بحث امنیت سایبری سامانههای کنترل صنعتی و اسکادا به حدی پراهمیت است که به عنوان یک دغدغه مهم بینالمللی عنوان میشود تا حدی که کشورهای صنعتی از سال های گذشته تا کنون با صدور فرمانهای ویژه از سوی مقامات، برقراری امنیت سایبری را به عنوان یکی از اهداف اصلی خود در بحث امنیت قرار میدهند.
چرا سطح تهدید شبکههای اسکادا و سامانههای کنترل صنعتی هر روزه بالاتر میرود؟
در گذشته دلیل اصلی ایمن کردن سامانههای کنترل صنعتی و اسکادا، محافظت از این سامانهها در مقابل حوادث شبکهای غیرعمدی و یا حملات داخلی بود و احتمال یک حمله سایبری مخرب بیرونی واقعاً بسیار کم درنظر گرفته میشد.
پس از آن شاهد ظهور تروریسم جهانی در هزاره سوم و سپس کشف استاکسنت بودیم.
در سال ۲۰۱۰، بدافزار استاکسنت که به عنوان اولین بدافزار در شروع حملات سایبری شناخته میشود با موفقیت توانست به شبکههای ایزوله یا air-gapped نفوذ کند و باعث اختلال در فرآیندهای صنعتی شود. این کرم مخرب، از روشهای مختلفی برای انتشار استفاده میکرد، که معروفترین روش آن از طریق USB بوده است.
کشف این بدافزار تاثیراتی به همراه داشت که عبارتند از:
۱. جلب توجه نفوذگران به سمت سامانههای کنترل صنعتی
سروصدایی که استاکسنت به راه اندخت موجب شد توجه نفوذگران به سمت سامانههای کنترل صنعتی جلب شود و این نکته بر آنها روشن شود که این سامانهها تا چه میزان حساس و آسیبپذیر هستند. در سال ۲۰۱۱ عمده آسیبپذیریهای سامانههای کنترل صنعتی به محض کشف شدن و بدون این که وصله شوند به همراه کدهای سوءاستفاده به صورت عمومی منتشر میشدند و این میزان آسیبپذیری عمومی نسبت به دهه گذشته بیسابقه بوده است و این رکورد هر سال نیز باز هم شکسته شد و شواهد نشان میدهد که هر سال میزان این آسیبپذیریها نسبت به سال قبل بسیار بیشتر خواهد بود.
۲. پدیدار شدن تهدیدات مداوم پیشرفته (APT) جدید با هدف سامانههای صنعتی
استاکسنت اولین تهدید پیشرفته مداوم شناخته شده نبوده است، اما اولین تهدیدی از این جنس بود که سامانههای کنترل صنعتی را هدف قرار میداد. این بدافزار و روشهای حمله آن، بهقدری توسط کارشناسان امنیتی بررسی شد که نتایج این بررسیها را میتوان به عنوان یک «کتاب آموزشی» به منظور ایجاد حملات علیه صنعتهای حساس نامید.
غالب تهدیدات مداوم پیشرفته اخیر با تمرکز ویژه بر جاسوسی از سامانههای صنعتی و سرقت اطلاعات تجاری حساس از صنایع انرژی توسعه پیدا میکنند و سایر تهدیدات از جمله بدافزار شِیمون که نمیتوان آن را یک تهدید پیشرفته و یا مداوم برشمرد، قادر به تخریب و خسارت رساندن به شبکههای بزرگ و حساس صنایع بودهاند. بنابراین انتظار مشاهده تهدیدات بسیار پیشرفتهتر در این حوزه در چند سال آینده خیلی بعید نیست و شاید بهتر باشد از همین الآن این نکته را مطرح کنیم که اگر در سالهای آتی تهدیدات پیشرفتهای مشاهده نشد، به این دلیل نیست که این تهدیدات وجود ندارند و تب هدف قرار دادن سامانههای کنترل صنعتی فروکش کرده است، بلکه بدین معنی خواهد بود که این تهدیدات هنوز کشف نشدهاند.
اما سؤالی که مطرح میشود این است که اگر تهدیدات پیشرفته مداوم که تمرکز اصلی آنها صنعت است تا این حد مؤثر بودهاند، چرا توسعهدهندگان تولید آنها را متوقف نمیکنند؟ آیا آنها به هدف خود نرسیدهاند؟
۳. جنگ سایبری سطح پایین فعلی بالاخره پیشرفت خواهد کرد
همانطور که بارها و بارها عنوان شده است، بدافزار استاکسنت درواقع بخشی از پروژه آمریکایی- اسراییلی است که هدف اصلی آن تخریب فعالیتهای غنیسازی اورانیوم ایران بود. این فعالیتها منجر شد تا سایر کشورها و ملتها درس بزرگی از این پروژه بگیرند، این که جنگ سایبری یک روش بسیار مؤثر برای حمله به کشورهای دیگر است، بدون این که این حملات قابل تشخیص باشد. اخیراً نیز شاهد حملات سایبری هستیم که علیه کره جنوبی توسط کره شمالی آغاز شده است.
نتیجه؟ اگر کشوری دارای تأسیسات صنعتی حساس میباشد و از نظر سیاسی نیز در موقعیت حساسی قرار دارد، همین الآن برای تجهیز امنیت سایبری خود اقدام کند!
شبکههای سامانههای کنترل صنعتی و اسکادا در مرکز این جنگ سایبری قرار دارند
همانگونه که مطرح شد، تهدیدات پیشرفته مداوم صنعت را هدف قرار داده است و در این میان، شانس حمله به شبکههای سامانههای کنترل صنعتی و اسکادا بسیار بالاست.
در روزهای خوب گذشته، شبکههای سامانههای کنترل صنعتی و اسکادا با استفاده از تجهیزات اختصاصی به صورت کاملاً ایزوله راهاندازی میشدند. آن روزها یادآور دورهای است که تأمین امنیت با استفاده از پنهانسازی روشها و تجهیزات امکانپذیر بود.
اما در دهه گذشته این مسأله ثابت شده است که شبکههای صنعتی از وضعیت ایزوله و اختصاصی به سمت تجهیزات تجاری مانند ویندوز، فناوریهای اِترنت و TCP/IP متمایل شدهاند و مسئلهای که انکار آن غیرممکن میباشد این است که این شبکهها به تعداد زیادی بهروزرسانی نیازمند هستند که از دنیای بیرون وارد این شبکه خواهد شد و به همین دلیل ایزوله خواندن این شبکهها بیمعنی شده است.
ذکر این نکات هم که به کراّت در مقالات قبلی بیان شده است خالی از لطف نیست که کنترلکنندههای منطقی برنامهپذیر (PLC) و سامانههای کنترل توزیعشده (DSC) به گونهای طراحی شدهاند که غالباً امنیت فدای قابلیت اطمینان و ایمنی شده است. این یعنی تمامی این تجهیزات خصوصاً قطعات قدیمیتر به راحتی در مقابل حملات سایبری آسیبپذیر هستند.
پروتکلهای ارتباط در شبکههای سامانههای کنترل صنعتی و اسکادا نیز از این قاعده استثناء نیستند و عمدتاً با تمرکز بر قابلیت اطمینان و سادگی رفع مشکلاتشان طراحی شدهاند و امنیت در آنها کمتر مورد توجه بوده است، شاید بهتر باشد یادآوری کنیم که اغلب این پروتکلها دارای طراحی هستند که حتی مبانی امنیت، یعنی احراز هویت در آنها در نظر گرفته نشده است.
اصطلاح رایج در مورد عدم برقراری امنیت در این شبکهها را میدانید؟ «اگر شما بتوانید یک آیپی را پینگ کنید، آن آیپی متعلق به شماست۲!»
یک توفان بینظیر به نفع مهاجم!
امروزه عدم وجود امنیت در سامانههای صنعتی و به ویژه در شبکههای سامانههای کنترل صنعتی و اسکادا به وضوح همانند یک بازی شده است که تمام امکانات برد در اختیار مهاجمین است. سامانههای قدیمی مربوط به دهها سال پیش که امنیت در طراحی آنها بیمعنی بوده است و همچنین اتصال سامانههای کنترل صنعتی و اسکادا به دنیای بیرون و در نهایت یک کتابخانه بسیار غنی از ابزارهای حمله و آسیبپذیریهای موجود در اختیار مهاجمین است!
بدیهی است که هیچ راه حل سادهای به منظور مقابله با مهاجمین در اختیار نیست، اما به عنوان مسئولین یک صنعت حساس، باید خود را وارد بازی کنید تا دست کم شانس بردی در این بازی در مقابل مهاجمین حملات سایبری داشته باشید.
در کنار همه برنامهریزیهای بلندمدت به منظور ایمن کردن شبکههای سامانههای کنترل صنعتی و اسکادا، اولین و مهمترین وظیفه بازرسی این شبکهها به منظور یافتن نقاط ضعف آنهاست.
محمود گنجی صفار کارشناس رسمی دادگستری