Οι hacker έχουν επικεντρώσει παραδοσιακά την προσοχή τους στο computer software, με αποτέλεσμα τη δημιουργία πολλών εταιρειών ασφαλείας στον κυβερνοχώρο που υπόσχονται προστασία για τους πελάτες που έχουν ως βάση τα γραφεία τους.
Υπάρχει όμως και μια άλλη, λιγότερο γνωστή απειλή hacking: οι επιθέσεις στον κυβερνοχώρο σε μεγάλες εταιρικές επιχειρήσεις, όπως μονάδες παραγωγής ή μονάδες παραγωγής ενέργειας, καθώς και άλλες ζωτικής σημασίας υποδομές.
Τέτοιες επιθέσεις καθίστανται πιο συνηθισμένες, προκαλώντας ανησυχίες για το αν οι εταιρείες πρέπει να αυξήσουν τις προσπάθειές τους για να προφυλαχθούν από αυτές.
Αυτό δεν είναι μικρή πρόκληση. Για τις εταιρείες με επιχειρησιακή τεχνολογία – τα μηχανογραφικά συστήματα που χρησιμοποιούνται για τον έλεγχο των βιομηχανικών επιχειρήσεων – οι κίνδυνοι παραβίασης είναι άφθονοι, οι διαταραχές στις διαδικασίες μηχανημάτων θα μπορούσαν να προκαλέσουν πολύ σοβαρά προβλήματα.
Για όσους ασχολούνται με τις “κρίσιμες υποδομές” – τα φράγματα, τις εγκαταστάσεις ενέργειας, πετρελαίου και φυσικού αερίου που απαιτούνται για την ομαλή λειτουργία της κοινωνίας – οι κίνδυνοι είναι πιο δραματικοί και ενδέχεται να προσελκύσουν hacker που εξυπηρετούν εθνικά οφέλη διαφόρων κρατών, και όχι μόνο εκείνους που επιδιώκουν οικονομικά οφέλη.
“Η οικονομία μας θα εξαφανιστεί, η κοινωνία θα καταρρεύσει – και αυτά τα πράγματα είναι πιθανά”, λέει ο Sujeet Shenoi, καθηγητής πληροφορικής στο Πανεπιστήμιο του Tulsa, ο οποίος έχει συμμετάσχει σε πολλά έργα ζωτικής σημασίας για την κυβέρνηση. “Δεν υπήρξε ποτέ κανένας πόλεμος στην ανθρώπινη ιστορία όπου οι υποδομές ζωτικής σημασίας δεν έχουν υποστεί οποιουδήποτε είδους επίθεση”.
Το 80 τοις εκατό των κρίσιμων υποδομών στις ΗΠΑ ανήκουν σε ιδιωτικές εταιρείες. “Αυτές οι εταιρείες δεν είναι προετοιμασμένες για [επιθέσεις στον κυβερνοχώρο]. Χρειάζεστε μερικούς εξαιρετικά εκπαιδευμένους ανθρώπους να σας κατευθύνουν”, λέει, σημειώνοντας ότι πολλοί πρώην κυβερνητικοί εμπειρογνώμονες κινούνται στον τομέα.
Ιστορικά, οι υποδομές ζωτικής σημασίας και το operational technology διατηρούνταν χωριστά από τα δίκτυα υπολογιστών που χρησιμοποιούνται συνήθως στα κεντρικά γραφεία των εταιρειών. Ωστόσο, οι κόσμοι αυτοί συγκλίνουν πια καθώς τα παρωχημένα αναλογικά συστήματα έχουν γίνει ολοένα και πιο ψηφιοποιημένα.
Όπως συμβαίνει με τα πληροφοριακά συστήματα, τα ransomware και το κακόβουλο λογισμικό μπορούν να χρησιμοποιηθούν για να μολύνουν την “επιχειρησιακή τεχνολογία” και τις υποδομές ζωτικής σημασίας. Το πιο high profile worm ήταν το malware Stuxnet του 2010, το οποίο στόχευε τις πυρηνικές εγκαταστάσεις του Ιράν. Οι δραστηριότητες της εταιρείας τροφίμων Mondelez και της φαρμακευτικής Merck διαταράχθηκαν από το ransomware NotPetya το 2017.
Η Ουκρανία υπέστη πρόσφατα επιθέσεις στα συστήματα ηλεκτρικού ρεύματος και νωρίτερα φέτος, η νορβηγική εταιρεία κατασκευής αλουμινίου Norsk Hydro αναγκάστηκε να παγώσει τις δραστηριότητές της, αφού έπεσε θύμα ransomware.
Ενώ η αγορά των εταιρειών παροχής υπηρεσιών ψηφιακής ασφάλειας που προσφέρουν υποστήριξη σε αυτές τις ομάδες είναι μικρότερη από τον παραδοσιακό χώρο ασφάλειας IT, οι ειδικοί προειδοποιούν ότι οι επιχειρήσεις πρέπει να αναλάβουν δράση.
Οι κινήσεις μπορεί να περιλαμβάνουν την αξιολόγηση των εταιρικών συστημάτων για να διασφαλιστεί ότι το προσωπικό γνωρίζει ποιες συσκευές συνδέονται με το δίκτυο. Να ελέγξει και να παρακολουθήσει τα συστήματα αυτά και να καταρτίσει ένα σχέδιο για τα χειρότερα σενάρια.
Πάνω απ ‘όλα, οι εταιρείες θα πρέπει να απομονώσουν τα πιο κρίσιμα συστήματα για να διασφαλίσουν ότι θα μπορούν να λειτουργούν ανεξάρτητα από αυτά, λέει ο Pedro Abreu, επικεφαλής προϊόντος στρατηγικής και υπεύθυνος στρατηγικής της Forescout, ο οποίος επεξεργάζεται τη διαδικασία “που περιέχει την περιοχή έκρηξης”.
“Αν συμβεί μια επίθεση WannaCry, θέλω να μπορώ να κλείσω αυτή την εγκατάσταση” ενώ το υπόλοιπο δίκτυο θα παραμένει σε λειτουργία, λέει.
Κάθε τομέας είναι εξοπλισμένος διαφορετικά, λένε οι ειδικοί. Οι εταιρείες που έβαλαν βαθιά το χέρι στην τσέπη όπως οι πετρελαϊκές έχουν καταφέρει να επωμιστούν τις επενδύσεις για να ενισχύσουν την προστασία τους, όπως άλλες εταιρείες όπως για παράδειγμα ο τομέας των υδάτων θεωρείται ότι υστερούν.
Προς όφελος τους, ο Michael Fabian, κύριος σύμβουλος της Synopsys, σημειώνει ότι τα επιχειρησιακά τεχνολογικά συστήματα είναι “πολύ περιοριστικά”, πράγμα που σημαίνει ότι “χρειάζεται κάποια εμπειρία για να χακαριστούν“. Συγκριτικά, πάντα με τους όσους παρέχουν υπηρεσίες προς τους καταναλωτές”, λέει, αναφέροντας παραδείγματα όπως οι Citibank, Target ή Amazon.
Παρ ‘όλα αυτά, τα λειτουργικά τεχνολογικά συστήματα έχουν τις δικές τους ιδιαιτερότητες. Πρώτον, η δοκιμή τους για ευπάθειες μπορεί να είναι δύσκολη, επειδή τα συστήματα είναι πολύ ευαίσθητα ή πρέπει να σταματήσουν να λειτουργούν για να γίνει κάτι τέτοιο.
“Υπάρχουν εξαιρετικά κρίσιμα πράγματα που δεν μπορούμε να θέσουμε σε κίνδυνο με τη δοκιμή τους, αλλά κάνουμε ακριβώς αυτό – τα θέτουμε σε κίνδυνο – διότι δεν τα δοκιμάζουμε”, λέει ο Charles Henderson, παγκόσμιος επικεφαλής της μονάδας hacking της IBM X-Force Red.
Αυτό σημαίνει ότι οι επιχειρήσεις παροχής υπηρεσιών ηλεκτρονικής ασφάλειας ενδέχεται να χρειαστεί να δοκιμάσουν ευπάθειες έναντι μιας λιγότερο αξιόπιστης αναπαραγωγής αντί ενός πραγματικού συστήματος.
Και αν ένα πρόβλημα δεν αποκαλυφθεί, είναι πιο δύσκολο να διορθωθεί. “Οι κύκλοι ζωής των συστημάτων αυτών είναι εξαιρετικά μεγάλοι”, λέει ο Eric Cornelius, επικεφαλής προϊόντος στο BlackBerry Cylance, μια ομάδα ασφάλειας στον κυβερνοχώρο.
Επιπλέον, ακόμη και αν οι εταιρίες παροχής υπηρεσιών ψηφιακής ασφάλειας προσφέρουν λύσεις, μπορεί να είναι πολλά χρόνια πριν να ενημερωθεί ένα σύστημα. Για παράδειγμα, πολλές εταιρείες θα επιλέξουν να ανοικοδομήσουν ένα υπεράκτιο εργοστάσιο φυσικού αερίου μόλις τελειώσει τελικά τη λειτουργία του, αντί να αναβαθμιστεί με μεγάλο κόστος, λέει ο κ. Cornelius.
