Unia Europejska uruchomi w styczniu 2012 projekt ochrony systemów informatycznych zakładów usług publicznych, jak wodociągi czy elektrownie, przed atakami hakerów – poinformował magazyn New Scientist. Komisja Europejska przeznaczy na ten cel 5 mln euro.
Projekt PRECYSE rozpocznie się w styczniu 2012 i docelowo ma doprowadzić do wypracowania rozwiązań ochrony dla systemów informatycznych do zarządzania usługami publicznymi w całej UE. Projekt obejmie ochronę przed hakerami systemów do zarządzania używanych w zakładach usług publicznych, jak: wodociągi, sieć elektryczna, oczyszczalnie ścieków czy szpitale i przychodnie lekarskie.
Pierwszym krajem, w którym będą wprowadzane i testowane rozwiązania realizowane w ramach projektu jest Holandia.
Decyzja KE zapadła po ataku 21 listopada br., kiedy nieznani wcześniej hakerzy dokonali ataku na informatyczny system do zarządzania SCADA, należący do wodociągów w Illinois. Sprawcom udało się, poprzez manipulowanie częstotliwościami pracy sterowników, spowodować rozregulowanie a następnie spalenie silnika jednej z pomp głównych. Systemu SCADA używają m.in. Niemcy, Wlk. Brytania, Hiszpania, Włochy i Francja.
Projekt będzie prowadzony przez holenderskie laboratorium badawcze IT – TNO Defence. Jego pierwsze stadium ma dotyczyć wodociągów. Zostaną sprawdzone i będą monitorowane systemy bezpieczeństwa stosowane w 10 przedsiębiorstwach, dostarczających wodę pitną do holenderskich miast.
Analiza będzie dotyczyć tych elementów informatycznego systemu do zarządzania produkcją SCADA (Supervisory Control and Data Acquisition Systems), które są odpowiedzialne za takie procesy jak pobieranie wody, oczyszczanie, kontrola jakości i przesył do sieci wodociągowej i dalej do domów.
Systemy SCADA od czasu ich stworzenia w latach 90. uległy znaczącej ewolucji. Jej najważniejszym elementem było przejście od zamkniętych drogich sieci dedykowanych, do dostępu, opartego na internecie, co pozwoliło co prawda tworzyć rozwiązania tanie, elastyczne i łatwo dostępne zdalnie, ale za to o obniżonym poziomie bezpieczeństwa.
Zespół badaczy z TNO Defence pod kierownictwem dra inż. Erica Luiijfa stworzył katalog błędów w implementacji systemów SCADA w wodociągach oraz ich słabych punktów, z których korzystają hakerzy.
Niektóre firmy, dla obniżenia kosztów, nie odseparowały biurowych systemów Office i SCADA. Działają one na tych samych komputerach i awaria sprzętu czy zawirusowanie powodują wyłączenie systemu SCADA. Często zdalny dostęp do systemu zarządzania, który powinien być obwarowany mechanizmami kontroli bezpieczeństwa, jest możliwy po wpisaniu prostego hasła. Co gorsza tymczasowe hasła i loginy przydzielane są informatykom bądź inżynierom z firm trzecich, które zajmują się podwykonawstwem. „Podpinają się” oni do systemu często za pomocą notebooków, w których znajduje się stary nieaktualny pakiet antywirusowy lub nie ma nawet darmowego firewalla.
Taki właśnie błąd pozwolił hackerowi o nicku „pr0f” na udane włamanie 20 listopada br. do systemu kontroli drugiego co do wielkości amerykańskiego przedsiębiorstwa wodociągowego.
Dokumenty, jakie opublikował na ulubionym serwisie hakerów – Pastebin – zawierały linki do zrzutów ekranu z wewnętrznego systemu kontroli oczyszczalni ścieków Houston-Południe. Oświadczenie pr0f nie zostało w żaden sposób skomentowane przez South Houston’s Water and Sewer Department, zarządzający oczyszczalnią.
Sam haker oświadczył w wywiadzie na stronie Threat Post, iż dostęp do sieci Houston – Południe był bardzo prosty. Użył trzyznakowego, fabrycznego hasła do systemu SCADA, doskonale znanego wszystkim inżynierom z Niemiec (systemy SCADA są produkcji niemieckiego Siemensa – PAP). Pr0f zapewnił, że niczego nie uszkodził, ani nie zniszczył, chciał tylko pokazać jak łatwy jest internetowy dostęp do tak newralgicznej firmy jak wodociągi.
Jednym z celów PRECYSE jest stworzenie systemu alarmowego, który zaczyna działać przy próbie nieuprawnionego dostępu do systemu SCADA oraz posiada listę osób uprawnionych do dostępu do tego systemu. Jak powiedział New Scientist dr inż. Sakir Sezer z Queens University Belfast w Wlk. Brytanii, chodzi o stworzenie listy dostępu umożliwiającej tylko uprawnionym osobom wejście do systemu i zablokowanie działań hakerskich – w przypadku prób np. pozyskania kodów kontrolnych używanych do sterowania sprzętem, dostęp będzie zablokowany.
Problemem jest, jak zauważył Sezer, stworzenie elastycznego oprogramowania, tak, aby w momencie jakiejkolwiek zmiany np. w stanowisku służbowym czy przyporządkowaniu osoby uprawnieniami, rozwiązanie bezpieczeństwa automatycznie nie blokowało dostępu do SCADA.
Źródło: esculap.pl/PAP