A mindennapi életben számos olyan terület van, ahol kevesen keresnék az informatikai vagy ipari informatikai eszközöket - ilyen lehet sok egyéb mellett egy benzinkút is, azonban nemrég több olyan cikket is találtam, ahol ezek ellenkezője bizonyosodott be.

HD Moore, a Rapid7 kutatója még 2015-ben kezdett ezzel a témával foglalkozni, végül több, mint 5000 Internetre kötött benzinkúti eszközt (automatizált töltőállomási mérőórákat, ATG-ket) talált és több súlyos sérülékenységet is felfedezett különböző gyártók termékeiben. Még súlyosabb az eset amiatt, mert olyan benzinkutakat is érintenek ezek az esetek, amik a PCI-DSS hatálya alá tartoznak, mégsem tudott senki ezekről a sérülékenységekről - nagyon jól megmutatva, hogy az ipari folyamatvezérlő rendszerek IT és IT biztonsági szabványok alapján történő auditálása minden további nélkül képes lehet átsiklani az ICS berendezések és rendszerek hibáin és hiányosságain.

Egy másik hír Oroszországból arról számolt be, hogy a Szövetségi Biztonsági Szolgálat (FSZB) egy dél-oroszországi bűnbandát számolt fel, aminek tagjai a benzinkutak szoftvereit egy olyan saját verzióra cserélték, amivel meghamisították a járművekbe töltött üzemanyagok mennyiségét, a kiszámlázottnál kevesebb üzemanyagot tankolva. Egy tankolásnál átlagosan 3-7%-nyi üzemanyagot csaltak el a vásárlóktól, ilyen módon több száz millió orosz rubeles bevételre tettek szert.

Mit lehet tenni az ilyen esetek megelőzésére vagy ha a megelőzés nem sikeres, akkor az incidensek mielőbbi észlelése érdekében? Nagyjából a szakmában és itt a blogon is már számos alkalommal említett biztonsági intézkedéseket célszerű bevezetni:

- ICS rendszereket és berendezéseket soha, semmilyen körülmények között ne csatlakoztassunk közvetlenül publikus hálózatokra!
- Alakítsunk ki mélységi védelmet az ICS rendszerek hálózataiban!
- Az ICS rendszerek fejlesztőinek, üzemeltetőinek és felhasználóinak biztonságtudatossági képzése az egyik legfontosabb terület - de ezek mellett ne feledkezzünk meg az IT biztonsági szakemberek továbbképzéséről sem, ennek legyen része az ipari folyamatok és az ICS rendszerek alaposabb megismerése. Enélkül nem várható el, hogy az általuk javasolt biztonsági intézkedések a lehető legkisebb mértékben legyenek negatív hatással a folyamatvezérlő rendszerek megbízható működésére!