Hydro-angrepet var et stort varsko om noe mye verre
Hydro ble sannsynligvis «bare» utsatt for et løsepengevirus. Men hva vil skje dersom et produksjonsmiljø blir utsatt for et alvorlig angrep som gjør at de mister kontrollen over hele virksomheten?
Denne saken har tidligere vært publisert på digi.no.
Hydro har de de siste ukene fått mye oppmerksomhet i media som følge av hackerangrepet de ble utsatt for. Men selv om det går en stund mellom hver gang slike angrep blir medieoppslag, så er et slikt løsepenge-angrep dessverre noe vi fortsatt ser for ofte hos mange andre norske virksomheter, både i privat- og offentlig sektor.
For å få utført et slikt angrep trenger utpresserne egentlig bare å få noen i virksomheten til å klikke på en link eller et vedlegg i en e-post, eller stjele identiteten til en som jobber i virksomheten, og så kan de lamme serverne.
I tillegg ser vi en del virksomheter som har for dårlig sikrede tjenester mot internett, som angriperne med glede utnytter.
Hadde gjort hjemmeleksen
Til tross for et omfattende angrep kom Hydro seg relativt raskt opp på beina igjen – uten å betale angriperne for å få tilbake dataene de stjal. Dette kunne de gjøre fordi Hydro har gode rutiner på back-up og sikkerhet.
De har åpenbart også lyttet til det sikkerhetsbransjen har jobbet i lang tid med å informere norske virksomheter om; viktigheten av å ha kopier av all sensitiv og viktig data, nettopp på grunn av faren for slike angrep.
Det er dessverre mange norske virksomheter som ikke har gjort den samme hjemmeleksen som Hydro, og da får disse angrepene store konsekvenser.
«Verdens farligste skadevare»
Likevel mener jeg at det er grunn til å bekymre seg langt mer for en annen type angrep enn de tradisjonelle som retter seg mot virksomheters IT-infrastruktur og IT-miljøene. Angrepene jeg tenker på er de som retter seg mot kontrollsystemer for produksjonsmiljøer, og som kan bli utnyttet av IT-kriminelle, og i verste fall av terrorister.
De potensielle konsekvensene for den enkelte virksomhet, men særlig for samfunnet vi lever i, vil være enorme dersom uvedkommende plutselig kan kontrollere OT-miljøene (Operational Technology). Det er de som håndterer operasjonsteknologi som fysiske enheter og prosesser.
Triton-koden (også kalt «Trisis») er et eksempel på at angrep mot OT-miljøer kan få fatale følger utover det materielle, der det kan stå om liv og helse. Denne koden regnes som verdens kanskje farligste skadevare. Bare ordet kan sende frysninger nedover ryggen på selv den den beste IT-sikkerhetsekspert. Koden i Triton kan nemlig deaktivere sikkerhetssystemer som er utformet for å forhindre katastrofale ulykker i industrien.
I verste fall kan Triton-koden ha ført til frigjøring av giftig hydrogensulfidgass eller forårsaket eksplosjoner, noe som setter liv i fare både på anlegget og i nærområdet. Vi snakker her om hackere som har til hensikt å utføre terrorhandlinger og drap ved målbevisst å rette angrepet sitt mot industriell sikkerhet utviklet for å ivareta menneskeliv.
Lite OT-fokus
Det er flere mer konkrete eksempler på slike angrep mot OT-miljøer. Nå er det nesten ti år siden Stuxnet saboterte tungtvannutvinningen i Iran. Etter dette viste både Havex i 2013, BlackEnergy i 2015 og CrashOverride i 2016 verden hvilke fatale følger slike angrep kan få.
Siden Stuxnet har systemene naturligvis blitt bedre rustet til å takle slike trusler. Industribransjen jobber selvfølgelig også kontinuerlig med utvikling av nye og bedre løsninger. Og så å si alle tradisjonelle IT-sikkerhetsprodusenter har utviklet såkalte «rugged»-modeller, som skal kunne tåle å implanteres i ekstreme produksjonsmiljøer.
Likevel har det ikke på disse snaue ti årene vært særlig mye fokus fra de som jobber med den tradisjonelle IT-sikkerhetsindustrien på denne delen av produksjonsbransjen.
Må bryte ned kunnskapssiloene
IT-miljøene har måttet tenke sikkerhet siden «tidenes morgen». Dette har OT-miljøene i stor grad sluppet, da disse nettverkene tradisjonelt har vært lukket og isolerte hos virksomhetene. Men nå ser vi at stadig flere effektiviseringsprosesser kobler SCADA-systemer opp mot nettet.
Utfordringen er kunnskap om produksjonsmiljøer for de som jobber med tradisjonell IT, og vice versa. Vi snakker ofte om IT-konsulenter som møter maskinoperatører, med en ingeniør i midten som prosjektleder. Dette kan fungere, men da er man helt avhengig av at man fra begge sider er på tilbudssiden og ønsker å bryte ned kunnskapssiloene.
Med det faktum at IT-miljøet nå henger mer og mer sammen med OT-miljøet så er spørsmålet som Kristian Foss og Anders A. Christie besvarer forbilledlig i sitt innlegg på digi.no sentralt: Hva betyr nye sikkerhetslover for ledelsens personlige ansvar?
«Om et sikkerhetsbrudd finner sted, og det kunne ha vært avverget med tiltak ledelsen burde ha iverksatt, er du trolig å anse som uaktsom,» skriver de to advokatene.
Syv minimumskrav
Det er med andre ord viktig for alle som jobber med IT- og IT-sikkerhet å ta sikkerhetsdiskusjonen med ledelsen og gjøre dem klar over hvilket ansvar de faktisk sitter med. Vi som jobber med IT-sikkerhet er jo vant med å være dem som maser, formaner og maler fanden på veggen. Kanskje får vi mer gehør når ledelsen skjønner hvem som må ta støyten om det smeller?
I disse samtalene kan det også være greit å ha med seg «Syv minimumskrav til OT-sikkerhet» som Atea har utviklet i samarbeid med Goodtech. Med disse oppfordrer vi alle virksomheter til å stille krav til underleverandører og produsenter av utstyr til OT.
Inntil skrivelysten tar meg igjen, følg meg gjerne på Twitter @TTmmernes
//TT
Syv minimumskrav til OT-sikkerhet
- Separer mest mulig
En for tett kobling mellom IT- og OT-miljøet i virksomheten er ikke å anbefale, da et eventuelt angrep får et mye større skadepotensial. Sørg for at OT-miljøet kan operere selv om IT-miljøet er utilgjengelig. Sørg for å ha på plass en «jump-server», aller helst i form av en Next Generation brannmur, mellom IT- og OT-miljøet. Denne bør ha aktivert logging, IPS og IPS for ICS og gjerne en blokkering mot kommunikasjon mot kjente skadelige IP-adresser. - Segmenter OT-miljøet
Sørg for å minimere kontaktflaten, både for konsulenter og tredjepart, men også for eventuelle uvedkommende. Dersom noen skal ha tilgang, eller klarer å tilegne seg tilgang, bør dette være til et så begrenset område som mulig. - Sikring av HMI
Tradisjonell antivirus (som typisk vil sette filer i karantene) er av naturlige årsaker ikke anbefalt på denne type utstyr. Derimot bør utstyret sikres ved å ta kontroll over hvilke prosesser som får lov til å kjøre. Ved å herde maskinene og bare tillate de prosesser som er nødvendige for driften, har man effektivt fjernet muligheten for skadevare. - Kontroll på integrasjoner
Med Industri 4.0 på full vei inn i bransjen, er det allerede i dag integrasjoner både på kryss og tvers i miljøene (og mange flere vil komme). En god del av disse går også ut av OT-miljøet.
Sørg for å ha kontroll på alle integrasjoner; hvem snakker med hvem, hvorfor snakker disse sammen, hvilken kommunikasjon blir brukt, hvilke data blir utvekslet og hvor går disse.
Sørg for at det er dataene som deles riktig, og ikke del nettverket. Bruk de riktige kanalene for slik kommunikasjon, ikke OT-nettverket. - Oversikt
Sørg for å ha en komplett sanntids oversikt over hva som skjer i OT-miljøet på nettverket. På denne måten kan man over tid lære systemet hva som er normal drift og slik sett også kunne oppdage tidlig når noe unormalt inntreffer. Sørg for å ha logg og analyse aktivert og tilgjengelig til enhver tid, med kunstig intelligens som bistand. Sørg for at all kommunikasjon inn mot OT-miljøet – og at alle endringer – blir logget. - Backup og disaster recovery
Ha gode og sikre backup-løsninger. Disse løsningene må være tilgjengelig uavhengig av OT-nettverket. Dette fører til at man raskt kan få tilbakestilt systemet ved uønskede hendelser. - Beredskap
Det hjelper lite å ha telefonnummer til produsentene av de ulike komponentene i miljøet dersom man er under et angrep der man ikke forstår hva som er kilden, hvor det kommer fra og i mange tilfeller; hva er det som faktisk skjer. Sørg for å ha en avtale med et selskap som tilbyr bistand ved kritisk hendelseshåndtering.