Idén február 20-án vendégposzt közzétételére volt módom az ICS Cyber Security blogon. A posztban egy első látásra a kiberbiztonságtól távoli eset – az egységes európai villamosenergia-rendszer január 8-ai két részre szakadása – kapcsán vezettem le azt, hogy éppenséggel lehet kapcsolat.
Az elmúlt mintegy fél évben tovább folytatódott a történtek kontinentális szintű szakértői vizsgálata. A július 15-én közreadott vizsgálati zárójelentés munkálatai során egyebek mellett az alábbiak derültek ki:
- a diszpécserek által látható árammérés a valósnál kevesebbet mutatott, így a diszpécserek nem lehettek tudatában, hogy a végül kikapcsolódott hálózati elem terhelése valójában a kioldási határ közelében volt, továbbá
- miközben a SCADA lekérdezési idők rendben voltak, de az alarm határértékek beállítása nem volt tökéletes.
Vizsgáljuk meg ezeket alaposabban!
A diszpécserek megtévesztése a folyamatérzékelők jeleinek meghamisításával bő 10 éve már a Stuxnetnek sem okozott problémát!
A támadás során az uráncentrifugák fordulatszáma úgy tudott magas és alacsony értékek között változni (és ezzel tönkremenetelüket okozni), hogy a diszpécsereknek fogalma sem volt erről.
A nem optimális alarm-kiváltó értékek is nehezíthették azt, hogy a diszpécserek időben és helyesen ismerjék fel a kialakuló veszélyes üzemállapotot.
Nem állítható, hogy az említett két tényező közvetlen kiváltó oka lett volna a január 8-ai rendszerbomlásnak. A vizsgálat pedig teljességgel kizárta a kibertámadás lehetőségét.
Ugyanakkor mindkét tényezőről kijelenthető, hogy egy esetleges támadás során a támadó általi (mint láttuk, nem is előzmény nélküli)
manipulálásuk esetén jelentősen késleltethető, ill. csökkenthető annak esélye, hogy a diszpécserek felismerjék a támadás miatt kialakuló rendellenes üzemállapotot, ill. magát a támadást.
Az első eset tulajdonképpen arra is megerősítést ad, hogy valóban indokolt lehet a technológia-közeli eszközök és rendszerek korábbi posztban jelzett védelme, integritásuk garantálása.
A fentiek tükrében nincs ok a februári posztban jelzett azon vélemény felülvizsgálatára, mely szerint
akár egyetlen átviteli hálózati elem kiesése – avagy kibertámadás egyik mozzanataként annak kiejtése – is súlyos rendszerüzemzavar okozója lehet.
Ráadásul fokozott figyelmet kívánnak az utóbbi bő 1 év azon fejleményei, amelyek az ellátási lánc növekvő sérülékenységére hívták fel a figyelmet. Tisztában kell lenni azzal, hogy e sérülékenységeket kihasználva a potenciális támadók újabb eszközök birtokába juthatnak pl. egy-egy kritikus villamoshálózati elem kiejtésével kiváltott rendszerüzemzavar előidézéséhez.
[14]
Szívesen vesszük a fentiekkel akár egyetértő, akár azokkal vitatkozó üzeneteket. Ezekre pl. újabb posztban reagálva akár érdemi szakmai eszmecsere is megindulhat.