OT biztonság: több, mint üzlet

Mint az élet számos területén, úgy az OT biztonság esetén is komoly szerephez jut az anyagi vonzat. A magánkézben lévő vállalatok esetében a biztonsági fejlesztések tervezésekor sokszor elsődleges szempont a kockázatkezelés ára, ami részben érhető, hiszen a nem adminisztratív jellegű kibervédelem eszköztára komoly kiadást jelenthet még a tehetősebb cégek számára is. Amikor egy ügyfél sajnál jelentősebb összeget fordítani fejlesztésekre, tanácsadókként a bekövetkező támadással – és reputációs veszteséggel – járó anyagi kár túlsúlya szolgál érveink alapjául. Természetesen az anyagi szempontok mérlegelése és a károsodás kockázatának felvállalása a vállalat vezetőinek szíve joga, ám fordul a kocka, ha az esetleges kár nem csupán a saját szervezetüket és üzleti kapcsolatrendszerüket érinti, hanem kihatással van a társadalom egy részére, vagy éppen létfontosságú szolgáltatások működésére is.
Ennek a cikknek nem célja védelmi tanácsokat adni, inkább arra világítunk rá, hogy az OT biztonság erősítése – amely mindenhol sürgető feladat -, bizonyos ágazatokban a döntéshozók komoly társadalmi felelőssége is.

OT és IT rendszerek, mint létfontosság rendszerelemek

Korábban említettük, hogy az ipari kiberbiztonság szorosan kötődik az állam működéséhez és a lakosság ellátásához. Ez magába foglalja többek között a személy- és áruszállítást, az energetikát, a vízellátást, illetve – ahogy a koronavírus járvány is megmutatta – a gyógyszer- és élelmiszergyártók is ide sorolhatók. Ezekben közös, hogy mind létfontosságú ágazatok, aminek köszönhetően az alkotóelemeik közt bőven akadnak, amelyek a hatályos magyar törvény szerint létfontosságú rendszerelemnek minősülnek. A lista kiemelt elemei az OT és IT rendszerek, amelyek az informatikai hálózatoktól való függőség korszakában az alapvető szolgáltatások legfontosabb összetevőivé nőtték ki magukat, így az előbb említett jogi fogalom ezekre fokozottan vonatkozik.
Ennek ellenére az ipari hálózatok megfelelő védelmének kialakítása és fenntartása nem könnyű feladat a speciális működési követelmények és az ősrégi rendszerek miatt, miközben azonos súllyal kellene kezelni, mint a – legtöbbször jóval komolyabban vett, akár fegyveres – fizikai védelmet.

Valós fenyegetettség, élő példákkal

Arra, hogy a védelem mennyire fontos, már évekkel ezelőtt rávilágított a 2015-ben, Ukrajnában történt kibertámadás, amely kifejezetten az elektromos hálózat ellen irányult, azzal a – feltehetően részben politikai – céllal, hogy kiesést okozzon az áramellátásban. A BlackEnergy néven ismert malware egyik variánsa segítségével kivitelezett incidens három ukrán villamosenergetikai céget érintett közvetlenül, melyeken keresztül 230 000 ember maradt áram nélkül, s velük együtt persze rengeteg cég is így járt. Habár ez a konkrét eset mindössze hat órányi kimaradást eredményezett, azonnal ráirányította a nemzetközi szakma figyelmét arra, hogy ez az alapvető fontosságú szolgáltatás milyen nagy mértékben támadható. Egy évvel később a Crashoverride-ként  (vagy Industroyer-ként ) elhíresült malware okozott három órás áramszünetet Kijev térségében, ez esetben 225 000 felhasználó környezetét elsötétítve. Habár az Ukrajnai támadások relatíve rövid ideig fejtették ki hatásukat, mégis rámutattak, hogy a kritikus információs infrastruktúrák bizony sérülékenyek és támadhatók, s egy ilyen támadás az elkövető kapacitásától, illetve a kivitelezés kifinomultságától függően hat óra helyett akár napokra, vagy annál is hosszabb időre megfoszthat bennünket alapvető szolgáltatásoktól. Ilyen, és súlyosabb esetekre pedig a kiberhadviselésre berendezkedő hatalmak korában sajnos egyre nagyobb az esély.

Államok és árnyak

Dacára annak, hogy alapvetően a nemzetállamoktól érkező, vagy hozzájuk köthető támadások a legfélelmetesebbek (ilyen a fent említett két eset is), komoly fenyegetést jelentenek a bűnözői csoportok is, amelyeknél a fő motiváció, az anyagi haszonszerzés nem feltétlenül keveredik nagy gazdasági és politikai célokkal. Példáért sem kell túlságosan visszamennünk az időben: 2021. május 7-én történt az Egyesült Államokban, hogy a DarkSide névre hallgató kelet-európai bűnözői csoport ransomware támadást hajtott végre a Colonial Pipeline vezetékrendszer üzemeltetője ellen. Az ország délkeleti partvidékének nagy részét – egészen pontosan 12 államot – üzemanyaggal ellátó Colonial Pipeline Co vállalat IT-oldali számlázási rendszerét érte a támadás, viszont az üzleti folyamatok egymásra hatásából kifolyólag, valamint izolációs okokból az OT rendszereket is le kellett állítani.

Ez az incidens hat napos leállást eredményezett, melynek következtében a térségben az üzemanyagárak elérték a 2014 óta tapasztalt legmagasabb szintet, az emberek pánikszerű üzemanyag-felvásárlásba kezdtek, ráadásul a Colonial-tól való függőség miatt zavar keletkezett két nemzetközi repülőtér működésében is, amelyeken így át kellett szervezni a járatokat. Ez a támadás jó példája annak az aggasztó tendenciának, hogy a bűnözői csoportok folyamatosan fejlődnek és hamarosan olyan képességek birtokába juthatnak, amelyeket eddig csak nemzetállamoknál láthattunk. Azonban privát csoportok esetében, a politikai motívum híján, szinte lehetetlen behatárolni a célterületet, egyszóval bármelyik jelentős vállalat, bárhol, bármikor szembenézhet a Colonial-féle esethez hasonló incidenssel.
A bemutatott példákkal szeretnénk megkongatni a vészharangot, hiszen nem tudható, mit hoz a holnap és mekkora horderejű támadásokkal szemben kell váratlanul helyt állni. Itt az idő a közérdeket az üzleti érdekkel szorosan összefűzni, ennek kapcsán pedig megvizsgálni, hogy a minket ért támadások milyen hatással vannak a lakosságra. Ennek megfelelően pedig végre olyan súllyal foglalkozni információs rendszereink megerősítésével, amilyen megilleti azt a társadalmi egymásrautaltság hálójában.

A témában exkluzív anyagokat találsz az InfoSec Akadémia oldalán.