Sú priemyselné systémy v ohrození?

Automatizácia vo výrobe stále rastie, zvyšuje sa však aj bezpečnosť priemyslu? Niektorí o tom pochybujú a upozorňujú na potencionálne smrtiace bezpečnostné diery.

Pomyselným svätým grálom útokov v kybernetickom priestore je spôsobenie reálnej fyzickej škody. Docieliť fyzickú deštrukciu je však náročné, preto podobných útokov veľa nepoznáme. Asi najznámejším je útok doteraz neznámych páchateľov na iránske centrifúgy (Stuxnet), ale poznáme aj iné, či už útok na systém spracovania odpadových vôd v austrálskom štáte Queensland alebo nedávne vyradenie rozvodných sietí na Ukrajine. Všetky však mali spoločné to, že vyžadovali relatívne vysoký stupeň vedomostí a skúseností. To však už neplatí.

Ako zistil Reid Wightman z firmy Digitalbond, ktorá je jedným z lídrov v oblasti zabezpečovania priemyselných systémov, mnoho komerčne dostupných frekvenčných meničov (zariadenie, ktoré ovláda otáčky motora) obsahuje kritickú bezpečnostnú chybu. Ide pritom o priemyselné motory, ktoré sa okrem priemyslu všeobecne, využívajú aj v elektrárňach či čističkách odpadových vôd. Všetky tieto meniče majú možnosť zobraziť na diaľku maximálny bezpečný počet otáčok. Už to by bol problém, no to ešte nie je všetko.

Wightman zistil, že sa bez akejkoľvek autentifikácie dá meniť rýchlosť motora. Takže hacker si najprv môže zistiť, aká je najvyššia bezpečná rýchlosť, a potom zmeniť nastavenie motora na vyššiu hodnotu. To zvýši záťaž na konštrukciu a v konečnom dôsledku spôsobí deštrukciu. Ako on sám tvrdí v článku pre magazín Wired, nerozumie, prečo vôbec existuje možnosť na diaľku cez sieťové pripojenie (protokol Modbus) meniť nastavenie motora, keďže ide o nastavenie, ktoré ostáva počas prevádzky konštantné.

Táto vlastnosť či chyba sa pritom netýka len jedného výrobcu, ale viacerých (Schneider-Electric, Allen-Bradley, ABB, Vacon). Motory a meniče týchto výrobcov sú dostupné aj na Slovensku. Existuje teda šanca, že sú používané v niektorých firmách a podnikoch. Oprava tejto zraniteľnosti nie je vôbec triviálna vec. Vyžadovala by si celkové preprogramovanie ovládacieho rozhrania a pridanie autentifikácie. Nie je preto jasné, kedy k nej výrobcovia pristúpia.

Okrem súkromných spoločností bije v oblasti bezpečnosti priemyselných systémov na poplach aj americká vláda. Riaditeľ ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) pri ministerstve pre národnú bezpečnosť agentúre Reuters potvrdil, že stúpa počet útokov na priemyselné kontrolné mechanizmy. Na bezpečnostnej konferencii S4x16 kritizoval zabezpečenie priemyselných sietí, ktoré sú podľa neho veľmi ľahko napadnuteľné.

Vzhľadom na súčasnú medzinárodnú situáciu a napätie je pravdepodobné, že počet útokov na priemyselné systémy bude len rásť. Ide totiž o relatívne nízkonákladovú činnosť, ktorá je pre teroristické skupiny veľmi zaujímavá.

 (JF)