Bezpieczeństwo systemów IT w przemyśle i energetyce

W ostatnim czasie specjaliści laboratoriów F-Secure oraz Symantec wykryli kolejne zagrożenie, które może być stworzone w celu ataków przede wszystkim na infrastrukturę energetyczną. Wirus Havex/Energetic Bear, bo o nim mowa, składa się z oprogramowania Remote Access Trojan, które daje administratorowi zdalną kontrolę nad urządzeniem oraz serwera napisanego w języku PHP. Jakie mogą być skutki ataku za pomocą takiego wirusa? Przedstawiamy komentarz (w formie wywiadu) firmy Nation-E dotyczący wirusa Energetic Bear w sektorze energetycznym oraz bezpieczeństwa energetycznego Polski.

Rozmowa z Dominikiem Karbowskim, Dyrektorem Działu technicznego, odpowiedzialnym za rynki europejskie, Nation-e

Ile tego typu programów jest obecnie dostępnych na świecie?

Należy zacząć od tego, że każde urządzenie, które wyposażone jest w jakiekolwiek oprogramowanie jest potencjalnie narażone na ataki. Jeżeli dodatkowo sprzęt posiada funkcję komunikacji np. wysyłania/odbierania danych, mamy możliwość przejęcia nad nim zdalnej kontroli lub chociażby „podsłuchania” informacji jakie przesyła. W dzisiejszej infrastrukturze znajdziemy coraz więcej urządzeń mogących się komunikować. Są to np. liczniki, turbiny, agregaty, magazyny energii, automatyka – praktycznie wszystkie elementy sieci elektroenergetycznej.

Energetyka to sektor kluczowy dla bezpieczeństwa państwa. Amerykański ICS-CERT poinformował, że w całym 2012 roku odnotowano 198 poważnych ataków mogących zaszkodzić stabilizacji Państwa, z czego 41% dotyczyło energetyki. Tylko w pierwszej połowie 2013 roku, takich ataków na energetykę odnotowano już 203! Ten ponad czterokrotny wzrost pokazuje, że energetyka stała się realnym celem. Za atakami często nie stoją pojedyncze osoby, ale całe grupy osób, zorganizowane firmy, a nawet i Państwa. Powszechnie wiadomo, że bez energii nie może funkcjonować żadne przedsiębiorstwo, a co dopiero cały kraj.

Z dostępnych informacji wynika, że twórcy Havexa/Energetic Bear wszczepili konia trojańskiego do oprogramowania, które można było pobrać ze stron producentów systemów ICS/SCADA. Jaki cel mieli twórcy oprogramowania i dlaczego zadali sobie tyle trudu? Co może się stać, gdy kontrolę nad siecią przejmie wrogo nastawiona organizacja?

Metoda działania oraz jakość kodu Havexa/Energetic Bear wskazuje na pełen profesjonalizm oraz zamiary twórców. Celem było zainfekowanie jak największej ilości komputerów systemowych w Europie centralnej i zachodniej. Oprogramowanie ICS/SCADA służy do monitorowania oraz kontroli procesów przemysłowych. Jest wykorzystywane codziennie w wielu zakładach produkcyjnych, również przy produkcji oraz przesyle takich mediów jak energia elektryczna, ciepło, woda czy gaz. Taki wirus może przez wiele miesięcy, a nawet lat, niezauważony przez nikogo, monitorować i zbierać cenne informacje. Kiedy pewnego dnia ktoś uzna to za zasadne, pozostałe funkcje wirusa mogą zostać aktywowane. Wtedy w najlepszym wypadku cały system zostanie wyłączony, w najgorszym natomiast zmienione zostaną parametry pracy urządzeń, doprowadzając do fizycznych awarii. Może to skutkować unieruchomieniem całej infrastruktury na wiele dni lub nawet tygodni. Zdaję sobie sprawę, że brzmi to jak wizja apokalipsy, ale przy obecnym stopniu informatyzacji przemysłu oraz sytuacji geopolitycznej, należy rozważać takie scenariusze.

Czy Polscy OSD i wytwórcy energii elektrycznej powinni zacząć się bać? Jakie jest prawdopodobieństwo zarażenia tego typu wirusami polskiej infrastruktury energetycznej?

Firma F-Secure, z uwagi na potencjalne zagrożenie nie udostępniła informacji, w jakim oprogramowaniu znaleziono wirusa, a poinformowała jedynie jego twórców. Ci powinni poprawić swój produkt i zgłosić się do wszystkich swoich klientów z obowiązkiem aktualizacji oprogramowania. Na rynku europejskim mamy kilkanaście wiodących firm produkujących oprogramowanie ICT/SCADA dla energetyki, z tego kilka najbardziej popularnych bardzo chętnie wybieranych przez polskich specjalistów. Wszyscy którzy mają podejrzenia powinni skontaktować się ze swoim dostawcą lub producentem i zapytać o aktualizację. Z racji wielu zmian w polskiej energetyce oraz nowych inwestycji mających na celu automatyzację procesów oraz wdrożenie sieci smart grid, Polska może być tzw. „łakomym kąskiem”, ale jednocześnie łatwym celem.

W Polsce mamy coraz więcej przetargów zwłaszcza jeżeli chodzi o tzw. inteligentne liczniki. Dużo mówi się również o tzw. urządzeniach typu HAN (Home Automation Network) mających pomóc nam zarządzać energią w domu czy mieszkaniu. Czy te elementy mogą być również przedmiotem zainteresowań twórców wirusów oraz hackerów?

Ależ oczywiście! Licznik w odróżnieniu od oprogramowania ICT/SCADA to jest coś, co każdy z nas ma fizycznie dostępne w mieszkaniu lub jego pobliżu. By włamać się zdalnie na serwer musimy złamać wiele zabezpieczeń, gdzie podczas prób możemy zostać zidentyfikowani i zatrzymani. Tzw. licznik inteligentny (smart meter) mamy pod ręką. Osoba która ma złe zamiary, może podłączyć się fizycznie do licznika lub sieci elektrycznej gdy wykorzystujemy PLC i np. monitorować komunikację po to by wychwycić błędy, które potem wykorzysta. Ma ona praktycznie nieograniczony czas dostępu do infrastruktury.

W lutym tego roku głośny był przypadek na Malcie. Pracownik Enemalta, lokalnego operatora, wyniósł z firmy oryginalne oprogramowanie liczników, którego zabezpieczenia następnie złamano. W internecie pojawiło się wiele ogłoszeń informujących, że w zamian za drobną opłatę, klient mógł zamówić zmianę oprogramowania licznika, które następnie wskazywało odpowiednio niższe niż rzeczywiste zużycie. Należy dodać, że zmiana oprogramowania odbywała się całkowicie zdalnie, bez wizyty w domu klienta. Szacuje się, że Enemalta, a co z tym związane podatnicy, stracili przez ten proceder około 41 mln dolarów. Przykład ten pokazuje, że oprogramowanie billingowe, odpowiadające za wystawianie rachunków dla klientów, jak i ICS/SCADA często polega w 100% na informacjach otrzymanych od liczników. Brak jest mechanizmu weryfikacji. Fałszywe informacje z tysięcy liczników mogą zachwiać krajowym systemem energetycznym.

Należy pamiętać, że Internet to zbiór wiedzy, jak i miejsce wymiany doświadczeń. Jeszcze niedawno publicznie można było znaleźć opis, jak przy wykorzystaniu tunera TV o wartości 60 zł, podłączonego przez USB do komputera, można odczytywać dane z liczników dookoła nas. Dzięki danym dot. konsumpcji wiemy np. czy ktoś jest obecny w mieszkaniu, czy dom stoi pusty. Jak użyjemy tych informacji, to już zależy od konkretnej osoby.

Jeżeli chodzi o urządzenia typu HAN, tu sytuacja ma się podobnie. Większe zagrożenie pojawia się gdy HAN podłączony jest do domowej sieci komputerowej. Wtedy wykorzystując błędy w jego zabezpieczeniu można „podsłuchiwać” całą sieć domowników i zdobywać hasła do poczty czy konta w banku. Nie jest to jednak domeną wyłączenia urządzeń związanych z energetyką. Do tych samych ataków wykorzystywane są bardzo często drukarki i inne urządzenia, które działają w naszej sieci.

Na co należy zwracać szczególną uwagę, aby nie dochodziło do ataków na sieci energetyczne?

Problemem jest to, że wszyscy producenci twierdzą, że ich rozwiązania są bardzo dobrze zabezpieczone. Technologia, którą chcemy wdrożyć, powinna być przede wszystkim odpowiednio sprawdzona. Ważne jest również regularne wykonywanie testów i audytów bezpieczeństwa, ponieważ nawet jeżeli dziś zainstalowaliśmy coś uznawane za dobrze zabezpieczone, jutro takie zabezpieczenia mogą zostać złamane. Polska branża energetyczna powinna iść przykładem banków, które regularnie zlecają i wykonują audyty swojego oprogramowania oraz zabezpieczeń przez specjalistyczne firmy.

Czy coś wiadomo o przypadkach szpiegostwa w polskiej energetyce?

W ostatnich dniach pierwsze strony gazet, zajmują informację dot. tzw. afery podsłuchowej, z którą to podobno związane są osoby z branży węglowej oraz gazowej. Węgiel, gaz, jak i czysta energia elektryczna to elementy kluczowe z punktu widzenia bezpieczeństwa Państwa. Jest więc oczywiste, że energetyka jest naturalnym celem dla pewnych grup osób oraz służb. Od tego są jednak odpowiednie organy państwowe, by wykrywać takie zdarzenia oraz odpowiednie mechanizmy, by im przeciwdziałać.

Źródło: Nation-e

Fot.: sxc.hu