Struja, voda i semafori na meti hakera - Bezbednosni izazovi industrijskog interneta

Zamislite šta bi se dogodilo kada bi neko isključio sve semafore u Njujorku usred popodnevnog špica? Ovo pitanje bila je jedna od tema za razmišljanje na konferenciji o bezbednosti pametnih gradova, održanoj prošlog meseca u Las Vegasu. Za ovakav scenario Beograđanima nije potrebna bujna mašta, jer često prilikom iole obimnijih padavina na mnogim raskrsnicama prestaje da radi svetlosna signalizacija. Ipak, uprkos "snalažljivosti" domaćih učesnika u saobraćaju, nije naodmet povesti računa o bezbednosti ovakvih sistema koji su, sa razvojem umreženog društva i savremenih tehnologija, pored vremenskih neprilika sve više izloženi i velikom broju sofisticiranih visokotehnoloških pretnji.

Iako smo svi veoma oslonjeni na industrijsku infrastrukturu – elektrane, transportne mreže, naftna i gasna industrija svakodnevno zadovoljavaju naše potrebe – sve dok funkcioniše kako treba prilično malo razmišljamo o tome koliko je bezbedna ili otporna na kvarove. Tokom poslednjih nekoliko godina, sajber bezbednost infrastrukture ne uspeva da ide u korak sa rastućim brojem pretnji, što je ove objekte, sa njihovim modernim kompjuterima i mrežama, učinilo veoma ranjivim na napade i visokotehnološko oružje.

Danas je moguće da samo jedna osoba uz pomoć računara i interneta izazove posledice u bilo kom kraju sveta, pa su istraživanja pokazala da je hakerima veoma lako da "uđu u sistem" i, na primer, podese "zeleni talas" semafora ili da hakuju električnu mrežu i ugase struju u čitavom kvartu. Pojedini su uspeli da dokažu i ranjivost bolničkih aparata, kao i železničkih kompozicija.

- Kritična infrastruktura je danas potencijalna meta svuda. Sajber napadi na industrijska okruženja su u porastu i mi ih analiziramo i otkrivamo incidente u svim delovima sveta - Stuxnet, Citadel, Energetic Bear/Havex, Miancha, BlackEnergy, Irongate, PLC Blaster, samo su neki od njih, a ova lista rapidno raste – kaže u razgovoru za eKapiju Matvey Voytov koji se bavi razvojem zaštite kritičnih infrastruktura u kompaniji Kaspersky Lab.

On navodi da je Stuxnet ciljani napad (pokrenut ubacivanjem malvera u sistem za kontrolu hlađenja reaktora) možda počeo kao oružje fokusirano na Iran, koje je izbacilo iz pogona skoro 20% iranskih nuklearnih elektrana, ali njegove posledice su bile globalne i njime su bili zaraženi industrijski sistemi širom sveta, uključujući i objekte u SAD.

Mnogi specifični napadi koriste i korporativne i industrijske mreže da se pokrenu i šire, pa su tokom BlackEnergy napada na ukrajinsku energetsku mrežu u decembru 2015. godine, koji je uzrokovao ozbiljan prekid snabdevanja energijom, hakeri koristili više tehnika.

Ova dva napada pokazala su da je samo jedan inficirani USB uređaj ili fišing e-mail dovoljan da napadači preskoče zaštitu i ušunjaju se u mrežu. Tradicionalna bezbednosna rešenja nisu više dovoljna da zaštite industrijska okruženja.

Srbija je, usled još uvek nedovoljno razvijene infrastukture – na sreću ili nažalost – donekle zaštićena od sličnih opasnosti. Ipak, prema dostupnim podacima, samo u toku mesec dana krajem 2015. godine uočeno je nekoliko hiljada napada na sajtove državnih institucija.

Kako je u nedavnoj izjavi za medije istakao Zoran Živković, predsednik Društva za informacionu bezbednost Srbije, građani našeg regiona najčešće su izloženi napadima kojima se zloupotrebljavaju lični podaci, dok se institucije i kompanije sve više susreću sa krađom osetljivih podataka, napadima u funkciji špijunaže i onima koji izazivaju prekid pružanja usluga.

Izgleda da su nadležni prepoznali opasnost, pa je Narodna skupština Republike Srbije 26. januara 2016. godine usvojila Zakon o informacionoj bezbednosti, koji je stupio na snagu 5. februara, a kojim se na sistemski način reguliše ova oblast. Zakonom se uređuju mere zaštite od bezbednosnih rizika u informaciono-komunikacionim sistemima, odgovornosti pravnih lica prilikom upravljanja i korišćenja informaciono-komunikacionih sistema i određuju se nadležni organi za sprovođenje mera zaštite, koordinaciju između činilaca zaštite i praćenje pravilne primene propisanih mera zaštite.

Utvrđuju se i IKT sistemi od posebnog značaja u Republici Srbiji, čiji operateri će biti dužni da preduzimaju adekvatne tehničke i organizacione mere zaštite. To su IKT sistemi organa javne vlasti, IKT sistemi u kojima se obrađuju naročito osetljivi podaci o ličnosti i IKT sistemi koji se koriste u delatnostima od opšteg interesa (energetika, saobraćaj, zdravstvo, pružanje usluga informacionog društva...).

Dok u pretnjama sa kojima se suočavaju poslovno okruženje i infrastruktura postoji izvesno preklapanje, razlika u bezbednosnim zahtevima je značajna. Za kompanije se bezbednosne strategije tipično fokusiraju na zaštitu podataka, oslanjajući se na koncept "C-I-A" (confidentiality, integrity, availability) - poverljivost, integritet i dostupnost podataka. Za industrijska okruženja, gde se kontinuitet ceni iznad svega, zaštita nije fokusirana na podatke, već je redosled obrnut - dostupnost procesa, integritet, pa poverljivost.

- To je ono što razlikuje potrebe sajber bezbednosti kritične infrastrukture, gde je čak i bezbednosno rešenje najvišeg kvaliteta praktično beskorisno ako dovodi u rizik kontinuitet tehnološkog procesa – objašnjava Matvey Voytov i dodaje da se, u većini slučajeva, konvencionalne tehnologije preventive ne mogu efikasno koristiti u okviru industrijskih okruženja.

Prema njegovim rečima, ključna razlika između tradicionalne informacione bezbednosti i industrijske sajber bezbednosti je visok ulog: uspešan napad na kritičnu infrastrukturu može imati posledice daleko veće od finansijske ili reputacione štete i može odneti živote ili rezultirati uništenjem okoline.

Teško je odrediti koje oblasti su najugroženije, ali prema do sada poznatim slučajevima vodeća tri sektora svakako su energetika i komunalne delatnosti, nafta i gas, i transport. Dobre vesti su da su mnogi provajderi infrastrukture već shvatili da posluju u osetljivom okruženju i aktivno se spremaju za zaštitu.

Efikasna bezbednosna strategija trebalo bi da se zasniva na spremnosti za svaku moguću etapu napada - od faze predviđanja, kada je moguće proaktivno umanjiti obim napada, do specijalizovanih tehnologija prevencije za zaustavljanje većine pretnji. Takođe, zahteva visoke mogućnosti detekcije i kapacitete za zaustavljanje naprednih pretnji. Konačno, važno je za infrastrukturu i da bude u mogućnosti da ublaži i otkloni negativne efekte napada.

- Takođe bih pomenuo značaj dvostrane saradnje između vlada i privatnog sektora u borbi protiv takvih pretnji. Kaspersky Lab već doprinosi ovom procesu konsultacijama sa vlastima u mnogim zemljama širom sveta. Kako bi saradnja bila istinski efikasna, nesporazumi i geopolitički problemi trebalo bi da ustupe mesto međuregionalnim konsultacijama – naglašava Voytov.

On smatra da polako dolazi era umrežene bezbednosti. Kako sve više industrijskih komponenti postaje dostupno onlajn, zahvaljujući trendovima Industrije 4.0 i posebno industrijskom "Internetu stvari" (Internet of Things), najefikasniji način zaštite takvih arhitektura biće povezana bezbednost. U skladu sa tim je i koncept "industrijskog interneta" kompanije General Electric, koja ističe da glavni izazov danas više nije unaprediti performanse i pouzdanost opreme u fizičkom smislu, kroz unapređenje mehaničkih delova, već učiniti ovu opremu inteligentnom.

Pored toga što se mnoge kompanije već aktivno pripremaju za novi koncept zaštite, među najbitnijim stavkama za unapređenje bezbednosti infrastrukture svakako su edukacija ljudi i podizanje svesti o mogućim opasnostima.

Srpski Zakon o informacionoj bezbednosti predviđa osnivanje Nacionalnog centra za prevenciju bezbednosnih rizika u IKT sistemima (Nacionalni CERT), kao važnu pretpostavku za efikasan sistem informacione bezbednosti. On će koordinirati prevenciju i zaštitu od bezbednosnih rizika u IKT sistemima u Republici Srbiji na nacionalnom nivou, a planirano je i osnivanje republičkih i posebnih CERT-ova. Za poslove Nacionalnog CERT-a nadležna je Regulatorna agencija za elektronske komunikacije i poštanske usluge (RATEL).

Normama iz zakona želi se doprineti podizanju svesti o značaju informacione bezbednosti, a uspostavljanjem Nacionalnog CERT-a boljoj prevenciji i informisanosti o napadima na IKT sisteme. Ipak, za sada je osnovan samo CERT pri Ministarstvu unutrašnjih poslova, novembra 2015. godine.

U Bosni i Hercegovini ne postoji CERT na državnom nivou, kao ni u Federaciji BiH, dok u Republici Srpskoj od juna 2015. godine radi CERT u okviru Agencije za informaciono društvo RS. Njegov zadatak je prevencija i zaštita od računarskih bezbednosnih incidenata. Hrvatska je nacionalni CERT osnovala 2009. godine, u skladu sa Zakonom o informacijskoj sigurnosti, a ovo telo zaduženo je za obradu incidenata na internetu, odnosno prevenciju i zaštitu bezbednosti javnih informacionih sistema. Hrvatski i slovenački CERT doprineli su uspostavljanju sličnog nacionalnog tima u Crnoj Gori i dali mu podršku za članstvo u FIRST-u, svetskoj asocijaciji akreditovanih CERT-ova, kao i u onoj koja okuplja evropske CERT-ove.