Stuxnet nie zniknął. Infrastruktura krytyczna nadal narażona na cyberatak

- Cyberzagrożenia to już nie jest jest tylko zadanie działów IT. Każda niemal część firmy powinna być zaangażowana w cybersecurity. Eksperci od zarządzania ryzykiem, prawnicy, specjaliści od ubezpieczeń, kadra zarządzająca, finanse – jest wiele aspektów, które trzeba rozważyć – mówił podczas wczorajszej konferencji "Cyberbezpieczeństwo przemysłu i infrastruktury krytycznej" Andriej Suworow zajmujący się ochroną infrastruktury krytycznej w Kaspersky Lab.

Suworow tłumaczył, że dzisiaj przeciwnikiem nie jest zespół hakerów, który zajmuje się po prostu pisaniem kodu. To dobrze zorganizowane grupy, które prowadzą wnikliwe śledztwa dotyczące systemów atakowanej firmy, luk w zabezpieczeniach, zachowań pracowników. Dlatego dzisiaj działania powinny być nakierowane na detekcję wszelkich anomalii i dziwnych zachowań w systemie – a nie tylko na zwykłe odpieranie potencjalnych ataków.

Jaka jest różnica pomiędzy ochroną sieci przemysłowej od sieci innych firm? - W normalnym wypadku priorytetem jest zachowanie poufności danych. Chodzi o to, by wiadomości z firmy nie wyszły na zewnątrz. W przypadku infrastruktury krytycznej i przemysłowej najważniejsze jest zachowanie ciągłości procesów. Mamy klientów, których nawet jedna sekunda przerwy w dostawie energii może kosztować mnóstwo pieniędzy – tłumaczy Suworow.

Klasycznym przykładem zagrożenia dla infrastruktury krytycznej jest wirus Stuxnet, którego koalicja USA u Izraela użyła do ataku na instalacje wzbogacania uranu Islamskiej Republiki Iranu. W tym wypadku wykorzystano zarażonego pen-drive'a, który został wniesiony do instalacji przez nieświadomych pracowników. Stuxnet otworzył dla agresorów dostęp do technologii procesów, którą mogli zmienić i użyć do własnych celów. Kto uważa, że było to jednorazowe zagrożenie, ten jest w błędzie. Poza Iranem Stuxnet wykryto w 15 krajach. Wirus ten wciąż jest powielany i wykorzystywany do kolejnych ataków. - Dwa miesiące temu znaleźliśmy jego ślady w rosyjskiej firmie przemysłowej – opowiada Suworow.

Do tego dochodzi także zagrożenie wirusami typu ransowmare. Przestępcy nie mają bowiem skrupułów i zdarzały się już ataki zatrzymujące środowisko przemysłowe. Ich ponowne uruchomienie zależne jest od okupu wpłaconego na konta przestępców.

Większość systemów infrastruktury krytycznej była projektowana bez znajomości cyberzagrożeń. Hakerom coraz częściej udaje się przejąć kontrolę nad linią technologiczną. Od spenetrowania systemu do wywołania incydentu mija ok. 14 godzin. Dobra wiadomość jest taka, że każda taka operacja hakerów podzielona jest na kilka stopni. Wykrycie jej w odpowiednim momencie pozwoli na przeszkodzenie w rozwoju zagrożenia.

Zarządcy infrastruktury krytycznej często żyją w przekonaniu, że ich systemy są bezpieczne, bo nie są podłączone do sieci. - w 95 proc. przypadków jesteśmy w stanie udowodnić naszym klientom, że jednak są podłączeni, a tym samym - zagrożeni – tłumaczy Suworow.

 Czytaj też: Specjaliści odkryli wirusa atakującego systemy przemysłowe