"Digisikker 2012" som PDF - RFSITS

FAKTA
SÅDAN ANGRIBES
INDUSTRI COMPUTERE
PLC´ERE SIDDER I DAG i næsten alle
automatiserede industrisystemer. Det vil
sige i alt fra vaskehallen nede på tanken
og landbrugets malkemaskiner til bilfabrikker
og atomkraftanlæg. De PLC´ere, der
i dag installeres, baserer sig på teknologi,
der blev udviklet i begyndelsen af
1980´erne. Systemerne er løbende blevet
udbygget med basis i den oprindelige
kerne. Det betyder, at det grundlæggende
design i de chips, som benyttes, er fra en
tid, hvor it-sikkerhed ikke var en integreret
del af arkitekturen. De former for
sikkerhed, der findes, er lappeløsninger,
som er kommet til efterfølgende. Det gør
PLC´ere særligt udsatte for de såkaldte
zero day-angreb, det vil sige angreb via
sikkerhedshuller, som ikke tidligere har
været kendt, netop som
det var tilfældet med
Stuxnet-ormen. Det
er et kapløb, hvor
udviklerne hele tiden
er bagud i forhold til
sikkerhedstruslerne.
PLC-bokse af denne
type sidder i næsten
alle automatiserede
industrisystemer.
ELMÅLERNE KAN BLIVE
NÆSTE HACKER-MÅL
INTELLIGENTE ELMÅLERE er installeret
i flere hundredetusinde danske hjem.
De gør det muligt at overvåge og styre
forbruget. Målerne er koblet sammen i et
stort netværk, hvor data om elpriser og
forbrug løbende udveksles. Med tiden vil
det blive muligt at tænde og slukke hjemmets
el-apparater automatisk via målerne.
Målerne kan også tilgås fra computere og
smartphones. Det skaber helt nye muligheder
for at anrette virusangreb mod de
private hjem. Elmålerne er nemlig baseret
på de samme, gamle teknologier, der er
sårbare over for vira af samme type som
Flame og Stuxnet.
STUXNET OG FLAME –
DE ONDE FÆTRE
STUXNET VAR IKKE blot en enkeltstående
orm. It-sikkerhedseksperter fra
blandt andet Kaspersky har afdækket
en nær familierelation mellem Stuxnet
og Flame, der blev opdaget i 2012. Da
Stuxnet blev opdaget i 2010, viste det
sig, at der var tre versioner i omløb, og
at de havde huseret siden 2009. Man
har indtil for nylig troet, at der var tale
om én isoleret kode. Nu viser det sig, at
den nyligt opdagede Flame-orm faktisk er
ældre, og at Stuxnet til dels er baseret på
Flame-platformen.
Modelfoto: flickr/teleradiogroup CC BY-ND
STUXNET ÆNDREDE ALT:
Da industrien fik
taget sin uskyld
Millioner af små computere, som holder
essentielle produktionsanlæg kørende,
kan meget vel blive de næste store mål for
hackere og terrorister. Det står klart, efter
computerormen Stuxnet i 2010 blev opdaget.
Den havde spredt sig via Microsoft
Windows, og dens mål var en helt bestemt
type industricomputer på iranske atomanlæg.
Ormen var så avanceret, at der i dag
er bred enighed om, at USA og Israel har
stået bag. Alt tyder på, at den ikke skulle
have været sluppet løs på internettet –
men nu er det sket, og hackere kan bruge
koden til at lave nye varianter.
INDUSTRIENS COMPUTERSYSTEMER holder samfundet
kørende. I alle produktionssystemer sidder der små computere
og styrer robotter, opsamler data eller justerer hastighed
på transportbånd. Traditionelt har disse småcomputere, der
baseres på PLC´ere (Programmable Logic Controller), været
lukkede systemer. PLC´erne bliver dog i disse år integreret
i større produktionsstyringsløsninger, de såkaldte SCADA-
systemer. Forkortelsen SCADA står for Supervisory Control
And Data Acquisition, det vil sige overvågning og datafangst.
Systemerne er afgørende for, at de mange små computere kan
give virksomheden værdifulde oplysninger om produktionen.
SCADA-systemerne kobles i stigende grad sammen med
virksomhedernes økonomistyringssystemer, og det ses også
stadig oftere, at SCADA-systemer og -komponenter kan monitoreres
og serviceres via internettet.
Det gør livet lettere for virksomhederne, men det giver også
en række indgange for hackerangreb – netop det som skete
ved Stuxnet- og igen i 2012 med Flame-angrebene.
STUXNET-ORMEN BLIVER NU fanget af de fleste sikkerhedsløsninger,
men der er sket et fundamentalt skift. Det
krævede indsats fra to stater at udvikle den avancerede kode,
som Stuxnet benyttede, og som anvendtes som virtuelt våben
mod Iraks atomanlæg. Nu findes denne kode frit tilgængelig på
Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed
Iranske teknikere arbejder på Bushehr atomkraftværket i den sydlige del af landet. Iran har bekræftet at Stuxnet inficerede adskillige af de ansattes
bærbare computere, men har også ladet forstå at selve anlægget ikke blev påvirket.
internettet, og nye varianter, som benytter samme, avancerede
teknik, vil være nemme at udvikle.
Det har Yaniv Miron gjort for at vise, hvor sårbare virksomhederne
er. Han er sikkerhedskonsulent i virksomheden FortConsult,
og han har en fortid hos blandt andet Israels militær, Israel
Defence Forces. Han forsøger at oplyse om den potentielle risiko,
de meget udbredte SCADA- og PLC-baserede systemer
udgør for erhvervslivet og også for staters sikkerhed.
”TRUSLEN MOD VORES industrisystemer er reel. Når der
skal bores olie, eller når der skal etableres nye produktionssystemer,
så handler det for virksomhederne først og fremmest
om at få produktionen op i omdrejninger. It-sikkerhed er
man måske nok bevidst om, men ude i virksomhederne anses
industrisystemerne for kun at udgøre en lille risiko. Det skyldes,
at angrebene er sjældne, men risikoen stiger, i takt med at der
ikke tages hånd om problemet,” siger Yaniv Miron.
Virksomhedernes mangel på opmærksomhed betyder, at der
oppustes en boble af sårbarheder: Virksomhederne udbygger
konstant industrianlæg med usikker teknologi, samtidig med at
redskaberne til at kompromittere sikkerheden bliver mere og
mere tilgængelige.
”Det er ikke science fiction længere. Jeg har personligt hacket
mig ind i PLC´ere og SCADA-systemer, og værktøjer til at gøre
dette kan frit downloades fra internettet. Set fra et sikkerhedssynspunkt
er det en uholdbar situation,” fortæller Yaniv Miron.
SIKKERHEDSSTRATEG KIM AARENSTRUP fra IBM er
enig i den betragtning. Orme som Stuxnet og Flame har taget
industriens uskyld, og han mener, at virksomhedernes ledelser
i højere grad bør tage deres it-sikkerhedsfolk med på råd:
”Der er en tendens til, at sikkerhedsfolkene skal slås rigtig
hårdt for deres berettigelse. I forbindelse med finanskrisen er
sikkerheden forsvundet fra ledelses-radaren, i takt med at der
har været travlt med at kæmpe for forretningens økonomi.”
Han påpeger desuden, at en nylig IBM-undersøgelse af itsikkerheden
fordelt på lande verden over viser, at danske virksomheder
de seneste år er sakket agterud i forhold til andre
lande. Kim Aarenstrup anbefaler derfor, at man på ledelsesniveau
i danske virksomheder tager skridt til at hæve it-sikkerheden
fra et brandslukningsniveau til et strategisk niveau.
”Det er vigtigt at forstå, at it er en komponent i forretningen
og ikke kun noget, der vedrører it-afdelingen. Den forståelse
mangler i mange danske virksomheder,” siger Kim Aarenstrup.
Rådet For Større IT-Sikkerhed 13