A zsarolóvírus-támadások (ransomware) száma több mint 500%-kal nőtt az elmúlt években, és a vállalatoknak teljes körű megközelítést kell alkalmazniuk a kiberbiztonság terén, ha egy lépéssel a hackerek előtt akarnak járni – Benjamin Dickinson, az ABB Energy Industries munkatársának írása.
Az energetikai és közüzemi területen dolgozó kiberbiztonsági szakértők tegyék fel maguknak a következő kérdést: tisztában vannak-e cégük ransomware támadások által jelentett fenyegetés természetével és mértékével?
Feltárták-e a lehetséges sebezhetőségeket, mint például a belső működési technológiai (OT) és az információtechnológiai (IT) rendszerek közötti fokozott összekapcsolódás, valamint a távoli elérés? Léteznek-e szilárd alapvető biztonsági ellenőrzések a lehetséges támadások mérséklésére?
A ransomware támadások, amelyek során a rosszindulatú szereplők rendszereket, információkat titkosítanak vagy például a Colonial Pipeline legutóbbi támadása esetben, ahol a termelést állítják le azzal a céllal, hogy zsarolással pénzt szerezzenek, az elmúlt években több mint 500%-kal nőttek, és az energiaszektor nagyvállalatait aránytalanul célozták meg.
Ahogy a Nemzetközi Energia Ügynökség legutóbbi jelentésében, a Net Zero by 2050: A Roadmap for the Global Energy Sector (Net Zero 2050-re: A globális energiaágazat ütemtervében) rámutat: „A kiberbiztonság még nagyobb kockázatot jelenthet az áramellátás biztonságára nézve, mivel az erőművek, villamosenergia-hálózati eszközök és tárolók rendszere egyre több digitális felügyeletet és ellenőrzést tartalmaznak.”
A kötelezők letudásán túl
A kritikus infrastruktúrát szabályozó hazai és nemzetközi szabványok - mint például az IEC 62443, a NIST kiberbiztonsági keretrendszer az Egyesült Államokban - értékes keretet biztosítanak az alapvető kiberbiztonsági ellenőrzések végrehajtásához, mint például a javítások, a rosszindulatú programok elleni védelem, a rendszer biztonsági mentései és a naprakész víruskereső szoftverek.
A ransomware egyre fokozódó fenyegetésével szemben az energia- és közüzemi szolgáltatókat arra kényszerülnek, hogy teljes körű megközelítést alkalmazzanak, és valóban megértsék, mi van az egyes kiberbiztonsági listaelemek mögött, valamint hogyan kell kiberbiztonsági stratégiájukat konfigurálni, telepíteni és karbantartani.
A szabályozási szabványoknak figyelembe kell venniük több érdekelt fél igényeit, és gyakran bizottságok dolgozzák ki őket, így általánosságban elmondható, hogy ezek a szabványok gyakran nem mennek bele a robusztus rendszerek előírásához szükséges részletekbe, ezért nem szabad az egyenlet megoldásnak tekinteni őket. Inkább egy jobb, személyre szabott kiberbiztonsági csomag felé vezető út kezdetének kell őket tekinteni.
A szabványok azonban szilárd alapot jelentenek a tervezés és a megvalósítás kezdetén. Például ahelyett, hogy kötelező szabványnak/követelménynek tekintenék, a NIST kiberbiztonsági keretrendszer sok szempontból kiváló útmutató dokumentum. Ha egy ajánlásokon alapuló kiadványként tekintünk rá, sokkal részletesebben is ki lehetne dolgozni, mint például az IEC 62443 szabványát.
Nem elég, ha egyszerűen csak letudja a kötelezőket, és azt mondja, hogy például tűzfala van. Ehelyett programozni, konfigurálni és karbantartani kell a védelmeket annak érdekében, hogy egy nagyobb biztonsági rendszer részeként működjenek.
A kiberbiztonság az utazás, nem pedig a cél
Minden kiberbiztonsági megközelítés más és más, ezért a hatékony stratégiát minden egyes felhasználó egyéni kockázati profilja szerint kell kialakítani. Azonban, a kockázati szinttől függetlenül egy részletes kockázatértékelés egy jó első lépés a megfelelő kezdeti beruházás irányába.
A kiértékelés lehetővé teszi a rendszerbeállítások megértését, a sebezhetőségek azonosítását, a kockázatok kitettségének felmérését, valamint annak megállapítását, hogy mit kell tennie a szabályozások vagy jogszabályok betartása érdekében.
Szakmai támogatással a vállalkozásoknak azt tanácsoljuk, hogy egy „pesszimista”, 100%-os kockázati forgatókönyvből induljanak ki, és a lehetséges kimeneteleket használják fel a kritikus objektumok, berendezések és/vagy támadási vektorok meghatározására.
A kiberbiztonsági alapelemek – a „biztonsági övek és légzsákok” – azonosítása után további biztonsági követelményeket és tervezéseket lehet figyelembe venni, mint például a leltárak létrehozása, alkalmazások engedélyezési listáinak létrehozása, rendszerszigorítás, valamint biztonsági programstratégiák és -előírások meghatározása.
Fontos megjegyezni, hogy a kiberbiztonságot két nagyon eltérő, de egyformán fontos tőketípus hajtja: a CAPEX és az emberek. Az emberek, általában önhibájukon kívül, gyakran a gyenge láncszemek a gépezetben. Ezért az IT/OT-rendszerekhez hozzáféréssel rendelkezők képzése nagyszerű módja a kockázatcsökkentésnek.
Amint azt a közelmúltbeli nagy horderejű ransomware támadások mutatták, nincs helye a megelégültségnek a kiberbiztonság terén. A belső rendszerek karbantartása – a szoftver- és hardverszállítók által előírt javítások, frissítések és cserék – kritikus fontosságúak a magas szintű biztonság fenntartásához.
A “ransomware mint szolgáltatás” térnyerése
Ahogy a kiberbiztonsági fenyegetések köre fejlődik, úgy jelennek meg új fenyegetések. Ezek közül az egyik legfrissebb és aggasztó a „ransomware mint szolgáltatás”, amellyel a bűnözők zsarolószoftvert bérelnek. A „tolvajok becsületének” különös felfogásában a potenciális felhasználóknak be kell bizonyítaniuk, hogy hackerek, és csak olyan szervezeteket szándékoznak megcélozni, amelyek képesek kifizetni a váltságdíjat, hogy elkerüljék az esetleges kiesést a piacról.
Még ennél is furcsább, hogy sokan biztosítják a szükséges támogatást a rosszindulatú programok áldozatainak, akik úgy döntenek, hogy fizetik a váltságdíjat. Segítik őket a kezdeti támadásból való kilábalásban azáltal, hogy rendszerüket újjáélesztik.
A kibertámadás formájától függetlenül egy dolog világos: az egy helyben állás nem megoldás. Egy közelmúltbeli jelentésből kiderül, hogy egy kétéves időszak alatt az ABB ügyfeleinek 50%-a szenvedett kibertámadást, amely az üzemi működés leállását eredményezte. A leállásokból származó bevételkiesés mellett a ransomware támadások a szellemi tulajdont, a technológiai licenceket és a magas kockázatú anyaggyártást is célba vették.
Miért okos lépés a kiberbiztonság?
Amint azt a cikk elején említettük, a hackerek jelenleg kihasználják az OT és az IT-rendszerek közötti megnövekedett összekapcsoltságot, valamint az intelligens eszközök – és az azokat összekötő – által használt hálózatok kétirányú adatforgalmát, hogy ellenőrzési és működési adatokat nyerhessenek ki.
Az intelligens technológia által kínált agilitásához, rugalmassághoz és hatékonysághoz képest a biztonság könnyen elhanyagolható vagy utólagos gondolattá válik. Létfontosságú azonban, hogy a robusztus kiberbiztonsági rendszereket már a tervezési fázisban beépítsék – különösen az új, összekapcsolt megújulóenergia-infrastruktúra keretében – mivel sokkal nehezebbé válik ezek visszamenőleges telepítése és konfigurálása.
Hasonlóan egy antivírus vagy kártevők elleni szoftverrel és tűzfalakkal ellátott irodai PC-hez, kell lennie egy alapnak, hogy hangsúlyozza a kezdeti kockázatértékelés fontosságát, amikor a megfelelő biztonsági szint meghatározható. Ezt az alapvető biztonságot a későbbiekben fenn kell tartani és frissíteni kell, valamint kiegészíteni olyan fizikai biztonsági intézkedésekkel, mint a menedzselt switchek, elkülönített hálózatok, biztonságos LAN-ok és tűzfalak.
A legtöbb kiberbiztonsági szakértő egyetért abban, hogy nem az a kérdés, hogy szervezetét veszélyezteti-e a kibertámadás, hanem, hogy a támadás mikor következik be. Ahogy a tét egyre nagyobb, minden vállalkozásnak gondoskodnia kell arról, hogy ők és beszállítóik túllendüljenek a “kötelezők letudásán”, amikor kritikus eszközeik védelméről van szó.
Összefoglalva, a globális és a hazai szabványok és jogszabályok fontos részét képezik ennek az útnak, de a nagyvállalatoknak - különösen az energiavállalatoknak és a közszolgáltatóknak - mélyebben meg kell érteniük, hogy miért vannak érvényben ezek a kiberbiztonsági szabványok, ha egy lépéssel a hackerek előtt akarnak járni.