Kako ugasniti Slovenijo

Operater v nadzornem središču podjetja za distribucijo električne energije Prikarpatjaoblenergo na zahodu Ukrajine je 23. decembra lani ravno pospravljal delovno mizo, saj se je bližal konec izmene, ko je opazil nekaj nenavadnega. Kazalec miške je začel kar sam drseti po zaslonu računalnika. Premaknil se je do gumbov za nadzor delovanja transformatorskih postaj v Ivano-Frankivski oblasti in začel drugo za drugo izklapljati. Karkoli je operater poskušal, računalnik ga ni ubogal. Enaka zgodba se je hkrati dogajala še v dveh nadzornih središčih v drugih ukrajinskih oblasteh. Brez elektrike je ostalo več kot 200 tisoč ljudi.

Kot so zapisali v reviji Wired, gre za prvi javno znani primer, ko je nekdo s hekerskim napadom uspešno onesposobil elektroenergetski sistem.

Vsa gospodinjstva so najkasneje v šestih urah spet dobila elektriko, a transformatorske postaje so morali še več kot dva meseca krmiliti ročno, saj so hekerji po napadu onesposobili računalnike, ki jim jih je uspelo izrabiti za napad.

Čeprav številni indici kažejo na Rusijo, identiteta napadalcev do zdaj, vsaj javno, ni bila razkrita. Se pa varnostni strokovnjaki strinjajo, da je glede na metodičnost in usklajenost šlo za hekersko mojstrovino.

Mojstrovino, ki je tudi javnosti nazorno pokazala nekaj, česar se varnostni strokovnjaki zavedajo že več let – da je nevarnost hekerskih napadov na kritično državno infrastrukturo danes stvarnost, s katero je treba resno računati. Ne samo v Ukrajini, temveč po vsem svetu.

Tudi v slovenskem operaterju prenosnega elektroenergetskega omrežja, družbi ELES, so se zdrznili. »Glede na dogodke v Ukrajini poteka izredno preventivno varnostno preverjanje,« so povedali. Vdora v interno omrežje, zatrjujejo, do zdaj še niso zaznali. »Vse varnostne incidente smo obvladali.«

A strašljivo dejstvo je, da so jih lahko obvladali le zato, ker se do zdaj ni še nihče dovolj potrudil.

»Proti napadu, kakršen se je zgodil v Ukrajini, nismo odporni,« je jasen Gorazd Božič, vodja slovenskega centra za posredovanje pri omrežnih incidentih SI-Cert.

Rešujejo nas predvsem precejšnja nezanimivost, nepomembnost in nekonfliktnost, malo pa tudi jezik.

Prijazni napadalci

V neopazni, lično urejeni novejši vrstni hiši na Pobrežju v Mariboru je sedež podjetja Acros. Logotip podjetja je najti izključno na zvoncu. Vse drugo daje vtis, da gre za družinsko hišo. A v notranjosti glavnino prostora zasedajo računalniki. Računalniki, ki jih lastnik in direktor Mitja Kolšek ob pomoči še petih zaposlenih uporablja za vdiranje v računalniške sisteme velikih podjetij. In ta jim za to tudi dobro plačajo.

Kolšek in sodelavci so strokovnjaki za tako imenovani »pentesting«, poskusno vdiranje v informacijske sisteme z namenom odkrivanja varnostnih lukenj in sistemske ranljivosti. Njihove storitve naročajo tudi velika podjetja iz Silicijeve doline. V Sloveniji so njihove stranke banke, zavarovalnice in telekomunikacijska podjetja, poleg njih pa še podjetja, ki upravljajo državno infrastrukturo.

Pri poskusih vdorov so izjemno uspešni. »Pri nobenem varnostnem pregledu se nam še ni zgodilo, da ne bi odkrili kake ranljivosti.« Odkrili so tudi take, z zlorabo katerih bi lahko povzročili resno škodo. »Na teh stolih so sedeli člani vodstva enega od podjetij za upravljanje kritične infrastrukture,« Kolšek pokaže na modre naslanjače v ’dnevni sobi’ svojega podjetja, »mi pa smo jim na steno projicirali dostop do njihovega sistema, ki je bil enakovreden dostopu njihovih operaterjev. In ko smo jih vprašali, ali smemo klikniti na ikono za ustavljanje ene od naprav, so postali vsi rdeči.«

Tudi najboljša varnost ne more preprečiti človeške naivnosti. Velika večina napadov se začne tako, da kateri od zaposlenih v podjetju nevede sam spusti napadalce v sistem.

Pa to niti ni enkraten primer. »Naročniki so, ko jim pokažemo izsledke, vedno presenečeni, kakšno škodo bi lahko naredili z razmeroma majhnimi sredstvi in majhno skupino, ki pravzaprav vnaprej ne ve nič o njihovem sistemu.«

Ranljivost slovenske infrastrukture nikakor ni posledica malomarnosti, še pravi Kolšek. »Skrbniki slovenske kritične infrastrukture dobro vedo, kaj morajo početi in kje so njihove šibke točke, jih pa pri tem omejujejo čas, denar in politične igre. Menjave kadrov so v informacijski varnosti zelo neugodne.«

Že brez teh težav, dodaja, bi bilo težko zagotoviti ustrezno raven varnosti. »Z dodatkom teh težav pa lahko rečem, da bi se dovolj motiviran heker zagotovo lahko prebil tudi do najobčutljivejših delov sistema in povzročil veliko škode.«

Kolšek v tem prepričanju nikakor ni osamljen. Pritrjuje mu Milan Gabor, lastnik in direktor podjetja Viris s sedežem v ljubljanskem BTC-ju, ki prav tako skrbi za odkrivanje ranljivosti v informacijskih sistemih. »Na podlagi lastnih izkušenj lahko rečem, da v sistemih kritične infrastrukture obstajajo ranljivosti, ki jih je mogoče izrabiti tudi z ne najbolj sofisticiranimi orodji. Ne trdim, da bi bilo tako mogoče ustaviti celotno Slovenijo, je pa mogoče povzročiti kar nekaj težav in potencialno tudi škode.« Pri svojem delu je že prišel do točke, ko bi lahko delovanju kritične infrastrukture zadal hud udarec.

Odsotnost resnih incidentov lahko nepoučenega opazovalca hitro zavede, da v Sloveniji ni nikakršnih težav z informacijsko varnostjo. »Uradno napadov na slovensko infrastrukturo ni,« pravi Gabor. »Nikomur namreč ni treba poročati o takšnih primerih napadov. Vendar to ne pomeni, da se incidenti ne dogajajo.« Le nikomur ni do tega, da bi se o njih govorilo. Zato morajo tudi »pentesterji« molčati. »O svojem delu s konkretnimi imeni in primeri ne smemo govoriti. V tem pogledu smo pogosto podobni župnikom. Vemo za grehe, a jih ne smemo javno razlagati.«

O varnosti informacijskih omrežij smo povprašali kar nekaj podjetij, ki upravljajo različne dele kritične infrastrukture, in v vseh zagotavljajo, da je za varnost poskrbljeno v največjem mogočem obsegu. Varnosti ni mogoče dokazati, pravi Mitja Kolšek. »Dokazati je mogoče samo, da je pomanjkljiva, ne pa, da je dovolj dobra.«

Nevarna radovednost

Ranljivost kritične infrastrukture nikakor ni slovenska posebnost. To je značilnost današnje informacijske tehnologije. Zaradi zahteve po neprekinjenem in nemotenem delovanju skrbniki omrežij odlagajo nameščanje popravkov za že znane ranljivosti in odlašajo z nadgradnjami sistema tudi takrat, ko proizvajalec zastarele programske opreme, ki jo uporabljajo, zanjo ne zagotavlja več podpore. Prav tako je prisotna želja po učinkovitejšem in preprostejšem upravljanju. Načeloma je zlati standard za varnost kritičnih sistemov njihova popolna ločenost od interneta.

»Težava pa je, da zaposleni, tudi upravitelji sistemov z najširšim dostopom, težijo k udobnosti dela. Sisteme želijo upravljati s tablic, mobilnih telefonov, od doma, to pa odpira cel kup novih mogočih ranljivosti,« razlaga Milan Gabor.

To je seveda po svoje razumljivo, saj omogoča hitrejše in učinkovitejše odpravljanje morebitnih težav v delovanju sistemov. Hkrati pa, žal, odpre vrata zlorabam. »Med funkcionalnostjo in varnostjo je vedno pretep,« pravi Mitja Kolšek.

Tudi najboljša varnost pa ne more preprečiti človeške naivnosti. Velika večina napadov se začne tako, da kateri od zaposlenih v podjetju nevede sam spusti napadalce v sistem. Tako se je začelo tudi v ukrajinskem primeru, omenjenem na začetku. Z napadom, ki ga imenujejo »phishing«, napadalci zaposlenim v podjetju prek elektronske pošte pošljejo priponko z zlonamernim programom. Če kateri od prejemnikov priponko odpre, s tem napadalcem omogoči dostop do notranjega omrežja.

»Naša uspešnost pri poskusih okužbe računalnikov je še vedno 60-odstotna. Od stotih poslanih e-sporočil 60 prejemnikov klikne na priponko,« se ’pohvali’ Milan Gabor. »Ljudje si ne predstavljajo, da lahko en Wordov dokument si pravim naslovom, ki bo vse zanimal, na primer ’plače uprave’ ali pa ’seznam za odpuščanje’, pomeni konec igre za celotno podjetje.«

Ne samo okužena elektronska pošta, dostop si s podobno stopnjo uspešnosti zagotovijo tudi z ’izgubljenimi’ USB-ključki, ki jih najditelji iz radovednosti vtaknejo v računalnik in kliknejo na datoteko z vabljivim imenom. »Večkrat se nam zgodi, da posebej pripravljeni USB-ključki končajo pri varnostniku. Tja ga prinesemo z izgovorom, da smo ga našli na parkirišču, varnostnik pa ga vtakne v računalnik in zaradi človeške radovednosti odpre priponko, s čimer dobimo dostop do celotnega sistema za nadzor nad prihodi in odhodi in nad mrežo kamer.«

Ranljivost kritične infrastrukture nikakor ni slovenska posebnost. To je značilnost današnje informacijske tehnologije.

Digitalno zalezovanje

Ko govorimo, da je vdiranje v kritične sisteme preprosto, je treba stvar postaviti v kontekst. Tak vdor, razen v res izjemnih primerih, nikakor ni vprašanje nekaj klikov, temveč hekerji zanj praviloma potrebujejo vsaj kakšen mesec ali dva. Napadalci v ukrajinskem primeru so za pripravo napada in zagotovitev dostopa do ključnih računalnikov za izvedbo, ki so bili zgledno zaščiteni, potrebovali več mesecev.

Uspešen napad z uporabo okužene elektronske pošte je le prvi korak. Ko napadalec enkrat postane notranji uporabnik, mora karseda dobro spoznati sistem. Ne da bi ga kdo opazil, se lahko razgleduje in brska po mreži, išče šibke točke in med omrežnimi smetmi brska za gesli, ki bi mu lahko omogočila večja pooblastila in s tem širši dostop. »Pri fizičnem vdoru ima napadalec zelo malo časa, preden ga odkrijejo, pri kibernetskem napadu pa lahko dolgo ostane neopažen,« pravi Mitja Kolšek. »Poznamo primere, ko je bil napadalec v omrežju več let, preden so ga zaznali.«

Vedno se najdejo pomanjkljivosti v sistemu. »Uspešen vdor v sistem je samo vprašanje časa, denarja in motivacije,« pravi Milan Gabor. Za takim angažmajem pa po navadi stojijo napadalci, za katere čas in denar nista ovira. To pomeni, da gre pri zlonamernih napadih večinoma za državno sponzorirane storilce, za katere je prikrito odkrivanje podatkov in potencialnih ranljivosti, ki bi jih lahko izkoristili ob vojaškem spopadu, pomembnejše od takojšnje izrabe podatkov. Zato javnost le redko dobi vpogled v neprestano potekajočo digitalno vojno.

Kaj pa nuklearka?

Tehnologija v jedrski elektrarni je »na srečo« dokaj stara, osrednji procesni del je še iz sedemdesetih let prejšnjega stoletja in je analogen, to pomeni, da reaktorja in drugih ključnih delov elektrarne ni mogoče krmiliti z računalnikom. Vse, kar je okrog tega, pa se z leti vse bolj digitalizira, zato se že nekaj časa resno ukvarjajo z vprašanjem informacijske varnosti. Od lani se s tem pod pokroviteljstvom Uprave za jedrsko varnost ukvarja posebna delovna skupina predstavnikov vseh državnih organov, ki jih to zadeva, tudi obveščevalnih služb.

Milan Gabor ima sicer z jedrsko elektrarno zanimivo izkušnjo. »Pred leti sem odkril in na konferenci energetikov prikazal ranljivost spletne strani Jedrske elektrarne Krško. Ranljivosti nikakor ni bila kritična, a lahko bi se uporabila kot vstopna točka za začetek napada. Pri takšnih varnostnih incidentih ni nujno, da obstaja samo ena izjemno kritična ranljivost. Hekerska matematika deluje drugače. Ni nujno, da je 1 + 1 + 1 = 3. Lahko je 10. Ko smo elektrarno obvestili o odkritju, sploh nismo dobili odgovora.«