Vis pavojingesnės interneto įsilaužėlių atakos kelia nerimą CŽV. Kompiuterių tinklų saugumo ekspertai jau seniai perspėjo, kad itin svarbūs infrastruktūros elementai – elektros tinklai, transporto ir vandens tiekimo sistemos – yra pažeidžiamos dėl piktavalių interneto įsilaužėlių veiksmų, teigia JAV žurnalas „Forbes“.
Visai neseniai šie perspėjimai patylomis virto tikrove: Centrinės žvalgybos valdybos pareigūnas Tomas Donahue SANS instituto – garsaus JAV kompiuterių saugumo tyrimų centro – Naujajame Orleane surengtoje konferencijoje, kurioje dalyvavo saugumo sprendimus siūlančių bendrovių atstovai, pranešė, kad kai kuriuose pasaulio regionuose už JAV ribų programišiams pavyko gauti prieigą prie elektros tinklų. Pasak jo, mažiausiai vienu atveju iš visų nustatytų įsilaužėliams pavyko internetu atjungti elektros tiekimą keliems miestams.
„Nežinome, kas ir kodėl surengė šias atakas, bet visais atvejais buvo įsibrauta per internetą, – pareiškė T. Donahue. – Įtariame, nors ir negalime įrodyti, kad dalis atakavusių turėjo prieigą prie vidinės informacijos.“
Pasak „Forbes“, kita CŽV pareigūno paskelbta informacija buvo gana miglota: jis nenurodė, kada ir kur buvo surengtos minėtos atakos ir kiek žmonių dėl jų nukentėjo. Jis taip pat nenurodė konkretaus energetinės sistemos elemento, kurį programišiams pavyko „nulaužti“.
Pastaraisiais mėnesiais saugumo sistemų analize užsiimantys specialistai bando atkreipti dėmesį į seniai žinomas silpnąsias duomenų stebėjimo, valdymo ir saugojimo sistemos SCADA vietas, rašo „Forbes“. Kompiuterinė SCADA sistema naudojama svarbiausiuose JAV infrastruktūros objektuose, pradedant elektrinėmis, baigiant užtvankomis ir visuomeninio transporto sistemomis.
Praėjusių metų rugpjūtį surengtoje „DefCon“ konferencijoje saugumo sprendimų bendrovės „Tipping Point“ tyrėjas Ganeshas Devarajanas pademonstravo būdus, kaip programišiai gali aptikti silpnas vietas SCADA elementuose ir panaudoti juos reketavimo ar sabotažo tikslais.
Rugsėjį naujienų agentūra „Associated Press“ gavo vaizdo įrašą, kuris priklausė JAV Nacionalinio saugumo departamentui. Ši vaizdajuostė, pavadinta „Aurora Generator Test“, atskleidžia, kaip, pasitelkus internetinę ataką, galima fiziškai sugadinti didelį elektros generatorių (CNN buvo išplatinusi anksčiau JAV Energetikos departamento Aidaho laboratorijoje atlikto panašaus eksperimento vaizdo įrašą).
Per 2 praėjusius metus programišiams pavyko sėkmingai prasiskverbti į kelių SCADA naudojančių energetikos bendrovių tinklus ir šantažuoti jų vadovus, tvirtina SANS instituto direktorius Alanas Palleris. Šio instituto įsteigtas krizių centras padeda kompanijoms, susidūrusioms su įsilaužėlių atakomis. „Bendroves šantažavusiems nusikaltėliams pavyko iš jų išsireikalauti šimtus milijonų dolerių, jei ne daugiau, – aiškino Palleris. – Apie tai mažai žinoma, nes įsilaužėliams mokama už tai, kad jie viską laikytų paslaptyje. Tokio pobūdžio pinigų prievartavimas – viena svarbiausių elektroninio nusikalstamumo veiklų. O patys nusikaltėliai lieka nežinomi.“
Birželio mėnesį A. Palleris pareiškė „Forbes“, kad, jo vertinimais, tokių incidentų skaičius vis didės, ir perspėjo, jog nepavykęs bandymas šantažuoti gali pridaryti netyčinės žalos. „Programišių bendruomenėje tokie įvykiai aptarinėjami aktyviai ir išsamiai, keičiamasi idėjomis, kaip galima apeiti šių sistemų apsaugą, – sakė A. Palleris. – Tokios kalbos paprastai prasideda prieš nutinkant negeriems dalykams.“
„Skaitmeninis šantažas“ ir su juo susijusi žala – jokia naujiena, pastebi kompiuterių saugumo paslaugų bendrovės „BT Counterplane“ vyriausiasis technologijų ekspertas Bruce‘as Schneieris. Pasak jo, programišių šantažo aukomis tampa už JAV ribų užregistruotuose serveriuose esančių interneto svetainių – dažniausiai azartinių lošimų ir pornografijos – savininkai. Energetinių bendrovių atakos – tai kai kas nauja, pripažįsta jis.
Tačiau, pasak B. Schneierio, saugumo srityje besidarbuojantiems specialistams nereikėtų manyti, kad silpnoji grandis per T. Donahue minėtas energetikos bendrovių atakas buvo SCADA. Jei iš tiesų buvo įsilaužta, kaip teigia CŽV, pasinaudojus „vidine informacija“, prie to galėjo prisidėti kas nors iš bendrovės darbuotojų, turinčių administratoriaus prieigos prie sistemos teises. „Kaip tai susiję su kompiuterių ir kaip – su pačių žmonių nepatikimumu? – klausia jis. Ir priduria: „Aš nedaryčiau skubotų išvadų“.
Nepriklausomai nuo to, kokie būdai buvo panaudoti įsilaužiant į užsienio energetinius tinklus, perspėja ekspertas, JAV nėra apdraustos nuo tokių atakų. „Amerikietiškose sistemose nėra jokių stebuklų. Pažeidžiamos vietos visur vienos ir tos pačios“, – tvirtina Schneieris.
SANS instituto vadovas A. Palleris mano, kad CŽV pareigūnas T. Donahue kruopščiai pasvėrė visus „už“ ir „prieš“, kai nusprendė atskleisti informaciją apie energetinių sistemų atakas. Kompiuterių saugumo eksperto manymu CŽV tokį pareiškimą padarė JAV nacionalinio saugumo interesais. „Aš manau, kad jie nebūtų atskleidę šią informaciją, jei problema jų manymu būtų išspręsta“, – pareiškė jis žurnalui „Forbes“.