A napjainkban is zajló digitális átalakulás révén egyre több üzleti modell épül különféle információs rendszerek zökkenőmentes működésére. Ezzel párhuzamosan a kiberbűnözés gazdasági hatása is mind számottevőbb. Mit tehetünk ellene?
Kovács László és Krasznay Csaba 2010 februárjában publikálták „A digitális Mohács – egy kibertámadási forgatókönyv Magyarország ellen” című tanulmányukat a Nemzet és Biztonság folyóiratban. Krasznay Csaba jelenleg az NKE docenseként, az egyetem Kiberbiztonsági Kutatóintézetének vezetőjeként foglalkozik többek között az ipari rendszerek védelmével. Cikkünk az ő segítségével foglalja össze e terület aktuális kihívásait.
A Tripwire magazin 2019 nyarán megkérdezett néhány kiberbiztonsági szakértőt arról, miképpen fog alakulni az ipari rendszerek biztonsága a következő 5–10 évben. Az összes megszólaló kiemelte a digitális transzformációt, a dolgok internetének előretörését, a hálózatosodást, illetve azokat a kibertéri veszélyeket, melyeket elsősorban állami szereplők felől várhatók. Krasznay Csaba mellett számos szakember hangsúlyozza: nem az a kérdés, hogy egy összehangolt támadássorozat bekövetkezik-e, hanem az, hogy mikor.
Mitől ennyire fontos az ipari rendszerek biztonsága?
Az első nyilvánosságra került, kimondottan ipari rendszerek ellen kifejlesztett támadó szoftvert éppen egy évtizeddel ezelőtt, 2010 júniusában fedezték fel. Először úgy vélték a szakemberek, hogy elegánsan megírt, de szokványos adatlopásra tervezett Windows-vírusról van szó. Hamar rájöttek azonban, hogy ennél sokkal speciálisabb a kártevő, amit kifejezetten egy rendszerre, a Siemens ipari területen használt Simatic WinCC-re fejlesztettek. A minden bizonnyal amerikai–izraeli katonai megrendelésre megírt Stuxnet vírus több jellemzője utalt arra, hogy csak olyan helyen okozhat gondot, ahol nukleáris üzemek működtek, a technológiai paraméterek alapján pedig elsősorban egy finn licenc alapján gyártott alkatrészt használó iráni üzemek voltak a célpontok.
Ma már tehát egyetlen ipari irányítástechnikai rendszerrel foglalkozó mérnök számára sem lehet kérdés, hogy az üzemeltett infrastruktúra esetén nemcsak az üzembiztonság, hanem a kiberbiztonság is olyan szempont, amit figyelembe kell venni.
Mekkora a kritikus infrastruktúrák fenyegetettsége?
Ezt roppant nehéz pontosan felmérni. Átlagemberként még annak következményeibe is nehéz belegondolni, hogy akár egy egyszerű kábel is tartalmazhat néhány mikroprocesszort, melyekről nem feltétlenül tudjuk, hogy konkrétan mit csinálnak, milyen adatokat forgalmaznak, hogyan hatnak működési környezetükre.
A termelésirányító rendszerekkel foglalkozó mérnökök ma már kénytelenek kiberbiztonsági kérdésekkel is foglalkozni. Immár törvényi kötelezettség a kritikus infrastruktúrákat üzemeltető szervezetekre nézve, hogy egy az elektronikus információs rendszer biztonságáért felelős személyt nevezzenek ki, illetve az adott rendszer védelmével kapcsolatos feladatokat, hatásköröket és ezek felelőseit az informatikai biztonsági szabályzatban szabályozzák.
Nem egyszerű folyamat ez. Hiszen az OT (operational technology) rendszereket jellemzően több évtizedes tervezési elvek mentén fejlesztik. Az ezekhez a rendszerekhez tartozó üzemeltetési gyakorlatok hosszú évtizedek alatt alakultak ki, bizonyultak helyesnek és üzembiztosnak. Az OT világában egy rendszer vagy berendezés beállításaiban végrehajtott változtatás nem marad meg a bitek és bájtok szintjén, hanem a felügyelt és vezérelt folyamatokon keresztül megjelenhet a fizikai világban is.
Éppen ezért a folyamatirányítási területeken dolgozó mérnökök, ha tehetik, kerülik a rendszereken végzett módosításokat. Ennek ellenére az OT és az IT (information technology) egyre szorosabb szinergiát kénytelen kialakítani – különös tekintettel arra, hogy a negyedik ipari forradalom hatásaként a közművek területén is sorra jelennek meg azok az okos megoldások, szenzorok, hálózatba kapcsolt ipari eszközök, melyek kiberbiztonsági hatásai egyelőre felmérhetetlenek.
Akkor jól állunk ezen a területen?
A kihívást felismertük már, de természetesen mindig van tennivaló. Ennek nagyságát jól illusztrálja a BlackCell Kft. tanulmánya, mely „ICS/OT snapshot 2019” címmel jelent meg és részletesen áttekinti, milyen állapotban vannak a magyarországi ipari infrastruktúrák kibervédelmi szempontból. A tanulmány írói egy speciális szolgáltatás, az „ipari rendszerek Google-ja” segítségével keresték meg azokat az interneten elérhető ipari rendszereket, melyek Magyarországon vannak. Összesen 2013 ilyen rendszert találtak. Ezek közül sajnos számos eszköz tűnt sebezhetőnek elavult firmware (eszközvezérlő alapprogram), gyenge kriptográfia vagy akár nem megfelelő hitelesítés miatt.
Biztosak lehetünk abban, hogy a megelőzés minden körülmények között olcsóbb, mint utólag beépíteni a biztonságot a kritikus infrastruktúrákba. Ehhez viszont szemléletváltásra van szükség.
Mit tehetünk tehát?
Először is, a legfontosabb a tudatosság, azaz az okoseszközök beszerzésénél legyünk tisztában a kiberbiztonság kiemelt szerepével.
Második fontos szempont a szabályozás megléte. Az európai NIS Direktíva fontos törvényi kötelezettséget ró az alapvető szolgáltatások üzemeltetőire. Eszerint fontos, hogy olyan belső szabályozás is létrejöjjön a közműszolgáltatóknál, mely tervez az itt említett kibertéri veszélyekkel.
A harmadik lépés pedig a műszaki védelem megvalósítása, hiszen egyre több olyan szolgáltatás, illetve termék érhető el, amelyek ezekben a speciális közműszolgáltatói szektorokban is tudják emelni a kiberbiztonsági szintet.
Mi a kibernetika?
A kibernetika szó először az 1940-es évek végén bukkant fel, amikor a szakemberek elkezdték az emberek és a gépek közötti kommunikációt tanulmányozni. A kifejezés maga a görög kubernētēs szóból származik, amely a pilótára, illetve a kormányosra utal.