Az utóbbi időszakban egyre gyakrabban szóba kerül az energiakrízis fogalma. A Colonial Pipeline incidens ennek kvázi előszobája volt, amely miatt az Egyesült Államoknak is rá kellett arra ébrednie, hogy a szakértők által gyakran említett energiafüggőség súlyos probléma, és egyetlen láncszem hibája óriási következményekkel járhat.
Az incidens kezdete egy zsarolóvírus volt
Általában, ha zsarolóvírusról, hackelésről, vagy összességében: kiberincidensekről esik szó, az emberek ritkán gondolnak olyan eseményekre, amelyek a mindennapjaikat is ténylegesen érintik. Pedig egy jó kibertámadás jellemzője, hogy a tényleges hatását nem az adott rendszeren fejti ki, hanem abból tovább gyűrűzve hat a szervezet, az állam vagy akár a teljes társadalom működésére. A Colonial Pipeline zsarolóvírus incidens tökéletes példája ennek.
Zsarolóvírusnak nevezzük az olyan kártékony tartalmat, amely a felhasználó beleegyezése nélkül, a számítógépén lévő összes tartalmat titkosítja, illetve a számítógépét zárolja. Viszont a felhasználó elé belebegteti a program, hogy ha egy meghatározott összeget elküld (általában kriptovaluta formában), akkor megkapja a feloldókulcsot a számítógépéhez és adataihoz. A múltban két kiemelkedő ilyen jellegű támadás volt: a WannaCry és NotPetya.
2021 májusában az Egyesült Államok keleti partvidékét ellátó Colonial Pipeline üzemanyag-szolgáltató szintén egy ilyen incidens áldozata lett. A támadók valójában nem a tényleges kitermelő–finomító infrastruktúrát támadták meg, hanem a szolgáltató pénzügyi számlázási rendszerét. Ez elsőre nem tűnhet drasztikusnak, hiszen egy háttérben elhelyezkedő rendszert támadtak meg. A gyakorlatban ez mégis látványos következményekkel járt. A szolgáltató nehéz döntési helyzet elé került: folytassa-e a szállítást úgy, hogy nem tud számlázni (biztosítva ezzel a kritikus ellátólánc folytonosságát, azonban így a bevételszerzés kérdésessé válik), vagy pedig folytassa-e a rendszerek használatát úgy, hogy az incidens idejében teljesen ismeretlen az, hogy melyek a fertőzött, illetve melyek a biztonságos rendszerek.
A kiberincidensek esetében elmondható, hogy a probléma tulajdonképpen olyan, mint egy hagyma. Legbelül, a magban található maga a kibertámadás, ebből kifelé gyűrűzve, ezt átölelve pedig létrejönnek újabb problémák. A Colonial esetében is ez volt tapasztalható: a vállalat nem volt képes a számlázásra, emiatt nem tudott üzemanyagot eladni, a töltőállomások nem jutottak üzemanyaghoz, állampolgári és sürgősségi járművek (PD/SD, EMT/EMS) nem tudtak tankolni. Mindez kihat többek között a közbiztonságra, valamint az egészségügyi ellátásra is. Ezt a láncolatot sokáig lehetne még folytatni, viszont az előbbi szemelvényből leszűrhető, hogy egy incidens milyen komoly hatással lehet mindennapjainkra, a társadalom biztonságára.
A stratégiai válasz
A politikai vezetők és döntéshozók egy kiberincidens kezelésekor valójában elsődlegesen nem a támadást orvosolják. Ez a szakértők feladata, akik a helyszínen kezelik a kihívást. A döntéshozók a társadalmi, gazdasági és politikai hatásokra kívánnak választ adni.
Biden elnök is a következőképpen tett: megkérte a lakosokat arra, hogy eltekintve a kígyózó soroktól, amelyeket a töltőállomásokon látnak, ne kezdjenek el pánikvásárolni, mert az csak ront a kialakult helyzeten. A sajtótájékoztatón felszólította a töltőállomást üzemeltetőket, hogy ne drágítsák meg az üzemanyagot. A súlyos következményekre is felhívta a figyelmet, hiszen több állami hivatal is kifejezetten az ilyen tevékenységek szankcionálására szakosodott. A felmerülő álhíreket, félinformációkat is igyekezett eloszlatni, például hogy nem állami (orosz) szereplő áll a háttérben.
Jelentős lépés volt Biden elnök részéről a 14028-as számú elnöki rendelet (President’s Executive Order) kiadása, melynek a célja a nemzet kiberbiztonságának növelése. A rendeletben feladatul tűzte ki az állami és magánszektor közötti átláthatóság növelését, az ellátórendszerek biztonságának gyarapítását, kiberbiztonsági véleményező bizottság (Cybersecurity Safety Review Board) létrehozását, hálózati végpontellenőrző rendszerek, eseménynaplózó kritériumok megalapítását, illetve a kiberbiztonsági tanúsítványok újra modellezését szövetségi szinten.
Ezt megelőzően az adott szervezet belső szabályzata határozta meg a forgatókönyvet incidens esetén. A tárgyalt eseménysor azonban rávilágított arra, hogy a kritikus infrastruktúra „túl kritikus” ahhoz, hogy központi szinten ne határozzák meg a teendőket, így a 14028-as rendelet egy forgatókönyvet rögzít, Szabványos Működési Eljárás (Standard Operation Procedure) név alatt. Az elnöki rendelet célja stratégiai szinten kezelni a kibervédelem kérdéskörét.
A bűnüldöző szervek részéről érkezett választ is kiemelten fontosan kell kezelni. Az elkövető bűnszervezetek gyakran kriptovalutában (főleg Bitcoinban) kérnek váltságdíjat az adatokért, hiszen a fizetőeszközről elterjedt, hogy decentralizált, államoktól független valuta, ami nem követhető és biztonságos. Az Egyesült Államok Szövetségi Nyomozóirodája (FBI) erre a tévhitre is rácáfolt az incidens során. A Colonial Pipeline ugyanis váltságdíjat fizetett – az Egyesült Államok Szövetségi Igazságügyi Minisztériumának jelentése szerint 63,7 Bitcoint (akkori árfolyamon 2,3 millió dollár), viszont az FBI később visszaszerezte – megmutatva és prezentálva azt, hogy a kriptovaluta-alapú fizetések is kinyomozhatók.
Az incidens tanulsága
Összességében: a támadás rávilágított az Amerikai Egyesült Államok ellátóláncának sérülékenységére. A támadóknak nem az volt a céljuk, hogy egy hétre megbénítsák az ellátórendszereket, az esemény azonban mégis ezt eredményezte. Szakértők ezt megelőzően is folyamatosan jelezték az energiaszektor kibertámadásoknak való kitettségét, de az incidens és a 2021-es texasi energiakrízis a gyakorlatban is rávilágított erre. Kiberbiztonsági szempontokat figyelembe vevő javaslatokat nehéz megfogalmazni, hiszen az incidens teljes egészében szolgáltatói oldalú volt. A kibontakozott eseményekből társadalmi szinten levonható tanulság, hogy az állampolgároktól nem várható el a racionális cselekvés, így a pánikvásárlás mellőzése. (Ez már a koronavírus kapcsán a WC-papír és más termékek esetén látható is volt.) A szakértőknek kell tehát a megfelelő szintű felkészültséggel rendelkezniük, hogy a kritikus infrastruktúráktól való függést a felmerülő vészhelyzetek esetén csökkenteni lehessen.
Felhasznált források
David E. Sanger, Nicole Perlroth: Pipeline Attack Yields Urgent Lessons About U.S. Cybersecurity, The New York Times – https://www.nytimes.com/2021/05/14/us/politics/pipeline-hack.html
https://edition.cnn.com/2021/05/12/politics/colonial-pipeline-ransomware-payment/index.html
https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2021/did-the-fbi-hack-bitcoin-deconstructing-the-colonial-pipeline-ransom
https://www.vox.com/recode/22428774/ransomeware-pipeline-colonial-darkside-gas-prices
https://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside
https://www.agileit.com/news/analysis-executive-order-14028-improving-cybersecurity/
