Incydenty komputerowe dotyczące systemów SCADA infrastruktury krytycznej można podzielić na trzy kategorie55:
– zamierzone, ukierunkowane cyberataki z wykorzystaniem różnych technik ofensywnych, takich jak uzyskanie nieautoryzowanego dostępu do sieci przemysłowej, ataki odmowy usług typu DDoS czy ataki typu phishing56;
– niezamierzone skutki lub przypadkowe straty wynikłe z niszczycielskiego oddziaływa-nia programów wirusowych, robaków internetowych lub awarii systemów kontrolnych;
– niezamierzone skutki działania personelu wewnętrznego, urządzeń lub procedur. Do tej kategorii incydentów można zaliczyć testowanie nieodpowiedniego oprogramowania lub systemu operacyjnego czy nieautoryzowaną zmianę ustawień konfiguracyjnych.
Najgroźniejsza jest pierwsza kategoria incydentów komputerowych, czyli zamierzone cy-berataki na systemy kontroli przemysłowej. Wymagają one posiadania szczegółowej wiedzy o atakowanym elemencie infrastruktury, zainstalowanym oprogramowaniu i stosowanych procedurach. Jest to najmniej liczna kategoria incydentów (jednak najbardziej szkodliwych), a ich sprawcami prawie zawsze są pracownicy firmy działający z pobudek osobistych (tzw. in-siders)57. Eksperci przyznają, że uzyskanie potencjału niezbędnego do przeprowadzenia efek-tywnych cyberataków z zewnątrz, a więc takich, w które nie są zaangażowani pracownicy sektora oraz które powodują zniszczenia i straty w świecie materialnym, wymaga przezwy-ciężenia poważnych trudności organizacyjnych i technologicznych.
Przede wszystkim konieczne są: rozbudowane, bezpieczne zaplecze technologiczne (se-cure facility), wieloletnie inwestycje w rozwój trwałych zdolności do działań ofensywnych
53 Vide: B. Schneier, Hack Against SCADA System, „Schneier on Security” [online], 21.11.2011, http://www.schneier.com [dostęp: 15.08.2014]; K. Zetter, Exclusive: Comedy of Errors Led to False ‘Water-Pump Hack’ Report, „Wired” [online], 30.11.2011,http://www.wired.com [dostęp: 15.08.2014]. Rzekomy rosyjski haker okazał się amerykańskim konsultantem zakładów wodociagowych, który podczas urlopu w Rosji sprawdzał stan systemu SCADA za pomocą Internetu. Uszkodzenie pompy miało charakter mechaniczny i przypadkowy oraz w żaden sposób nie było związane z oprogramowaniem SCADA.
54 Podobnych przykładów niekompetentnych doniesień medialnych można podać więcej, np. przypadek amerykańskiego hakera z 1994 r., który włamał się do systemu zarządzającego przepływem wody w kanałach w Arizonie (USA) i rzekomo mógł doprowadzić do katastrofy – zalać położone niżej miejscowości. Doniesienia te okazały się nierzetelne, a prognoza zagrożenia mijała się z rzeczywistością. Vide: M. Lyons, Threat Assessment…, op.cit., s. 29.
55 R. Tsang, Cybertheats, Vulnerabilities and Attacks on SCADA Networks, Working Paper, University of California, Goldman School of Public Policy, 2009, s. 5.
56 Szerzej o tego typu atakach na systemy SCADA: T.H. Morris, W. Gao, Industrial Control System Cyber Attacks, „Proceedings of the 1st International Symposium for ICS & SCADA Cyber Security Research 2013”, Leicester, UK, 16–17 September 2013.
57 R. Tsang, Cybertheats…, op.cit., s. 5; T. Kenedli, J. Béres,Is the cyberterror threat exaggerated? „Academic and Applied Research in Military Science” 2008 Vol. 7 No. 1, s. 17.
w cyberprzestrzeni oraz odpowiednie centrum badawcze do testowania opracowywanych metod cyberataku (testbed)58. Zasady funkcjonowania systemu SCADA (na przykład okre-ślonej sieci elektroenergetycznej) z reguły nie są powszechnie dostępne. Z licznych przy-kładów udanych cyberataków z zewnątrz organizacji wynika, że samo włamanie się do sieci wcale nie oznacza, iż intruz wie, co zrobić, żeby spowodować poważne zniszczenia lub straty.
Jak wskazuje kazus robaka Stuxnet59, przygotowanie niszczącego cyberataku na infrastruk-turę krytyczną zajmuje dużo czasu oraz wymaga znaczących nakładów finansowych. Ponadto tego typu przedsięwzięcie wymaga skoordynowania pracy wielu wysoko wykwalifikowa-nych specjalistów60, między innymi osób zajmujących się wywiadem i rozpoznaniem obiek-tu ataku (lokalizacja i rozmieszczenie infrastrukobiek-tury, obsada personalna wraz z hierarchią, stosowane systemy zabezpieczeń), specjalistów branżowych z dziedziny atakowanej infra-struktury (w przypadku robaka Stuxnet byli to specjaliści od oprogramowania urządzeń mar-ki Siemens do wzbogacania uranu) czy informatyków odpowiedzialnych za przygotowanie sposobu cyberataku (stworzenie kodu złośliwego oprogramowania, jego technik maskują-cych przed powszechnie stosowanymi programami antywirusowymi, wykrycie niezabezpie-czonych luk w systemie w celu zainfekowana obiektu ataku itp.)61. Innymi słowy, ukierun-kowany cyberatak na infrastrukturę krytyczną jest przedsięwzięciem kosztownym i skomplikowanym, obarczonym dużym ryzykiem niepowodzenia oraz niemającym wiele wspólnego z przypadkowymi infekcjami komputerowymi, okazjonalnymi włamaniami ha-kerskimi lub typowymi awariami systemów teleinformatycznych.
Długotrwałość procesu planowania i organizowania cyberataku jest czynnikiem skutecz-nie ograniczającym prawdopodobieństwo jego udanej realizacji. Udany cyberatak, który został wykryty i upubliczniony, prowadzi do szybkiego wzrostu poziomu zabezpieczeń w zaatakowanym obszarze i zwiększenia stopnia czujności personelu odpowiedzialnego za bezpieczeństwo teleinformatyczne. W znaczący sposób utrudnia to kolejne działania przeciwko temu samemu obiektowi z wykorzystaniem zbliżonej techniki62. Pisze o tym Marian Kopczewski: Paradoksalnie bowiem sami hakerzy komputerowi w znacznym stop-niu przeciwdziałają możliwości organizacji wielopoziomowych, złożonych i długofalowych ataków cyberterrorystycznych. Owi pasjonaci sprzętu, oprogramowania komputerowego i techniki spędzają życie, wyszukując i publicznie demaskując słabości poszczególnych systemów. Część z nich co prawda używa tej wiedzy nielegalnie dla emocji, zabawy, sła-wy czy chęci zdobycia pieniędzy. Jednakże takie poczynania demaskują błędy w oprogra-mowaniu i walnie przyczyniają się do ich systematycznej i stopniowej eliminacji. Ten
cią-58 R.K. Knake, Cyberterrorism Hype v. Fact, „Council on Foreign Relations” [online], 16.02.2010, http://www.cfr.org [dostęp:
15.08.2014].
59 Cyberatak przeprowadzony przeciwko irańskiemu programowi nuklearnemu. Vide: R. Langner, To Kill a Centrifuge.
A Technical Analysis of What Stuxnet’s Creators Tried to Achieve, The Langner Group, Arlington/Hamburg/Munich, November 2013.
60 A. Matrosov et al., Stuxnet Under the Microscope, ESET Report, Revision 1.31, January 1, 2011, s. 10.
61 B. Mantel, Terrorism and the Internet. Should Web Sites That Promote Terrorism Be Shut Down? „CQ Researcher”
November 2009 Vol. 3 Issue 11, s. 10.
62 Council of Europe, Cyberterrorism…, op.cit., s. 10.
gły wyścig z czasem utrudnia zaplanowanie w oparciu o istniejące luki bezpieczeństwa złożonego ataku terrorystycznego, którego konsekwencje byłyby poważne i rozległe. W do-brze administrowanych systemach wykryte i krytyczne dla działania systemu luki średnio istnieją nie dłużej niż 5 dni63.
Coraz częściej eksperci dowodzą, że infrastruktura krytyczna oraz systemy SCADA są bar-dziej odporne na różnego rodzaju zakłócenia, niż sugerowali to wcześniejsi teoretycy cyber-terroryzmu64. Wydarzenia, które mogłyby być wynikiem udanego cyberataku (awarie syste-mów zaopatrujących w wodę, przerwy w dopływie energii elektrycznej, zakłócenia w ruchu lotniczym oraz dziesiątki innych sytuacji awaryjnych), zdarzają się każdego dnia na całym świe-cie i z reguły mają marginalny wpływ na bezpieczeństwo narodowe. Zjawiska pogodowe, ta-kie jak burze śnieżne czy huragany, często pozbawiają duże skupiska ludzta-kie dostępu do pod-stawowych usług na wiele godzin lub dni65. Mimo zniszczeń na dotkniętych kataklizmami obszarach infrastruktura krytyczna wykazuje zadziwiające zdolności do szybkiej odbudowy i regeneracji powstałych uszkodzeń66. Cyberterroryści musieliby skutecznie atakować wiele obiektów jednocześnie przez dłuższy czas, aby stopniowo wywoływać przerażenie ludności i w sposób zauważalny wpłynąć na bezpieczeństwo narodowe67. Ponadto wiele elementów infrastruktury krytycznej ma dodatkowe fizyczne zabezpieczenia systemów kontroli i nadzo-ru, niemożliwe do ominięcia, by przeprowadzić atak wyłącznie w cyberprzestrzeni68.
Podsumowując, współczesne systemy SCADA mają liczne luki i słabości w stosowanych zabezpieczeniach teleinformatycznych69. Mimo to do włamania się do systemów kontroli przemysłowej infrastruktury krytycznej, rozpoznania jej słabych elementów oraz dokonania poważnych uszkodzeń, konieczne jest działanie licznej grupy doświadczonych programistów i specjalistów branżowych, którzy mają stosowne zaplecze technologiczne i zabezpieczenie finansowe oraz działają w sposób skoordynowany70. Obecnie warunki te spełniają tylko naj-większe podmioty państwowe.
63 M. Kopczewski, Elementy infrastruktury krytycznej państwa (organizacji) – jako obiekty narażone na ataki cyberterrorystyczne, materiał z Konferencji KZZ Zakopane, 2011, s. 580, http://www.ptzp.org.pl [dostęp: 15.08.2014].
64 C. Wilson , Botnets, Cybercrime…, op.cit., s. crs-23.
65 Ibidem.
66 J.A. Lewis, The Electrical Grid…, op.cit., s. 2; C. Wilson, Computer Attack and Cyberterrorism: Vulnerabilities and Policy Issues for Congress, Congressional Research Service, CRS Report for Congress, RL32114, April 1, 2005, s. crs-11.
67 S. Nance, Debunking Fears: Exercise Finds ‘Digital Pearl Harbour’ Risk Small, „Defense Week” April 7, 2003, za:
C. Wilson, Botnets, Cybercrime…, op.cit., s. crs-23.
68 R. Tsang, Cybertheats…, op.cit., s. 17. Należy jednak pamiętać, że mimo mechanizmów ochronnych istnieje możliwość fizycznego uszkodzenia niektórych urządzeń przemysłowych wyłącznie w wyniku cyberataku przeprowadzonego w cyberprzestrzeni. Przykładem – kazus robaka Stuxnet oraz eksperyment Aurora Generator Test. Eksperyment ten, przeprowadzony w laboratorium Idaho National Labs w USA w 2007 r., udowodnił, że możliwe jest zdalne uszkodzenie generatora w wyniku przesłanie nieprawidłowych poleceń droga elektroniczną. R. Lemos, DHS video shows potential impact of cyberattack, „SecurityFocus” [online], 27.09.2007, http://www.securityfocus.com [dostęp: 15.08.2014]; G. Jarvis, Comprehensive Survey of Cyber-Terrorism, Student Survey Papers, prof. Rai Jain, CSE571S: Network Security (Fall 2011), http://www.cse.wustl.edu [dostęp: 15.08.2014]; R. Tsang: Cybertheats…, op.cit., s. 17–18; J.A. Lewis, The Electrical Grid…, op.cit.
69 L. Piètre-Cambaédès et al., Cybersecurity Myths on Power Control Systems: 21 Misconceptions and False Beliefs, „IEEE:
Transactions on Power Delivery” January 2011 Vol. 26 No. 1, s. 161–172.
70 R.K. Knake, Cyberterrorism Hype…, op.cit.
n