Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

ICS biztonsági esettanulmányok I

Németországi ICS rendszerekkel kapcsolatos incidensek

2018. augusztus 11. - ITsec

Forrás: 2018. augusztus 04. - icscybersec

https://icscybersec.blog.hu/2018/08/04/ics_biztonsagi_esettanulmanyok_i?dashboard_position=155251361

Valamivel több, mint egy hete három, Németországban történt, ICS rendszereket érintő incidensekről szóló esettanulmányokat találtam, amiket a német Szövetségi Információbiztonsági Hivatal (Bundesamt für Sicherheit in der Informationstechnik, BSI) publikált. A mai posztban ezek közül az egyiket fogom röviden összefoglalni, a következő két hét posztjaiban pedig a másik kettőt.

Uszodai ICS rendszer kiberbiztonsága

Ahogy sok más esetben, ennél az incidensnél is a kiindulópont a talán legfontosabb ICS biztonsági szabály be nem tartása volt, az uszoda vezérlőrendszerét, amivel a víz hőmérsékletét és a vízhez adagolt klór-alapú tisztítószer mennyiségét kontrollálták, valamilyen ok miatt elérhetővé tették az Internetről is. A szóban forgó ICS rendszer emellett számos, szokásosnak nevezhető sérülékenységet hordozott, amiket kihasználva a támadók a rendszer beállításainak módosításához szükséges jogosultságot tudtak szerezni - nem is igazán nehezen.

Amikor a BSI a fentiek miatt megkereste az ICS rendszerért felelős személyeket, kommunikációs problémák is adódtak (ez az ICS kiberbiztonsági témáknál sajnos egyáltalán nem számít egyedinek, a biztonsági szakemberek és a folyamatirányításért felelős mérnökök szinte soha nem értik a másik területről érkező kollégák szempontjait és gyakran még a szakzsargon sem ugyanaz, így könnyen félreérthetik, amit a másik mondani próbál), ami oda vezetett, hogy egy, az incidensben érintett IP címet minden további egyeztetés nélkül blokkolt az ICS rendszer üzemeltetője.

A rendszerért felelős személlyel ezalatt tovább folyt az egyeztetés, aminek a részletei ismét csak azt mutatják, hogy minden téren jelentős külöbségek és hiányosságok fedezhetőek fel az ICS kiberbiztonsági témákban érintett csoportoknál (álljanak azok akár IT/információbiztonsági vagy ipari folyamatirányítási területről érkező mérnökökből - az IT biztonsági szakemberek nem igazán vagy egyáltalán nem értik az ICS rendszerek által vezérelt ipari folyamatokat, az OT mérnököknek pedig - tisztelet az igen ritka kivételeknek - szinte egyáltalán nincs fogalmuk az ICS rendszerek kiberbiztonsági kockázatairól).

Az esettanulmány legfontosabb része, hogy mit is lehet tanulni belőle:

- Az első, amit az ICS kiberbiztonság világában sokan egyre többször hangoztatnak (én is unaloming ismétlem a blogposztjaimban): az ICS rendszereknek nincs keresnivalójuk az Interneten!
- Ugyanilyen fontos, hogy az ICS rendszerekhez történő legitim hozzáféréseket nem szabad blokkolni! Az ICS rendszereket üzemeltető szervezeteknek az IT biztonsági incidenskezelési, katasztrófa-elhárítási és üzletmenet-folytonossági terveik mellett illetve azok részeként kifejezetten az ICS rendszerekre és berendezésekre vonatkozó (és rendszeresen tesztelt!) incidenkezelési eljárásokkal kell rendelkezni, hogy ne a hozzáférések teljes körű blokkolása legyen az egyetlen intézkedés, amit egy incidens során képes megtenni a szervezet.
- Külső hálózatokból történő hozzáférést (ide értve az Internetet és az adott szervezet partnereinek hálózataiból történő, akár bérelt vonalat használó) minden esetben alaposan kiértékelt üzleti igénnyel kell alátámasztani és minden ilyen esetben VPN-megoldások alkalmazásával kell megfelelően biztonságossá tenni.

Az esettanulmány BSI által publikált eredeti (német nyelvű) változata itt érhető el.