Sarrera
Zibererasoak betiere azpiegitura kritikoak administratzez arduratzen diren erakundeen kezka handienetarikoa izan dira. Eraso horiek enpresetarako eragin ekonomiko handia dute, baina, gainera, askotan pertsonei zuzenean eragiten zaie. WEFren arabera, azpiegitura kritikoei egindako zibererasoak 2020. urtean bosgarren arriskurik gorenena dira, ondoren ikusiko den bezala, halako erasoek hiri osoaren sare elektrikoa erortzea eta ureztatzeko edo giza kontsumorako ur-kanalak kutsatzea eragin baitezakete, ospitaleetako sistema informatikoak kaltetzearekin batera. Azkeneko kasuan, funtzionamenduan hautemango da eta, bide batez, pertsonen osasunean. Enpresa batean gero eta gailu gehiago daude elkar konektatuta, eta IOT produktuak gora doaz. Besteak beste, horiek direla eta, sisteman puntu ahulak sortzen dira, eta erasotzaileek aprobetxa ditzakete.
COVID-19ak sortutako pandemiaren inguruabarrak kontuan hartuta, orain inoiz baino gehiago, enpresek haien sistemak egokitu behar izan dituzte enpresan bertan egiten ziren zeregin asko telelanari esker urrunetik gauzatzeko. Ildo horri eutsiz, agian, sistemak ez dira ezin hobeki konfiguratu, eta horri batu behar zaio zeregin horiek modu seguruan egiteko pertsona askoren prestakuntza urria.
Laburbilduz, gero eta segurtasun-gorabehera gehiago daude honako hauengatik:
- Konexioak gehitzeagatik enpresa gailuen eta industria-sareen artean, baita korporazio-sareetara edo internetera ere.
- Eguneratu gabeko sistemak izateagatik, osagai batzuen eta besteen arteko mendekotasun handiak direla-eta funtzionatzeari utziko dioten beldurrez
- Sistema diseinatzean kostuak aurrezteagatik.
- Diseinuaren fasean segurtasun-alderdien kaltean eragiketan errazagoak izateari garrantzia emateagatik.
Kanpainarik ezagunenak
Ondoren, azkeneko urteetan azpiegitura kritikoei egindako erasorik aipagarrienak azalduko dira, gorabehera horien balizko ondoreak aditzera emateko.
- Iran, 2010. Stuxnet Iranen planta nuklearraren industriako kontrol-sistemak berriz programatzeko diseinatu zen, eta bereziki kaltetu zituen ohiz uranioa aberasteko zentrifugagailuetan erabiltzen diren motorrak. Guztira 1.000 zentrifugagailuetara iritsi zen.
- Black Energy. Ukraina, 2015. Eraso honetan Ukrainako 3 energia-konpainia izan ziren kaltetuak. Neguan guztira 6 orduz zerbitzua emateari utzi zioten, eta ia 250.000 pertsonari eragin zien.
- Triton, Saudi Arabia, 2017. Beharbada, erasorik kezkagarriena 2017an gertatu zen. Uhandre izeneko malwarea erabili zen. Erasotzaileek segurtasun-sistema kontrolatzea lortu zuten. Zenbait ikerketari jarraikiz, helburua leherketa bat eragitea edo gas toxikoak (hala nola hidrogeno sulfuroa) askatzea izan zitekeen eta, horretarako, segurtasun-sistemak desaktibatu nahi ziren, nahiz eta hondamendietan azken hesi modura berariaz diseinatu ziren.
Hauek duela 10 urtetik hona hautemandako adibide batzuk baino ez dira. Poloniako trenetan, ordea, 14 urteko mutil batek lau tren errailetik irtetea lortu zuen. Famatua da Wannacryren kasua ere, non Erresuma Batuko 16 ospitaleren funtzionamendua, baita hainbat garraio- eta energia-enpresarena ere eten egin zen.
Metodologiak eta helburuak
Historian zehar halako eraso batzuk pozik ez zegoen langileak edo langile ohiak barnean sortu ditu, beraz, kanpoko eta barneko erasoak bereizi behar dira. Segurtasun-auditorearen ikuspegitik, barneko erasoak detektatzea konplexuagoa da, arrotzak eskura baititu kontrol-sistemak eta, gainera, berarentzat ezagunak baitira. Eraso-mota horiek detektatzeko, monitorizazio proaktiboa eta aldizkako auditoretzak gauzatu behar dira. Kanpoko erasotzaileari eutsiz, metodologia honako hau izan ohi da:
- Sare publikoen edo konfiguratutako marken bitartez ala VPNra urrunetik sartzeko, eta abarren gakoak lapurtuta, korporazioaren sarera sartzea.
- Korporazioaren saretik industria-sarera iristea (pivoting).
- Internetetik industria-sarera sartzeko backdoor izenekoa konfiguratzea.
- Kontrol-sistemari buruz informazioa, eskuliburuak eta prozedurak biltzea.
- Malwarea exekutatu eta urrunetik kontrola lortzea.
Garrantzitsua da erasotzaileak informazioa noiz lortzen duen jakitea, sistema ezezaguna zaienez, denbora bat behar baitute ezagutzeko. Horrek bereizten du industria-sarearen eta korporazio-sarearen arteko erasoa. Izan ere, industria-sarean beste teknologia batzuk ezagutu behar dira, etxeko edo korporazioko informatikan erabiltzen direnekin alderatuz gero, eta industria-sistemetarako berariaz diseinatutako protokoloak ezinbestekoak dira. Horrez gain, segurtasun-neurri sendo eta irmoak gainditu behar dira, besteak beste, baimentzeko faktore bikoitza, IDS/IPS, firewallak, etab.
Eraso horiek egiteko arrazoi desberdinak (politikoak, sozialak edo ekonomikoak) dauden arren, arrotzen helburuak, orokorrean, berdinak izaten dira:
- Sisteman gauzatutako ekintzak ezkutatzea, kontrol-zentrotik ikuspegia galtzea.
- Kontrola eta tresnak zein sentsoreak, baita ICS (industriako kontrol-sistemak) ere manipulatzea.
- AI ICS sarbidea blokeatzea.
- ICS kaltetzea.
- Sentsoreek eta tresnek sortutako kalte fisikoa.
Gomendioak
Duela gutxi egin den inkestaren babesean, 10 konpainietatik 9tan 2020an arrotz bat sartu zen sisteman, hau da, 2019an baino % 19 gehiago. Txosten berak dio gehienek segurtasun-neurriak zituztela, beraz, argi eta garbi halako egoeratan pentsamoldea aldatu behar da. Jakina denez, zibererasoaren katean mailarik ahulena gizakia izan ohi da, eta, horregatik, langileen trebakuntzan sakondu behar da, teknologiak modu arduratsuagoan eta seguruagoan erabil ditzaten. Gainera, enpresaren eguneroko jardueran parte hartzen duten sistema guztiak babestu beharko lirateke, nahikoa baita aktibo batek babesik ez izatea erakundearen segurtasunari eragiteko. Halaber, gomendatzen da honako hauek kontuan hartzea: industria-sistemen segurtasunari buruzko azterlana egitea eta haien artearen egoeran eguneratua mantentzea; kontrol-sistemen gainean segurtasun-mekanismoak inplementatu eta definitzea, saioak baimentzeko faktore bikoitzarekin hastea barne; logak mantentzea; segurtasun-gomendioak eta jardun onak emateko hornitzaileak nahastea eta segurtasun-gorabeherak kudeatze aldera prozedurak definitu eta erabakitzea. Azkenik, garrantzitsua da monitorizazio ona egitea gorabehera horiek identifikatu ahal izateko.
