Cyberbezpieczeństwo krytycznych instalacji. Polska nadal pozostaje niezabezpieczona

Obrazki wojny za naszą granicą na razie spadły z czerwonych pasków wiadomości, ale sytuacja staje się coraz bardziej poważna. Po raz pierwszy od dobrych kilkudziesięciu lat perspektywa konfliktów zbrojnych w naszym najbliższym sąsiedztwie jest zupełnie realna, a nawet znowu zaczynamy hipotetycznie rozważać scenariusze wojny z udziałem własnego kraju, coś co jeszcze na początku tego roku można było traktować jako niewinną zabawę futurologów i książek żerujących na taniej sensacji. Niebezpieczeństwa stają się jednak faktem, a wraz z nimi przykra prawda, że każda nowa wojna jest zupełnie inna niż ta poprzednia (i zawsze jeszcze gorsza). W nowym wieku rzeczywistość kreują komputery i ich wirtualne oprogramowanie, ale broń informatyczna jest rzeczą zupełnie realną i budzi coraz większy niepokój o nasze bezpieczeństwo. Patrząc na zmiany, należy naprawdę się obawiać nie tylko stalowych czołgów i niewidzialnych samolotów z rakietami, ale jeszcze bardziej wyrafinowanych informatycznych broni, które sprawią, że kolejny konflikt będzie wyglądał już zupełnie inaczej. Kwestie te są ostatnio bardzo często poruszane przez prasę, zasypując mnie mailami z pytaniami na które odpowiadam jak umiem ….

W jaki sposób hakerzy mogą zagrozić sektorowi energetycznemu?
Jakie są elektroniczne zagrożenia w związku z budową elektrowni jądrowej w Polsce?



Problem cyberbezpieczenstwa instalacji energetycznych jest ogólny i nie dotyczy tylko Polski. Powszechnie do roku 2009/2010 – zagrożenie było nieco lekceważone i sprowadzane do kwestii typowych audytów bezpieczeństwa systemów informatycznych – najprościej rzecz ujmując nie traktowano informatyki jako broni a rozważano jedynie hipotetyczne ataki złośliwych hackerów i to też z przymrużeniem oka – no bo czego mają oni szukać w elektrowni (mając w domyśle na pewno bardziej interesujące z finansowego punktu widzenia banki lub inne instytucje finansowe).


Dziś też hakerzy raczej wiele krzywdy zrobić nie mogą, jeśli jako hakerów rozumiemy niezależnych programistów lub ich grupy, dokonujących nieautoryzowanych wejść do systemów komputerowych, w tym także nielegalnych zmian. Natomiast istnieje olbrzymie zagrożenie ze strony specjalizowanych grup profesjonalnych zespołów walki cyberinformatycznej – ponieważ zagrożenie przeniosło się już na poziom wojskowości i ataków państwo-państwo. W przyszłej wojnie cyberatak będzie poprzedzał jakiekolwiek rzeczywiste działania zbrojne, a tak naprawdę będzie to decydujące uderzenie – wyłączające krytyczną infrastrukturę (np. energetyka i komunikacja), po którym sama bezpośrednia walka zbrojna będzie już tylko mało znaczącym dodatkiem.



Wszystko zmieniło się właśnie w 2010 kiedy pojawiło się oprogramowanie Stuxnet atakujące irańskie systemy sterowania instalacjami wzbogacania uranu, a następnie cała nowe rozwojowa generacja o malowniczych nazwach Doqu, Flame czy ostatnio Havex. Uświadomiło to problem ze zagrożeniem nie są hakerzy a o wiele groźniejsi komputerowi i inżynierscy profesjonaliści. Systemy energetyczne są bowiem nadzorowane przez skomplikowane systemy sterowania – w których role komputerów sterujących pełni wiele połączonych ze sobą sterowników a zabezpieczenia są zwielokrotnione. Znowu upraszczając, dostając się do tych systemów można hipotetycznie instalacje wyłączyć ale trudno jednak je uszkodzić (bo zaraz włączą się niezależne zabezpieczenia) – tak uważano powszechnie. Natomiast Stuxnet otworzył zupełnie inne horyzonty – ten wirus (choć pewnie bardziej właściwa nazwa to robak komputerowy) nie tylko infekował system sterowania ale i celowo wyłączał odpowiednie (i to wybrane) zabezpieczenia instalacji i tak zmieniał parametry procesu (w irańskim przypadku zwiększał prędkość wirówek), ze dochodziło do uszkodzenia urządzeń – był więc de facto pierwszą powszechnie używaną bronią cyberinformatyczna w sektorze przemysłowym. Jasne tez się stało ze produkcją tego typu oprogramowania nie mógł się zajmować nawet najbardziej uzdolniony hacker bo wymagało ono wielu testów z wykorzystaniem profesjonalnych systemów sterowania dla elektrowni (Stuxnet zaatakował sterowniki firmy Siemens które właśnie były używane w Iranie, ale po wymknięciu się spod kontroli tez i inne instalacje w wielu innych krajach) oraz olbrzymiej ilość godzin pracy programistów i nie tylko programistów, bo do kompletu potrzebni byli inżynierowie automatycy i znający sam sposób działania skomplikowanych wirówek – a więc nastała epoka przygotowywania oprogramowania jako broni.



Dziś zagrożenia informatyczne dla sektora energetycznego są poważne (nie tylko dla elektrowni jądrowych) – bo informatyka stała się także bronią wykorzystywana przez wojsko.



Jak wysoki jest poziom zagrożenia? Jak wysoki będzie w przyszłości?



Publicznie dostępne dane są fragmentaryczne i niepełne. Z jednej strony firmy zajmujące się bezpieczeństwem komputerowym pokazują dość alarmistyczne informacje (jak http://www.symantec.com/connect/blogs/dragonfly-western-energy-companies-under-sabotage-threat-energetic-bear), z drugiej, do tej pory nie mieliśmy potwierdzonego skutecznego ataku na sieć energetyczną. Aczkolwiek nie mieliśmy też prawdziwej wojny z wykorzystaniem cybernarzedzi (pewne drobne elementy można było zauważyć, kilka lat temu podczas napięcia pomiędzy Rosją i Estonią, gdzie dochodziło do wstępnych ataków informatycznych, aczkolwiek nie na obiekty przemysłowe.



Najbardziej niepokoi właśnie sposób nowych ataków i co podkreślam – nie są to zabawki hakerów, ale profesjonalne działanie na poziomie agend rządowych. Należy przyjąć więc, że cyberinformatyka jako broń będzie rozwijać się niesłychanie dynamicznie i na pewno już teraz na wyposażeniu poszczególnych państw są narzędzia, które o kilka poziomów przewyższają komercyjne zabezpieczenia. Pesymistyczne, że to zagrożenie będzie się tylko powiększać.



Jakie środki zaradcze? Jakie trendy światowe?



Wiodące kraje zareagowały natychmiast wprowadzając zaostrzone audyty i specjalne procedury dotyczące cyberbezpieczenstwa instalacji przemysłowych – np. USA tzw. standardy NERC CIP (m.in. podlegają pod nie obiekty jądrowe). Jest to cały zestaw norm i procedur od fizycznej ochrony systemów sterowania poprzez zaawansowane cyberbezpieczenstwo , ale tak naprawdę polega coraz bardziej na odcinaniu połączeń systemów sterowania ze światem zewnętrznym (słuszne założenie, jeśli nie można się w jakikolwiek sposób dostać do systemu – nie ma kabla i połączenia – wtedy nie ma możliwości ataku). Przykładowo, systemy sterowania elektrowni jądrowej (jako najbardziej krytyczne instalacje energetyczne) podlegają szczególnym uwarunkowaniom , a same systemy sterowania które dotyczą samego reaktora i niebezpiecznych procesów sa nie tylko dublowane (a czasami potrajane i to przez wybór systemów różnych producentów) ale przede wszystkim odcinane od połączeń zewnętrznych (brak możliwości ataku). Jako zupełnie ostatnia linię zabezpieczeń w niektórych przypadkach można nawet zastosować system sterowania bez oprogramowania – niektóre rozwiązania amerykańskie maja ostatni system bezpieczeństwa zaprogramowany jako wypalenie kości pamięci (nie ma tam fizycznie oprogramowania które można modyfikować) to wszystko aby jeszcze bardziej się ochronić. Do tego dodatkowe zabezpieczenia przed wprowadzeniem złośliwego oprogramowania z urządzeń przenośnych lub przez podłączenie się do systemów komputerowych jakimś własnym komputerem (w Iranie niektóre instalacje były odcięte od sieci a zarażone zostały Stuxnetem z pendrive , ale jak podkreślam , atak to nie tylko sam złośliwy robak ale też i znajomość procedur sterujących – musiano więc tez skraść je wcześniej dla wygenerowania tej wersji cyberintruza).



Praktycznie więc dziś – odcinanie infrastruktury systemów krytycznych (elektrownie, linie przesyłowe) od sieci zewnętrznych. Obecnie, pomimo uwagi producentów, specjalnych zabezpieczeń i okresowych audytów są one prawdopodobnie bardzo podatne na atak (znowu zaznaczam – profesjonalnych cyberbroni a nie najbardziej nawet inteligentnych i twórczych hakerów). Trudno bowiem liczyć na to, że używając komercyjnie dostępnych systemów i sprzętu (firewalle, oprogramowanie zabezpieczające) można do końca się obronić przez czymś co powstaje w wojskowych laboratoriach i jest na znacznie wyższym poziomie. Wcześniej czy później rozwiązanie jest tylko jedno – izolowanie systemów sterowania i specjalne procedury pozwalające na korzystanie z nich przez certyfikowaną obsługę i prowadzenie jakichkolwiek prac przez autoryzowany personel ze specjalistycznym sprzętem. Ciągłe monitorowanie zagrożeń i inwestycje w bezpieczeństwo. Zawsze podaje też przykład „systemu ostatniej szansy” , gdzie pewne krytyczne algorytmy bezpieczeństwa wypalone były fizycznie na kościach pamięci, a więc bez możliwości jakiejkolwiek ich zmiany. Niestety dożyliśmy takich czasów, że musimy izolować systemy sterowania, co jest smutne bo też odbija się to na postępie technicznym i ogólnie koszcie utrzymania procesów.



Jaka sytuacja w Polsce? Czy Polska jest na nie przygotowana, czy rząd przygotowuje się/jest przygotowany na cyberatak na elektrownię? Nad czym należałoby popracować, by zwiększyć bezpieczeństwo elektrowni?




Świadomość zagrożeń powoli rośnie – szczególnie w nowej sytuacji politycznej. Niestety na dziś rozdźwięk pomiędzy normami i procedurami, a tym co należy zrobić. Dokumenty i opracowania – nie są (w sensie bezpośrednich działań) na poziomie jak wzmiankowana NERC CIP (standardy amerykańskie). Dokonuje się wszechstronnych audytów bezpieczeństwa, ale jak wspominałem – są to działania przeciw zagrożeniom „na dziś” i zgodnie z dziś obowiązującymi działaniami w sektorze IT (odnosząc się do pierwszego pytania – przeciw „hakerom”, a nie „cyberbroniom”). Nie do końca istnieje pełna wiedza jak wyglądają systemy sterowania (dla informatyków) i gdzie są kluczowe zagrożenia (tu nie chciałbym tworzyć „instrukcji” – jak można włamać się do systemów sterowania, ale z doświadczenia widzę takie zagrożenia na wysokim poziomie). Na dzień dzisiejszy niewątpliwie jesteśmy bezbronni. Przy nowoczesnym ataku na pełna skalę (zakładając że był on przygotowany z wielkim nakładem środków i od dłuższego czasu i przez wiodące laboratoria) – pewnie połowa systemów krytycznych padłaby od razu a następna ćwiartka w przeciągu kliku godzin. Zupełnie wystarczające aby podstawowa infrastruktura kraju była całkowicie sparaliżowana. Należy mieć nadzieję że prowadzone teraz na szybko działania i jakieś (być może zaplanowane) inwestycje pomogą na tyle żebyśmy mogli przynajmniej obronić z powodzeniem połowę.



Problem jest tez globalny z punktu widzenia inwestycji w nasza obronność – obecny punkt ciężkości skierowany jest na tzw. obronność twardą – czołgi, samoloty i nowy program obrony przeciwlotniczej (bagatela ok 26 mld PLN – dane oficjalne). Niepokój budzi jednak ze przygotowujemy się głownie na wojny jakie już były – to wszystko sprawdziło się w Korei, Wietnamie (częściowo) a przede wszystkim ostatnich wojnach na Bliskim Wschodzie. Tymczasem nowe wojna w Europie (miejmy nadzieje że nigdy nie nastąpi) będzie zupełnie inna. Pierwszy atak cyberinformatyczny będzie paraliżował wrażliwą infrastrukturę i zakłócał komunikację. Po tym …. właściwie wszystko będzie już pozamiatane. Nasze czołgi , samoloty , żołnierze i ciężki sprzęt mogą w ogóle nie stawić się na właściwym polu bitwy. W pewien sposób niestety przypomina to przykre doświadczenia z roku 1939 – Polska była świadoma zagrożeń i zmieniających się form wojowania, ale nakłady na najbardziej nowoczesny sprzęt (lotnictwo) nie były wystarczające i nie mogły zmienić obrazu działań (w żaden sposób nie było nas na to stać i nie mogliśmy dogonić przeciwnika). Pomimo wielkiej odwagi i wielkich umiejętności (potem użytych przez pilotów m.in. w Bitwie o Anglię) , polska obrona przeciwlotnicza, rozsypała się po 3 dniach , a to zdecydowało tez i o przebiegu kampanii lądowych.


Jakie rekomendacje?


Patrzeć na najlepsze wzorce (np. USA i ich procedury ). Odcinać infrastrukturę krytyczną od dostępu z zewnątrz. Budować świadomość problemu u zarządzających systemami. W audytach połączyć specjalizowaną wiedzę informatyczną z wiedzą technologiczną i dotyczącą systemów sterowania. Inwestować w obronne wojskowe systemy zabezpieczające – podkreślam obronne, a nie ofensywne (na takie nas nie stać i trudno dogonić konkurencję). Bardzo interesującą koncepcję widziałem niedawno – propozycja coś w rodzaju pospolitego ruszenia cybernetycznego (proponowane przez jedno ze stowarzyszeń na wzór czegoś co funkcjonuje w Estonii). Podobny problem ma i Polska, w żaden sposób nie jesteśmy w stanie mieć porównywalnych nakładów na cyberbezpieczenstwo jak największe kraje (choć może powinniśmy tez pomyśleć o przesunięciu wydatków z „hardware” na software). Możemy jednak korzystać z naszej wiedzy i umiejętności i naszych zasobach - wszystkich polskich programistach i specjalistach pracujących na co dzień w sektorze cywilnym, a mogących wspólnie działać z powodzeniem w stanie zagrożenia. Wymaga to jednak pomyślenia, nieszablonowych koncepcji i woli organizacji (no i niepokłócenia się wzajemnie), a z tym zawsze u nas deficyt. Przede wszystkim widzieć zagrożenia i wspólnie działać …. bo inaczej koszt zaniedbania będzie ogromny.