fot: ARC
- Mimo, że wcześniejsze działania przestępców miały ograniczony zakres i lokalny charakter, mogły one być tylko formą rozpoznania i przygotowania do dużej operacji - ostrzega Artur Szachno
fot: ARC
Eksperci firmy Symantec informują, że w ostatnim roku znacznie wzrosła aktywność grup przestępczych penetrujących sektor energetyczny. Tego typu działania miały miejsce na Ukrainie, gdzie w grudniu 2016 r. wyłączono piątą część zasobów energetycznych, a w 2015 r. blisko 225 tys. Ukraińców zostało pozbawionych zasilania. W 2014 r. przeprowadzony został atak na sieć energetyczną USA, jednak nie był on dotkliwy dla odbiorców energii. Jako głównych winowajców zidentyfikowano grupę Dragonfly, która od lat penetruje światowy sektor energetyczny - pisze Artur Szachno, ekspert ds. systemów bezpieczeństwa informatycznego i ochrony danych.
Przez dziesięciolecia pod względem innowacyjności prym wiodły technologie wojskowe. Obecnie na rynku cywilnym wdrażane są podobnie złożone rozwiązania.
- Przeważająca część nowych urządzeń ma istotna wadę – działa tylko po podłączeniu do źródła zasilania. W przypadku przerw w dostawie energii elektrycznej stajemy przed koniecznością wdrażania rozwiązań awaryjnych. Skutki ataków na systemy przesyłania energii są szczególnie dotkliwe, gdy ich efekt dotyka ośrodków ochrony zdrowia, firm produkcyjnych działających w trybie 24/7, szeroko rozumiany system transportu lądowego i powietrznego, jak i obywateli zmuszonych do reagowania na zmiany w codziennej rutynie życia. Społeczeństwo polskie jest otwarte na nowinki techniczne i chętnie z nich korzysta, co w poważny sposób zwiększa zagrożenie związane z Black Out-em - ocenia Szachno.
O bezpieczeństwie Infrastruktury Krytycznej (IK) coraz częściej mówi się w mediach, ale zmiany są wolne. Na podnoszenie poziomu bezpieczeństwa w sektorze energetycznym wpływają: rozpiętość geograficzna, oddziaływanie systemów zarządzania na społeczeństwo i gospodarkę, wiek wykorzystywanych rozwiązań SCADA (Supervisory Control And Data Acquisition) oraz ich złożoność (wymuszająca specyficzny sposób podejścia) czy przepisy krajowe w zakresie zabezpieczenia IK.
Najczęstszym jednak celem jest człowiek: narażony na ataki socjotechniczne i łatwiejszy do "przełamania" niż złożone zabezpieczenia techniczne.
- W dużej mierze dzięki socjotechnice mogły zostać zastosowane "robaki": najbardziej znany Stuxnet (który opóźnił w 2010 r. uruchomienie irańskiej elektrowni atomowej Buszehr), Flame, Gauss, DuQu oraz mniej spektakularne wirusy i szkodliwe programy komputerowe. Narzędzia wykorzystywane do tworzenia kodu aplikacji użytych w atakach oraz kultura kodu aplikacji wskazują, że pracowały przy nich profesjonalne zespoły programistyczne, które etatowo zatrudnia się przy projektach - pisze ekspert.
W takiej sytuacji skuteczną ochroną wrażliwych danych może być edukacja personelu, ograniczenie dostępu i zastosowanie szyfrowania. Przechowanie lub przekazywanie danych w formie zaszyfrowanej powoduje, że nie ma możliwości wglądu do nich w przypadku nieuprawnionego dostępu. Ponadto dane archiwalne oraz replikacje danych systemów i aplikacji mogą być przechowywane w bezpiecznej zaszyfrowanej postaci. Natomiast w przypadku ich przejęcia pozostają chronione i są odporne na modyfikację.
Na polskim rynku dostępne są oferty rodzimych firm, które stosują rozwiazania szyfrujące oparte o algorytm HVKM, który np. uniemożliwia usługodawcy wgląd do danych klientów i pozwala zapewnić pełną poufność danych. Polski system UseCrypt pozwala też na bezpieczne przechowywanie, przekazywanie i archiwizowanie wrażliwych danych. Przeszedł pomyślne testy penetracyjne firmy Delloite i ma pozytywne opinie Wojskowej Akademii Technicznej i Instytutu Łączności – Państwowego Instytutu Badawczego.
Najwięcej obaw może budzić dzisiaj stosowanie przez cyberprzestępców taktyki wojskowej, polegającej na rozpoznaniu, a następnie przygotowaniu operacji ataku.
- Mimo, że wcześniejsze działania przestępców miały ograniczony zakres i lokalny charakter, mogły one być tylko formą rozpoznania i przygotowania do dużej operacji. Nie mamy gwarancji, że po wcześniejszych atakach wszystkie modyfikacje i szkodliwy kod zostały w pełni usunięte, a systemy pozbawiono "tylnych drzwi" lub procedur, które zostaną w określony sposób aktywowane w krytycznym momencie - zwraca uwagę Artur Szachno.
