Η ασφάλεια των industrial control systems αποτελεί μια από τις σημαντικότερες προκλήσεις στο πεδίο της ψηφιακής ασφάλειας, καθώς τα συστήματα βρίσκονται ολοένα και συχνότερα στο στόχαστρο στοχευμένων ψηφιακών επιθέσεων ευρείας κλίμακας, ενώ οι λύσεις IT Security που χρησιμοποιούνται στο επιχειρησιακό δίκτυο συχνά δεν έχουν εφαρμογή σε αυτά.

Τα industrial control systems αφορούν σε συστήματα βιομηχανικού αυτοματισμού για τη συλλογή δεδομένων, το visualization και τον έλεγχο διαδικασιών που εκτελούνται σε βιομηχανικές μονάδες και σε μονάδες κρίσιμων υποδομών, όπως είναι η ενέργεια. Η προστασία τους από ψηφιακές επιθέσεις είναι ζωτικής σημασίας, καθώς τα συστήματα αυτά διασφαλίζουν τη συνέχεια επιχειρησιακών διαδικασιών, όπως ελλιμενισμός πλοίων, παραγωγή τροφής και φαρμακευτικών σκευασμάτων, εξόρυξη ενεργειακών πόρων κ.α. Τυπικά, τα industrial control systems περιλαμβάνουν συστήματα SCADA (supervisory control and data acquisition), DCS (distributed control systems), programmable logic controllers (PLC) και έξυπνες ηλεκτρονικές συσκευές (IED). Τα συστήματα αυτά μέχρι πρότινος λειτουργούσαν αυτόνομα από το IT, ωστόσο η αναβάθμιση των αυτοματισμών μέσω τηλεματικής και απομακρυσμένης πρόσβασης μέσω internet, καθώς και η διάδοση του IioT (Industrial Internet of Things) και η συνακόλουθη σύνδεση των Operational Technologies (OT) με το IT βελτίωσαν την απόδοση των συστημάτων, ωστόσο τα κατέστησε πιο ευάλωτα σε ψηφιακές επιθέσεις.

Πολυμέτωπες επιθέσεις σε ένα “θολό” τοπίο
Οι ψηφιακές επιθέσεις σε industrial control systems αυξάνονται όσο προχωρά ο ψηφιακός μετασχηματισμός των συστημάτων παραγωγής. Σύμφωνα με το ICS-CERT Monitor (υπάγεται στο Υπουργείο Άμυνας των ΗΠΑ), κατά το διάστημα 2009-2014, ο αριθμός των επιθέσεων σε ICS-SCADA συστήματα αυξήθηκε κατά 27 φορές! Περισσότερα από τα μισά περιστατικά είχαν ως στόχο κρίσιμες υποδομές κρατών ενώ το 55% αφορούσε σε advance persistent threats. Τα ευρήματα επιβεβαιώνει και το Industrial Cybersecurity Threat Briefing 2016 της Booz Allen Hamilton: σύμφωνα με την έρευνα, το 34% των οργανισμών που χρησιμοποιούν industrial control systems ανέφερε περιστατικά ασφάλειας περισσότερες από δύο φορές μέσα στο έτος. Εντούτοις, οι οργανισμοί εξακολουθούν να έχουν ασαφή εικόνα για τις επιθέσεις στα βιομηχανικά συστήματα.

Σύμφωνα με έρευνα που δημοσίευσε το SANS Institute το 2016, το 32% των οργανισμών που ανέφεραν περιστατικά ασφάλειας στα industrial control systems δεν μπορούσε να πει με βεβαιότητα πόσες φορές έπεσε θύμα ψηφιακής επίθεσης, ενώ το 42% αυτών δεν μπορούσε να εντοπίσει την πηγή της επίθεσης. To 24% των συμμετεχόντων χαρακτηρίζει τις επιθέσεις στα industrial control systems ως κρίσιμη απειλή -ποσοστό που διαμορφωνόταν στο 15% στην αντίστοιχη έρευνα του SANS Institute το 2015. Το 61% των ερωτηθέντων δηλώνουν ότι οι εξωτερικές απειλές είναι ο σημαντικότερος παράγοντας κινδύνου για τα βιομηχανικά συστήματα ελέγχου, ενώ ακολουθούν σε σειρά σπουδαιότητας οι εσωτερικοί παράγοντες, όπως ανθρώπινο λάθος ή δολιοφθορά από το προσωπικό της επιχείρησης (42%) και οι οικογένειες malware (41%).

Η Ουκρανία είναι μόνο η αρχή
Στις 23 Δεκεμβρίου του προηγούμενου έτους, 225.000 νοικοκυριά στη Δυτική Ουκρανία έμειναν χωρίς ρεύμα, εξαιτίας της επίθεσης BlackEnergy στους υπολογιστές και τα συστήματα SCADA της εταιρείας Kyivoblenerg. Οι επιτιθέμενοι χρησιμοποίησαν μια σειρά από εργαλεία, από phishing email και malware μέχρι DDoS επίθεση στο τηλεφωνικό κέντρο της εταιρείας, ώστε οι πρώτες διακοπές ρεύματος να περάσουν απαρατήρητες και να μεγιστοποιηθεί η ζημιά. Οι αρχές της χώρας κατηγόρησαν το Κρεμλίνο για την επίθεση, λόγω των γεωπολιτικών διαφορών ανάμεσα σε Ρωσία και Ουκρανία, και κατέδειξαν ως ένοχο την ομάδα Ρώσων hacker Sandworm.

Η επίθεση του 2015 έμεινε στην ιστορία ως το πρώτο blackout που προέκυψε από ψηφιακή επίθεση. Ωστόσο δεν ήταν η μόνη • τον Δεκέμβριο που μας πέρασε, η Ουκρανία βίωσε πάλι γενικευμένο blackout, για το οποίο οι αρχές επιβεβαίωσαν εκ νέου ότι ήταν αποτέλεσμα ψηφιακής επίθεσης. Η επίθεση δεν ήταν αντίστοιχου βεληνεκούς με την επίθεση του 2015, ωστόσο φανέρωσε ένα ακόμα μεγαλύτερο πρόβλημα: σύμφωνα με τους ειδικούς που συμμετείχαν στις έρευνες, οι hackers χρησιμοποίησαν παρόμοια μεθοδολογία με το 2015, όμως δεν είχαν σκοπό να προκαλέσουν εκτεταμένη ζημιά στις υποδομές ενέργειας. Με άλλα λόγια, ήταν περισσότερο μια επίδειξη δύναμης από την πλευρά των hackers, γεγονός που κάνει τους ειδικούς να χαρακτηρίζουν την Ουκρανία ως χώρα “πειραματόζωο” για τη διενέργεια επιθέσεων στα industrial control systems κρίσιμων υποδομών -δεδομένου ότι αναφέρθηκαν κυβερνοεπιθέσεις στον οργανισμό σιδηροδρόμων και στο Υπουργείο Οικονομικών της χώρας. Η οργάνωση και η μεθοδολογία των επιτιθέμενων καταδεικνύει τη σημασία των βιομηχανικών συστημάτων κρίσιμων υποδομών.

Οι ψηφιακές επιθέσεις σε industrial control systems για σκοπούν κυβερνοπολέμου είναι μόνο μία, αλλά εξόχως σημαντική διάσταση της ασφάλειας των industrial control systems. Σύμφωνα με στοιχεία από τις ΗΠΑ, πολλές από τις επιθέσεις σε industrial control systems ήταν reconnaissance attacks, με στόχο τη συγκέντρωση σημαντικών πληροφοριών για vulnerabilities, οι οποίες στη συνέχεια πωλούνται στο “χρηματιστήριο” των ψηφιακών απειλών.

Σε αυτό το πλαίσιο, διαστάσεις φαινομένου παίρνει και η εμπορική διάθεση παραβιασμένων SCADA συστημάτων στα fora των hackers ενώ πολλές επιθέσεις έχουν χαρακτήρα βιομηχανικής κατασκοπίας, καθώς χρησιμοποιούν τα industrial control systems για συλλογή σημαντικών πληροφοριών από το εταιρικό δίκτυο όπως πχ. η απόρρητη σύνθεση φαρμακευτικών σκευασμάτων. Λόγω της κρισιμότητας των υποδομών που ελέγχουν τα βιομηχανικά συστήματα, συχνές είναι και οι εκδηλώσεις επιθέσεων ransomware.

Δύο διαφορετικοί κόσμοι, ένα κοινό πρόβλημα
Η κρισιμότητα των στόχων που προστατεύουν τα industrial control systems δεν αφήνει περιθώρια εφησυχασμού. Ωστόσο η ψηφιοποίηση των βιομηχανικών διαδικασιών θέτει νέα δεδομένα για τους οργανισμούς, οι οποίοι υποχρεούνται πλέον να επανεξετάσουν το σύνολο των διαδικασιών τους. Για να συμπληρωθεί το παζλ, αξίζει να αναφερθεί ότι η προστασία των κρίσιμων υποδομών, στις οποίες συχνά χρησιμοποιούνται industrial control systems αποτελεί το βασικό αντικείμενο της ευρωπαϊκής οδηγίας NIS Directive • ως εκ τούτου, υπάρχει πλέον και θέμα κανονιστικής συμμόρφωσης στο πεδίο των ασφάλειας των βιομηχανικών συστημάτων. Τα κενά ασφάλειας στα industrial control systems δημιουργούνται εν πολλοίς εξαιτίας του ότι, μέχρι πρότινος, τα industrial control systems λειτουργούσαν ως ένας ξεχωριστός κόσμος από το IT. Κι ενώ τα θέματα ψηφιακής ασφάλειας θεωρητικά αφορούν τον Security Officer, αυτό δεν ισχύει απαραίτητα στο πεδίο της ασφάλειας των industrial control systems. Και ενώ η προφανής λύση είναι η δημιουργία συνεργειών ανάμεσα στο operational technology και στο IT, η εφαρμογή της λύσης αυτής δεν είναι όσο απλή φαίνεται.

Για παράδειγμα, η διακοπή λειτουργίας συστημάτων για εφαρμογή patches είναι μια συνηθισμένη διαδικασία στο enterprise IT Security, όμως αποτελεί την εσχάτη των λύσεων για βιομηχανικές μονάδες και κρίσιμες υποδομές, όπου η διαθεσιμότητα των συστημάτων βρίσκεται στην κορυφή των προτεραιοτήτων.

Σε πολλές περιπτώσεις, τα industrial control systems τρέχουν πάνω σε legacy συστήματα τα οποία δημιουργήθηκαν πολύ πριν γιγαντωθεί το πρόβλημα των ψηφιακών επιθέσεων και η ψηφιοποίηση γίνει νόρμα. Πολλά από αυτά δεν έχουν διαδικασίες authorization: στο Enterprise IT Security Conference που πραγματοποιήθηκε τον Μάρτιο του 2016 από το netweek, ο καταλανός ειδικός Joan Figueras έδειξε στο κοινό πόσο εύκολο είναι να διεισδύσεις σε ένα σύστημα απομακρυσμένης πρόσβασης μιας ανεμογεννήτριας στη Βαρκελώνη, φτάνοντας μισό βήμα πριν σταματήσει τη λειτουργία της -και όλα αυτά από τη συνεδριακή αίθουσα στην Αθήνα!

Σε κάθε περίπτωση όμως, η κοινή δράση ανάμεσα σε OT και IT, με τη σύσταση ομάδων που θα αποτελούνται από information security specialists και άτομα της παραγωγής είναι η μοναδική λύση για την ενίσχυση της ασφάλειας των ICS, ώστε να καταγραφούν οι συνδέσεις ανάμεσα στα βιομηχανικά συστήματα και να εντοπιστούν τα τρωτά σημεία αυτών.

Εξίσου σημαντική είναι η ενημέρωση του επιχειρηματικού κόσμου για τους ψηφιακούς κινδύνους που απειλούν τα industrial control systems αλλά και το εξειδικευμένο security training στο προσωπικό των οργανισμών σε επίμαχους κλάδους.