Hydro har de de siste ukene fått mye oppmerksomhet i media som følge av hackerangrepet de ble utsatt for. Men selv om det går en stund mellom hver gang slike angrep blir medieoppslag, så er et slikt løsepenge-angrep dessverre noe vi fortsatt ser for ofte hos mange andre norske virksomheter, både i privat- og offentlig sektor.
For å få utført et slikt angrep trenger utpresserne egentlig bare å få noen i virksomheten til å klikke på en link eller et vedlegg i en e-post, eller stjele identiteten til en som jobber i virksomheten, og så kan de lamme serverne.
I tillegg ser vi en del virksomheter som har for dårlig sikrede tjenester mot internett, som angriperne med glede utnytter.
Hadde gjort hjemmeleksen
Til tross for et omfattende angrep kom Hydro seg relativt raskt opp på beina igjen – uten å betale angriperne for å få tilbake dataene de stjal. Dette kunne de gjøre fordi Hydro har gode rutiner på back-up og sikkerhet.
De har åpenbart også lyttet til det sikkerhetsbransjen har jobbet i lang tid med å informere norske virksomheter om; viktigheten av å ha kopier av all sensitiv og viktig data, nettopp på grunn av faren for slike angrep.
Det er dessverre mange norske virksomheter som ikke har gjort den samme hjemmeleksen som Hydro, og da får disse angrepene store konsekvenser.
«Verdens farligste skadevare»
Likevel mener jeg at det er grunn til å bekymre seg langt mer for en annen type angrep enn de tradisjonelle som retter seg mot virksomheters IT-infrastruktur og IT-miljøene. Angrepene jeg tenker på er de som retter seg mot kontrollsystemer for produksjonsmiljøer, og som kan bli utnyttet av IT-kriminelle, og i verste fall av terrorister.
De potensielle konsekvensene for den enkelte virksomhet, men særlig for samfunnet vi lever i, vil være enorme dersom uvedkommende plutselig kan kontrollere OT-miljøene (Operational Technology). Det er de som håndterer operasjonsteknologi som fysiske enheter og prosesser.
Triton-koden (også kalt «Trisis») er et eksempel på at angrep mot OT-miljøer kan få fatale følger utover det materielle, der det kan stå om liv og helse. Denne koden regnes som verdens kanskje farligste skadevare. Bare ordet kan sende frysninger nedover ryggen på selv den den beste IT-sikkerhetsekspert. Koden i Triton kan nemlig deaktivere sikkerhetssystemer som er utformet for å forhindre katastrofale ulykker i industrien.
I verste fall kan Triton-koden ha ført til frigjøring av giftig hydrogensulfidgass eller forårsaket eksplosjoner, noe som setter liv i fare både på anlegget og i nærområdet. Vi snakker her om hackere som har til hensikt å utføre terrorhandlinger og drap ved målbevisst å rette angrepet sitt mot industriell sikkerhet utviklet for å ivareta menneskeliv.
Lite OT-fokus
Det er flere mer konkrete eksempler på slike angrep mot OT-miljøer. Nå er det nesten ti år siden Stuxnet saboterte tungtvannutvinningen i Iran. Etter dette viste både Havex i 2013, BlackEnergy i 2015 og CrashOverride i 2016 verden hvilke fatale følger slike angrep kan få.
Siden Stuxnet har systemene naturligvis blitt bedre rustet til å takle slike trusler. Industribransjen jobber selvfølgelig også kontinuerlig med utvikling av nye og bedre løsninger. Og så å si alle tradisjonelle IT-sikkerhetsprodusenter har utviklet såkalte «rugged»-modeller, som skal kunne tåle å implanteres i ekstreme produksjonsmiljøer.
Likevel har det ikke på disse snaue ti årene vært særlig mye fokus fra de som jobber med den tradisjonelle IT-sikkerhetsindustrien på denne delen av produksjonsbransjen.
Må bryte ned kunnskapssiloene
IT-miljøene har måttet tenke sikkerhet siden «tidenes morgen». Dette har OT-miljøene i stor grad sluppet, da disse nettverkene tradisjonelt har vært lukket og isolerte hos virksomhetene. Men nå ser vi at stadig flere effektiviseringsprosesser kobler SCADA-systemer opp mot nettet.
Utfordringen er kunnskap om produksjonsmiljøer for de som jobber med tradisjonell IT, og vice versa. Vi snakker ofte om IT-konsulenter som møter maskinoperatører, med en ingeniør i midten som prosjektleder. Dette kan fungere, men da er man helt avhengig av at man fra begge sider er på tilbudssiden og ønsker å bryte ned kunnskapssiloene.
Med det faktum at IT-miljøet nå henger mer og mer sammen med OT-miljøet så er spørsmålet som Kristian Foss og Anders A. Christie besvarer forbilledlig i sitt innlegg på digi.no sentralt: Hva betyr nye sikkerhetslover for ledelsens personlige ansvar?
«Om et sikkerhetsbrudd finner sted, og det kunne ha vært avverget med tiltak ledelsen burde ha iverksatt, er du trolig å anse som uaktsom,» skriver de to advokatene.
Syv minimumskrav
Det er med andre ord viktig for alle som jobber med IT- og IT-sikkerhet å ta sikkerhetsdiskusjonen med ledelsen og gjøre dem klar over hvilket ansvar de faktisk sitter med. Vi som jobber med IT-sikkerhet er jo vant med å være dem som maser, formaner og maler fanden på veggen. Kanskje får vi mer gehør når ledelsen skjønner hvem som må ta støyten om det smeller?
I disse samtalene kan det også være greit å ha med seg «Syv minimumskrav til OT-sikkerhet» som vi i Atea har utviklet i samarbeid med Goodtech. Med disse oppfordrer vi alle virksomheter til å stille krav til underleverandører og produsenter av utstyr til OT.
Inntil skrivelysten tar meg igjen, følg meg gjerne på Twitter @TTmmernes
//TT
