Źródło: T. Walk, Cyber-attack protection…, op.cit., s. 7.
Cyberataki na sieci administracyjne. Udane cyberataki na typowe sieci administracyjne in-frastruktury krytycznej są odnotowywane każdego dnia na całym świecie. W ich wyniku naj-częściej zostaje naruszona integralność danych, dochodzi do kradzieży informacji stanowiących tajemnicę handlową czy też atakujący uzyskuje dostęp do danych osobowych pracowników bądź klientów. Działania tego rodzaju prowadzą do spadku zaufania i strat wizerunkowych firmy.
W najgorszym wypadku mogą doprowadzić do awarii popularnych usług sieciowych, takich jak poczta elektroniczna, czy nawet do wyłączenia całej sieci wewnętrznej, unieruchomienia kom-puterów i okresowego paraliżu administracyjnego w funkcjonowaniu przedsiębiorstwa41.
41 Przykładem – wirus Shamoon, który w 2012 r. zainfekował ponad 30 000 komputerów saudyjskiego koncernu naftowego Saudi Aramco. Szerzej: C. Bronk, E. Tikk-Ringas, The Cyber Attack on Saudi Aramco, „Survival: Global Politics and Strategy”
April–May 2013 Vol. 55, s. 81–82; ICT, ICT Cyber-Desk Review: Report #1. „ICT Cyber-Desk – Review” 24.01.2013, s. 9, http://www.ict.org.il [dostęp: 15.08.2014]; W. Mahdi, Saudi Arabia Says Aramco Cyberattack Came From Foreign States,
„Bloomberg Businessweek” Dec 9, 2012 http://www.bloomberg.com, [dostęp: 15.08.2014 r]; T. Sandle, Shamoon virus attacks Saudi oil company, „Digital Journal” [online], 18.08.2012, http://www.digitaljournal.com [dostęp: 15.08.2014];
N. Perlroth, In Cyberattack on Saudi Firm, U.S. Sees Iran Firing Back, The New York Times” [online],23.10.2012, http://www.nytimes.com [dostęp: 15.08.2014].
W 2012 roku amerykańska agencja ICS-CERT zidentyfikowała 198 osobnych cyberz-darzeń w obszarze tylko amerykańskiej infrastruktury krytycznej, przy czym około 41%
wszystkich incydentów dotyczyło systemu energetycznego. Natomiast tylko w pierwszej połowie 2013 roku zgłoszono ponad 200 osobnych cyberzdarzeń, z czego ponad 53% do-tyczyło systemu energetycznego42. Tylko 5 zdarzeń stanowiło skomplikowane ataki prze-prowadzone przez zaawansowanych technologicznie intruzów, którzy pokonali zabezpie-czenia i uzyskali dostęp do wewnętrznej sieci biznesowej43. Należy zaznaczyć, że ICS-CERT rejestruje wszystkie incydenty, nawet niemające wpływu na produkcję lub usługi udostęp-niane przez infrastrukturę i często zakończone niepowodzeniem atakującego.
Cyberataki na systemy SCADA. Przemysł niechętnie udostępnia informacje o udanych cyberatakach na systemy SCADA swojej infrastruktury44, a jeśli zostanie do tego zmuszo-ny, z reguły nazywa je usterkami technicznymi45. Niechęć ta wynika z obawy przed utratą
42 Stale rosnący trend rejestrowanych cyberzdarzeń jest zgodny z powszechnym rozwojem i propagacją sieci teleinformatycznych w światowym przemyśle i gospodarce. R.J. Turk, Cyber Incidents Involving Control Systems, Idaho National Laboratory, INL/
EXT-05-00671, Idaho Falls, October 12, 2005, s. 20
43 ICS-CERT, Brute Force Attacks on Internet-Facing Control Systems, „ICS-CERT Monitor” [online], April/May/June 2013, s. 2, http://www.ics-cert.us-cert.gov [dostęp: 15.08.2014].
44 Council of Europe, Cyberterrorism and other use of the Internet for terrorist purposes, Selected reference texts, Strasbourg, May 2012, s. 8.
45 E. Luiijf, SCADA Security…, op.cit., s. 13.
Rys. 3. Zestawienie globalnej liczby udokumentowanych cyberataków na systemy SCADA infrastruktury przemysłowej w latach 1982–2009 według raportu RISI
28
Źródło: RISI, Quarterly Report on Cyber Security Incidents and Trends Affecting Industrial Control Systems. 3rd Quarter 2009, [online], November 2009, s. 17, http://www.securityincidents.net [dostęp: 15.08.2014].
0 5 10 15 20 25 30
reputacji, a zdarzenia poważnie zagrażające zdrowiu, środowisku naturalnemu lub bezpie-czeństwu mogą firmę doprowadzić do utraty licencji na działanie i w rezultacie do poważ-nych kłopotów finansowych46.
Jednym z nielicznych programów badawczych przeznaczonych do gromadzenia i analizo-wania potwierdzonych zagrożeń cyberbezpieczeństwa dotyczących wyłącznie systemów SCADA jest RISI (The Repository of Security Incidents)47. W latach 1982–2009 program ten umożliwił zidentyfikowanie na całym świecie ponad 175 cyberzdarzeń, z czego około 50 dotyczy lat 2006–2009 (rys. 3)48. Zgodnie z raportem RISI głównymi źródłami zagrożeń systemów SCADA (65 przypadków) są podmioty zewnętrzne: hakerzy i złośliwe oprogra-mowanie, obecni lub byli pracownicy (29 przypadków) oraz współpracujący przedsiębiorcy (9 przypadków). Istotną część cyberzdarzeń (35 przypadków) stanowiły zdarzenia losowe oraz przypadkowe awarie komputerów, oprogramowania lub sieci49. Podobnie jak w zesta-wieniach ICS-CERT, w raportach RISI wskazuje się, że najczęściej atakowanymi systema-mi infrastruktury są systemy: energetyczny (51 przypadków), transportowy (20), zaopatrze-nia w wodę (15), żywnościowy (12) oraz chemiczny (10)50.
Ze sporządzonego w 2010 roku przez Josepha Weissa zestawienia cyberzdarzeń w syste-mach SCADA wynika, że zaistniało 170 incydentów bezpieczeństwa, przy czym tylko 25%
tej liczby stanowiły zdarzenia spowodowane zewnętrzną agresją intruzów. W większości by-ły to nieumyślne uszkodzenia i przypadkowe awarie51.
Podczas rejestrowania incydentów komputerowych dotyczących systemów SCADA duże zmaczenie ma ich kompetentna weryfikacja i prawidłowe udokumentowanie. Wielokrotnie okazywało się bowiem, że alarmistyczne doniesienia prasowe o katastrofalnych rezultatach hakerskich ataków na infrastrukturę krytyczną były nierzetelne lub nawet kompletnie nie-prawdziwe. Wprowadzały jedynie zamęt w powszechnym postrzeganiu zjawiska cyberata-ków i utrudniały ekspertom wiarygodną ocenę zagrożenia.
Przykładem takiej nieumyślnej dezinformacji jest przypadek rosyjskich hakerów atakują-cych miejską stację wodociągową i niszcząatakują-cych pompy52 nagłośniony w 2011 roku, mimo że prawdziwą przyczyną zniszczenia pompy okazała się usterka techniczna. I chociaż ta
in-46 T. Walk, Cyber-attack protection…, op.cit., s. 6.
47 Program RISI jest prowadzony przez grupę badaczy z uczelni British Columbia Institute of Technology. Do 2006 r. program był znany pod nazwą ISID (The Industrial Security Incident Database).
48 Vide: A. Ozbilen et al., A Survey on…, op.cit., s. 3 dostępny na www.cso.nato.int. oraz w raportach specjalnych RISI na www.securityincidents.net.
49 RISI, Quarterly Report on Cyber Security Incidents and Trends Affecting Industrial Control Systems, 3rd Quarter 2009, November 2009, s. 9, http://www.securityincidents.net [dostęp: 15.08.2014].
50 Ibidem, s. 17.
51 J.M. Weiss, Protecting Industrial…, op.cit., s. 54; J.M. Weiss, Control Systems Cyber Security – The Need for Appropriate Regulations to Assure the Cyber Security of the Electric Grid, Testimony before the U.S. House of Representatives, October 17, 2007, s. 3, 6–7.
52 K. Zetter, H(ackers)2O: Attack on City Water Station Destroys Pump, „Wired” [online], 11.18.2011, http://www.wired.
com [dostęp: 15.08.2014]; A. Couts, Cyber attack targets Illinois water station, damages water pump, „Digital Trends”
[0nline], 18.11.2011, http://www.digitaltrends.com [dostęp: 15.08.2014]; E. Nakashima, Foreign hackers targeted U.S.
water plant in apparent malicious cyber attack, expert says, „The Washington Post” [online], 18.11.2011, http://www.
washingtonpost.com [dostęp: 15.08.2014].
formacja kilkakrotnie była dementowana zarówno przez prasę, jak i instytucje państwowe53, nadal w Internecie można odnaleźć artykuły, raporty i analizy wskazujące to nieprawdziwe wydarzenie jako jeden z dowodów na skuteczność cyberataków w fizycznym niszczeniu in-frastruktury54.