Zabezpečení na úrovni zařízení

-- 08.03.12

Cílem kybernetických útoků mohou být individuální provozní zařízení.
Dostat se tak hluboko není jednoduché, ale útočníci to již dokázali.

Kybernetické zabezpečení je jako protiválečná obrana. Musíte bránit svůj systém před nejrůznějšími vnějšími útočníky, a pokud si vás vezme na mušku jeden z těch dovedných a odhodlaných, vlastní obrana může být těžší, než si myslíte. V tradiční válce je to tak, že s postupem armády do nového území se logistika s vyšší vzdáleností vojsk od jejich domovských základen komplikuje a odpor obránců obvykle zesiluje. U většiny případů kybernetického zabezpečení je tomu právě naopak. Jakmile útočník prolomí zabezpečenou oblast, pohyb uvnitř už je většinou poměrně snadný. To je důvodem, proč je tak důležitá hloubková obrana s detekcí incidentů, reakcí na ně a jejich přiřazení. Provozní zařízení, tedy jednotlivé senzory, vysílače, akční členy, řídicí prvky motorů apod., se považují za dno průmyslových sítí.

Nicméně přesto mohou být cílem kybernetických útoků, pokud je útočník dostatečně zručný. Některé nedávné incidenty ve vodárenských závodech, připisované vadným senzorům nebo čerpadlům, měly za následek vypuštění značného objemu vody nebo i zničení čerpadla. Některé z těchto incidentů jsou zjevně kybernetickými útoky. Pokud váš technik dokáže konfigurovat provozní zařízení prostřednictvím řídicího systému, specializovaných ručních nástrojů nebo zapojením přenosného počítače do sítě, útočník může provést totéž, pokud jde po správné cestě. Jsou-li dostupné konfigurační údaje, zařízení lze změnit nebo jednoduše vypnout. Je-li ve výrobní jednotce manipulováno s dostatečným počtem strategických zařízení, může to způsobit mnoho zlého.

Realizace tohoto záměru však vyžaduje důvěrné znalosti vašich systémů, protože hacker musí vědět dvě věci: ke kterým zařízením se má dostat a jak se k nim dostat. Interní pracovník tyto informace má, avšak někdo mimo závod je pravděpodobně nemá. Když má hodně času, trpělivosti a možná i štěstí, může hacker vysledovat dostatek stop a nakonec najít to, co hledá – avšak je to velmi namáhavý proces, pokud třeba máte několik tisíc vstupů či výstupů. Praktičtější alternativou může být získání pomoci od interního pracovníka. Pokud hacker dokáže identifikovat jednu nebo několik osob ze závodu, kteří pracují ve strategické oblasti, může se pokusit nabourat do jejich e-mailových účtů. Jestliže technik využívá svůj e-mailový účet k diskusi o pracovních tématech, je možná nejsnadnějším cílem útoku.

Hacker může také sledovat technika domů a nabourat se pomocí domácí bezdrátové sítě. Pročtení několika e-mailů nebo použití e-mailu jakožto vstupu do firemní sítě může přinést bohatství informací, které mohou hackerovi pomoci soustředit jeho úsilí. Pokud nejsou PLC nebo vstupní/výstupní části řídicího systému připojené ke strategickým zařízením dostatečně chráněné, může si pak hacker s těmito senzory dělat, co bude chtít. I když zde bude hloubková obrana, musí existovat schválené cesty pro přesun požadovaných informací. Když hacker dokáže prozkoušet dostatek dat a následně je pustit obranným valem, obrana nebude velmi účinná.

Někteří bezpečnostní analytici se domnívají, že lidé, kteří nasadili vir Stuxnet, využili jiný malérový program k získání informací o cílených objektech, aby našli ty nejlepší cesty, jak se dostat k požadovaným zařízením. V mnoha ohledech je nejlepší obranou proti těmto útokům dodržování přísných interních zásad. Běžným faktorem ve většině těchto situací je to, že lidé jsou součástí strategie útočníka. Získání firemních dat pomocí nabourání do osobních e-mailových účtů, nahrání malwaru zaměstnanci pomocí phishingových útoků a nepořádnost při zacházení s hesly jsou aspekty, které se často objevují v analýzách provedených po incidentech. Když hacker nezíská zevnitř firmy žádné informace, má to mnohem těžší.

Matt Luallen je zakladatel společnosti Cybati, organizace provádějící školení a poradenství v oblasti kybernetického zabezpečení, a je častý přispěvatel nakladatelství CFE Media.

Autor: Matt Luallen, Cybati