Urmo Sutermäe, riskihalduse osakonna valdkonnajuht
Möödunud aastate jooksul on avalikustatud juhtimissüsteemide (ICS) mitmeid nõrkusi, mida ära kasutades on võimalik häirida või katkestada nii elektrivõrgu, veevarustuse kui ka teiste elutähtsate teenuste toimimist. Avastatud nõrkused puudutavad eelkõige sensoreid, programmeeritavaid kontrollereid, tarkvara kui ka võrguseadmeid, mida kasutatakse füüsiliste protsesside automatiseerimise ja seire eesmärgil.
Nendest teenustest ja protsessidest sõltub omakorda kogu tänapäeva ühiskonna harjumuspärane toimimine. Küberturbefirma FireEye avaldas 2016. aasta augustis raporti ülevaatega viimase 15 aasta jooksul avalikustatud ICS nõrkuste trendidest. Tegemist on üldisema uuringukokkuvõttega, mis ilmekalt näitab avalikult teadaolevate ICS-spetsiifiliste nõrkuste pidevat kasvu. Kuivõrd ka Eestis kasutatakse kõnealuseid ICS tooteid, siis tuleb ka meil olla pidevalt kursis nii avalikustatud nõrkuste kui ka nende parandamiseks loodud turvapaikadega.
Stuxneti avastamine 2010. aastal tekitas konkreetse vajaduse ja huvi tegeleda ICS turvanõrkuste uurimisega. Viimase 15 aasta jooksul on eksperdid tuvastanud ja analüüsinud 1552 ICS nõrkust, mis puudutavad 123 erinevat toodet. Selgus, et 516 nõrkuse puhul puudusid tootjapoolsed turvapaigad üldse, mis omakorda avab võimaluse turvaprobleemide kuritarvitamiseks. Sealjuures pole kolmandikul ICS nõrkustest avalikustamise hetkel tootjapoolset ravi veel olemas.
Teadaolevalt on viimaste aastate jooksul kasutatud küberrünnete läbiviimiseks vähemalt viit ICS-spetsiifilist nõrkust. Enim kõneainet on andnud Stuxnet ning rünnakud Ukraina elektrijaamade vastu. Need intsidendid kasutasid peamiselt ära järgmiste toidete turvanõrkusi: Siemens Simatic, Siemens WinCC, GE Cimplicity, Moxa UC-7408-LX ja IRZ RUH2 3G.
Eestis on elutähtsa teenuse osutajal seadusest tulenev kohustus tagada teenuse osutamiseks vajalike infosüsteemide turvalisus. Seetõttu ongi oluline, et elutähtsa teenuse osutajad ja muudki ettevõtted osutaksid kõrgendatud tähelepanu ICS süsteemide turvalisusele, sest nende süsteemide ründamine võib tuua kaasa mitte ainult elutähtsate teenuste (elektri- ja veevarustus, logistika jms) katkemist vaid, ebasoodsate asjaolude kokkulangemisel võib põhjustada vahetut ohtu inimeste elule ja tervisele.
Ennetamaks turvanõrkuste ärakasutamist on teenuseosutajal kindlasti vaja:
- Omada täpset ülevaadet kasutusel olevatest ICS infosüsteemidest – käitavatest ja toetavatest infovaradest, nende asukohtadest ja funktsioonidest. Nimetatud andmed on kõige otstarbekam kajastada IT-riskianalüüsi dokumendis. RIA soovitab kasutada IT-riskianalüüsi koostamise juhendit ning vastavaid näidismarjale, mille leiab RIA veebilehelt.
- Pidevalt hankida struktureeritud teavet ICS nõrkuste ja avaldatud turvapaikade kohta, sealhulgas võimalikult erinevatest allikatest. Vastavat teavet pakuvad nii konkreetsete ICS seadmete tootjad kui ka spetsiaalsed küberkaitse valdkonna uudistelehed; kindlasti tuleb igal üksikul juhul hinnata ka allika usaldusväärsust.
- Võrrelda avalikustatud nõrkuseid ja avaldatud turvapaikade teavitusi tegelikus kasutuses olevate ICS infosüsteemidega. Tegevuse tulemusena peaks tekkima täpne ülevaade, kas teadaolevate nõrkustega seotud ICS tooteid asutuses kasutatakse ning kui, siis mis ulatuses.
- Kaardistada kasutusel olevad haavatavad ja paikamata infovarad/tooted. See annab vajaliku ülevaate asutuse riskiolukorrast ning võimaldab süstemaatiliselt tegeleda haavatavuste vähendamisega ja täiendavate turvameetmete rakendamisega.
- Kirjeldada võimalike haavatavuste parandustegevused ja varustada need prioriteetidega lähtuvalt ICS seadme asendist infosüsteemis, nõrkuste ärakasutamise keerukusest ja võimalikust mõjust automatiseeritud tööprotsessidele. Kirjelduse tagajärjel peaks tekkima detailne tegevusplaan asutuse haavatavuste parandamiseks.
- Juhul kui teadaolevaid nõrkusi ei ole võimalik erinevatel põhjustel parandada (paik või asendusvõimalus puudub), siis tuleb rakendada meetmeid, mis raskendavad oluliselt nende ära kasutamist, näiteks piirata ICS infosüsteemide võrgukasutust ja ligipääsu Internetile.
Lisaks eelnevale tuleb arvestada, et ICS nõrkusi avalikustub kindlasti ka edaspidi ning pigem see trend lähiaastatel tõuseb. Lähitulevikus tõenäoliselt lisandub uusi juhtumeid, kus ICS nõrkusi ongi kasutatud reaalse küberründe läbiviimiseks. Selliste oluliste ICS turbesündmuste (nt küberrünnakud, uuringutulemused) meediakajastus omakorda elavdab võimalike nõrkuste avalikustamist veelgi.
Ülevaate koostamisel kasutati FireEye iSight Intelligence raportit “Critical Lessons from 15 Years of ICS Vulnerabilities”.
Huvitav, kas tuleb hetk, mil mõnede teenuste puhul on ilmne, et nende turvamine ja kogu sellega seonduv tsirkus on tegelikult suurem ressursikulu, kui rumalama masina + inimese kasutamine?
Mõtlen just seda, et käkktarkvara on tihti heast tarkvarast pealtnäha eristamatu ja kui meil on iOSi buutivad HDMI juhtmed juba praegu olemas… Kas on mõeldav, et see tsirkus vähegi vastupidav on?
Pisut konkreetsemalt väljendudes võiksid näiteks energiaetteveõtted (Eesti Energia jpt), vee-ettevõtted (Tallinna Vesi jpt), kaubanduse ettevõtted (EDI-dokumentide liigutajad, suuremad poeketid, tarnijad, logistikud) turvata oma süsteeme nii, et need manipuleeritavad poleks.
Näiteks kui keegi suudab Eesti Energiale kaugloetavate arvestite kaudu või seda keskset lugemise kohta häkkides ette valetada, et mitte keegi elektrit ei tarbi ja selle peale kaevandamine ja katlad seisma pannakse, siis ühel hetkel seda elektrit enam kodudes polegi.
Või kui keegi suudab Tallinna Veele kaugloetavate veearvestitega valetada, et vett ei kasuta, siis pannaks Ülemiste pumplad seisma ja ühel hetkel vett enam kodudes polegi.
Sama soojatootmisega.
Sama kaubadokumentidega – piisab kui mõni suurem EDI-liigutaja (Telema, Edisoft, Itera vkt) süsteem nii ära häkkida (tellimused, saatelehed, vastuvõtukinnitused, arved), et näiteks piim Terest Selverisse, Prismasse, RIMIsse, Maximasse, ETK/Coopi ei jõua, siis on kohe pahandus majas.
Näiteid on küll ja küll!