O tym, jak ekspres do kawy może wpędzić cię w kłopoty

Przeczytaj także: Cyberzagrożenia w 2024 roku: co czeka firmy i użytkowników prywatnych?

Historia może wydawać się niewiarygodna, jednak miała miejsce w rzeczywistości. Można też podejrzewać, że podobne przypadki będą wydarzać się częściej. Podzielił się nią w serwisie Reddit jeden z pracowników przedsiębiorstwa petrochemicznego, które posiada kilka swoich zakładów na terenie Europy. Wszystko zaczęło się od zatrzymania lokalnej sterowni. Szybko okazało się, że jej komputery zaatakował ransomware. Było to jednak o tyle zaskakujące, że lokalne zasoby w sterowni działały offline.

- Pomimo wymazania pamięci komputerów oraz ich ponownej instalacji, złośliwe oprogramowanie w dalszym ciągu aktywowało się na urządzeniach. Pracownicy, po wnikliwym badaniu sprawy, odkryli, że przyczyną infekcji był… inteligentny ekspres do kawy. Otóż, kilka tygodni wcześniej zainstalowano podłączony do sieci WiFi ekspres, który automatycznie składał zamówienia na kawę w przypadku jej braku. Niestety był on podłączony z lokalną siecią sterowni, a nie z izolowaną siecią WiFi. W ten sposób cyberprzestępcy mogli dostać się do komputerów znajdujących się w pokoju kontrolnym i wprowadzić do urządzeń złośliwe oprogramowanie – tłumaczy atak Piotr Kałuża, team leader Stormshield.

Jak uchronić przedsiębiorstwo przed atakiem?

W opisywanym przypadku cyberprzestępcy posłużyli się częściowe tzw. surface attack, a więc atakiem, który jest wycelowany w najsłabsze ogniwo przedsiębiorstwie, co docelowo daje możliwość przeprowadzenia ataku na pozostałe komponenty środowiska. Atakujący, przedostając się przez zabezpieczenie brzegu sieci i uzyskując dostęp do komputera w sieci LAN, może dalej eksplorować taką sieć w sposób nieskrępowany przez firewalle i inne urządzenia sieciowe. Jak wskazuje ekspert ze Stormshield, tej sytuacji można było uniknąć przestrzegając podstawowych zasad z zakresu cyberbezpieczeństwa przedsiębiorstwa.

- Analizę ataku pod względem cyberbezpieczeństwa należy przeprowadzić od dołu, czyli od komputerów będących w sterowni. Jeżeli zostałyby one zabezpieczone programem antywirusowym, ten wówczas zatrzymałby rozprzestrzenianie się infekcji. Przed atakiem na przedsiębiorstwo mogłaby uchronić również przeprowadzona uprzednio segmentacja sieci, która pozwoliłaby stworzyć bezpieczne połączenie dla ekspresu do kawy, nie narażając tym samym urządzeń znajdujących się w sterowni. Ponadto, wdrożenie systemów IPS monitorujących ruch sieciowy rozwiązałoby problem i zablokowało zagrożenie już na poziomie przesyłu danych – wyjaśnia Piotr Kałuża.

Cyberatak na ekspres mógł spowodować… katastrofę ekologiczną

Cyberatak przeprowadzony na przedsiębiorstwo petrochemiczne mógł zakończyć się tragicznie. Istniało bowiem realne zagrożenie przedostania się infekcji do sieci przemysłowej i wpływania na pracę sterowników PLC i urządzeń przemysłowych. W opinii eksperta ze Stormshield, taka sytuacja mogła doprowadzić do zatrzymania produkcji, poniesienia tym samym ogromnych strat finansowych przez przedsiębiorstwo, a nawet spowodować katastrofę ekologiczną.

- Cyberataki targetowane na przemysł są coraz chętniej realizowane przez cyberprzestępców. Korzystając z oprogramowania ransomware mogą zażądać opłacenia okupu, przykładowo za odblokowanie dostępu do komputerów, tym samym narazić przedsiębiorstwo na kolejne straty. Dlatego właśnie większość współczesnych firm decyduje się na odpowiednie zabezpieczenie swoich sieci, wdrażając urządzenia typu Next Generation Firewall i UTM, które są odporne na trudne warunki pracy, wykrywają luki w systemach, a także zabezpieczają zaawansowane protokoły przemysłowe przed atakami z zewnątrz – dodaje Kałuża.