Most a Windowst támadják, de lesz rosszabb is

Komoly pusztítást végzett múlt héten a PetrWrap zsarolóvírus. A WannaCry névre keresztelt korábbi kártevőnél fejlettebb vírus olyan windowsos gépeket is megtámadott, amelyeken új frissítések futottak. A támadás főleg magán- és irodai rendszerek ellen irányult, de kaptunk némi ízelítőt abból, hogy mi történne, ha nagy iparvállalatokat vagy közüzemeket érne célzott kibertámadás, hiszen a PetrWrap fennakadásokat okozott a német vasúton, a spanyol Telefónicánál és olyan világcégeknél is, mint a Nivea vagy a Maersk.

Akárcsak a WannaCry-nál, most is a windowsos rendszerek kerültek célkeresztbe, de nem lesz ez mindig így. Az infromációbiztonsági szakma régóta hangoztatja, hogy a nagy ipari és infrastrukturális vezérlő rendszerek nagyon sérülékenyek, aminek a 2010-es Stuxnet-botrány volt az egyik élő bizonyítéka (akkor kártékony kóddal állították le az iráni urániumdúsító berendezéseket), és előbb-utóbb felkeltik a hackerek érdeklődését.

A dolgok távvezérlése, extraneten keresztül megvalósuló kontrollja és a távolról történő beavatkozások lehetősége először az ipar területén terjedt el, mert itt volt ezekre a legnagyobb szükség: a gyártásban, a logisztikában, az infrastruktúrában vagy a városüzemeltetésben számtalan olyan pont van, ahova embernek bemenni egyáltalán nem ajánlatos, vagy komolyabb leállás nélkül eleve lehetetlen. Nagy jelentősége van a központból irányított gyors beavatkozásnak, erre kitűnő példa egy atomerőmű vagy egy városi közlekedési csomópont.

Ezek a rendszerek a 80-as években még saját kábelhálózatokon keresztül üzemeltek, ma viszont már számos ponton csatlakoznak az internethez. A rendszerek zárt, szigetszerű hálózatok voltak, amelyekhez külső támadó nem férhetett hozzá. Ez a 2000-es években megváltozott, hiszen a régi hálózatok részben elöregedtek, részben világossá vált, hogy hálózatot üzemeltetni az interneten keresztül lehet a lehető leggyorsabban és legolcsóbban. A váltás sok esetben nem járt együtt a régi rendszerek (szenzorok, szelepek, fékek, relék stb.) cseréjével, mivel azok remekül működtek, a csere pedig bonyolult és költséges eljárás. Helyette annyi történt, hogy az adatátvitel kiköltözött a vezeték nélküli internetre, és maga a vezérlő rendszer is felköltözött a felhőbe.

Az üzemeltetők mindent az üzembiztonságnak rendelnek alá. Sok millió ember ellátása, közlekedése, óriási üzemek működése múlik azon, hogy megbízhatóan működjenek. Ez egyúttal azt is jelenti, hogy nem lehet mindennap átvezetni rajtuk a legújabb biztonsági fejlesztéseket, vagy telepíteni a szoftvereket. Mindent hónapokon át kell tesztelni, mielőtt bármit élesítenek a szakemberek, hiszen nagyon kevés az a karbantartásra szánt leállási idő, amelyet az üzemi működés sajátossága megenged. A teszt maga ráadásul a szoftverfejlesztések legköltségesebb szakasza, egy ilyen rendszer egyszerű frissítésének költségeiből a tesztelés átlagosan 70, kiemelt biztonsági megoldásnál pedig inkább 80 százalékot tesz ki, ami miatt a fejlesztők, de az üzemeltetők sem lelkesednek az újabb és újabb frissítésekért.

Ezzel ellentétben a hackerszakma gyorsan fejlődik, amit jól mutatnak az elmúlt évek kutatásai. Mindennek következtében a támadók és a potenciális célpontok közötti technológiai olló kinyílt, és nyugodtan mondhatjuk, hogy a nagy iparvállalatok és a hálózatos közüzemek rendszerei biztonsági szempontból többéves lemaradásban vannak a hackertámadásokra gyorsan reagáló információbiztonsági fejlesztésektől, vagyis rendkívüli módon sebezhetők. Nem véletlen, hogy az IBM Managed Security Services jelentése szerint 2016-ban az ipari létesítmények ellen indított támadások száma 110 százalékkal nőtt a megelőző évhez képest. Nem véletlen, hogy a KPMG nemzetközi vezérigazgatói felmérésében a kiberkockázat és az abból eredő egyéb kockázatok (reputációs veszteség, üzemfolytonosság megszakadása) évek óta az első 5 kockázat típus között szerepelnek.

Az ipari létesítmények és a nagy hálózatok sérülékenységi problémáját felismerte az Európai Unió is, amely most írt ki egy tendert az energetikai szektor kiberérintettségének fejlesztésére, a kritikus infrastruktúrával pedig hatósági szinten foglalkoznak. A kiemelt üzemeknek jelentési kötelezettséget írtak elő minden külső behatolási kísérlet észlelése esetén, ezen túlmenően azonban a sok nem kiemelt jelentőségű gyár, vegyi üzem és más létesítmény üzembiztonsága is kulcsfontosságú. Ráadásul ezeknek a rendszereknek a felkészültsége ma már jól tesztelhető, hiszen a kiberérettséget mérő megoldásokkal több szakmai cég is foglalkozik.

Kevesen tudják, hogy a hackertámadások iránya és módja meglehetősen jól prognosztizálható, és az is mérhető, hogy a potenciális célpontok közül mely szervezetek vannak leginkább kitéve a támadásoknak. A támadások jelentős része szektororientált, mivel a hasonló tevékenységet végző cégek sebezhetőségei is hasonlóságokat mutatnak. Amikor pedig egy szektort ér külső támadás, akkor a leggyengébb védekezési képességű cégek rendszerei adják meg magukat a legkönnyebben.

Éppen ezért fontosak a Cyber Benchmarking kutatások, amelyek lényege, hogy az azonos ágazatba tartozó cégek egy kiberérettségi teszt kitöltésével a szektor többi szereplőjéhez tudják hasonlítani rendszereik és szervezetük sebezhetőségét. A magyar nagyvállalatok nem szerepelnek jól ezeken a teszteken, ami nem meglepő, ha tudjuk, hogy 88 százalékuk éves jelentésében egyetlen szó sem esik a kiberbiztonságról. További 7-8 százalékuk egy-egy mondatot szentel a témának, és csak a 4-5 százalékuk áldoz egy bekezdésnyi szöveget a kockázatoknak és azok kezelésének. Ez lesújtóan gyenge arány ahhoz képest, hogy Németországban ezek a számok rendre 6, 19 és 50 százalékon alakulnak, és ott 25 százalékos súllyal szerepel még egy olyan csoport is, amely egynél több bekezdésben foglalkozik a témával.