Ekspert: Hackers Penetrating Control Systems

De netværk, der driver industrielle kontrolsystemer, er blevet overtrådt mere end 125 gange i det sidste årti, med en som resulterede i amerikanske dødsfald, sagde en kontrolsystemekspert torsdag.

Joseph Weiss, administrerende partner for styresystemets sikkerhedskonsulent Applied Control Solutions, beskriver ikke det brud, der forårsagede dødsfald under hans vidnesbyrd før et amerikansk senatudvalg, men han sagde, at han har været i stand til at finde bevis for mere end 125 kontrolsystemer, der involverer systemer i atomkraftværker, vandkraftværker, vandværker, olieindustrien og landbrugsvirksomheden.

"Virkningerne har varieret fra trivielle til væsentlige miljøskader på væsentlige udstyrsskader på dødsfald, "fortalte han Senatet Commerce, Science and Transportation Committee. "Vi har allerede haft en cyberhændelse i USA, der har dræbt mennesker."

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

På andre tidspunkter har Weiss talt om en benzin fra juni 1 rørledningsbrud nær Bellingham, Washington. Det brud spildte mere end 200.000 liter benzin i to creeks, der antændte og dræbte tre mennesker. Undersøgere fandt flere problemer, der bidrog til bruddet, men Weiss har identificeret en computerfejl i rørledningens centrale kontrolrum som en del af problemet.

Det kunne tage os lang tid at grave ud af koordinerede angreb på infrastruktur ved hjælp af kontrol systemer, Weiss fortalte senatorer. Beskadiget udstyr kan tage flere uger at erstatte, sagde han. Et koordineret angreb "kunne være ødelæggende for den amerikanske økonomi og sikkerhed," sagde han. "Vi taler måneder for at komme sig tilbage. Vi taler ikke dage."

Industriel styresystemindustri er år bag IT-branchen for at beskytte cybersikkerheden, og nogle af de teknikker, der anvendes i it-sikkerhed, vil skade kontrolsystemerne Weiss tilføjet. "Hvis du penetrerer-test et gammelt industrielt kontrolsystem, vil du lukke det ned eller dræbe det," sagde han. "Du vil være din egen hacker."

En del af problemet er, at der kun er en håndfuld styresystemleverandører, og deres arkitekturer og standardadgangskoder er fælles for hver leverandør, siger Weiss. Derudover er der sandsynligvis færre end 100 eksperter inden for styresystemets cybersikkerhed over hele verden, og amerikanske universiteter har ikke læseplaner fokuseret på cybersecurity på kontrolsystemet, tilføjede han.

Angreb kommer fra udenforstående, men også fra medarbejdere eller tidligere medarbejdere, Weiss sagde. "Jeg tror, ​​at truslen er stigende ikke kun på grund af nationalstater … men fordi den økonomiske nedtur har skabt mange utilfredse men kyndige antagonister," sagde han.

Weiss gav tre eksempler på sager, der involverer utilfredse medarbejdere, herunder en nylig sag i Californien, hvor en medarbejder deaktiverede lækagesøgningssystemerne i tre oliventrækker ud for kysten.

Senatorer opfordrede til øget fokus på cybersikkerhed i den amerikanske regering og den private industri. "Det er meget vigtigt for folk at vide, at cybersikkerhed ikke kun handler om at beskytte vores regering netværk fra lande med terrorister eller hackere, der ønsker vores hemmeligheder," sagde senator Jay Rockefeller, en West Virginia demokrat og udvalgsformand. "Det handler om at beskytte vores nations kritiske infrastruktur fra cyberangreb, der kunne have alvorlig indflydelse på handel og økonomien, der er helt ødelæggende."

For mange amerikanske beboere tænker ikke eller ved de igangværende cyberangreb, tilføjede Rockefeller. James Lewis, direktør for teknologi og offentlig politik på Center for Strategiske og Internationale Studier, opfordrede også kongressen til at fokusere på traditionel it-sikkerhed udover styresystemer. På nuværende tidspunkt er intellektuel ejendomsret i USA kompromitteret, og disse tab vil skade landets langsigtede konkurrenceevne, sagde han.

Mens styresystemer repræsenterer et potentiale for angreb, "vi er under angreb lige nu," Lewis sagde. "Jeg bekymrer mig mere om tab af information. I øjeblikket bliver vi røvet af udenlandske enheder af vores mest værdifulde teknologi, og vi skal stoppe det."