Tenk deg at du jobber på et industrianlegg. Brått kjenner du gasslukt ved et rør. Men i kontrollrommet er alt normalt på alle skjermer. Du vet ikke at hackere har endret terskelverdien som avgjør når alarm og nedstengning utløses. Etter hvert trykker du inn den manuelle nødstoppknappen. Til ditt store sjokk skjer ingenting. For også dette systemet er manipulert av inntrengerne.
«Murer» har falt
Denne hendelsen er tenkt. Men digitale angrep mot sikkerhetssystemer har funnet sted. Deriblant en ondsinnet handling, utført via skadevaren Triton, som rammet et saudiarabisk petrokjemisk anlegg.
Skadevaren var laget for å manipulere systemer for overvåking, kontroll og vern av utstyr. Disse kalles «systemer for operasjonell teknologi (OT)», til forskjell fra IT-nettverkene som brukes i kontordelen av virksomheter.
Tidligere fantes «murer» mellom OT- og IT-systemer. Sikkerhetssystemene var isolert fra omverdenen. De besto av komponenter og protokoller som gjorde tilgang vanskelig. Slik er det ikke lenger.
For grunnet ønsket om optimalisering, kan OT-systemer nås fra internett. Dermed kan hackere utnytte avhengigheter mellom ulike sikkerhetssystemer. Eller ramme flere uavhengige systemer samtidig, som automatisk nedstengning og manuell trykknapp. Altså vri mange kniver rundt samtidig.
Gammel antakelse er ugyldig
Avhengigheter mellom systemer ble før analysert ut fra bedrifters behov for å verne seg mot utilsiktede hendelser. Faren for at flere slike skal inntreffe på en gang, ble ansett som svært lav.
Men denne antakelsen er ikke lenger gyldig. For hacking er tilsiktede handlinger. Samtidig har sammensmeltingen av OT- og IT-systemer åpnet døra for hackerne inn til «det aller helligste». Serier av samtidige hendelser som før var ansett som helt usannsynlige, er derfor blitt mulige.
Flere former for avhengighet finnes mellom tekniske systemer. De kan eksemplifiseres slik:
- Funksjonelle avhengigheter: Kommunikasjonssystemer trenger strømforsyning for å virke.
- Kaskadefeil: Tsunamien som rammet Japan i 2011, resulterte i en kjernekraftulykke – eksplosjoner i Fukushima kjernekraftverk som spredte radioaktive stoffer.
- Felles komponenter: En gyllen regel er at kontrollsystem og sikkerhetssystem ikke må ha felles stengeventil. Syndes det mot dette, er ikke sikkerhetssystemet uavhengig av kontrollsystemet.
- Felles lokalisering: En klassisk feil har vært at ledninger til ulike systemer går i samme kanal og så rammes av brann.
Krever bevisstgjøring
Industrien må nå være seg bevisst at avhengigheter som dette er blitt tilgjengelige angrepspunkter for hackere. Og at «uavhengige» systemer ikke lenger er uavhengige i lys av faren for tilsiktede hendelser.
Vi som forsker på cybersikkerhet, framskaffer kunnskap om hvordan berørte fagfolk skal håndtere den nye trusselen. Dette omfatter forebygging (oppfølging og oppdatering), trusseljakt, avdekking og håndtering av sårbarheter og svekkelser, samt håndtering av inntrengning og gjenoppretting.
Sintef har bistått Petroleumstilsynet med å påvise hvordan regelverk bør tilpasses det nye trusselbildet. I et stort prosjekt for Forskningsrådet ser vi på hvordan barrierestyring for cybersikkerhet kan baseres på erfaringer med barrierestyring av øvrige sikkerhetssystemer.
Angrepene som truer industrianlegg, kan se ut som tilfeldige feil eller hendelser. Men enten er de utløst av noen som kjenner til avhengighetene, eller så rammer de uavhengige sikkerhetssystemer som hackerne har skaffet seg tilgang til.
Trøbbel med prestisjeprosjekt: Store forsinkelser i Norges største togprosjekter
Ikke fritt frem, heldigvis
Heldigvis er det ikke fritt frem for angripere som vil misbruke OT-systemer. En lang rekke sikringstiltak (barrierer) er innført for å forhindre eller håndtere inntrengning. Eksempelvis soneinndeling/segmentering av nettverk, brannmurer, anti-virus, adgangskontroll og deteksjon av inntrengning.
Omfattende standarder finnes på feltet cybersikkerhet for OT i automasjons- og kontrollsystemer. Men disse utgjør ikke endelige løsninger. Snarere er de utfordringer for de mest avanserte, ressurssterke og utholdende trusselaktørene.
Om bakteppet for det nevnte forskningsrådsprosjektet sa Sintefs Maria Bartnes dette til DN: «Skal man beskytte et system og sørge for sikker drift, må man ha oversikt over alle mulige sårbarheter i eget system, mens angriperne trenger bare å finne én enkelt svakhet som kan utnyttes.»
Flere «kloke hoder» trengs
Betyr økt sårbarhet gjennom avhengigheter at vi bør være redd for økende digitalisering av industrien?
Vi bør være bekymret nok til å ta utfordringene på alvor. Herunder innse at god beskyttelse mot cyberangrep som retter seg mot avhengigheter eller flere uavhengige sikkerhetssystemer/barrierer samtidig, krever flere «kloke hoder».
I tillegg trengs bedre rolleforståelse og tydeligere avklaring av «hvem skal gjøre hva» mellom IT-personell, ledelse, OT-operatører, eksterne aktører som system- og underleverandører samt tilbydere av sikkerhetsovervåkning.
Havarikommisjonen etter dødsulykke: – Et gjentakende sikkerhetsproblem