Cyberbezpieczeństwo systemów sterowania

Zagrożenia terrorystyczne, hakerzy, sfrustrowani pracownicy oraz wrażliwe na uszkodzenia systemy sterowania pracujące w ważnych, krytycznych i potencjalnie niebezpiecznych gałęziach przemysłu, stanowią źródła wielu trosk. Czy należy słuchać tych, którzy nawołują do zwiększenia poziomu zabezpieczeń, czy też należy uznać prognozy o zagrożeniach za mocno przesadzone?

 W SKRÓCIE

  • IT  czy produkcja
  • Źródła zagrożenia
  • Straty finansowe
  • Etapy redukcji sześciu zagrożeń
  • Inne zasoby

Firmy ubezpieczeniowe, prawnicy, rząd oraz ludzie na całym świecie coraz bardziej martwią się (każdy ma swoje powody) możliwością cyberataku na infrastrukturę produkcyjną oraz na krytyczne systemy związane z liniami produkcyjnymi. Podobnie przedstawiciele przemysłu produkcyjnego oraz ci, którzy reprezentują ważne branże infrastruktury, takie jak: elektroenergetyka, uzdatnianie i dostarczanie wody, przemysł gazowy i naftowy. Na całym świecie martwią się „cyberwrażliwością” najważniejszych procesów systemów sterowania, takich jak: DCS, PLC, systemów SCADA, HMI oraz sieci systemów sterowania.
Zmartwienia te mają swoje przyczyny. Świadomość podatności na uszkodzenia tradycyjnych systemów IT jest powszechnie znana i rozumiana, natomiast niedoskonałości zabezpieczeń systemów sterowania są niezauważane i generalnie nie podejmuje się kroków, aby im zaradzić.
Wiele osób przyczynia się do rozpowszechniania strachu, niepewności i wątpliwości na taką skalę, że inni zaczynają się zastanawiać, na ile te zagrożenia są faktyczne, a na ile wyimaginowane. Niektórzy twierdzą, że przy tak intensywnej propagandzie problem nie może być poważny i po prostu go ignorują. Inni załamują ręce zastanawiając się, kiedy będą mieć z nim do czynienia i jak wielka będzie jego skala.
Są też tacy którzy rozumują w sposób prosty. Dla nich bezpieczeństwo jest kolejnym aspektem niezawodności i sprawności systemów sterowania. Zapewnienie integralności i dostępności elementów systemu sterowania pozwala użytkownikom na przyjęcie bardziej wyważonego podejścia do bezpieczeństwa, zapobiegania problemom oraz ich rozwiązywania, jeśli rzeczywiście zaistnieją.
Kwestie kulturowe
Tradycyjnie korporacyjne działy IT mają wiedzę oraz budżety niezbędne do zarządzania cyberbezpieczeństwem. Jednakże dział IT często nie rozumie systemów sterowania. Z kolei pracownicy zajmujący się produkcją i utrzymaniem ruchu, odpowiedzialni za systemy sterowania, nie mają wystarczającej wiedzy i przede wszystkim wystarczającego budżetu na zapewnienie cyberbezpieczeństwa systemów sterowania. Różnice technologiczne pogłębiają odrębność specyfiki zagadnienia:

  • pracownicy działu IT często nie doceniają znaczenia potrzeby dostępności systemów sterowania 24 godziny na dobę, 7 dni w tygodniu (24/7);
  • IT nie rozumie również niedoskonałości wynikających ze stosowania technologii i procedur IT w systemach sterowania;
  • pracownicy produkcji są zazwyczaj przekonani, że dostępność jest równoznaczna z bezpieczeństwem.

Bieżące trendy
Podobnie jak ci, którzy pracują w gałęziach przemysłu, w których nie ma sterowania, wiele zakładów, które doświadczyły cybernetycznych problemów z systemami sterowania, nie jest skłonnych do udostępniania informacji, czy nawet przyznania, że przydarzyły im się „cybernetyczne incydenty”. Jednakże w poszczególnych gałęziach przemysłu na całym świecie zbierane są informacje dotyczące bezpieczeństwa systemów sterowania. Kiedy przyjmie się pragmatyczne podejście do zagadnienia, rozpatrując zwiększającą się ilość problemów z cybernetycznym bezpieczeństwem, odróżniając to, co rzeczywiste od tego, co przesadzone, wyłania się obraz rodzajów ataków, ich wpływu na wydajność i straty finansowe oraz działań podejmowanych w reakcji na nie.
Cyberincydenty w systemach sterowania występują w przemyśle elektroenergetycznym (transmisja i dystrybucja mocy: wodne, kopalne i nuklearne źródła energii). Jak podaje FBI, ostatnie cyberincydenty, jakie miały miejsce w systemach sterowania, obejmowały zwiększone „sondowanie” i analizowanie systemów sterowania regulujących krytyczne infrastruktury. Oprócz tego zauważyć można zwiększone zainteresowanie niedoskonałościami systemów sterowania na hakerskich czatach dyskusyjnych.
Żadna niezależna organizacja nie przeprowadziła jeszcze precyzyjnego zliczenia i przeanalizowania cyberataków na systemy sterowania. Na obecnym etapie istnieje pewna ilość „niezależnych” baz danych dotyczących systemów sterowania, ale wyciągnięcie statystycznie uzasadnionych wniosków, na podstawie tak ograniczonych danych, miałoby wątpliwą wartość. Ci z nas, którzy zajmują się tymi zagadnieniami, dostrzegają podobne trendy wzrostowe dotyczące niedoskonałości i „czułych miejsc” tradycyjnych systemów IT i systemów sterowania (patrz wykres: „Cyberincydenty zgłoszone do CERT”, str. 32 i ramka: „Cyberataki w Polsce”, str. 36).
Pomiędzy różnymi rodzajami ataków, których celem były systemy sterowania, wyróżnić można trzy kategorie ogólne: (1) zamierzona ataki, takie jak hakowanie (nieupoważnione wtargnięcie do zabezpieczonych plików elektronicznych), odmowa usługi (denial of service – DoS – atak, którego celem jest przerwanie pracy sieci poprzez zalanie jej bezsensowną transmisją danych) lub też nadawanie fałszywych informacji – tzw. „spoofing” (fałszowanie pola „od” w poczcie e-mail tak, aby wysyłać maile z adresu, który nie należy do właściciela poczty); (2) niezamierzone konsekwencje lub straty spowodowane robakami i wirusami; a także (3) niezamierzone naruszenie zabezpieczeń wewnętrznych spowodowane np. przez niewłaściwe procedury testowania systemów sterowania czy też niewystarczającą architekturę systemów sterowania.
Z tych trzech rodzajów zamierzone ataki należą do najrzadszych. Zamierzone ataki są potencjalnie najbardziej szkodliwe, ale również wymagają szczegółowej znajomości zakładu i jego infrastruktury. W rezultacie atak jest najprawdopodobniej przeprowadzany przez rozczarowanego pracownika lub byłego pracownika zaatakowanego zakładu.
W praktyce najbardziej prawdopodobne są niezamierzone zdarzenia wewnętrzne, spowodowane niewłaściwymi procedurami testowymi. Testy penetracyjne systemów sterowania wykonywane przez personel, który nie zna systemów sterowania, to po prostu „szukanie guza”. Najczęściej spotykane są internetowe wirusy i robaki, które nie są wymierzone w żadnego konkretnego użytkownika, ale w platformę Microsoft Windows lub też inne bazowe systemy infrastruktury IT. Od kiedy interfejsy HMI przechodzą na komercyjne, ogólnie dostępne systemy operacyjne zauważyć można zwiększenie ataków typu DoS. Takie incydenty dotyczące systemów sterowania są nieprzewidywalne i w dużej mierze zależą od platformy systemu sterowania oraz roku produkcji urządzenia. Reasumując cyberataki na systemy sterowania są wynikiem: chaotycznego funkcjonowania systemów, zwolnień z pracy, braku reakcji i wyłączeń.

Na przestrzeni ostatnich kilku lat ilość cyberataków i wtargnięć, zarówno tych zamierzonych, jak i niezamierzonych, gwałtownie wrosła. W latach 1998-2003, doszło do ponad 310 000 cyberataków, w porównaniu z zaledwie 10 000 w latach 1993-1997
Konsekwencje finansowe
Niekompletnie zabezpieczone systemy produkcyjne i systemy sterowania mogą stanowić zagrożenie bezpieczeństwa publicznego oraz bezpieczeństwa pracowników. Mogą przyczynić się do utraty zaufania publicznego, naruszenia wymogów prawnych, utraty informacji objętych klauzulą poufności czy też strzeżonych informacji technicznych. Mogą również powodować bezpośrednie straty finansowe. Może wynikać to z:

  • degradacji pracy systemu sterowania (utrata efektywności, niewykorzystanie wszystkich możliwości, kwestie związane ze zgodnością z przepisami itd.),
  • zasobów ludzkich potrzebnych do przywrócenia systemu do życia,
  • reklamacji klientów, procesów sądowych, wyższych stawek ubezpieczeń, utraty reputacji itd.

Ilość wirusów, robaków oraz innych cyberataków nakierowanych na tradycyjne systemu IT zwiększa się – jak pokazano to na wykresie. Jednakże, ponieważ zaledwie niewielki procent tych incydentów jest oficjalnie zgłaszany, nie ma wystarczających danych ilościowych, które pozwoliłyby np. kierownikowi produkcji na dokonanie słusznegowyboru pomiędzy inwestowaniem w zabezpieczanie się przed cybernetycznymi zagrożeniami, a argumentami związanymi z produkcją.
Ponadto wielu reprezentantów przemysłu elektroenergetycznego twierdzi, że do wygenerowania znacznych strat finansowych konieczne byłyby przerwy w zasilaniu. Opierając się na badaniach przeprowadzonych przez firmę KEMA opracowano analizy rzeczywistych, zaistniałych przypadków opisujących firmy, których systemy sterowania doświadczyły działania cyberataków (zamierzonych, niezamierzonych oraz wirusów i robaków).
Wyniki wykazują, że znaczne straty finansowe zaistniały nawet w tych sytuacjach, w których nie wystąpiła utrata zasilania czy przerwy w produkcji. Wyniki badań, choć dopiero wstępne, mogą być zastosowane do zbudowania ilościowej analizy przypadku niezbędnej do wdrożenia rozwiązań mających na celu przeciwdziałanie ryzyku cyberataków. Rozwiązania te obejmują ocenę poziomu podatności systemu, opracowanie polityki zapewniania cyberbezpieczeństwa systemu sterowania oraz wdrożenie odpowiedniej technologii IT (takiej jak na przykład właściwie skonfigurowane ściany ogniowe).
Reakcja w przemyśle
Bezpieczeństwo systemów sterowania to prawdziwy problem. Czy to źle? Niekoniecznie. Dobrze, że w rozwiązanie tego problemu angażują się ci, którzy wiedzą, jak kluczową rolę odgrywają systemy sterowania.
ISA oraz inne organy zajmujące się standaryzacją są aktywnie zaangażowane w opracowywanie standardów o szerokim zasięgu, których zadaniem będzie ochrona systemów sterowania. Komitet ISA-SP99 składa się z ludzi posiadających znaczną wiedzę o systemach sterowania, którzy wywodzą się z różnych gałęzi przemysłu, a których zadaniem jest opracowanie: standardów, zalecanych praktyk, raportów technicznych oraz innych informacji mających na celu zdefiniowanie procedur służących do wdrażania elektronicznie bezpiecznych systemów produkcyjnych oraz systemów sterowania służących do oceny wydajności i działania elektronicznych systemów zabezpieczających. Wytyczne organizacji są przeznaczone dla osób odpowiedzialnych za projektowanie, wdrażanie oraz zarządzanie systemami produkcyjnymi i systemami sterowania, jak również dla: użytkowników, integratorów systemów, specjalistów ds. bezpieczeństwa oraz producentów systemów sterujących i dostawców.
Oczywiście użytkownicy muszą adaptować rozwiązania do swoich systemów i lokalizacji. Jednakże wielu producentów podjęło kroki mające na celu wdrożenie programów bezpieczeństwa (nawet podstawowe techniki bezpieczeństwa, takie jak firewalle w warstwie sterującej) i odnieśli wielki sukces.

Statystyki wykazują, że incydenty w dziedzinie bezpieczeństwa mogł powstawać wewnątrz organizacji lub też pochodzić z zewnątrz
Rada
Jak odnieść sukces?
1. Należy zacząć od dokładnej analizy ryzyka obejmującej każdy główny obszar ryzyka. Znacznie łatwiej zredukować zasięg programu bezpieczeństwa podczas jego realizacji, niż przeoczyć coś bardzo istotnego na początku. Dobra analiza ryzyka pomoże przywrócić spokój, sprowadzając kwestie bezpieczeństwa do zestawu problemów, którymi można zarządzać i którymi należy się zająć.
2. Strona finansowa. Finansowa analiza ryzyka pomoże firmom uzasadnić wydatki na cele bezpieczeństwa i określić, w którym momencie poziom ryzyka uzasadnia ich poniesienie.
3. Organizacje muszą również przeprowadzać stosowne startegie i uważnie wybierać dostępne technologie. W końcu bezpieczeństwo jest procesem, nie problemem technicznym, a wielu wypadkom można zapobiec poprzez egzekwowanie stosownej dyscypliny i przestrzeganie procedur w środowisku sterowania procesami. Wymuszanie pożądanych nawyków to klucz do redukcji ryzyka. Dotyczy to zastosowania technologii oraz niezbędnych procedur.
4. Pogłębianie wiedzy. Organy zajmujące się standardami wraz z przedstawicielami branż przemysłowych pracują nad rozwiązaniem problemów bezpieczeństwa systemów sterujących. Do organizacji tych należą: ISA – Stowarzyszenie Oprzyrządowania, Systemów oraz Automatyki (Instrumentation, Systems, and Automation Society), NIST – Krajowy Instytut Standardów i Technologii (National Institute for Standards and Technology), CIDX – Wymiana Danych w Przemyśle Chemicznym (Chemical Industry Data Exchange), IEC – Międzynarodowe Konsorcjum Inżynieryjne (International Engineering Consortium), CIGRE – Międzynarodowa Rada ds. Dużych Systemów Elektrycznych (International Council on Large Electric Systems) oraz inne. Każda z tych organizacji publikuje dokumenty dotyczące cyberbezpieczeństwa systemów sterujących.
Powstały w roku 2002, komitet ISA SP-99 opublikował dwa raporty techniczne, które są dostępne za pośrednictwem ISA. ISA TR99.00.01 obejmuje typowe technologie zabezpieczające oraz to, jak należy je stosować w systemach sterowania. ISA TR99.00.02 jest dokumentem przewodnim mającym pomóc użytkownikom w procesie tworzenia skutecznego programu bezpieczeństwa, łącznie ze strategiami, procedurami i technologiami. Komitet ISA SP-99 rozpoczął prace nad wieloczęściowym ogólnym standardem przemysłowym dla zapewniania bezpieczeństwa systemów produkcyjnych oraz systemów sterujących. Wysiłki ISA skupiają się głównie na dostępnych technologiach służących do zabezpieczania systemów sterowania i zapewniania środków do wdrażania, utrzymywania i oceniania programu bezpieczeństwa, uwzględniającego wszystkie aspekty ryzyka systemów sterowania. Wysiłki ISA SP-99 nie skupiają się na wybranych gałęziach przemysłu; zrzesza obecnie ponad 250 członków reprezentujących ponad 220 firm (prawie wszystkie gałęzie przemysłuzwiązane z produkcją i sterowaniem).
5. Pracując nad zapobieganiem incydentom w dziedzinie bezpieczeństwa, należy również uwzględnić kwestie zapobiegania, odzyskiwania i naprawiania ich ewentualnych skutków. Ponieważ większość zdarzeń z dziedziny bezpieczeństwa wpływających na procesy przez jakiś czas pozostaje niewykryta, nie wystarczy skupianie się na zapobieganiu incydentom. Przemysł musi zająć się zapobieganiem stratom produkcyjnym oraz przerwom w sterowaniu procesami, doskonalić zdolność do wykrywania problemów, ich rozwiązywania i przywracania procesów poprzez stosowne procedury naprawczo–konserwacyjne, zapewnienie jakości, zarządzanie ryzykiem, zapewnienie bezpieczeństwa produkcji i produktów oraz sporządzanie planów zapewniających kontynuację produkcji i planów na wypadek sytuacji awaryjnych i klęsk.
6. Jeśli nie dysponujecie Państwo czasem, personelem i doświadczeniem należy poszukać pomocy poza zakładem, zwracając się do konsultantów lub integratorów systemów.
Wyzwania
Istnieje wiele potencjalnych problemów, a w przemyśle odnotowuje się coraz to nowe rodzaje incydentów.
Jednakże przesłanie ogólne nie jest wcale złe. Istnieją środki zaradcze, jakie mogą zostać podjęte, aby w znacznym stopniu zredukować ryzyko wystąpienia takich problemów:

  • Trzeba skupić się na problemach, które mogą wpłynąć na niezawodność systemów sterowania.
  • Przyjąć zrównoważone podejście techniczne, aby zredukować prawdopodobieństwo ich ponownego wystąpienia.
  • Ograniczyć ich wpływ do jak najmniejszego obszaru.
  • Pracować nad jak najszybszym przywracaniem normalnego funkcjonowania po incydentach.

Przemysł uczy się coraz więcej na temat zagrożeń z dziedziny bezpieczeństwa, a inżynierowie powinni skupić się na adaptowaniu programów, strategii, procedur oraz technologii tak, by stosować najnowocześniejsze zabezpieczenia systemów sterowania. ce
Joseph Weiss, CISM (Certified Information Security Manager) jest konsultantem zarządu KEMA oraz przewodniczącym komitetu IEEE Stowarzyszenia Inżynierii Zasilania (Power Engineering Society) zajmującego się weryfikacją standardów sprzętowych pod kątem cyberbezpieczeństwa, jest członkiem komitetu ISA ds. Bezpieczeństwa Systemów Sterowania – SP99 oraz członkiem grupy wykonawczej CIGRE ds. cyberbezpieczeństwa. Bryan L. Singer jest Prezesem ISA SP-99, a pracuje dla firmy Rockwell Automation jako starszy konsultant biznesowy i lider usług związanych z bezpieczeństwem. www.isa.org/standardswww.cidx.orgwww.cigre.orgwww.iec.orgwww.nerc.comwww.nist.govwww.cert.plwww.kema.pl

Analiza incydentów naruszających bezpieczeństwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2004

CERT Polska (Computer Emergency Response Team) jest zespołem działającym w ramach Naukowej i Akademickiej Sieci Komputerowej (www.nask.pl), zajmującym się reagowaniem na zdarzenia naruszające bezpieczeństwo w Internecie. CERT Polska działa od 1996 roku, a od 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams – www.first.org) – największej na świecie organizacji zrzeszającej zespoły reagujące i zespoły bezpieczeństwa z całego świata.

Do głównych zadań zespołu należy:

  • rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci,
  • alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń,
  • prowadzenie działalności informacyjno-edukacyjnych,
  • prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu,
  • niezależne testowanie produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego,
  • prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a także klasyfikacji i tworzenia statystyk.

Pełną treść raportu znajdziecie Państwo w wersji online tego artykułu. Poniżej zestawiamy najważniejsze statystyki i podsumowanie raportu.

Liczba incydentów w latach 1996–2004

Jak widać na wykresie 1., w ostatnich latach liczba incydentów nie rośnie gwałtownie. Niestety nie odpowiada to rzeczywistym trendom. Wzrost liczby incydentów naruszających bezpieczeństwo w sieci jest z pewnością większy, niż przedstawiają to słupki na wykresie. Główną przyczyną rozbieżności pomiędzy danymi statystycznymi, a tym co obserwujemy w rzeczywistości, jest fakt, że przeważająca większość obecnych ataków odbywa się w sposób automatyczny. Tego typu ataki przez wielu uznane zostały jako „szum sieciowy” – coś, z czym należy się pogodzić, a tym samym nie ma sensu zgłaszać do jednostek reagujących, zwłaszcza jeśli nie zostały poniesione istotne straty.

Typy incydentów

Na wykresie 2. pokazano podział na typy incydentów i ich rozkład procentowy. Ponad połowa wszystkich obsłużonych przez CERT Polska incydentów to przypadki dotyczące gromadzenia informacji (54,7%), a w szczególności skanowania. Powyżej 10% odnotowano jeszcze dwie kategorie: złośliwe oprogramowanie (13,5%) oraz obraźliwe i nielegalne treści (11,5%). Najmniej przypadków zgłoszono w kategoriach: bezpieczeństwo informacji (0,3%) oraz włamania (2,4%).

Najważniejsze zmiany w stosunku do roku ubiegłego

  • Nastąpił ponaddwukrotny wzrost liczby incydentów dotyczących złośliwego kodu – z 6,7% do 13,5%,
  • Prawie czterokrotnie wzrosła liczba ataków DoS i DDoS – z 1,7% do 6,3%,
  • Niemalże pięciokrotnie wzrosła liczba oszustw komputerowych – z 1,8% do 8,4%,
  • Nadal decydującą rolę w zgłaszaniu incydentów odgrywają zespoły reagujące (CSIRT),
  • Coraz więcej zgłoszeń/incydentów pochodzi z Polski. Mimo to nadal przeważają zgłoszenia z zagranicy – 72,3% w roku 2004, 89,6% w roku 2003.

Najważniejsze zjawiska i trendy obserwowane w roku 2004

Szczególnej siły nabrały zagrożenia dystrybuowane w sposób automatyczny, czego najlepszym dowodem jest dramatyczny wręcz wzrost informacji dotyczących funkcjonowania rozproszonych sieci, poprzez które steruje się masowymi atakami (np. atakami DDoS) – czyli tzw. Bonetów.

Wzrosła aktywność wirusów (szczególnie niebezpieczne były MyDoom, Beagle czy Netsky). Wirusy te powodowały masowe ataki DDoS i wręcz „walczyły” ze sobą, np. przez deinstalację konkurenta po infekcji. Oprócz standardowego dołączania załącznika do zarażania używały także metod socjotechnicznych.

Nowości w świecie robaków sieciowych – m.in. robak Witty, który pojawił się w sieci po dwóch dniach od opublikowania informacji o luce, którą wykorzystywał – jest doskonałym reprezentantem zjawiska polegającego na wyraźnym skracaniu się czasu pomiędzy opublikowaniem informacji o luce systemowej a jej wykorzystaniem. Innym robakiem, który spowodował wiele strat, był Sasser, wykorzystujący słabość znalezioną w usłudze LSASS (Local Security Authority Subsystem Service), kolejny to Dabber, który wykorzystywał błąd popełniony w kodzie Sassera i był prawdopodobnie pierwszym w historii robakiem wykorzystującym lukę w innym robaku sieciowym.

Obserwowano intensywny rozwój zjawiska phishingu – w przypadku tego zjawiska połączono techniki znane z dystrybucji spamu z socjotechniką. Wiele ofiar phishingu poniosło wymierne straty finansowe. Techniki użyte przy phishingu i spamie oparte są z kolei na sieciach zbudowanych często za pomocą robaków sieciowych i wirusów. Wszystkie te zjawiska łączą się ze sobą. Potwierdzają to ubiegłoroczne obserwacje, że zagrożenia w sieci są coraz bardziej skomplikowane i tworzą rozbudowaną sieć powiązań oraz połączeń technik ataków komputerowych.


ONLINE EXTRA

Analiza incydentów naruszających bezpieczeństwo teleinformatyczne zgłaszanych do zespołu CERT Polska w roku 2004

CERT Polska (Computer Emergency Response Team) jest zespołem działającym w ramach Naukowej i Akademickiej Sieci Komputerowej (www.terena.nl/tech/task-forces/tf-csirt/) i działającej przy tej organizacji inicjatywie Trusted Introducer1 (www.ti.terena.nl). W ramach tych organizacji CERT Polska współpracuje z podobnymi zespołami na całym świecie.

Do głównych zadań zespołu należy:

  • rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci;
  • alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń;
  • współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST i TF – CSIRT ;
  • prowadzenie działalności informacyjno-edukacyjnych, zmierzających do wzrostu świadomości na temat bezpieczeństwa teleinformatycznego (zamieszczanie aktualnych informacji na stronie www.cert.pl organizacja cyklicznej konferencji SECURE);
  • prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu;
  • niezależne testowanie produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego;
  • prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a także klasyfikacji i tworzenia statystyk;
  • udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego;

    1. Typy odnotowanych incydentów

Złośliwe oprogramowanie

Typy/Podtypy incydentu

Liczba

Suma-typ

Procent-typ

Obrażliwe i nielegalne treści

0

140

11,5

Spam

130

Dyskredytacja, obrażanie

3

Pornografia dziecięca, przemoc

7

3

165

13,5

Wirus

57

Robak sieciowy

89

Koń trojański

16

Oprogramowanie szpiegowskie

0

Dialer

0

Gromadzeni informacji

1

669

54,7

Skanowanie

659

Podsłuch

0

Inżynieria społeczna

9

Próby włamań

3

31

2,5

Wykorzystanie znanych luk systemowych

6

Próby nieuprawnionego logowania

21

Wykorzystanie nieznanych luk systemowych

1

Włamania

7

29

2,4

Włamanie na konto uprzywilejowane

16

Włamanie na konto zwykłe

3

Włamanie do aplikacji

3

Dostępność zasobów

0

77

6,3

Atak blokujący serwis (DoS)

15

Rozproszony atak blokujący serwis (DDoS)

62

Sabotaż komuterowy

0

Bezpieczeństwo informacji

0

4

0,3

Nieuprawniony dostęp do informacji

2

Najważniejsze zmiany w stosunku do roku ubiegłego

– Nastąpił ponad dwukrotny wzrost liczby incydentów dotyczących złośliwego kodu (a w szczególności robaków sieciowych)”>

– Prawie czterokrotnie wzrosła liczba ataków DoS i DDoS – z 1,7% do 6,3%;

– Niemalże pięciokrotnie wzrosła liczba oszustw komputerowych – z 1,8% do 8,4%, co wiąże się ze znacznym wzrostem zgłoszeń dotyczących phishingu oraz naruszania praw autorskich;

– Nadal decydującą rolę w zgłaszaniu incydentów odgrywają zespoły reagujące (CSIRT) – 53,3% w minionym roku i 51,5% w roku 2003;

– Coraz mniej zgłoszeń pochodzi z zespołów typu Abuse, coraz więcej od użytkowników indywidualnych i firm komercyjnych;

– Coraz więcej zgłoszeń/incydentów pochodzi z Polski. Mimo to, nadal przeważają zgłoszenia z zagranicy – 72,3% w roku 2004, 89,6% w roku 2003.

Najważniejsze zjawiska i trendy obserwowane w roku 2004

– Szczególnej siły nabrały zagrożenia dystrybuowane w sposób automatyczny, czego najlepszym dowodem jest dramatyczny wręcz wzrost informacji dotyczących funkcjonowania rozproszonych sieci, poprzez które steruje się masowymi atakami (np.: atakami DDoS) – czyli tzw. Botnetów;

– Wzrosła aktywność wirusów (szczególnie niebezpiecznymi były MyDoom, Beagle czy Netsky). Wirusy te powodowały masowe ataki DDoS i wręcz "walczyły" ze sobą_, np. przez deinstalację konkurenta po infekcji. Oprócz standardowego dołączania załącznika, do zarażania używały także metod socjotechnicznych;

– Nowości w świecie robaków sieciowych – m.in. robak Witty, który pojawił się w sieci po dwóch dniach od opublikowania informacji o luce, którą wykorzystywał – jest doskonałym reprezentantem zjawiska polegającego na wyraźnym skracaniu się czasu pomiędzy opublikowaniem informacji o luce systemowej, a jej wykorzystaniem. Innym robakiem, który spowodował wiele strat był Sasser, wykorzystujący słabość znalezioną w usłudze LSASS (Local Security Authority Subsystem Service), kolejny to Dabber, który wykorzystywał błąd popełniony w kodzie Sassera i był prawdopodobnie pierwszym w historii robakiem wykorzystującym lukę w innym robaku sieciowym;

– Intensywny rozwój zjawiska phishingu – w przypadku tego zjawiska mieliśmy do czynienia z połączeniem technik znanych z dystrybucji spamu z socjotechniką. Wiele ofiar phishingu poniosło wymierne straty finansowe. Techniki użyte przy phishingu i spamie oparte są z kolei o sieci zbudowane często za pomocą robaków sieciowych i wirusów. Wszystkie te zjawiska łączą się ze sobą. Potwierdzają to ubiegłoroczne obserwacje, że zagrożenia w sieci są coraz bardziej skomplikowane i tworzą rozbudowaną sieć powiązań oraz połączeń technik ataków komputerowych. Za rozwojem tego typu zagrożeń stoją przestępstwa komputerowe na dużą skalę, z których czerpane są coraz większe nielegalne zyski;

– Wzrost problemu występowania w sieci nielegalnych treści, a w szczególności pornografii dziecięcej. Z racji specyfiki tego zjawiska w NASK powołano do istnienia zespół NIFC Hotline Polska

Jak widać w ostatnich latach liczba incydentów nie rośnie gwałtownie. Niestety nie odpowiada to rzeczywistym trendom. Wzrost liczby incydentów naruszających bezpieczeństwo w sieci jest z pewnością większy niż przedstawiają to słupki na wykresie. Główną przyczyną rozbieżności pomiędzy danymi statystycznymi, a tym co obserwujemy w rzeczywistości jest fakt, że przeważająca większość obecnych ataków odbywa się w sposób automatyczny. Tego typu ataki przez wielu uznane zostały jako "szum sieciowy"”>www.arakis.cert.pl, który prezentuje osiągnięcia systemu AgRegacji, Analizy i Klasyfikacji Incydentów Sieciowych – ARAKIS (http://arakis.cert.pl/). Jednym z celów tego projektu jest identyfikacja źródeł najpoważniejszych ataków w sieci i próba ich wyeliminowania. System ten będzie najprawdopodobniej źródłem informacji, o konkretnych incydentach w roku 2005.