vannak az infrastruktúra fontos elemei, plusz ők maguk gyártják sokszor a terméket. Ettől persze még van ezer más út, ahogy kárt lehet okozni.
@icscybersec: "...alaposan újra kell tervezni dolgokat és hozzá kell nyúlni az elmúlt 10-20 évben dogmává kövült nézetekhez is."
Ez elkerülhetetlen. Már csak az a kérdés, hogy még minek kell történnie ahhoz, hogy ezt azok is meghallják, belássák, akiknek dolga lenne e fejleményeket rendszerében szemlélve időben megfelelő döntéseket hozni.
De sajnos van egy olyan rossz érzésem, hogy egy nagyon-nagyon szűk szakmai körön kívül nem is nagyon ismerték fel ennek szükségességét...
Miért kell megvárni, hogy benézzen a ló az ablakon?!...
@GABOR2: Ami a manuális vezérlésre történő visszaállást, mint tartalék tervet illeti, emlékszem, ez először még a 2015-ös ukrán áramszolgáltatók elleni támadás után merült fel (itt írtam is róla: icscybersec.blog.hu/2016/05/21/manualis_vezerles_mint_alternativ_megoldas_ics_rendszerek_elleni_tamadasok_eseten) és persze én is olvastam az általad hivatkozott kongresszusi dokumentumot. Amennyire emlékszem, ez még csak arra vonatkozó határozat, hogy az illetékes szervek kezdjék meg a felméréseket és teszteket a manuális vezérlés, mint fallback-megoldás használatára vonatkozóan. Ez persze hasznos és jó, de tartom, amit írtam 2016-ban, hogy több problémával is szembesülni fognak, amikor ezt megpróbálják átültetni a gyakorlatba. Nyilván mindenre lehet megoldást találni, de ez néha bizony azt fogja jelenteni, hogy alaposan újra kell tervezni dolgokat és hozzá kell nyúlni az elmúlt 10-20 évben dogmává kövült nézetekhez is.
@GABOR2: Szia! Igen, valóban furcsa, hogy itthon ennek az incidensnek a kibertér-műveleti része mennyire nem került felszínre (pedig lassan már itthon is minden üzemzavar, működési probléma mögött kibertámadást és hackereket vélnek felfedezni). Mindenképp örömteli, hogy nem vagyok egyedül az ilyen témájú irások terén.
Ami az iráni APT csoportokat illeti, az biztos, hogy jók. Nagyon jók. Én azonban úgy vélem, hogy (együtt az Észak-koreaiakkal) ők valahol a 1,5-2. ligában játszanak, az "elitbe" pedig az USA, Oroszország, Kína, Izrael és talán a brit állami hátterű csoportok tartoznak. Kétségtelen, hogy a kibertér-képességeket nagyságrendekkel könnyebb és olcsóbb felfejleszteni, akár egy kisebb országban is, ha mást nem, hát zsoldosokat alkalmazva (erről még tavaly olvastam egy egészen jó cikket: www.reuters.com/investigates/special-report/usa-spying-raven/), de ha az ember sokat olvas a különböző állami hátterű csoportok TTP-iről, akkor át lehet látni, hogy azok, akiket az "elithez" soroltam, egészen más szinten űzik ezt az ipart.
Ezzel együtt az USA-ban egyre komolyabban veszik a kiberbiztonsági kockázatokat, különösen ami a kritikus infrát illeti, nem utolsó sorban az olyan embereknek köszönhetően, mint Joe Weiss, Robert M. Lee, Mike Assante (RIP) és sokan mások, akik másfél-két évtizede dolgoznak ezen a területen.
Egyébként tavaly már az USA tett lépéseket, hogy jobban legyen védve, de nem valami újabb biztonsági szoftverrel, hisz azok nem igazán nyújtanak védelmet, hanem vissza vettek a digitalizáltságból.
Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.
ICS Cyber Security blog
ICS Cyber Security blog
Utolsó kommentek:
logiman 2021.12.11. 15:11:52
Bejegyzés: Villamosenergia-szektorra szabott kiberbiztonsági követelményeket adott ki az indiai kormány
icscybersec 2021.08.25. 17:48:00
Bejegyzés: ICS sérülékenységek CCC
logiman 2021.08.25. 11:42:02
Bejegyzés: ICS sérülékenységek CCC
icscybersec 2021.02.16. 21:21:19
Ami ebben az elemzésben meglepő, hogy egyes nyomok alapján egy bő 3 éve zajló supply-chain támadás-sorozatról lehet szó, ami (a SolarWinds után) másodszor célzott monitoring megoldást a célba vett intézmények rendszereibe történő bejutáshoz.
Bejegyzés: A SolarWinds incidens tanulságai Magyarországon
logiman 2021.01.30. 08:29:08
Bejegyzés: A SolarWinds incidens tanulságai Magyarországon
icscybersec 2020.12.19. 13:00:01
Bejegyzés: A SolarWinds incidens ICS biztonsági hatásai
logiman 2020.12.19. 09:57:36
Az az érzésem, hogy ez a támadás a kibertámadások történetének 9/11-e lesz.
És ahogy a 9/11-nek voltak hazai hatásai, úgy szerintem ennek is lesznek.
Bejegyzés: A SolarWinds incidens ICS biztonsági hatásai
logiman 2020.04.18. 21:41:48
Bejegyzés: Újra kell gondolni az ICS rendszerek méretezését
icscybersec 2020.03.21. 12:22:21
Az igazán szörnyű az, hogy mindeközben a felügyeleti szervek és az állam sem igyekezett az elmúlt 5 évben egy átfogó (akár a nemzeti kritikus infrastruktúrák közül azokat szervezeteket érintő, ahol ICS rendszereket használnak - pedig a mostani veszélyhelyzetből látszik, van listája az államnak arról, melyik szervezeteket is tartja kiemelten fontosnak) és egyenszilárd kiberbiztonsági szabályrendszert kidolgozni, bevezetni/bevezettetni és (ami talán a legfontosabb lenne) számonkérni. Hiszen látjuk, hogy a 2013. évi L törvény és a kapcsolódó 41/2015. BM rendelet (ami ugyan az ipari szervezeteknél az IT-ra inkább, OT-ra kevésbé alkalmazható) is velünk él lassan 5 éve (az L törvény 7 éve, de a végrehajtási rendelet határozza meg pontosan az elvárásokat), de leszámítva a számlázó rendszerek éves kötelező auditálást, tudtommal még soha, senkin nem kérték számon ezeket a biztonsági követelményeket. Úgy pedig nagyon kevesen fognak jelentős összegeket a kiberbiztonság fejlesztésére fordítani, hogy senki nem kötelezi őket erre - a saját jól felfogott(?) érdekükön kívül.
Bejegyzés: A fenyegetéselemzés az energiaszektor egyik leghatékonyabb eszköze a kibertámadások elleni küzdelemben
logiman 2020.03.21. 09:42:52
Bejegyzés: A fenyegetéselemzés az energiaszektor egyik leghatékonyabb eszköze a kibertámadások elleni küzdelemben
logiman 2020.01.25. 15:41:38
Bejegyzés: A "IT vagy OT?" választás rossz döntés lehet
GABOR2 2020.01.14. 13:49:48
Mert a vezetők öregek és azt látták egész életükben, hogy az a helyes válasz, hogy mindenre amit a techcégek kitalálnak igent kell mondni és ez sokáig igaz is volt. Mostmár viszont elég sok a rossz ötlet, de ők már nem tudnak változtatni az eredeti berögződésen.
Bejegyzés: Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára
GABOR2 2020.01.14. 13:47:14
Szóval nem elég, hogy sérülékennyé tesszük az ipari termelést az által, hogy netre tesszük, ezt még tegyük úgy, hogy elég legyen egy felhőt támadni, hogy akár több száz ipartelep leálljon? Nem lenne jó a hosszútávú érdekeknek. Inkább csak a techcégek vágyálma.
Más szempontból is azt mondják, hogy a felhő a jövő, de épp nemrég jött arról ki cikk, hogy azok is farolnak ki belőle akit behülyítettek vele:
"az informatikai vezetők 73%-a dolgozik azon, hogy a nyilvános felhőből egyes szolgáltatásokat visszavigyenek egy privát felhőalapú megoldásba vagy hagyományos adattárolókba (de csak 22% mondta azt, hogy több mint ötféle szolgáltatást mozgatnak vissza),"
www.portfolio.hu/uzlet/20191118/ebben-latjak-most-a-vezetok-az-informatika-jovojet-407441
Bejegyzés: Milyen lesz az ICS biztonság világa 5-10 év múlva?
GABOR2 2020.01.14. 13:41:00
Vagyis ha valami igazi nagy konfliktus lesz országok között, az egyik ország teljesen tönkre tudná tenni a másik iparát, hisz annak a termelő eszközei mind a neten lógnak. Vagyis igazából... az ország jóléte szempontjából egyáltalán nem kívánatos az Ipar 4.0.
Állítólag hatékonyságot növel, de ennek túl sok tere nem lehet, hisz évtizedek óta vannak sok vállalatnál csak olyan posztok amiknek az a feladata, hogy a hatékonyságot növelje.
Ha viszont kibertámadás van és leállítják a gépeket akár csak egyszer pár percre egy évben, az dollár milliós károkat okozhat és sokkal több támadás várható mint egy.
Bejegyzés: Hogyan lehet biztonságosabbá tenni az IIoT eszközöket?
GABOR2 2020.01.14. 13:22:31
Talán azért, mert ezerrel építjük a digitális államot és ha azt látnák, hogy máshol amiatt, hogy nem tudják megvédeni mekkora pánikolás van, itthon kellemetlen kérdésekre kéne felelniük... mint például, hogy annak fényében, hogy nem tudnánk megvédeni, miért építjük ki. Tavaly már pl. beteg adatokat is elloptak, pedig hogy bizonygatták, hogy ez nem fog megtörténni...
"azok, akiket az "elithez" soroltam, egészen más szinten űzik ezt az ipart."
Mert náluk vannak az infrastruktúra fontos elemei, plusz ők maguk gyártják sokszor a terméket. Ettől persze még van ezer más út, ahogy kárt lehet okozni.
Kösz a neveket, meg linkeket, majd átnézem őket.
Bejegyzés: Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára
logiman 2020.01.10. 21:10:23
index.hu/techtud/2020/01/10/iran_amerika_konfliktus_kaszim_szulejmani_kibertamadas_kiberhaboru_hekkertamadas/
Bejegyzés: Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára
logiman 2020.01.10. 20:34:20
Ez elkerülhetetlen. Már csak az a kérdés, hogy még minek kell történnie ahhoz, hogy ezt azok is meghallják, belássák, akiknek dolga lenne e fejleményeket rendszerében szemlélve időben megfelelő döntéseket hozni.
De sajnos van egy olyan rossz érzésem, hogy egy nagyon-nagyon szűk szakmai körön kívül nem is nagyon ismerték fel ennek szükségességét...
Miért kell megvárni, hogy benézzen a ló az ablakon?!...
Bejegyzés: Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára
icscybersec 2020.01.10. 19:23:07
Bejegyzés: Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára
icscybersec 2020.01.10. 19:18:39
Ami az iráni APT csoportokat illeti, az biztos, hogy jók. Nagyon jók. Én azonban úgy vélem, hogy (együtt az Észak-koreaiakkal) ők valahol a 1,5-2. ligában játszanak, az "elitbe" pedig az USA, Oroszország, Kína, Izrael és talán a brit állami hátterű csoportok tartoznak. Kétségtelen, hogy a kibertér-képességeket nagyságrendekkel könnyebb és olcsóbb felfejleszteni, akár egy kisebb országban is, ha mást nem, hát zsoldosokat alkalmazva (erről még tavaly olvastam egy egészen jó cikket: www.reuters.com/investigates/special-report/usa-spying-raven/), de ha az ember sokat olvas a különböző állami hátterű csoportok TTP-iről, akkor át lehet látni, hogy azok, akiket az "elithez" soroltam, egészen más szinten űzik ezt az ipart.
Ezzel együtt az USA-ban egyre komolyabban veszik a kiberbiztonsági kockázatokat, különösen ami a kritikus infrát illeti, nem utolsó sorban az olyan embereknek köszönhetően, mint Joe Weiss, Robert M. Lee, Mike Assante (RIP) és sokan mások, akik másfél-két évtizede dolgoznak ezen a területen.
Bejegyzés: Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára
GABOR2 2020.01.10. 13:56:19
itcafe.hu/hir/usa_elektromos_halozat_analog.html
A sebezhetőség problémáját máshogy nem lehet megoldani.
Bejegyzés: Az amerikai-iráni feszültség lehetséges hatásai az ICS rendszerek biztonságára