“Konečne začíname riešiť problém, ktorý máme už roky.” Do takto lakonickej vety by sa dal zhrnúť záver prvej konferencie zameranej na bezpečnosť priemyselných kontrolných systémov (ICS, častejšie známe ako SCADA) SCADAconf, ktorá sa konala 6. októbra 2015 vo Vigľáši neďaleko Zvolena. Prvá konferencia svojho druhu na Slovensku aj v Čechách spojila prevádzkovateľov technológií, ktoré využívajú ICS a poskytovateľov bezpečnostných služieb a riešení v tejto oblasti. Vedľa energetikov, prevádzkovateľov distribučných sústav a výrobcov sa prezentovali aj spoločnosti pripravujúce bezpečnostné riešenia (usporiadateľská spoločnosť Fortinet vyvíja hardvér s vysokým bezpečnostným štandardom) a etickí hackeri z Citadelo, ktorí sa v poslednej dobe intenzívne zamerali na túto novú výzvu, tj. pochopiť ICS v ich komplexnosti a následne byť schopní ich testovať na zraniteľnosti, ktoré by potenciálnemu útočníkovi umožnili ovládnutie systému.
Otázka bezpečnosti týchto systémov sa stala značne aktuálnou obzvlášť po obrovskom zásahu do mimoriadne citlivej oblasti jadrového vývoja v roku 2010. Vírus Stuxnet napadol vedľa ďalších najmä iránske výskumné centrá a zničil celú pätinu tamojších jadrových centrifúg. Celý útok mieril primárne na tzv. Pragrammable Logic Controler (PLC), čo sú koncové kontrolery, ktoré priamo komunikujú a riadia samotný proces alebo úlohu. Akákoľvek kompromitácia, ktorá je schopná ovplyvniť chod PLC je obrovským rizikom, ktoré fakticky znamená, že útočník – hacker – je schopný nahradiť riadenie danej prevádzky svojimi vlastnými príkazmi. Napriek tomu, že sa antivírusy a nástroje pre analýzu a detekciu hrozieb rýchlo zdokonaľujú, kybernetická mafia je v predstihu a ponúka svojim klientom útočné nástroje založená na tzv. zero-day vulnerabilities, tzn. doposiaľ neznámych zraniteľnostiach a exploitoch, ktoré ich dokážu využiť pre úspešný prienik. Je viac ako naivné domnievať sa, že by oblasť ICS zostala mimo pozornosti. Naopak, na hackerských fórach môžeme zaznamenať ďalší vývoj nástrojov obdobných Stuxnetu a môžeme len hádať, ako ďaleko už vývoj dospel.
Pri prvkoch kritickej infraštruktúry by človek očakával vysoký štandard bezpečnosti vo všetkých jej smeroch. Realita však značne pokrivkáva a je treba spoločne hľadať cesty k efektívnemu zabezpečeniu kritických systémov. Trend poslednej doby je totiž taký, že vývojári ICS kladú dôraz na pohodlnejšie a funkčnejšie riešenie, založené na vzdialených prístupoch a kontrole mimo samotnej prevádzky, často prostredníctvom internetu alebo firemných sietí.
V minulosti bolo štandardom, že kritické systémy zostávali izolované v uzavretých okruhoch, čo významne znižovalo riziká prieniku. Čo však v minulosti bolo bežné, je dnes skôr vzácnym úkazom. V kombinácii s často veľmi zastaranou architektúrou a predpotopnými komunikačnými protokolmi kontrolerov sa tak jedná o aktuálnu a v súvislosti s globálnou politickou situáciou aj vysoko zásadnú bezpečnostnú hrozbu. Stačí si uvedomiť aspoň príkladný zoznam oblastí, kde sa kontrolné systémy bežne využívajú pri riadení základných procesov: výroba elektrickej energie (vrátane jadrovej energetiky), prevádzka distribučných sietí, dopravná infraštruktúra, ťažba a distribúcia nerastných surovín, telekomunikácie, výroba v oblasti ťažkého aj ľahkého priemyslu a mnoho ďalších. Ako vám je pri predstave, že niekto ovláda závoru vodnej priehrady zo svojho tabletu a komunikuje cez nešifrované spojenie?
Ako na konferencii zaznelo, je ťažko predstaviteľné, že by sa trend prepojovania ICS s verejne prístupnými sieťami začal radikálne obracať, takže je teraz na nás – profesionáloch IT security – zabezpečiť v maximálnej možnej miere všetky vstupy do systémov, ktorými by ich mohol kompromitovať nezvaný hosť. Citadelo začalo na rastúci dopyt po bezpečnostných auditoch ICS reagovať výskumom v tejto oblasti a vyčlenením niekoľkých špecialistov pre túto oblasť. Napĺňame tak našu dlhodobú víziu, tj. poskytovať služby vo všetkých otázkach informačnej bezpečnosti a robiť z internetu bezpečné miesto.
Martin Leskovjan