Przerwy w dostawach prądu w Brazylii, zakłócenia funkcjonowania program nuklearnego Iranu czy niedawne skoordynowane ataki na firmy energetyczne są przykładem wrażliwości światowej infrastruktury energetycznej na cyberataki.
Na pewno słyszeli Państwo o wykrytym latem ub.r. robaku Stuxnet, który infekował i modyfikował działanie przemysłowych systemów sterowania (SCADA). Robak ten rozpowszechniał się także na systemy nie podłączone do Internetu wykorzystując nośniki pendrive stosowane podczas prowadzenia rutynowych prac konserwatorskich. Media informowały o nim bardzo szeroko, gdyż przełamał on istotną barierę psychologiczną. W tym czasie bowiem powszechnie uznawano, że takie zjawiska, jak cyberprzestępczość czy cyberwojna dotyczą wyłącznie Internetu i obszaru komunikacji, natomiast instalacje przemysłowe i „świat rzeczywisty” w zasadzie są od tych zagrożeń wolne. Tymczasem Stuxnet (którego autorstwo przypisywano tajnym służbom Izraela i USA) udowodnił, że jest inaczej – że odpowiednio zdeterminowany i wyposażony ośrodek jest w stanie zdalnie zakłócić funkcjonowanie instalacji energetycznych i przemysłowych oraz strategicznej infrastruktury innego państwa nawet, jeżeli nie są one bezpośrednio podłączone do Internetu. Tymczasem przedsiębiorstwa odpowiedzialne za tę infrastrukturę nadal nie są przygotowane na tego typu ataki.
Firma McAfee wraz z amerykańskim Centrum Studiów Strategicznych i Międzynarodowych opublikowało dziś wyniki badań pokazujących konsekwencje cyberataków na strategiczną infrastrukturę państw, taką jak sieci energetyczne, infrastruktura branży paliw płynnych i gazowych oraz przedsiębiorstwa wodociągowe. Raport ten m.in. pokazuje, że:
- 80 proc. ankietowanych firm energetycznych doświadczyło zmasowanych ataków typu denial of service.
- Ok. 75 proc. respondentów wykryło w swoich systemach obce oprogramowanie, które mogło je uszkodzić.
- Ponad 40 proc. ankietowanych decydentów uważa, że branża energetyczna jest bardziej podatna na ataki, niż rok wcześniej.
- Ponad 40 proc. respondentów obawia się dużego cyberataku w ciągu najbliższego roku.
- Prawie 30 proc. ankietowanych decydentów uważa, że ich firma nie jest właściwie przygotowana na tę formę ataku.
- Co czwarta firma twierdziła, że była atakowana raz w tygodniu lub częściej.
- 25 proc. respondentów było ofiarami prób wymuszeń.
Te szokujące dane są oparte na kwestionariuszach, które wypełnili dyrektorzy odpowiedzialni za bezpieczeństwo z 200 firm energetycznych z całego świata.
W badaniu wzięło udział 200 dyrektorów odpowiedzialnych za bezpieczeństwo rozwiązań informatycznych z firm obsługujących kluczową infrastrukturę energetyczną w 14 krajach. Wyniki ankiety pokazują, że zdaniem 40 proc. respondentów ich branża jest teraz bardziej podatna na ataki. Niemal 30 proc. ankietowanych jest zdania, że ich firma nie jest przygotowana na odparcie cyfrowych zagrożeń, natomiast ponad 40 proc. obawia się dużego ataku cyberprzestępców w ciągu najbliższego roku.
Raport pt. „In the Dark: Crucial Industries Confront Cyberattacks” („W ciemności: kluczowe branże mierzą się z cyberatakami”) został opracowany przez CSIS na zlecenie firmy McAfee. – Poziom zabezpieczeń stosowanych w ważnych sektorach cywilnych jest nieadekwatny do wzrostu zagrożenia w ubiegłym roku – powiedział Stewart Baker, który kierował badaniem w centrum CSIS. W ubiegłym roku decydenci poczynili niewielkie postępy w zakresie zabezpieczania swoich sieci. Penetracja technologii zabezpieczających w sektorze energetycznym wzrosła zaledwie o jeden punkt procentowy (do 51 proc.), natomiast w branży paliw płynnych i gazowych – o trzy punkty procentowe, do 48 proc.
– 90-95 proc. osób pracujących nad inteligentnymi sieciami elektrycznymi w ogóle nie zastanawia się nad kwestiami bezpieczeństwa. Oni traktują tę kwestię jedynie jako pozycję do odfajkowania, i to na samym końcu – powiedział Jim Woolsey, były Dyrektor Centrali Wywiadu Stanów Zjednoczonych.
Tegoroczne badanie jest kontynuacją raportu „In the Crossfire: Critical Infrastructure in the Age of Cyberwar” („W krzyżowym ogniu — infrastruktura o znaczeniu strategicznym w dobie cyberwojen”) opublikowanego w 2010 r. Wykazano wówczas, że na całym świecie sieci komputerowe powiązane z infrastrukturami o znaczeniu strategicznym nie są należycie chronione. Pokazano też, jak kosztowne są skutki cyberataków. Nowe badanie dowodzi, że poziom zagrożenia infrastruktur o znaczeniu strategicznym rośnie coraz szybciej. Nie przekłada się to jednak na reakcję przedsiębiorstw, mimo że większość respondentów (ok. 75 proc.) często spotyka się z oprogramowaniem, które ma sabotować ich systemy, a niemal połowa ankietowanych z sektora energetycznego znalazła w swoich systemach robaka Stuxnet. To zagrożenie dotyczy również inteligentnych sieci elektrycznych, które stają się coraz bardziej popularne. Szacuje się, że w 2010 r. nakłady na ich budowę przekroczyły w skali globalnej 45 mld USD.
– Dopiero zaczynamy dostrzegać, że inteligentna sieć elektryczna nie jest aż tak inteligentna – powiedziała Phyllis Schneck, wiceprezes ds. analizy zagrożeń w firmie McAfee. – W ubiegłym roku mieliśmy do czynienia z jedną z najbardziej zaawansowanych form szkodliwego oprogramowania, jaką był robak Stuxnet. Stworzono go specjalnie z myślą o sabotowaniu systemów IT w infrastrukturach o kluczowym znaczeniu. Niestety, większość tych systemów powstała bez uwzględniania kwestii bezpieczeństwa. Dlatego przedsiębiorstwa muszą lepiej kontrolować swoje sieci i ograniczyć ich podatność na cyberataki.
Tegoroczny raport pokazał, że:
- Cyberataki wciąż są bardzo rozpowszechnione – 80 proc. respondentów spotkało się z atakiem typu „odmowa usługi” (DDoS), natomiast co czwarty miał do czynienia z atakami DDoS przynajmniej raz w tygodniu i/lub padł ofiarą wyłudzenia w wyniku ataków na sieć.
- Próby wyłudzenia w sieciach związanych z kluczową infrastrukturą stały się bardziej liczne – ofiarą wyłudzenia na skutek cyberataków lub groźby ich przeprowadzenia padł co czwarty respondent. Liczba firm, których dotknęły wyłudzenia, wzrosła w zeszłym roku o 25 proc., a przypadki wyłudzeń były równie często spotykane we wszystkich sektorach zaliczanych do infrastruktury o znaczeniu strategicznym. Najwięcej prób wyłudzenia odnotowano w Indiach i w Meksyku, gdzie zetknęło się z nimi 60–80 proc. ankietowanych dyrektorów.
- Firmy nie wdrażają skutecznych zabezpieczeń – zaawansowane środki bezpieczeństwa instalowane po stronie użytkowników są rzadkością, a tylko jedna czwarta ankietowanych wdraża narzędzia do monitorowania aktywności w sieci. Zaledwie 26 proc. korzysta z narzędzi do wykrywania nietypowego zachowania pracowników.
- Państwa dbają o bezpieczeństwo w różnym stopniu – Pod względem poziomu zabezpieczeń Brazylia, Francja i Meksyk wyraźnie pozostają w tyle. Wdrażają one o połowę mniej mechanizmów bezpieczeństwa, niż przodujące pod tym względem Chiny, Włochy i Japonia. Chiny i Japonia znalazły się też wśród państw, w których ankietowani mają największe zaufanie do możliwości przeciwdziałania atakom na drodze prawnej.
- Stany Zjednoczone i Europa nie dorównują Azji pod względem zaangażowania władz – w Chinach i Japonii widoczny jest wysoki poziom formalnych i nieformalnych kontaktów z władzami w kwestiach związanych z bezpieczeństwem. W Stanach Zjednoczonych, Hiszpanii i Wielkiej Brytanii takie kontakty są sporadyczne lub w ogóle nie istnieją.
- Firmy boją się ataków na infrastrukturę państwową – ponad połowa respondentów stwierdziła, że spotkała się już z atakami na infrastrukturę państwową. ◊