Berlińska jednostka policyjna ds. internetu prowadziła wielomiesięczne dochodzenie, które wykazało, że eksperci od cyberzabezpieczeń są w stanie bez problemu zdobyć kontrolę nad systemami wodociągów, rur ciepłowniczych i innych elementów infrastruktury krytycznej oraz procesów przemysłowych.
Informację na ten temat podał portal SCMagazineUK.com. Eksperci z Berlina rozpoczęli śledztwo po tym, jak przyjrzeli się protokołom HTTP wykorzystywanych w systemach kontrolnych krytycznej infrastruktury. Okazało się, że zdobycie dostępu do systemów nie wymaga wieloetapowej autoryzacji. Niektóre systemy były przez to bardzo łatwe do spenetrowania. Dotyczyło to m.in. niemieckiej sieci wodociągowej.
Atakujący mogliby nie tylko przejąć wrażliwe dane dotyczące infrastruktury krytycznej. Same systemy są podatne na atak, można nimi manipulować, zmieniać ich ustawienia, a w określonych przypadkach doprowadzać do ich zniszczenia. Oczywiście taka akcja przestępców miałaby wpływ nie tylko na zakład przemysłowy czy krytyczną infrastrukturę, ale także na środowisko czy bezpieczeństwo ludzi. W większości przypadków dopiero policyjna kontrola uświadomiła operatorom skalę zagrożenia.
Eksperci sprawdzili też systemy w innych krajach. Podatna na atak okazała się sieć grzewcza w Rzymie, elektrownie wytwarzające ciepło i energię w Niemczech i Austrii, inteligentne luksusowe apartamenty w Izraelu. W tym wypadku hakerzy byli w stanie wyłączyć windy i systemy alarmowe, kontrolować klimatyzację.
Okazało się, że mniej niż połowa badanych systemów nie wymagała jakichkolwiek haseł i form logowania, aby zdobyć do nich dostęp. Wiele systemów było podatnych na ataki typu cross-site scripting i SQL injection. Twórcy oprogramowania podatnego na ataki zostali już powiadomieni o lukach w bezpieczeństwie. Operatorzy infrastruktury otrzymali z kolei polecenie natychmiastowego odłączenia ich systemów od ogólnodostępnego internetu.
Cytowany przez portal SCMagazineUK.com Nick Wilding, szef wydziału cyberochrony firmy Axelos komentując wyniki śledztwa stwierdził, że instytucje kontrolujące krytyczną infrastrukturę muszą zadbać o większą świadomość swoich pracowników. Choć inwestowanie, rozwój i zarządzanie cyberochroną technologicznych procesów to podstawa, to jednak odpowiednio przygotowani pracownicy – niezależnie od ich funkcji i roli w przedsiębiorstwie – mogą także stanowić klucz do dobrej ochrony. Chodzi o to, by na każdym poziomie firmy wszyscy znali podstawowe zasady dobrych cyber praktyk. Dobrze, żeby nawet szeregowi pracownicy byli w stanie zidentyfikować zagrożenie, zanim dojdzie do przejęcia kontroli nad systemami. Edukacja pracowników to podstawa każdej strategii cyberbezpieczeństwa. To dobrze przeszkoleni ludzie są bowiem najważniejszym czynnikiem, który powstrzyma cyberprzestępców, nierzadko liczących na drobny błąd jakiejkolwiek osoby z kadry.
Eksperci są zgodni, że ataki na infrastrukturę krytyczną zdarzają się coraz częściej. Tylko w USA zespół CERT zajmujący się zdarzeniami w systemach przemysłowych (ICS- CERT) odnotował 295 incydentów. Europa również nie jest wolna od niebezpiecznych sytuacji.
W grudniu 2015 r. Ukraiński przemysł energetyczny zainfekował trojan Black Energy, który spowodował m.in. wyłączenie dostaw prądu dla połowy populacji regionu Iwano-Frankowska (dawn. Stanisławów). Bez energii pozostały 103 miasta i miasteczka. Przykładem jest też atak grupy hakerów DragonFly, którzy umieścili wirusa na komputerach firm energetycznych w Ameryce i Europie, także w Polsce. W 2014 r. z powodu cyberataku ucierpiała huta stali w Niemczech. Hakerzy doprowadzili do awaryjnego wygaszenia pieca i ogromnych zniszczeń w infrastrukturze sieci. Podane przykłady to tylko wierzchołek góry lodowej.
Czytaj też: Dodatkowe fundusze na bezpieczeństwo energetyczne USA