Ekspert: Hakerzy penetrują systemy kontroli

Sieci zasilające systemy kontroli przemysłowej zostały naruszone ponad 125 razy w ciągu ostatniej dekady, z czego jedna zakończyła się śmiercią w USA, powiedział w czwartek specjalista ds. systemów sterowania

Joseph Weiss, partner zarządzający firmą konsultingową w zakresie bezpieczeństwa systemów sterowania Applied Control Solutions, nie wyszczególnił naruszenia, które spowodowało śmierć zeznania przed komisją senacką USA, ale powiedział, że udało mu się znaleźć dowody na ponad 125 złamań systemów kontroli w systemach jądrowych, elektrowniach wodnych, instalacjach wodnych, przemyśle naftowym i agrobiznesie.

wahają się od trywialnych do znaczących szkód środowiskowych, aż do znacznego uszkodzenia sprzętu w wyniku śmierci ", powiedział w Senackim Komitecie ds. Handlu, Nauki i Transportu. "Mieliśmy już incydent cybernetyczny w Stanach Zjednoczonych, który zabił ludzi."

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Innym razem Weiss mówił o benzynie z czerwca 1 roku pęknięcie rurociągu w pobliżu Bellingham, Waszyngton. To pęknięcie rozlało ponad 200 000 galonów benzyny na dwa strumienie, które rozpaliły i zabiły trzy osoby. Badacze odkryli kilka problemów, które przyczyniły się do zerwania, ale Weiss zidentyfikował awarię komputera w centralnej sterowni rurociągu jako część problemu.

Może to zająć dużo czasu USA, aby wydobyć skoordynowane ataki na infrastrukturę za pomocą kontroli systemy, powiedział Weiss senatorom. Uszkodzony sprzęt może zastąpić kilka tygodni, powiedział. Skoordynowany atak "może być katastrofalny dla gospodarki i bezpieczeństwa USA" - powiedział. "Mówimy o miesiącach do odzyskania, nie mówimy o dniach."

Przemysł systemów sterowania przemysłowego jest latami opóźniony w branży IT w zakresie ochrony cyberbezpieczeństwa, a niektóre z technik stosowanych w bezpieczeństwie informatycznym mogłyby zaszkodzić systemom kontroli, Weiss dodany. "Jeśli przetestujesz stary system sterowania przemysłowego, zamkniesz go lub zabijesz" - powiedział. "Będziesz swoim własnym hakerem."

Częścią problemu jest to, że jest tylko garstka dostawców systemów kontroli, a ich architektura i domyślne hasła są wspólne dla każdego dostawcy, powiedział Weiss. Co więcej, istnieje prawdopodobnie mniej niż 100 ekspertów w zakresie cyberbezpieczeństwa w systemie kontroli na całym świecie, a amerykańskie uniwersytety nie mają programów skupiających się na cyberbezpieczeństwie systemu kontroli, dodał.

Ataki pochodzą od osób z zewnątrz, ale także od pracowników lub byłych pracowników, Weiss powiedział. "Uważam, że zagrożenie wzrasta nie tylko ze względu na państwa narodowe … ale dlatego, że spowolnienie gospodarcze stworzyło wielu niezadowolonych, ale znających się na wiedzy antagonistów" - powiedział.

Weiss podał trzy przykłady przypadków dotyczących niezadowolonych pracowników, w tym niedawnego przypadku w Kalifornii, w którym pracownik wyłączył systemy wykrywania wycieków na trzech sztabach ropy naftowej u wybrzeży.

Senatorowie wezwali do zwiększenia nacisku na cyberbezpieczeństwo w amerykańskim rządzie i prywatnym przemyśle. "Ludzie muszą wiedzieć, że cyberbezpieczeństwo to nie tylko ochrona sieci rządowych przed terrorystami i hakerami, którzy chcą naszych tajemnic" - powiedział senator Jay Rockefeller, demokrata z Wirginii Zachodniej i przewodniczący komisji. "Chodzi o ochronę krytycznej infrastruktury naszego narodu przed cyberatakami, które mogą poważnie wpłynąć na handel i gospodarkę, które są absolutnie katastrofalne."

Zbyt wielu mieszkańców USA nie myśli ani nie wie o ciągłych cyberatakach, dodał Rockefeller.

Jednakże, James Lewis, dyrektor Programu Technologii i Polityki Publicznej w Centrum Studiów Strategicznych i Międzynarodowych, również wezwał Kongres do skoncentrowania się na tradycyjnym bezpieczeństwie IT, oprócz systemów kontroli. W tej chwili własność intelektualna w USA jest zagrożona, a straty te zaszkodzą długoterminowej konkurencyjności narodu, powiedział.

Podczas gdy systemy kontroli reprezentują potencjał do ataku, "jesteśmy teraz atakowani" - powiedział Lewis. "Martwię się bardziej o utratę informacji, teraz jesteśmy obrabowani przez obce podmioty z naszej najcenniejszej technologii i musimy to powstrzymać."