Neznámy heker sa nabúral do riadiaceho systému vodárne na Floride a zmenil dávkovacie hodnoty hydroxidu sodného (NaOH). Ten sa používa na úpravu pitnej vody a mení jej pH tak, aby spĺňala požadované kvalitatívne parametre. Zdá sa vám to ako sľubný začiatok akčného filmu? Je to ale realita. Podľa bezpečnostného konzultanta a audítora kritickej infraštruktúry Martina Fábryho sa tento prípad z februára 2021 môže zopakovať aj na Slovensku. A to v prípade, ak si manažéri nedajú pozor na kvalitné riadenie kyberbezpečnosti.
Útočník presne vedel, kam zacieliť. Zmenil hodnotu dávky NaOH približne stonásobne, čím zvýšil množstvo chemikálie pridávanej do vody na nebezpečnú úroveň. Prevádzkový monitorovací systém vodárne však okamžite detekoval nadmerné množstvo anorganickej látky. Vďaka rýchlemu zásahu operátora sa dávkovanie dostalo do normálu. Ak by však monitorovací systém pre pH vody správne nezareagoval, prípadne by ho útočník napadol a vyradil z prevádzky, mohlo to mať závažný dosah na zdravie ľudí. Riadiace systémy v moderných úpravniach vody používajú prístrojové vybavenie, ktoré nepretržite monitoruje parametre kvality vody, napríklad pH alebo chlór. Výstrahy pri prekročení prijateľných limitov poskytujú v reálnom 12 čase. Kritické parametre sa zvyčajne monitorujú na viacerých miestach, nielen počas procesu úpravy, ale aj v prenosových a distribučných systémoch. „Na Slovensku sa dokonca zvýšená hladina chemikálií vo vode odhaľuje aj pomocou pstruha dúhového, ktorý je na ňu mimoriadne citlivý. Je to akási neheknuteľná analógová poistka. Napriek mnohým bezpečnostným prvkom však vždy existuje riziko vyradenia kritických priemyselných procesov sofistikovaným útokom,“ vysvetľuje bezpečnostný konzultant Martin Fábry.
Situácia počas pandémie je ešte o čosi zložitejšia. Spoločnosti musia vykonávať údržbu riadiacich systémov vzdialene cez internet. Takéto spojenia však často mávajú nízku úroveň zabezpečenia. Aktuálne sa v internete nachádza stotisíc riadiacich systémov, ktoré by nemali byť viditeľné, pretože sú zraniteľné a môžu byť ľahkým terčom. Ich viditeľnosť znásobuje pravdepodobnosť útoku. „Je to výsledok nevedomosti prípadne ľahostajnosti. Vodárenské spoločnosti bývajú často finančne podvyživené a trpia slabou kybernetickou obranou. Preto sa klasifikujú ako jeden z najväčších rizikových sektorov kritickej infraštruktúry,“ hovorí Fábry. Podľa neho sú na Slovensku poddimenzované IT tímy a kybernetických expertov, ktorí by boli schopní postaviť robustný program na ochranu kritickej infraštruktúry, je veľmi málo. Tvrdí, že podobné útoky môžu zasiahnuť aj ďalšie kritické sektory ako sú rafinérie, petrochémia či energetika. Ich dosah na spoločnosť môže byť citeľný, ba až nebezpečný. „Preto je nevyhnutné brať kybernetickú bezpečnosť s plnou vážnosťou a implementovať hĺbkovú kybernetickú obranu. Je to záležitosť národnej bezpečnosti,“ varuje audítor kritickej infraštruktúry.