Για να ελαχιστοποιηθεί η πιθανότητα μιας ψηφιακής επίθεσης, τα Βιομηχανικά Συστήματα Ελέγχου (ICS) υποτίθεται ότι πρέπει να «τρέχουν» σε φυσικά απομονωμένο περιβάλλον. Ωστόσο, αυτό δεν συμβαίνει πάντα. Στην έκθεσή τους για το τοπίο των απειλών που αντιμετωπίζουν τα ICS, οι ειδικοί της Kaspersky Lab αποκάλυψαν 13.698 κεντρικούς υπολογιστές ICS εκτεθειμένους στο Διαδίκτυο και φαίνεται ότι κατά πάσα πιθανότητα ανήκουν σε μεγάλους οργανισμούς.
Οι οργανισμοί αυτοί ανήκουν σε τομείς όπως: ενέργεια, μεταφορές, αεροδιαστημική, πετρέλαιο και φυσικό αέριο, χημικά, αυτοκινητοβιομηχανία, μεταποίηση, τρόφιμα και ποτά, κρατικοί οργανισμοί, χρηματοπιστωτικά ιδρύματα, οργανισμοί υγείας. Το 91,1% αυτών των κεντρικών υπολογιστών ICS έχουν τρωτά σημεία, των οποίων η εκμετάλλευση μπορεί να γίνει απομακρυσμένα.
Αλλά το χειρότερο δεν είναι αυτό: Το 3,3% των κεντρικών υπολογιστών ICS που βρίσκονται σε αυτούς τους οργανισμούς περιέχουν κρίσιμα και απομακρυσμένα εκτελέσιμα τρωτά σημεία.
Η έκθεση των στοιχείων των ICS στο Διαδίκτυο παρέχει πολλές ευκαιρίες, αλλά και πολλές ανησυχίες γύρω από την ασφάλεια. Από τη μία πλευρά, τα συνδεδεμένα συστήματα είναι πιο ευέλικτα από την άποψη της ταχείας αντίδρασης σε κρίσιμες καταστάσεις και την εφαρμογή ανανεωμένων εκδόσεων. Από την άλλη όμως, η επέκταση του Διαδικτύου δίνει στους ψηφιακούς εγκληματίες την ευκαιρία να ελέγχουν από απόσταση τα πιο σημαντικά στοιχεία των ICS, τα οποία μπορεί να οδηγήσουν σε φυσική βλάβη του εξοπλισμού, καθώς και σε ενδεχόμενο κίνδυνο για το σύνολο της κρίσιμης υποδομής.
Οι εξελιγμένες επιθέσεις σε συστήματα ICS δεν είναι κάτι καινούριο. Το 2015, μια οργανωμένη ομάδα χάκερ με την ονομασία BlackEnergy APT επιτέθηκε σε μια επιχείρηση ηλεκτρισμού στην Ουκρανία. Την ίδια χρονιά, δύο ακόμη περιστατικά, που υποτίθεται ότι συνδέονταν με ψηφιακές επιθέσεις, αναφέρθηκαν στην Ευρώπη: σε ένα χαλυβουργείο στη Γερμανία και στο Αεροδρόμιο Frederic Chopin στη Βαρσοβία.
Περισσότερες επιθέσεις αυτού του είδους θα προκύψουν στο μέλλον, δεδομένου ότι το πεδίο της επίθεσης είναι μεγάλο. Αυτοί οι 13.698 κεντρικοί υπολογιστές, που βρίσκονται σε 104 χώρες, αποτελούν μόνο ένα μικρό μέρος του συνολικού αριθμού των κεντρικών υπολογιστών με στοιχεία ICS που διατίθενται μέσω του Διαδικτύου.
Για να βοηθήσει τους οργανισμούς που εργάζονται με συστήματα ICS στον εντοπισμό πιθανών αδύναμων σημείων τους, οι ειδικοί της Kaspersky Lab πραγματοποίησαν μια έρευνα σχετικά με τις απειλές ICS. Η ανάλυσή τους έγινε με βάση το σύστημα OSINT (Open Source Intelligence) και πληροφορίες από δημόσιες πηγές, όπως το ICS CERT, με την περίοδο της έρευνας να περιορίζεται στο 2015.
Τα κύρια ευρήματα της έκθεσης «Το Τοπίο των Απειλών στα Βιομηχανικά Συστήματα Ελέγχου» είναι:
- Συνολικά, έχουν εντοπιστεί 188.019 κεντρικοί υπολογιστές με στοιχεία ICS διαθέσιμα μέσω Διαδικτύου σε 170 χώρες.
- Οι περισσότεροι από τους απομακρυσμένα διαθέσιμους κεντρικούς υπολογιστές με στοιχεία ICS βρίσκονται στις Η.Π.Α. (30,5% – 57.417) και στην Ευρώπη. Στην Ευρώπη, η Γερμανία κατέχει ηγετική θέση (13,9% – 26.142 κεντρικοί υπολογιστές), ακολουθεί η Ισπανία (5,9% – 11.264 κεντρικοί υπολογιστές) και η Γαλλία (5,6% – 10.578 κεντρικοί υπολογιστές).
- Το 92% (172.982) των απομακρυσμένα διαθέσιμων κεντρικών υπολογιστών ICS έχουν τρωτά σημεία. Το 87% αυτών των κεντρικών υπολογιστών περιέχει μεσαίου κινδύνου ευπάθειες και το 7% αυτών περιέχει κρίσιμης σημασίας ευπάθειες.
- Ο αριθμός των ευπαθειών στα στοιχεία ICS έχει δεκαπλασιαστεί κατά τη διάρκεια των τελευταίων πέντε ετών: από 19 ευπάθειες το 2010 σε 189 το 2015. Τα πιο ευάλωτα στοιχεία ICS ήταν τα Συστήματα Διεπαφής Ανθρώπου-Μηχανής (HMI), οι Ηλεκτρικές Συσκευές και τα συστήματα SCADA.
- Το 91,6% (172.338 διαφορετικοί κεντρικοί υπολογιστές) όλων των εξωτερικά διαθέσιμων συσκευών ICS χρησιμοποιεί αδύναμα πρωτόκολλα σύνδεσης στο Διαδίκτυο, γεγονός που δίνει στους επιτιθέμενους τη δυνατότητα να διεξάγουν επιθέσεις τύπου «man-in-the-middle».
«Η έρευνά μας δείχνει ότι όσο μεγαλύτερη είναι η υποδομή ICS, τόσο μεγαλύτερη είναι η πιθανότητα ότι θα έχει σοβαρές «τρύπες» στο κομμάτι της ασφάλειας. Αυτή δεν είναι υπαιτιότητα του λογισμικού ή του προμηθευτή του hardware. Από τη φύση του, το περιβάλλον ICS είναι ένα μείγμα διαφορετικών, αλλά αλληλένδετων συνιστωσών, πολλές από τις οποίες είναι συνδεδεμένες στο Διαδίκτυο και περιέχουν θέματα ασφάλειας. Δεν υπάρχει 100% εγγύηση ότι η συγκεκριμένη εγκατάσταση ICS δεν θα παρουσιάσει ένα τουλάχιστον ευάλωτο στοιχείο σε κάποια χρονική στιγμή. Ωστόσο, αυτό δεν σημαίνει ότι δεν υπάρχει τρόπος για να προστατευτεί από τις ψηφιακές επιθέσεις ένα εργοστάσιο, μια μονάδα παραγωγής ενέργειας ή ακόμα και ένα τετράγωνο σε μια «έξυπνη» πόλη.
Η απλή ενημέρωση σε σχέση με τις ευπάθειες των στοιχείων που χρησιμοποιούνται μέσα σε μια συγκεκριμένη βιομηχανική εγκατάσταση είναι η βασική προϋπόθεση για τη διαχείριση της ασφάλειας των εγκαταστάσεων. Αυτός ήταν κι ένας από τους λόγους που μας οδήγησαν στο να αναπτύξουμε την έκθεση μας: Να συμβάλλουμε στην ευαισθητοποίηση όλων των ενδιαφερόμενων γύρω από το θέμα», δήλωσε ο Andrey Suvorov, Head of Critical Infrastructure Protection της Kaspersky Lab.
Για την προστασία του περιβάλλοντος ICS από πιθανές ψηφιακές επιθέσεις, οι ειδικοί σε θέματα ασφάλειας της Kaspersky Lab συνιστούν τα εξής:
- Πραγματοποιήστε έλεγχο ασφάλειας: η πρόσκληση ειδικών στον τομέα της βιομηχανικής ασφάλειας είναι ίσως ο πιο γρήγορος τρόπος για να εντοπιστούν και να εξαλειφθούν τα κενά ασφαλείας που περιγράφονται στην έκθεση.
- Ζητήστε εξωτερική τεχνογνωσία: Σήμερα, η ασφάλεια των υποδομών Πληροφορικής βασίζεται στη γνώση των πιθανών φορέων επίθεσης. Η πρόσβαση στις πληροφορίες αξιόπιστων προμηθευτών βοηθά τους οργανισμούς να προβλέψουν τις μελλοντικές επιθέσεις στη βιομηχανική υποδομή της εταιρείας.
- Παρέχετε προστασία μέσα και έξω από την περίμετρο: Λάθη συμβαίνουν. Μια σωστή στρατηγική ασφάλειας πρέπει να διαθέτει σημαντικούς πόρους για τον εντοπισμό επιθέσεων και την ανταπόκριση σε αυτές, καθώς και να εμποδίζει μια επίθεση πριν φτάσει σε εξαιρετικά κρίσιμα και σημαντικά αντικείμενα.
- Αξιολογήστε προηγμένες μεθόδους προστασίας: Ένα σενάριο Default Deny για τα συστήματα SCADA, η διενέργεια τακτικών ελέγχων ακεραιότητας για τους ελεγκτές, καθώς και η εξειδικευμένη παρακολούθηση του δικτύου μπορούν να βοηθήσουν στην αύξηση της συνολικής ασφάλειας της εταιρείας και στη μείωση των πιθανοτήτων μιας επιτυχούς παραβίασης, ακόμα κι αν κάποιοι εγγενώς ευάλωτοι κόμβοι δε μπορούν να γίνουν θωρακιστούν με προγράμματα patch ή να αφαιρεθούν.
H πλήρης έκθεση για «Το Τοπίο των Απειλών στα Βιομηχανικά Συστήματα Ελέγχου» είναι διαθέσιμη στον ιστότοπο Securelist.com.