Sikkerhetsekspert Oded Gonda i Check Point tror industri og kritisk teknisk infrastruktur i samfunnet kan bli det neste offeret for cyberkriminelle.
Ikke for at det er så mye penger å hente, men fordi det er så forbasket lett å bryte seg inn.
I slike miljøer finner vi et vell av elektrisk, mekanisk og hydraulisk utstyr som kontrolleres av PLS-er og ulike enkle datamaskiner med tilkoblede sensorer. Alt koblet til et system for overvåkning og datainnsamling.
Les også: 5 spørsmål om IT-sikkerhet
Mye er utdatert
– Det meste av PLS-er og andre enkle datamaskiner som styrer industrielle prosesser og infrastruktur er ikke med på den oppgraderingen av sikkerhet som har skjedd. De har fungert år ut og år inn uten at noen har bekymret seg for den. Menge tenker mer på dem som maskineri enn IT-utstyr og svært mange er ikke oppgradert eller skiftet ut for å komme i takt med resten av IT-industrien.
– Noen slike systemer har sikkerhetsteknologi som var moderne for 25 siden. Det å komme seg inn i slike gamle systemer som verken er passordbeskyttet eller har brannmur kan nesten hvem som helst gjøre, sier Gonda.
Les også: – Trojanere og spyware truer sikkerheten på Mac
Våpenklart
Han forteller at de kjenner godt til forekomsten av såkalte weaponized exploits, nærmest digitale våpensystemer basert på sikkerhetshull, som kan rettes inn mot industri og infrastruktur. Noen av disse er åpne, mens andre selges av kriminelle på det lukkede markedet.
– Når store programvareleverandører som Adobe eller Microsoft blir kjent med sikkerhetshull i programvaren sin, retter de det med en gang. I industrielt utstyr har det vært kjente sårbarheter i seks, syv år. Når programvaren endelig blir rettet opp, er mange trege med å ta den i bruk. Folk liker ikke tanken på å lage krøll i produksjonssystemene.
Les også: Større IT-sikkerhet med big data
Kjente eksempler
Gonda kjenner ingen eksempler fra Norge, men i fjor ble strømleverandøren 50 Hz i Tyskland rammet, og 18 millioner kunder hadde problemer i en uke som følge av gammelt og ikke oppdatert utstyr.
Angrepet kom fra en server i Russland, men det betyr ikke at den som utførte det var der. Det kunne like gjerne være fra en sur tysker.
– Et annet eksempel var i Australia hvor en kontraktør ville hevne seg på Queensland Water for at han ikke fikk en jobb. Han hadde ikke problemer med å kontakte en PLS som styrte anlegget selv om han var på utsiden av systemet. Den brukte han til å koble sammen kloakk og drikkevann. Mannen ble tatt og dømt, men jeg tror vi vil se mye mer av dette.
– Rett og slett fordi det er så lett og det som er enkelt vil noen finne på å bruke. I USA har de testet ut hva som kan skje med sårbare styringssystemer. I et tilfelle fikk de en generator til å eksplodere bare ved å sende kode til PLS-en som styrte den, sier Gonda.
Les også: Nå kan du glemme PIN-koden
Eksploderte
- Vi må logge hva som skjer for å skaffe oversikt. Tenk hvor mye enklere det er å etterforske en forbrytelse for politiet det er når de har et videoopptak av det som har skjedd. Det er det samme med industrielle systemer. Og så må man gå gjennom gammel infrastruktur og se hvordan den brukes. En PLS som kontrollerer temperaturen i øl trenger ikke nødvendigvis annet enn å leses av. Kan den skrives til blir den en sikkerhetstrussel, sier han.
Gonda etterlyser mye mer oppmerksomhet på industriell IT-sikkerhet, både fra de som bruker utstyret og de som produserer det. Men han erkjenner at det ikke er raskt gjort. Det kan ta både 10 og 20 år før dette blir sikkert.
I mellomtiden står store verdien på spill og gamle systemer vil fortsette å være bakdører inn i bedriftene.
Les også: 102.000 nordmenn har vært utsatt for ID-tyveri
NorSIS er oppmerksomme
Sjefen for sjef for Norsk senter for informasjonssikring (NorSIS), Tore Orderløkken, er enig i at det finnes mye gammelt og sårbart utstyr ute i industrien og til styring av infrastruktur.
I noen tilfeller sier til og med leverandørene at kundene mister garantien om de rører utstyret og oppgraderer det.
– Folk tenker ikke alltid over at styringssystemer også er en del av IT-systemet. I mange tilfeller har vi sett at slike gamle enheter har stått med standardpassordene fra produsenten i årevis. Gjerne Admin, eller noe liknende enkelt. Det bekymrer oss at ikke virksomhetene er oppmerksom på slike sikkerhetshull.
– Mange tror at selv om slikt utstyr gjør enkle jobber og ikke inneholder verdifull informasjon så er det ikke så farlig. Men de kan de overtas fra utsiden eller danne en slags lettvinte bakdører inn i de andre systemene, sier Orderløkken.
Les også: Så trygge er norske nettsider
