• Jesteś tutaj:  
  • Start
  • Technologie
  • Infrastruktura krytyczna na celowniku cyberprzestępców. Jak się chronić?
Breaking news
Zapraszamy do współpracy w 2024 r.! Po więcej informacji skontaktuj się z nami mailowo: [email protected]

Infrastruktura krytyczna na celowniku cyberprzestępców. Jak się chronić?

Infrastruktura krytyczna to realne i typowe cybernetyczne systemy, a w nich obiekty, urządzenia czy też instalacje, które są niezbędne do zabezpieczenia minimalnego funkcjonowania gospodarki naszego państwa. W wyniku działania czy to sił natury, czy też człowieka, infrastruktura ta może ulec zniszczeniu lub uszkodzeniu, a jej działanie będzie zakłócone.

 

smart-grids.plDariusz Łydziński, 4 IT SECURITY

 

Sytuacje kryzysowe, które mogą stanowić zagrożenie dla egzystencji infrastruktury krytycznej obejmują szerokie spektrum zdarzeń. Ich wspólną cechą jest utrudnienie lub uniemożliwienie zdobycia i wykorzystania tych zasobów, które są niezbędne do realizacji najistotniejszych procesów gospodarczych. Do szczególnie dotkliwych zagrożeń należą działania sabotażowe oraz ataki terrorystyczne, wymierzone bezpośrednio w infrastrukturę lub w jej otoczenie. Awaria urządzeń, które powinny zapewniać przetwarzanie informacji może sparaliżować funkcjonowanie państwa, jeżeli nie przewidzieliśmy wcześniej środków zaradczych. Współczesną cywilizację cechuje również zasadnicze uzależnienie od dostaw energii, a rolę szczególną odgrywa sektor zaopatrzenia w energię elektryczną. Nie tylko funkcjonowanie przemysłu, transportu, telekomunikacji i systemów komputerowych zależy od ciągłości zaopatrzenia w energię, ale nawet sfera życia prywatnego ulega zapaści przy przerwie w zasilaniu.

Wojny cybernetyczne stały się faktem

Cyberprzestępcy coraz częściej obierają infrastrukturę krytyczną za cel swoich ataków, bowiem to właśnie technologia IT jest jej kluczowym elementem – zarządza np. sieciami energetycznymi czy telekomunikacyjnymi. Prawidłowe zabezpieczenie infrastruktury krytycznej jest zatem jednym z najważniejszych zadań firm i państw.

W grudniu 2015 roku cyberprzestępcy zaatakowali elektrownię na Ukrainie, pozbawiając prądu 103 miasta i miasteczka. W 2014 roku z powodu cyberataku ucierpiała huta stali w Niemczech – hakerzy doprowadzili do awaryjnego wygaszenia pieca i ogromnych zniszczeń w infrastrukturze sieci. Również w tym samym roku media, powołując się na nieoficjalne informacje, w związku z napięciem na Krymie podawały, że Agencja Bezpieczeństwa Wewnętrznego zalecała wszystkim instytucjom państwowym przygotowanie się na ataki rosyjskich hakerów. Hakerzy powiązani z władzami na Kremlu wielokrotnie w przeszłości dokonywali już aktów cyberszpiegostwa, przeprowadzając zorganizowane ataki m.in. na Estonię i Gruzję. Estońska infrastruktura informatyczna stała się obiektem ataków w pierwszych dniach maja 2007 roku. Hakerzy wówczas, koordynujący swoje działania w języku rosyjskim, zaatakowali strony estońskiego parlamentu, ministerstw obrony i sprawiedliwości, partii politycznych, policji, a także szkół publicznych. Również w sierpniu 2008 roku dopełnieniem konfliktu zbrojnego między Gruzją i Rosją były zmasowane ataki na gruzińskie strony internetowe. Po rozpoczęciu działań wojennych, podmieniona została strona prezydenta Gruzji oraz wiele innych oficjalnych gruzińskich stron rządowych, policji, agencji prasowych, stacji telewizyjnych.

Zagrożenie cyberprzestępczością staje się coraz poważniejsze, a walka z hakerami coraz bardziej skomplikowana. Najpoważniejszymi i mającymi największe skutki są próby dokonania sabotażu, poprzez cyberatak na infrastrukturę krytyczną. Najczęściej są one dokonywane przez wyspecjalizowane jednostki hakerów, wyszkolone i wyekwipowane przez państwa. Przykładem takiego cyberataku na infrastrukturę krytyczną było użycie wirusa, który zainfekował w 2013 roku ponad 30 tys. komputerów w sieci jednego z największych przedsiębiorstw energetycznych. W następstwie tego zdarzenia maszyny te zostały odcięte od internetu. Szkodliwe oprogramowanie doprowadziło do utraty danych, co na pewien czas sparaliżowało działanie przedsiębiorstwa. Innym wcześniej głośnym zdarzeniem było użycie wirusa o nazwie Stuxnet, który zainfekował system teleinformatyczny elektrowni atomowej w Iranie. Wirus ten przejął całkowitą kontrolę nad komputerami sterującymi elektrownią, powodując kompletny jej paraliż. Atak z użyciem Stuxneta był jedną z najbardziej kompleksowych i skomplikowanych prób przejęcia kontroli nad infrastrukturą krytyczną w historii cyberzagrożeń. Stuxnet pokazał potencjalne zagrożenie, jakie niesie ze sobą złośliwe oprogramowanie (malware) atakujące kluczowy system komputerowy zarządzający dostawami energii.

Innym skutecznym wirusem wykorzystywanym do cyberszpiegostwa i infekowania komputerów w celu kradzieży danych oraz poufnych informacji okazał się robak o nazwie Flame. Robak ten potrafił kraść cenne informacje, w tym zawartość wyświetlaną na ekranie komputera, przechowywane pliki, dane kontaktowe, a nawet rozmowy audio. Przy pomocy Bluetooth był w stanie wyszukiwać i skanować telefony znajdujące się w pobliżu. Wirus działał od roku 2010, a kiedy pojawiły się pierwsze doniesienia o jego wykryciu, w szybkim czasie znikł z komputerów ofiar.

Wirusem śledzącym transakcje finansowe, e-maile i aktywności w mediach społecznościowych okazał się Gauss. Wirus ten wykradał dane dostępowe do banków, dane przeglądarki (w tym hasła). Był częścią programów służb specjalizujących się w prowadzeniu działań w cyberprzestrzeni.

Wszystkie powyższe zdarzenia tylko potwierdzają realność nowych zagrożeń.

W miarę rozwoju nowych technologii, Polska jak każde inne państwo na świecie, jest również zagrożone cyberatakami. Każda polska firma oraz organizacja musi zakładać, że może zostać potencjalnym obiektem ataku w sieci. Istnieje coraz więcej rozwiązań pozwalających służbom jednego państwa włamywać się do komputerów w innym, celem zdobycia informacji wywiadowczych lub unieruchomienia kluczowych systemów informatycznych.

Cyberprzestępczość, cyberterroryzm, cyberwojna – to już nie zagrożenia, o których można przeczytać w literaturze science fiction, lecz realne działania. Pojęcie cyberprzestrzeni wiąże się z zagrożeniami.

Podatność infrastruktury na ataki w cyberprzestrzeni

Internet, który kojarzy nam się z ułatwieniami jest także środowiskiem aktywnej działalności grup przestępczych. Staje się coraz bardziej podobny do realnego świata, w związku z tym pewne zjawiska istniejące w realnym świecie, w tym przestępczość i terroryzm, bardzo szybko znalazły swoje miejsce w nowej rzeczywistości – w przestrzeni wirtualnej. Cyberprzestępczość charakteryzuje się profesjonalizmem i innowacyjnością, a jej sieć ma ogólnoświatowy zasięg. Wojna w cyberprzestrzeni to nie tylko i wyłącznie wojna między komputerami, lecz przede wszystkim to działania, które mogą spowodować realne zniszczenia w rzeczywistym świecie i przynieść śmierć wielu osobom. Oddziaływania przez cyberataki mogą być skierowane przeciwko obiektom gospodarczym i użyteczności publicznej za pomocą zainfekowanych systemów sterowania komputerami. Cyberataki przybierają coraz bardziej niebezpieczną formę. Sprawcy coraz częściej okazują się być świetnie przygotowanymi. Dzisiejszy obraz cyberprzestrzeni wskazuje na konieczność traktowania tej sfery jako jednej ze strategicznych z punktu widzenia obronności kraju. Wskazują na to dwie podstawowe przesłanki. Pierwsza to fakt, że technologia IT jest kluczowym komponentem infrastruktury krytycznej państwa, np. jest wykorzystywana do zarządzania sieciami energetycznymi, telekomunikacyjnymi, transportowymi. Cyberatak na infrastrukturę krytyczną może automatycznie postawić pod znakiem zapytania bezpieczeństwo całego kraju. Drugą przesłanką jest znaczenie, jakie zyskują technologie IT w jakiejkolwiek sytuacji konfliktowej.

Infrastruktura krytyczna obejmuje systemy:

  • zaopatrzenia w energię, surowce energetyczne i paliwa,
  • łączności,
  • sieci teleinformatycznych,
  • finansowe,
  • zaopatrzenia w żywność
  • zaopatrzenia w wodę,
  • ochrony zdrowia,
  • transportowe,
  • ratownicze,
  • zapewniające ciągłość działania administracji publicznej,
  • produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.

 

Czynniki wpływające na podatność IKP na cyberataki

  • Popularność systemów SCADA (Supervisory Control And Data Acquisition), czyli systemów nadzorujących przebieg procesu technologicznego oraz produkcyjnego. Systemy SCADA używane są do kontrolowania i sterowania automatyką przemysłową. Powszechnie uważane są za podatne na ataki hakerów, które stają się coraz częstsze. Dobrze obrazuje to przykład kanadyjskiej firmy energetycznej Telvent – operatora ponad połowy gazociągów i ropociągów w Ameryce Północnej i Łacińskiej, której systemy SCADA zostały zhakowane w 2012 roku.
  • Masowe wprowadzenie inteligentnych systemów dostarczania energii elektrycznej - Smart Grids. Rozwiązanie te rewolucjonizują systemy elektroenergetyczne jeszcze bardziej je integrując i optymalizując ich działanie. Smart Grids oparte są na nowych technologiach wykorzystujących protokół TCP/IP, co może czynić je wrażliwymi na ataki pochodzące z cyberprzestrzeni i zwiększa pole działań dla podmiotów mających nielegalne intencje.
  • Łatwa dostępność usług i niskie koszty cloud-computingu i wirtualizacji sprawiają coraz większą ich popularność. Z drugiej strony nadal istnieje wiele wątpliwości związanych z bezpieczeństwem w chmurze. Ze względu na płynny charakter środowisk wirtualnych, ich architektura bezpieczeństwa wymaga stałych aktualizacji. Pomimo wysiłków podejmowanych przez dostawców usług cloud-computingu by być stale na bieżąco z najnowszymi zagrożeniami, wystarczy jedna niezidentyfikowana podatność, aby narazić każdego klienta i każdą maszynę ulokowaną w środowisku wirtualnym.
  • Outsorcing. Obecnie coraz częściej wykorzystuje się zewnętrzne firmy do wykonywania wewnętrznych zadań danej organizacji, którymi są najczęściej niewielkie przedsiębiorstwa nie mające funduszy ani możliwości wprowadzenia odpowiednich zabezpieczeń. Systemy informatyczne tych podmiotów i podwykonawców są ze sobą połączone, co znacznie ułatwia hakerom przeprowadzenie skutecznej operacji. Tak więc, nawet jeśli finansowe ryzyko przedsięwzięcia jest zmniejszone, to zwiększony dostęp do informacji chronionych organizacji może prowadzić do zwiększenia ryzyka związanego z bezpieczeństwem funkcjonowania tej organizacji.
  • Media społecznościowe. Firmy i ich pracownicy mają potrzebę obecności w mediach społecznościowych. Jest to skuteczne i tanie narzędzie marketingowe, a także sposób na pozostanie w kontakcie z klientami. Cyberprzestępcy swoje działania kierują tam, gdzie znajdują się ich potencjalne ofiary. Olbrzymia popularność serwisów społecznościowych jest zatem czynnikiem ryzyka, którego nie można pomijać w procesie zarządzania bezpieczeństwem.
  • Koszty bezpieczeństwa. Cześć przedsiębiorstw kalkuluje, że wprowadzenie drogich programów oraz zatrudnienie ekspertów jest nieopłacalne i znacznie taniej wychodzi naprawa zniszczeń, niż wdrażanie środków zapobiegawczych. Prowadzi to do sytuacji, w której przedsiębiorcy nie wiedzą, że są celem ataków, a nie niepokojeni hakerzy mogą przez lata cieszyć się dostępem do sieci i wykradać informacje.
  • Użytkowanie personalnych urządzeń przenośnych. Wiele przedsiębiorstw dopuszcza korzystanie przez ich pracowników z własnych, prywatnych urządzeń przenośnych, pozwalających pracować w niekonwencjonalnym środowisku, z daleka od biura. Brak zastosowania narzędzi służących do ochrony przed nieuprawnionym dostępem, zniszczeniem lub ujawnieniem przechowywanych, przesyłanych i przetwarzanych w urządzeniach mobilnych danych stanowi doskonały cel dla hakerów.
  • Wykorzystywanie własnego oprogramowania, często niezabezpieczonego właściwie, co zwiększa podatność na ataki. Oprogramowanie służące do zarządzania kluczową infrastrukturą informacyjną nie jest pozbawione błędów i luk w zabezpieczeniach. Zauważalny jest trend tworzenia oprogramowania z myślą jedynie o jego funkcjonalności. Zadowolenie klienta stawiane jest na pierwszym miejscu, dlatego oprogramowanie ma być przyjazne i wygodne w użyciu. Niestety, bardzo często zdarza się, że jest to okupione obniżeniem poziomu bezpieczeństwa i bardzo istotne aspekty bezpieczeństwa traktowane są wybiórczo lub są całkowicie pomijane. W efekcie wdrażane w coraz szybszym tempie oprogramowanie posiada szereg podatności rodzących ryzyko dla bezpieczeństwa realizowanych procesów.
  • Element ludzki – za największe zagrożenie dla zasobów informacyjnych uważa się ludzi z wewnątrz – pracowników i inne cieszące się zaufaniem osoby z organizacji i spoza niej. Nic w tym dziwnego, skoro mają oni najszerszy dostęp do informacji. Mogą wykorzystać zasoby informacyjne dla celów osobistych lub uszkodzić systemy komputerowe z zemsty. Mogą też niechcący zdradzić tajemnice wykonawcom, partnerom, klientom, gościom lub osobom z zewnątrz pytającym o różne dane. Wciąż jeszcze wiedza na temat bezpiecznego użytkowania Internetu stoi na bardzo niskim poziomie. Pracownicy używają prostych haseł czy też przeglądają podejrzane strony internetowe w pracy.

 

Rodzaje zagrożeń

  1. Wirusy. Wraz z coraz szerszym dostępem do Internetu nasila się zjawisko infekowania komputerów i sieci komputerowej przez wirusy oraz robaki komputerowe. Wirusy powodują zniszczenia w sieciach, utratę danych, a w konsekwencji trudne do przewidzenia negatywne skutki dla organizacji. Złośliwe oprogramowanie tworzone jest przez doświadczone zespoły programistów działających często na zlecenie grup przestępczych, które mają na celu kradzież poufnych informacji, gromadzenie danych o loginach i hasłach, wysyłanie SPAMu, ataki typu DDoS, wymuszanie oraz kradzież tożsamości i danych osobowych.
  2. Działalność szpiegowska. Poważniejszym rodzajem działań jest działalność szpiegowska oraz idąca z nią w parze kradzież własności intelektualnej. W obecnym świecie informacja stała się towarem jak każdy inny, a większość danych ma postać cyfrową. Stąd olbrzymie zainteresowania danymi personalnymi klientów, strategiami rozwoju czy też nowoczesnymi technologiami. Większość z tych danych ma olbrzymie znaczenie dla organizacji, dlatego też hakerzy wchodzący w ich posiadanie mogą liczyć na duże zyski. Szpiegostwo i kradzież danych mogą być dokonywane przez osoby działające na rzecz państw, konkurencji lub niezależnych hakerów, którzy później oferują skradzione dane podmiotowi, który zaoferował największą sumę pieniędzy. Źródłem informacji są najczęściej osoby odwiedzające organizację jako kontrahenci, dostawcy potencjalni klienci, a także pracownicy. Działalność szpiegowska może powodować przekazywanie informacji podlegających ochronie poza organizację.
  3. Sabotaż. Najpoważniejszymi i mającymi największe skutki są próby dokonania sabotażu, poprzez cyberatak na infrastrukturę krytyczną. Dokonywane są przez wyspecjalizowane jednostki hakerów, wyszkolone i wyekwipowane przez państwa. Hakerzy biorą sobie za cel m.in. wizerunek organizacji. Zainfekowana niebezpiecznym oprogramowaniem strona WWW organizacji może doszczętnie zniszczyć zaufanie potencjalnych klientów. Mało który internauta wraca na witrynę, przed wchodzeniem na którą głośno ostrzega aplikacja antywirusowa. Poza niszczeniem reputacji przeprowadzane są ataki ukierunkowane na totalny paraliż firmowych serwerów. Najbardziej popularna okazuje się metoda typu DDoS, czyli Distributed Denial of Service. Dziesiątki tysięcy komputerów w jednym momencie usiłują wejść na daną stronę internetową, tamując przy tym cały ruch i jednocześnie blokując do nich dostęp. Znacznie groźniejsze od DDoS są ataki typu APT (ang. Advanced Persistent Threat), których charakterystyczną cechą jest zebranie wcześniej informacji o pracownikach danej organizacji, aby dopiero po jakimś czasie przystąpić do planowanego ataku. Stanowią one skuteczne narzędzie do infiltracji systemów obrony oraz kradzieży tajemnic wojskowych, przede wszystkim z racji na stosunkową łatwość przeprowadzenia (w porównaniu do tradycyjnych metod szpiegowskich) oraz niskie ryzyko ujawnienia faktycznego źródła oraz beneficjenta ataku.
  4. Cybernetyczni najemnicy. W sieci zauważalna jest działalność internetowych przestępców, opłacanych przez firmy, organizacje oraz rządy różnych państw. Najlepszym przykładem działania płatnych cyfrowych najemników była grupa Icefog, która specjalizowała się w wyrafinowanych metodach wykradania cennych informacji. Celem ich zakusów stały się m.in media, wojsko oraz firmy telekomunikacyjne.

Działania, które powinny zostać podjęte

Mając świadomość negatywnych skutków oddziaływania na infrastrukturę krytyczną zarówno sił natury, jak i człowieka, należy bezwzględnie ją chronić. Przez ochronę infrastruktury krytycznej należy rozumieć wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie. W skład prewencji mogą wchodzić zarówno czynności o charakterze operacyjnym (np. ochrona obiektu w celu ograniczenia dostępu osób nieupoważnionych, zabezpieczenie systemu informatycznego, ochrona informacji), jak i decyzje strategiczne określające m.in. lokalizację obiektów organizacji lub sposób prowadzenia działalności. Przewidywanie przyszłego poziomu zagrożeń dla infrastruktury krytycznej jest niezwykle trudne ponieważ jej elementy są funkcjonalnie zależne, a możliwe scenariusze zagrożeń są praktycznie niepoliczalne.

Bezpieczeństwo cyberprzestrzeni dotyka kwestii bezpieczeństwa narodowego. Ochrona cyberprzestrzeni stanowi obecnie jeden z podstawowych celów strategicznych w obszarze bezpieczeństwa każdego państwa. Bardzo ważna jest umiejętność monitorowania, a w tym, przewidywanie zagrożeń i potencjalnych ataków. Należy się zastanowić nad jej bezpieczeństwem, ponieważ z jednej strony zmiany technologiczne ułatwiają i przyśpieszają pracę, z drugiej wywołują dodatkowe ryzyko i możliwości ataku cybernetycznego. Zarówno skala, jak i charakter ataków świadczą o tym, że atakujący, świadomie i z rozmysłem, wykorzystują fakt olbrzymiej współzależności między organizacjami oraz dostępność nowych technologii, a także brak skutecznej kontroli nad ich wykorzystaniem. Ofensywne działania w cyberprzestrzeni stały się skuteczną bronią, tak w rękach przestępców, jak i rządów poszczególnych państw. To, kto lub co jest celem, wyznaczane jest przez interes polityczny, finansowy lub ideologię. Tylko działanie proaktywne i zauważalne nakłady finansowe na bezpieczeństwo cyberprzestrzeni pozwolą na skuteczną reakcję w obliczu ataku na infrastrukturę o kluczowym znaczeniu dla bezpieczeństwa państwa. Ważne przy tym jest, aby cyberbezpieczeństwo było rozumiane szeroko, co pozwoli stosować kompleksowe rozwiązania sprowadzające się nie tylko do umacniania rozwiązań IT. Równie ważne jak wprowadzanie najlepszych rozwiązań technicznych jest całościowe spojrzenie na problem i umacnianie wszystkich jego elementów, w tym czynnika ludzkiego. Cyberataki wykorzystują bowiem tak słabości technologiczne, jak i błędy ludzkie.

 

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska.

3761
Newsletter
https://www.linkedin.com/company/energetic-business-mixer/
https://smart-grids.pl/aktualnosci/raporty/4565-raport-cyberbezpiecze%C5%84stwo-w-energetyce-premiera.html
https://artsmart.media.pl/
Nowości w serwisie