Stuxnet var et wake-up call for industrien

Stuxnet-angrebet var et wake-up call, konstaterer produktchef i Siemens Lars-Peter Hansen. Og det var ikke bare Siemens, der vågnede op, men hele industrien.

Før Stuxnet-virussen kunne bekymringen for angreb mod industri elle komponenter ligge på et meget lille sted. Industriens systemer havde kørt upåklageligt i årtier, og selv om flere og flere enheder var begyndt at blive koblet på nettet, fik det ikke industrien til at tænke nærmere over det.

»Det betød, at applikationer blev afleveret, uden at de mest basale sikkerhedsfunktioner var aktiveret. Åbne porte og intet sikkerhedskoncept. Som regel kunne man logge ind med Admin Admin,« påpeger Lars-Peter Hansen.

Men opmærksomheden på sikkerheden i industrielle komponenter ændredes i sommeren 2010, hvor Stuxnet identificeres første gang på PLC-styringsenheder på en atomoparbejdningsanstalt i Iran.

It-sikkerhedsfirmaet Symantec afslørede senere, at ormen var designet til at gøre specifik skade på de centrifuger, der anvendes på netop dette anlæg, uden at være til fare for andre anlæg. Men da koden til angrebet allerede var i omløb, var det muligt at fjerne eller ændre disse begrænsninger, og industrien stod foran en hidtil ukendt trussel, der både kunne ramme atomkraftværker, forsyningsindustrien og industrien i almindelighed.

Efter Stuxnet har mange virksomheder øget deres fokus på sikkerheden i produktions- og forsyningssystemer. Arla Foods rundsendte bl.a. USB-nøgler til de ca. 100 mejerier i Norden og Storbritannien som en 'awareness-gadget*. Illustration: Scanpix

»Vi snakker jo om systemer, der er måske 20 år gamle, så da de blev fremstillet, var der ikke fokus på den type angreb. De eksisterede ikke på det tidspunkt, så man havde ingen mulighed for at forberede sig mod dem,« forklarer Lars-Peter Hansen.

100 mand tester sikkerheden

Der er gisnet meget om, hvor koden stammer fra, men den almindelige antagelse er, at det er den amerikanske og israelske regering i fællesskab, der står bag den. Sikkerhedsfirmaet Kaspersky har fastslået, at koden er produceret af et større internationalt hold og ikke er resultatet af nogle tilfældige drengestreger.

»Stuxnet har skærpet vores fokus på sikkerheden. Vi har i dag en hel afdeling på over 100 mand, der kun tester for sikkerheden i vores industristyringsenheder. Vi får alle vores controllere testet og certificeret mod alle kendte trusler, så de ikke kommer ud på markedet og er åbne for kendte angreb,« fortæller produktchefen.

Han tilføjer, at fokus på uddannelsen af både egne medarbejdere, men også kunderne, er øget.

»Vi har kigger os selv efter, om der er åbne systemer på nettet, som kan være sårbare og retter efterfølgende kontakt til ISP’en, der så kan tage kontakt til kunden og gøre opmærksom på problemet,« fortæller Lars-Peter Hansen.

Som en del af den øgede fokus på sikkerheden har Siemens også oprettet deres eget Cert, der står for Cyber Emergency Readyness Team, der tilstræber åbenhed omkring sikkerhedstruslerne og siden 2011 har offentliggjort alle sikkerhedssårbarheder i deres produkter, som der er fundet en løsning for.

Siemens opfordrer også kunderne til at henvende sig til Siemens Product Cert, hvis de falder over potentielle trusler. Truslerne analyseres af Siemens’ egne teknikere, der også udvikler kuren.

Oldgammel kode til eftersyn

Også i industrien har Stuxnet sat sine spor. Her har ikke mindst de store virksomheder af automatiserings- og overvågningsløsninger mandet op på sikkerhedsområdet og trawlet gamle systemer igennem for at finde huller, der kan bruges til angreb.

»Vi har været gennem kode, der er mange år gammel for at se, om der var sårbarheder, og også sørget for at udvikle opgraderinger eller rettelser til systemerne,« fortæller direktør for 7Technologies, der nu er overtaget af Schneider Electric, Sebastien Ory.

»Vi har brugt rigtig mange kræfter på Stuxnet, og det har været med til at skærpe vores opmærksomhed på den forebyggende sikkerhed i vores systemer. Men også til at arbejde mere med vores kunder om at få øget deres fokus på sikkerheden.«

Emner : It-sikkerhed
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Men tilbage i virkelighedens verden er det faktisk overordenligt svært at lave software uden sikkerhedshuller. Der er så mange måder en C-programmør kan skyde sig selv i foden at man tror det er løgn.

Det er fint at få lukket de mest åbenlyse huller, men realistisk set er det nok desværre kun et fåtal af disse lappede systemer der ikke stadig ret nemt kan hackes, og sikkerheden ligger nok fortsat fortrinsvis i at blackhats tilsyneladende synes det er mere spændende at gå efter Windows-computere og telefoner.

Det udspekulerede i Stuxnet var ikke så meget hackingen af Siemens-systemet, så vidt jeg har forstået, det var den længere procedure ormen skulle igennem for at nå frem til systemet.

  • 1
  • 0
Bidrag med din viden – log ind og deltag i debatten