Stuxnet-ormen var en brat opvågning for alle, der administrerer kritiske industrinetværk. Ormen var ganske vist designet til kun at gøre skade på ét bestemt industrianlæg, men den blev fundet på adskillige netværk i store virksomheder rundt om i verden. Vel at mærke til trods for, at disse netværk i princippet skulle være sikre.
Det primære sikkerhedsprincip for de netværk, som bruges til at styre store industrisystemer lige fra olieraffinaderier til elværker, er, at netværkene er lukkede og uden forbindelse til andre netværk og slet ikke til internettet.
Men Stuxnet formåede alligevel at sprede sig via inficerede USB-lagermedier, og derfor er det på tide at tage sikkerheden på de lukkede netværk op til fornyet overvejelse, lyder det fra sikkerhedsfirmaet Sourcefire, som nu er en del af Cisco.
»Der er mange produktionsvirksomheder, som allerede har fået et wake-up call, fordi de har været udsat for en forstyrrelse, og de ved, at presset bliver større,« siger nordisk distriktschef Jan Bau fra Sourcefire til Version2.
Han mener, at det i praksis er nærmest umuligt at beskytte et lukket netværk, fordi der let kan ske menneskelige fejl såsom at koble en bærbar pc eller et USB-lagermedie på netværket.
»Forsvaret har eksempelvis lukkede netværk, hvor der endda skal være en vis fysisk afstand mellem netværkskablerne. De sender ingenting elektronisk, men afleverer en fysisk disk. Det er fint, men de ved ikke, hvad der foregår på netværket. Softwaren bliver ikke opdateret, så der er mange ubekendte,« siger Jan Bau.
Politikken med ikke at opdatere softwaren på netværket er med til at øge uvisheden, fordi det betyder, at man kan ende med mange forskellige versioner af styresystemer, når netværket bliver udvidet eller enheder udskiftet.
Det gælder både for lukkede pc-netværk som i forsvaret og for industrielle kontrolsystemer, der også er kendt som SCADA-netværk. SCADA står for Supervisory Control and Data Aquisition og dækker over industristyringssystemer fra leverandører som Siemens, ABB og Honeywell.
»Det er teknikere og ingeniører, som administrerer SCADA-netværk, og de fokuserer på tilgængeligheden og vil have 99.999 procents oppetid, så de vil ikke have forstyrrende elementer,« siger Jan Bau.
Det betyder, at netværkene bliver holdt fri fra patch management-software, som ellers skulle holde systemerne opdateret mod potentielle sikkerhedshuller, eller antivirus, som kunne beskytte mod ondsindet software.
Udfordringen er, at mange industrisystemer er beregnet til at køre 24 timer i døgnet med så få servicevinduer som muligt, og de vinduer er typisk mere beregnet til at rense ventiler eller anden mekanisk vedligeholdelse frem for at opdatere software.
»Hvis du skal lukke et SCADA-netværk ned i en time for at opdatere software, så kan det være sindssygt dyrt, men SCADA bliver brugt af energiselskaber, til ventilation og i lufthavne, så det kan have ekstrem betydning, hvis de ikke virker,« siger Jan Bau.
I sagen om Stuxnet var der tale om en orm, som skulle få centrifugerne på et iransk uranforarbejdningsanlæg til at arbejde med en varierende hastighed, som over en længere periode ødelagde centrifugerne.
I princippet er der intet, der forhindrer en tilsvarende orm i at blive brugt til at sabotere en vindmøllepark.
Både industrivirksomhederne og leverandørerne af systemerne har desuden tidligere kunnet læne sig op af, at protokollerne på SCADA-netværkene var temmelig specialiserede og kun var kendt af specialister. Den barriere er blevet mindre, blandt andet fordi netværkene i dag er blevet baseret på IP-protokollen, hvor protokoller såsom varianter af Fieldbus ligger oven på.
Det betyder imidlertid også ifølge Jan Bau, at løsningen på problemet kan ligge lige for.
»Du har mulighed for at udnytte de samme principper, som du bruger på dit almindelige pc-netværk,« siger Jan Bau.
På IP-baserede industrinetværk kan man altså indføre de samme teknologier til især overvågning af, hvilke systemer der findes på netværket, hvilke versioner af software de kører, og hvordan de taler sammen.
Faktisk kan det i visse tilfælde være mere simpelt at opdage usædvanlige kommunikationsmønstre, fordi produktionssystemerne som regel følger den samme procedure igen og igen.
»I produktionen ser du ofte, at du har kommunikation mellem A og B og mellem B og C, så hvis du ser noget mellem A og C, så er det unormalt,« forklarer Jan Bau.
Udfordringen er dog, at der i et stort SCADA-system kan være tusindvis af enheder, så der kan tilsvarende blive genereret tusindvis af advarsler om usikre hændelser, men hvor kun en håndfuld er kritiske. Derfor er det nødvendigt at have et værktøj, som kan identificere de mønstre, der har en høj risiko.
Et andet problem på SCADA-systemerne er, at man for at holde et højt sikkerhedsniveau har arbejdet med en ren whitelist, altså en liste over, hvilken software der må køre og med hvilke rettigheder.
»Der findes ingen blacklist. Det er et problem, fordi du ikke har en graduering af, hvad der er tilladt,« siger Jan Bau.
Hvis man giver adgang til, at en enhed kan læse fra et USB-drev for at kunne installere opdatering eller hente nogle data, så giver det også mulighed for, at det USB-drev kan bruges til at få ondsindet software ind. Og hvis det først er inde, så kan det være der i månedsvis uden at blive opdaget.
»Problemet med at blokere for software er falske positiver, som er helt udelukket i SCADA-verdenen, fordi det har store konsekvenser, hvis du får lukket for noget, du ikke skulle lukke,« siger Jan Bau.
Vælger man at administrere sit SCADA-netværk efter samme principper som det almindelige kontor- eller datacenternetværk, så indebærer det også velkendte elementer som firewalls, patch management-software og intrusion prevention-systemer.
Samtidig bør man sørge for at sætte en del af sit budget til side til at forberede sig på at kunne rydde op, hvis man alligevel bliver ramt.
Ansvaret for sikkerheden skal heller ikke ligge hos de teknikere, som har ansvaret for driften af produktionssystemet, men bør ligge hos de it-sikkerhedsansvarlige i organisationen.
»Ansvaret skal ligge hos it-sikkerhedsafdelingen. De har kendskabet til at vedligeholde netværk. Det vil være samme forhold som mellem en applikationsejer i forretningsdelen af organisationen og sikkerhedsafdelingen. Det vil skabe friktion,« siger Jan Bau.
Leave a Reply