Na udaru kibernetskih napadov tudi energetika

Kibernetska varnost postaja čedalje bolj pomembna zaradi izjemno hitrega razvoja in široke uporabe informacijsko-komunikacijskih tehnologij. Hiter razvoj prinaša številne koristi za družbo, hkrati pa tudi tveganja, ki so izziv za sodobno kibernetsko družbo. 

Verjetnosti, da se kibernetska tveganja uresničijo, so izjemno velike, posledice pa lahko katastrofalne. Na to opozarjajo tudi številni kibernetski napadi v novejšem času, med katerimi izstopa še zlasti nedavni hekerski napad z virusom Petrwrap/Petja. 

Glede sodobnih kibernetskih izzivov in potrebe po zaščiti kritičnih točk kibernetske ranljivosti je več zanimivih vidikov izpostavil projektant - specialist Damir Orlić, ki je v družbi Informatika zadolžen za izdelavo informacijskih rešitev. Leta 1996 je končal naravoslovno matematično fakulteto Univerze v Zagrebu. Sedaj pripravlja doktorat na Univerzi v Novem mestu na temo kvantitativnih grafovskih mer. Ta tema je povezana tudi z vprašanjem na področju kibernetske varnosti, katero računalniško vozlišče pomeni največjo nevarnost za hekerske vdore. 

Kaj je značilno za obdobje intenzivnega razvoja informacijsko komunikacijskih tehnologij (IT)? 

Razvoj in širok spekter področij uporabe IT tehnologij v vsakdanjem življenju raste hitreje, kot jo je povprečen uporabnik sposoben absorbirati. V vsakodnevnem življenju poleg računalnika uporabljamo vse več naprav, ki samostojno procesirajo podatke in so v interakciji z okoljem. Naprave so vse manjše, zmogljivejše in kompleksnejše, njihovo število pa nenehno raste. 

Uporaba naprav na številnih področjih raste, izboljšuje se njihova povezanost z okoljem in narašča število interakcij z okoljem. Vsaka naprava je del sistema, tudi svetovnega spleta, s katerim komunicira in od katerega je odvisna. Sistem na njo vpliva, jo uravnava in polni s podatki. Uporaba novih tehnologij močno vpliva na posameznika, gospodarstvo in družbo. 

Katere grožnje obsegajo kibernetska tveganja? 

Razvoj in uporaba IT tehnologij prinaša številne koristi, treba pa se je zavedati tudi tveganj, ki jih le te nosijo s seboj. Kibernetska tveganja obsegajo naključne in/ali namerne kibernetske grožnje. Med naključne uvrščamo tveganja zaradi naravnih pojavov in tehničnih napak, med namerne pa kibernetske napade, kibernetsko vohunjenje, kibernetski kriminal, kibernetski terorizem in podobno. 

Verjetnosti, da se kibernetska tveganja uresničijo, so izjemno velika, posledice pa so lahko katastrofalne. Analize preteklih varnostnih incidentov kažejo na nadpovprečno izpostavljenost energetskega sektorja, ki tudi zaradi tega potrebuje učinkovit sistem obvladovanja kibernetskih tveganj. 

Kaj so pokazale ugotovitve o nedavnem hekerskem napadu? 

V zadnjem času je najbolj znan hekerski napad z virusom Petrwrap/Petja. Virus se je širil prek ranljivosti v Windows sistemih, za katere je Microsoft marca letos že izdal popravke, in ki jih je za svoje širjenje izkoriščal tudi virus WannaCry. Zanimive so tudi ugotovitve varnostnih strokovnjakov, da namen virusa Petrwrap/Petja ni bilo finančno okoriščanje z izsiljevanjem, ampak uničevanje podatkov. 

Najbolj znani hekerski napadi, ki so povezani z jedrskimi elektrarnami in drugimi sektorji v energetiki? 

Zgodilo se je več kibernetskih napadov na jedrske elektrarne. Leta 2014 je do napada prišlo na Japonskem v jedrski elektrarni Monju, ko je zaposleni posodobil aplikacijo za predvajanje video datotek. Istega leta se je zgodil tudi napad na južnokorejsko jedrsko elektrarno, ki je bila napadena iz tujine. Leta 2016 je prišlo do okužbe z zlonamerno kodo in napada na jedrsko elektrarno Gundremmingen v Nemčiji. 

Zanimiv je primer računalniškega črva Stuxnet, ki so ga domnevno razvili ameriški in izraelski strokovnjaki z namenom uničevanja iranskega jedrskega programa. Leta 2010 je bil z uporabo Stuxneta izveden napad na jedrsko elektrarno Natanz v Iranu. Reuters je poročal o neuspešni sabotaži severnokorejskega jedrskega programa z uporabo Stuxneta s strani NSA. 

V Ukrajini se je decembra 2015 zgodil prvi javno znan kibernetski napad na električno omrežje, ki je povzročil več urni izpad električne energije. Napad je bil usmerjen na tri elektrodistribucijska podjetja in je prizadel 225.000 odjemalcev električne energije. 

Drugi večji kibernetski napadi v novejšem času? 

V novembru 2016 so masovni kibernetski napadi prizadeli celotno spletno infrastrukturo Liberije. V oktobru 2016 je napad Dyn Attack prizadel ZDA. Napad je bil usmerjen v podjetje Dyn, ki upravlja z DNS strežniki. Kar nekaj kibernetskih aktivnosti v letu 2016 je bilo vezanih na volitve, predvsem v ZDA in Franciji. 

V drugi polovici leta 2016 je bilo ukradenih več kot 2,5 milijarde uporabniških imen in gesel na spletnih mestih: Yahoo, AdultFriendFinder, Linedin, MySpace, Tumbler, VK.com, Twitter. 

V oktobru 2016 je napad prizadel AXIS Bank Ltd., tretjo največjo privatno banko v Indiji. Februarja 2016 je Banka Bangladeša v kibernetskem napadu izgubila 951.000.000 ameriških dolarjev. 

V letu 2016 so kibernetski napadi prizadeli klicne centre 911 v ZDA, povzročili zamude pri več kot desetih poletih letalske družbe United Airlines in bili krivi za izgubo podatkov o zaposlenih v Ministrstvu domovinske varnosti in FBI. 

Znan in razvpit je primer kraje podatkov iz podjetja Yahoo v decembru 2016, ko so hekerji ukradli podatke milijarde uporabnikov. Obseg napada in vpliv je neznanski, prizadetih je bilo kar 16 odstotkov celotne svetovne populacije. Posredna škoda je bil padec zaupanja v spletne storitve, kar lahko povzroči milijardne izgube v poslovanju. 

Kaj prikazujejo statistični podatki na tem področju? 

Statistika kaže naglo rast zabeleženih kibernetskih napadov. V letu 2015 so zabeležili petkrat več napadov kot leta 2010. Skoraj 65 odstotkov le teh se zgodi na področjih ključne proizvodnje, energetike in vode. 16 odstotkov vseh zabeleženih napadov je v energetskem sektorju. 

Kibernetski napadi na kritično infrastrukturo lahko povzročijo resne posledice in ohromijo delovanje države in njenih prebivalcev. Ključno vprašanje je, kako najbolje obvladovati kibernetska tveganja in kako se zavarovati pred kibernetskimi grožnjami. 

Kako je z zavedanjem o kibernetski varnosti v ZDA? Kateri dogodki so na tem področju prelomni? 

Zavedanje o kibernetski varnosti v ZDA je že nekaj desetletij na visoki ravni. Prva prelomnica je okužba spleta s črvom v letu 1988. Po tej okužbi je DARPA ustanovila CERT/CC, prvo organizacijo te vrste. 

Druga prelomnica je 11. september 2001. Spremembe po tem dnevu so močno zamajale tako fizični kot kibernetski svet. Kmalu po tem dogodku je bilo ustanovljeno Ministrstvo za domovinsko varnost, znotraj katerega je Direkcija za nacionalno varnost, ki upravlja Urad za kibernetsko varnost in komunikacije. V tem uradu deluje Center za nacionalno kibernetsko varnost in komunikacije. Poseben vpliv na področje kibernetske varnosti pa je imela direktiva predsednika ZDA »National Strategy to Secure Cyberspace« iz leta 2003. 

Po rezultatih analiz ICS-CERT centra, ki deluje v okviru Centra za nacionalno kibernetsko varnost in komunikacije, je prav energetski sektor najbolj izpostavljen kibernetskim grožnjam. Zato ne preseneča, da je Ministrstvo za energetiko ZDA že leta 2006 sprejelo akcijski načrt »Roadmap to Secure Control Systems in the Energy Sector«, ki je ena od izhodiščnih točk za posodobitev sistema kibernetske varnosti v energetskem sektorju ZDA. 

Kako je s kibernetsko varnostjo energetskega sektorja v Sloveniji? 

Več mednarodnih študij poudarja izjemno veliko izpostavljenost energetskega sektorja kibernetskim tveganjem, saj je energetski sektor zanimiv tudi kot sekundarni oziroma infrastrukturni cilj kibernetskega napada. Večina podjetij v slovenski energetiki že uporablja komponente varnosti. To so sistemi in procedure za preprečevanje izgube podatkov, požarne pregrade, protivirusna zaščita, sistemi za zaznavanje vdorov, sistemi za preprečevanje vdorov, redne posodobitve programske opreme, navidezna zasebna omrežja, uporaba šifriranja in podobno. 

Čeprav je uporaba komponent varnosti še naprej nujna, za preprečitev sodobnih kibernetskih groženj nikakor ni zadostna. Krogu življenjskega cikla varovanja je treba dodati aplikatno os varnostne zrelosti in ga tako spremeniti v spiralo življenjskega cikla, ki bo nenehno dvigovala raven zrelosti varnostnega modela za preprečitev izvedbe sodobnih kibernetskih groženj. 

Zakaj so potrebne spremembe na področju kibernetske varnosti in kdaj začeti z njimi? 

Lastna varnost in varnost poslovanja sta osnovna vzroka, zakaj je nenehno treba izboljševati sistem varnosti podjetja. Dodatni vzrok za spremembe je uskladitev z zakonodajo in drugo regulativo. Tudi v energetskem sektorju se obetajo spremembe. Napoved sprememb se lahko razbere iz evropske in nacionalne strategije, zakonodaje, iz druge regulative in prakse. Pravo vprašanje ni, ali spremembe, temveč kdaj spremembe. 

Glede na to, da Strategija kibernetske varnosti RS govori o letu 2020, je smiselno s spremembami na področju kibernetske varnosti začeti čim prej. Tako je obdobje nižje stopnje varovanosti krajše, ostane dovolj časa za morebitne dodatne spremembe sistema varnosti in definicijo varnostnih procesov ter je izdelek cenejši in kakovostnejši. 

Kako ustrezno organizirati obstoječe vire, da bi v energetskem sektorju zagotovili učinkovit sistem obvladovanja kibernetskih tveganj? 

Glede na vlogo podjetja Informatika in glede na dejstvo, da ima vseh pet elektrodistribucijskih podjetij del skupne IT infrastrukture ter aplikacije pri podjetju, bi bilo smiselno, da Informatika v sodelovanju s partnerji vzpostavi varnostno operativni center za vsa elektrodistribucijska podjetja, hkrati pa tudi mehanizme za obrambo energetskih podjetij pred kibernetskimi napadi. 

Deležniki iz energetike se lahko vključijo v projekt z različnimi pristopi, smotrno pa bi bilo koncentrirati vire na enem mestu za celotno energetsko panogo. Edino koncentracija virov bo zagotovila, da so obrambni mehanizmi zadosti dobri, da lahko kakovostno ščitijo sisteme v energetiki. 

Katere ključne ugotovitve bi izpostavili, če na kratko povzamete omenjeno problematiko? 

Tveganja, povezana s kibernetskimi grožnjami, so nedvomno velika in se v zadnjem času še povečujejo, pri čemer je še zlasti izpostavljena energetika. Pojavlja se vprašanje, kako najbolje obvladovati kibernetska tveganja in kako se zavarovati pred namernimi kibernetskimi grožnjami. Analize preteklih varnostnih incidentov kažejo na nadpovprečno izpostavljenost energetskega sektorja, ki tudi zaradi tega potrebuje učinkovit sistem obvladovanja kibernetskih tveganj. Po eni varianti rešitve bi osrednji del takšnega sistema lahko bil varnostno operativni center. Pri tem bi lahko uporabili dobre prakse in izkušnje doma in v svetu.