Wyobraź sobie, że w Nowym Jorku o godzinie 16,00 ktoś wyłącza wszystkie światła drogowe.
Taki scenariusz utknął mi w głowie, gdy Ryan Naraine wspomniał o nim na konferencji Black Hat podczas rozmowy o zabezpieczaniu inteligentnych miast.
Chociaż w rozmowie uczestniczyli głównie badacze techniczni, wizja awarii świateł drogowych w jednym z najbardziej zatłoczonych miast zrobiła na mnie naprawdę duże wrażenie. Dzisiaj wszystko jest połączone z internetem — telefon, telewizor, zegarek, opaska fitness, a czasami nawet i drzwi wejściowe. Ale czy wiesz, że online są także nasze światła uliczne, systemy kolejowe, a nawet sieć energetyczna?
Przyznam, że to, co mogłoby się wydarzyć, gdyby jeden z kluczowych dla naszego życia codziennego systemów przemysłowych został wyłączony, przeraża mnie.
Zasilanie?
Kolej?
Sygnalizacja świetlna?
Jeśli trafią w niewłaściwe ręce, mogą być zabójcze. Mimo to bezpieczeństwo inteligentnych miast to kwestia dosyć zaniedbana.
Biurokracja i czas potrzebny na rozwój systemów sprawiają, że w wielu przypadkach refleksja na temat bezpieczeństwa przychodzi na końcu.
Równie irytujące jest to, że temat ten jest omawiany przez badaczy bezpieczeństwa i nie wychodzi poza krąg specjalistów; przeciętny człowiek nie myśli o takich zagadnieniach (a powinien).
Jeśli już mówimy o bezpieczeństwie, często skupiamy się na przedmiotach codziennego użytku: komputerach, urządzeniach mobilnych, opaskach fitnessowych itp. Jednak są to dobra luksusowe, a nie rzeczy pierwszej potrzeby, zatem gdy zostaną zhakowane, właściciel ma poczucie krzywdy, ale jego życie nie jest zagrożone.
Podczas naszej sesji AMA przeprowadzonej kilka tygodni temu ktoś zapytał: Zastanawiałem się, czy mieliście jakieś prognozy, jeśli chodzi o masowe ofiary, a może nawet śmierć, będące skutkiem włamania do systemów kontroli przemysłowej. Czy jest to teraz możliwe? Patrząc na atak na niemiecką hutę, szkodliwy program Black Energy czy atak na szwedzkie wieże kontroli ruchu lotniczego, wydaje się, że jeszcze nie jesteśmy całkiem w środku nowej rzeczywistości, ale stoimy już u jej progu.
Brian Bartholomew odpowiedział: Świetne pytanie i trudne dla ekspertów. Moim zdaniem kwestią czasu jest, aż ktoś gdzieś zdecyduje się przekroczyć tę linię i spowoduje straty. Jeśli spojrzymy na wszystkie systemy krytyczne, które wciąż są niezabezpieczone i podatne na ataki, nietrudno wyobrazić sobie, że jeden szaleniec, mający ogólne pojęcie na temat działania systemów ICS, może wyrządzić szkodę, którą odczuje wielu ludzi.
Z tego powodu kwestia zabezpieczania ICS-ów powinna być priorytetem, na którym powinni się teraz skupiać decydenci polityczni i inni eksperci. Potrzebujemy więcej głosów takich jak Twój, które będą zadawać trudne pytania odpowiednim osobom. Jeśli chodzi o zabezpieczenia… cóż, uważam, że nikt nie robi tego „dobrze”. A „dobrze” nie jest wystarczająco dobrze. Systemy te muszą być niedostępne, a teraz takie nie są. To nie jest już mitologiczny jednorożec; stało się to już faktem, a będzie tylko gorzej.
Vitaly Kamluk dodał: Szczerze mówiąc, nie chcę o tym myśleć. Gdy ostatnio pomyślałem o szkodliwych programach przekraczających granice pomiędzy światem wirtualnym a fizycznym, niszczących obiekty fizyczne, w kolejnym miesiącu pojawił się Stuxnet. Myślałem jedynie „dlaczego tak wcześnie”? Mam to samo dziwne uczucie, gdy słyszę o nagłych katastrofach, takich jak rozbitych samolotach, wykolejonych pociągach itp.
Badacz bezpieczeństwa znany jako halvarflake powiedział wcześniej w tym roku (o ile dobrze pamiętam): „Przedmioty fizyczne można mieć i/lub posiadać. Systemy komputerowe mają dodatkowy wymiar, jakim jest kontrolowanie: możesz być właścicielem komputera, posiadać go, ale ze względu na obecne projektowanie systemów, nigdy nie będziesz mieć pewności, kto nim steruje”.
Zagadnienie to śni mi się po nocach, ponieważ ta iluzja kontroli nad systemami komputerowymi otwiera nieskończone możliwości wywoływania tragedii przez tych, którzy używają swojej potęgi przeciwko innym.
Co można zrobić w tej kwestii?
Na początek, jako obywatele tego świata, możemy — i musimy — zwrócić uwagę na to, co wybrani przez nas urzędnicy robią, aby nas chronić.
Najważniejsze jest edukowanie i propagowanie świadomości. Rozmowy na ten temat muszą wyjść poza krąg ludzi zajmujących się bezpieczeństwem, a media muszą nam w tym pomóc. Zhakowanie tych bardzo wrażliwych systemów oznacza katastrofę. Na tym powinniśmy się skupić bardziej niż na skandalach związanych z celebrytami czy wyciekach danych ze stron randkowych.