Izpostavljenost SCADA sistemov

Kratica SCADA (Supervisory Control And Data Acquisition) se v splošnem nanaša na računalniško podprte sisteme, ki omogočajo kontrolo nad upravljanjem tehnoloških in industrijskih procesov. SCADA sistemi so prisotni v večini novodobnih industrijskih procesov, z njimi pa se srečujejo tako posamezniki kot tudi podjetja. Med SCADA sisteme tako štejemo vse od računalniško podprtih sistemov ogrevalne tehnike do nadzornih računalniških sistemov za proces proizvodnje električne energije.

Skrbnike in uporabnike SCADA sistemov želimo opozoriti na prisotnost novega iskalnega orodja SHODAN, ki omogoča iskanje SCADA sistemov dostopnih prek interneta. Iskalnik tako omogoča iskanje SCADA sistemov, ki nadzorujejo industrijske kontrolne sisteme, torej sisteme za nadzor in upravljanje industrijskih, infrastrukturnih in drugih tehnoloških procesov nadzorovanih s pomočjo računalniških sistemov. Problematični so predvsem sistemi, ki so dostopni prek interneta brez dodatnih omejitev, in so že pristali v SHODAN podatkovni bazi.

Zaradi odprtosti in dostopnosti iskalnika, lahko tega uporabljajo tudi napadalci, ki iskalnik uporabljajo za napade na različne sisteme, in pri tem povzročijo škodo ali preglavice odjemalcem.

Izpostavljenost sistemov na internet napadalcu omogoča lažji dostop pri:

  • izkoriščanju morebitnih proizvajalcu še nepoznanih zero-day ranljivosti v programski opremi sistemov,
  • izkoriščanju ranljivosti v programski opremi sistemov, nastalih kot posledica nerednega posodabljanja sistemov z varnostnimi popravki proizvajalca,
  • šibkih ali s strani proizvajalca privzeto nastavljenih uporabniških računov,
  • s strani napadalca prestreženih in zlorabljenih uporabniških imen in gesel za dostop do sistema.

Pri tem velja posebej opozoriti na možnost kraje uporabniških imen in gesel za dostop do SCADA sistema iz okuženih sistemov, ki so bili uporabljeni za dostop do nadzorno upravljalskega vmesnika. Tako lahko navkljub ustrezni zaščiti SCADA vmesnika ta postane vstopno okno napadalca za dostop do zaščitenih zaprtih delov proizvodnega sistema.

Priporočila

Z namenom preprečitve direktnega dostopa do nadzora in upravljanja sistemov svetujemo:

  • postavitev kontrolnih sistemov za požarne pregrade, ločeno od drugih omrežij,
  • omejevanje dostopa glede na izvorni IP naslov oziroma omrežje,
  • vzpostavitev varnih metod za oddaljeni dostop, kot na primer povezave prek navideznega zasebnega omrežja (VPN),
  • odstranitev, onemogočanje ali preimenovanje privzetih sistemskih računov, kjer je to mogoče,
  • vzpostavitev sistema samodejne blokade posameznih uporabniških računov z namenom preprečitve napadov s silo oz. t.i. brute-force napadov,
  • nadzorovanje kreiranja računov z administrativnim nivojem dostopa s strani zunanjih podizvajalcev.

Izpostavljenost spletnega nadzornega vmesnika je v večini primerov nepotrebna, saj je za potrebe upravljanja zadostuje dostop z omejenega števila naprav, ki jih je mogoče točno opredeliti, ter na podlagi tega ustrezno omejiti dostop do vmesnika.

Povezave

Vir: