KAKO UPRAVLJATI KRITIČNOM INFRASTRUKTUROM

Plan-Do-Check-Act

Kritična infrastruktura se definira kao sustav, tehnologija, proces... ili bilo kakav strukturirani oblik koji služi održavanju osnovnih društvenih potreba, a najčešće se razmatra na nacionalnoj razini iako se taj pojam može primijeniti i na pojedinu kompaniju ili organizaciju.

PIŠE: BRANIMIR LAMBAŠA

Što je kritično i zašto nije bilo prije?

Uz terorizam koji je postao sastavni dio naših života, ukrajinski Černobil, nekoliko masovnih naftnih izljeva i japanska Fukushima samo su neki od događaja koji su svijetu, a pogotovo matičnim zemljama, donijeli goleme poteškoće i značajne financijske štete.

Poanta uvodnog teksta nije pokazati da cyber-napadi mogu djelovati na industrijska i mehanička postrojenja. Iako ta problematika nije dovoljno obuhvaćena u cyber-zajednici često je predmet mojih članaka. Tema ovog članka je kritična infrastruktura (KI), a poveznica s uvodnim dijelom jest u tome da se baš ta kritična infrastruktura najviše oslanja na postrojenja i sustave čije smo primjere kompromitacije vidjeli u uvodnim recima.
Kritična infrastruktura kao pojam postoji već desetljećima, a definira se kao sustav, tehnologija, proces... zapravo bilo kakav strukturirani oblik koji služi održavanju osnovnih društvenih potreba. S obzirom na to da se najčešće odnosi baš na društvo ili državu u cjelini, uz izraz kritična infrastruktura obično se koristi i izraz nacionalna iako bi se sličan ili isti pojam mogao primijeniti i za pojedinu kompaniju ili organizaciju. Prevedeno na jednostavniji rječnik, bez formalnih definicija, kritična infrastruktura predstavlja okosnicu nacionalnog gospodarstva, sigurnosti i zdravlja.

Intenzivno proučavanje i pokušaji usustavljivanja nečega što se naziva nacionalna kritična infrastruktura započelo je početkom XXI. stoljeća kada je nakon napada na WTC u New Yorku svijet zakoračio u novo razdoblje nesigurnosti. Taj je događaj pokazao svijetu da zemlja koja nije u ratu i ne očekuje drastično narušavanje životne kolotečine može jednim napadom biti toliko pogođena da se na određeno vrijeme poremete svi životni segmenti. U tom konkretnom slučaju zakazao je sustav kontrole američkog prometa i promijenio sliku svijeta u kojem živimo.
Uz terorizam koji je postao sastavni dio naših života posljednjih smo desetljeća svjedoci i nekih katastrofa uzrokovanih i drugim faktorima. Ukrajinski Černobil, nekoliko masovnih naftnih izljeva i japanska Fukushima samo su neki od događaja koji su svijetu, a osobito matičnim zemljama, donijeli goleme poteškoće i značajne financijske štete.

Zbog čega te stvari nismo primjećivali ranije?

Obavijest ukrajinske kompanije o napadu (izvor www.oe.if.ua/)

Mnogo je razloga zašto je tome tako, ali vjerojatno je najvažniji taj da se život nas Zemljana danas uvelike oslanja na niz usluga koje prije pedeset ili sto godina nisu bile zamislive. Današnja prosječna obitelj živi u grijanom stanu koji je spojen na nacionalnu mrežu električne energije, u kupaonici i kuhinji voda je dostupna pritiskom na gumb, u garaži ima prijevozno sredstvo koje se kreće po mreži državnih cesta koje povezuju sve lokacije. I to su samo one najnužnije pretpostavke normalnog života. Prava je istina da prosječan stanovnik računa i na puno više od toga pa se danas i pristup internetu smatra gotovo osnovnom ljudskom potrebom. Na sve što smo nabrojili nije mogla računati prosječna obitelj iz 1916. godine. I baš nas je razvoj kroz to razdoblje doveo u situaciju da nestanak struje ili vode smatramo incidentnim situacijama koje su nedopustive i zahtijevamo da se rizik takvih pojava smanji na najnižu moguću razinu.

Sektori

Vjerujem da ste iz dosadašnjeg teksta već mogli zaključiti što bi konkretno bila kritična infrastruktura pojedine zemlje, ali ipak, stvar treba promatrati na metodološki ozbiljnoj razini pa je tako većina država identificirala kritične sektore kritičnih infrastruktura. Riječ je o gospodarskim granama i onomu što utječe na svakodnevni ljudski život, što je početak procesa identifikacije kritičnih infrastruktura.
Iako se među sobom mogu značajno razlikovati, ako promatramo sektore koje su odabrale pojedine zemlje, može se uočiti da je više od 90 % sektora zapravo zajedničko svima. Ono što najčešće čini razliku jest činjenica ima li neka zemlja na svom teritoriju nuklearne elektrane pa se - ako postoje - izdvajaju u samostalni sektor.

Kao možda najvažniji dio kritične infrastrukture često se spominje kritična informacijska infrastruktura (KII) koja označava njenu tehnološku komponentu. Uz sve prednosti koje je informatička tehnologija donijela u smislu povećanja produktivnosti, brzine i sigurnosti, ona je otvorila i vrata događajima s početka ovog članka pa je upravljanje IT komponentom kritičnih infrastruktura pitanje broj jedan nacionalne sigurnosti.

■ Republika Hrvatska je definirala jedanaest sektora kritičnih infrastruktura i ta je podjela gotovo identična svim zemljama Europske unije i NATO-a. Prema zakonu o kritičnim infrastrukturama, kritičnu infrastrukturu čine ...Sustavi, mreže i objekti od nacionalne važnosti čiji prekid djelovanja ili prekid isporuke roba kao i usluga može imati ozbiljne posljedice na nacionalnu sigurnost, život i zdravlje ljudi, imovinu i okoliš, sigurnost i ekonomsku stabilnost kao i neprekinuto funkcioniranje vlasti...
■ Prema navedenom zakonu sektori nacionalnih kritičnih infrastruktura mogu biti: energetika, komunikacije i IT, promet, vodno gospodarstvo, hrana, proizvodnja, skladištenje i prijevoz opasnih tvari, javne službe, nacionalni spomenici i vrijednosti te znanost i obrazovanje.
■ Nažalost, iako je zakon na snazi već nekoliko godina Hrvatska do danas nema jasno definirane kritične infrastrukture i sustav koji bi se bavio isključivo tom problematikom.
Entiteti i organizacije čije se poslovanje može prepoznati kao nacionalno kritično mogli bi se identificirati i samo na temelju podjele po sektorima, no to bi značilo izostaviti sustavni i metodološki pristup bez jasnih kriterija koji moraju biti zadovoljeni kako bi se nešto zaista moglo prepoznati kao nacionalna kritična infrastruktura.

Nijedna si zemlja ne može priuštiti aktivno i opsežno štićenje svih resursa, zato treba napraviti pametnu prioretizaciju da se stavi fokus na ono što je uistinu kritično

Kao podskup kritične infrastrukture - a možda i njezin najvažniji dio - vrlo se često spominje kritična informacijska infrastruktura (KII) koja označava IT dio kritične infrastrukture. Pokušajte samo zamisliti bilo koju jedinicu kritične infrastrukture - elektranu, vodovod, aerodrom ili bolnicu i razmotriti koliko se u njima primjenjuju informatičke tehnologije. Iako njihova osnovna namjena nije pružanje IT usluga, IT predstavlja kralježnicu tih sustava bez kojih danas ne bi mogli funkcionirati. Nažalost, uza sve prednosti koje je informatička tehnologija donijela u smislu povećanja produktivnosti, brzine, sigurnosti, ona je otvorila i vrata događajima s početka ovog članka i upravo je to razlog zašto je upravljanje IT komponentom kritičnih infrastruktura pitanje broj jedan u zajednici koja se bavi tom problematikom.

U izgradnji sustava upravljanja kritičnom infrastrukturom mahom su najdalje otišle zemlje tržišne ekonomije gdje se država minimalno upliće u gospodarstvo.

Sustav upravljanja kritičnom informacijskom infrastrukturom mora započeti njenim prepoznavanjem. Kako bi učinkovito raspolagala svojim resursima, nijedna si zemlja ne može priuštiti aktivno i opsežno štićenje svih već treba napraviti pametnu prioretizaciju da se stavi fokus na ono što je uistinu kritično. Nakon inicijalnog prepoznavanja kritične informacijske infrastrukture treba procijeniti rizike i definirati minimalne zaštitne mjere koje upravitelji infrastrukture moraju primjenjivati na tim sustavima. Te mjere svakako moraju biti iznad razine prosjeka te zemlje, ali ne bi smjele biti toliko restriktivne da potencijalno ugrožavaju samu osnovu poslovanja. Svi postupci koji se provode u okviru sustava upravljanja kritičnim infrastrukturama (prepoznavanje, procjena rizika, nadzor) moraju potpuno slijediti principe PDCA (Plan-Do-Check-Act) ciklusa, jer je riječ o sustavima koji se jako brzo mijenjaju i evoluiraju, a s njima zajedno i njihove ranjivosti i vanjske prijetnje.
Pri procjeni rizika i analizi prijetnje treba obratiti posebnu pažnju na kaskadne efekte kojima je problematika kritičnih infrastruktura isprepletena – primjerice, nestanak električne energije u jednoj zemlji može pogubno utjecati na gotovo sve sektore kritičnih infrastruktura, a ne samo na energetski sektor koji je primarno zahvaćen.


Privatno, a naše

U izgradnji sustava upravljanja kritičnom infrastrukturom najdalje su otišle zemlje tržišne ekonomije gdje je uplitanje države u gospodarstvo minimalno. U takvim okruženjima je normalno da najveći dio gospodarskih aktivnosti, a među njima i onaj koji spada u kritičnu infrastrukturu, bude u vlasništvu privatnih kompanija i pojedinaca. Je li kritična infrastruktura u vlasništvu države ili u privatnim rukama te u kojem postotku, značajno utječe na manevarske sposobnosti države u upravljanju sustavom. Kako ti postoci mogu varirati, a sustav i dalje funkcionirati, najbolje pokazuju primjeri SAD-a i Izraela, zemalja koje su vjerojatno najuspješnije u izgradnji sigurnosnog sustava.
U Sjedinjenim Američkim Državama 85 % nacionalne kritične infrastrukture je u rukama privatnih korporacija - potpuno je privatizirana većina sektora - dok je situacija u Izraelu upravo suprotna - država u svom vlasništvu drži gotovo 90 % kritične informacijske infrastrukture. Kako bi ti postoci izgledali u Hrvatskoj ne možemo znati dok se kritična infrastruktura konačno ne prepozna, ali možemo nagađati da bi postotak ipak bio značajno na strani države.


Koliko su razvijene zemlje posvećene toj problematici govori i velik broj dokumenta, analiza, čak i sveučilišnih studija. Izvrstan pregled stanja u tim državama donosi International CIIP Handbook objavljen 2009. godine u Centru za sigurnosne studije u Zurichu. Dokument donosi detaljan pregled situacije u 25 zemalja s naglaskom na sektore, politiku, zakonodavstvo i organizaciju svake pojedine zemlje. Iako je dokument star više od pet godina mnoge su informacije i dalje ažurne, jer su sustavi upravljanja kritičnom informacijskom infrastrukturom u pravilu robusni.
Spomenuli smo situaciju u SAD-u i Izraelu, zemljama koje svima u mnogo čemu pa tako i u implementaciji sustava upravljanja krizama mogu biti uzor. No, što je s ostalim zemljama, pogotovo zemljama  Europske unije te onima koje su približno usporedive s Hrvatskom?
Iako nije usporediva s Hrvatskom, osim po članstvu u EU i NATO-u,  Francuska je zanimljiva, jer ima jedan od boljih sustava upravljanja kritičnom infrastrukturom. Još 1997. godine proglasila je informacijsko-komunikacijsko društvo nacionalnim prioritetom budućeg razvoja te je iste godine formalno definirana potreba prepoznavanja i identifikacije sigurnosnih objekata, što se prevedeno na današnju terminologiju može smatrati nacionalnom kritičnom infrastrukturom. Stvari su se razvijale svojim tijekom pa je već 2003. godine odobren plan osiguravanja svih vladinih komunikacijskih mreža. Godine 2008. za predsjedanja Nicolasa Sarkozyja kao najveća prijetnja prepoznat je terorizam i potpuno je rekonstruirana francuska vojska. Najveće promjene doživjele su vojne, civilne i obavještajne strukture kojima je primarni fokus i zadaća cyber-sigurnost. Francuska danas ima nekoliko institucija koje se bave isključivo problematikom kritične informacijske infrastrukture, a dio su vojnog i civilnog okruženja.


Estonija bi se veličinom, utjecajem i važnošću mogla usporediti s Hrvatskom. Međutim, u primjeni modernih tehnologija daleko je ispred nas, jedan od lidera ne samo u Europi već i u svjetskim razmjerima. Poznata kao e-država Estonija velik dio servisa prema građanima pruža putem interneta pa su tako i e-izbori u Estoniji već godinama uobičajena stvar. Upravo zbog okrenutosti digitalnom životu Estonija je 2007. godine doživjela prvi veliki cyber-napad koji se pripisuje drugoj zemlji.

Dugogodišnji zaoštreni odnosi s velikim susjedom Rusijom kulminirali su velikim DDoS napadom koji je nekoliko dana paralizirao cijelu zemlju. No, Estonci nisu zbog tih događaja odustali od IT-ja kao pogonskog goriva modernog društva.
Dodatno su unaprijedili svoje sustave i uložili nova sredstva za razvoj sustava upravljanja kritičnom infrastrukturom te nastavili istim putem - primjenom IT tehnologija na svakom mjestu gdje je to moguće. Estonija u svom sustavu ima sedam sektora kritičnih infrastruktura te nekoliko institucija koje su  odgovorne za upravljanje sustavom i djeluju u slučaju kriznih situacija. Estonija je jako dobar primjer koji demonstrira tvrdnju kako cyber-sigurnost nije događaj već proces.
Ipak, zemlja koja je tom području godinama posvećivala veliku brigu doživjela je, barem što se tiče cyber-sigurnosti pravi armagedon. Ono što je slijedilo je upravo primjena u praksi svega što teorija govori - analiza situacije, uspostava novih mjera,  kontrola i vrednovanje učinkovitosti.

Kako država može prisiliti privatne kompanije da usvoje niz sigurnosnih mjera i uključe se u nacionalni program zaštite kritične infrastrukture?

To pitanje iz hrvatske perspektive izgleda dosta komplicirano, jer privatne kompanije, unatoč tomu što ih ima relativno malo, pružaju dosta snažan otpor prema bilo kojem obliku državne regulacije i nadzora.
 U razvijenom svijetu stvari su ipak drukčije.  
■ U SAD-u primjerice 16 sektora kritičnih infrastruktura komunicira izravno s DHS-om (Department of Homeland Security) te postoje odvojene CERT organizacije koje se bave prijetnjama i ranjivostima za pojedine sektore. Sve kompanije su obvezne prijavljivati incidente, prijetnje i ranjivosti uočene unutar njihovih organizacija te je time razmjena informacija dovedena na najvišu moguću razinu.
■ I Švedska je jako dobar primjer kako stvari trebaju funkcionirati, jer su velike - pogotovo energetske - kompanije same prepoznale potrebu suradnje s državom i ostalim sektorima te inicirale zajedničko djelovanje u svrhu smanjenja rizika i borbe protiv cyber- kriminala.
Kritičnom infrastrukturom uglavnom upravljaju velike i moćne kompanije koje cyber-sigurnost shvaćaju ozbiljno već dugo vremena, a uz to mogu zapošljavati najbolje stručnjake i nabaviti najnoviju opremu. Što takvim kompanijama država uopće može ponuditi? Odgovor na to pitanje je dosta jednostavan, a glasi - obavještajne podatke. Iako su države u pravilu sporije i tromije od privatnih kompanija, država može osigurati niz obavještajnih podataka i stvoriti veliku sliku stanja sigurnosti.
Razvijena gospodarstva su shvatila da sigurnost danas nije nadogradnja njihovog poslovanja već leži u njegovim temeljima. Biznis i kapital u svijetu XXI. stoljeća traži sigurna područja. Države su istodobno sve svjesnije da je privatni rizik pojedinog gospodarskog subjekta danas usko povezan s nacionalnim rizikom, a poteškoće u poslovanju privatne kompanije preko noći postaju nacionalno sigurnosno pitanje.

Priča s istočne strane

Prošlo je malo više od dvije godine otkad smo na svim medijskim kanalima pratili razvoj situacije u Ukrajini koja se na početku XXI. stoljeća našla na rubu otvorenog vojnog sukoba s jednom od najvećih svjetskih sila - Rusijom.
Stvari su se relativno smirile, barem iz naše perspektive, a Ukrajina nastavlja svoj svakodnevni život unatoč brojnim izjeglicama i razrušenim gradovima. Iako se tijekom najžešćih sukoba u kojima je korištena konvencionalna vojna tehnologija često spominjalo i sudjelovanje cyber postrojbi, to nikad nije dokraja potvrđeno. Najozbiljniji dokaz da je cyber tijekom tog konflikta iskorišten kao peta dimenzija ratovanja je curenje i objava e-mailova prozapadnih dužnosnika što jasno pokazuje sudjelovanje zapadnih zemalja u koordiniranju aktivnosti u Ukrajini. Međutim, krajem prošle godine cyber-komponenta je pokazala da može biti jednako destruktivna kao i konvencionalno naoružanje.

Lights out!
Dvadeset i trećeg prosinca 2016. oko 17 sati na stranicama tvrtke za distribuciju električne energije Prykarpattyaoblenergo u zapadnoj ukrajinskoj regiji Ivano-Frankivsk pojavila se obavijest da je glavni grad te regije ostao bez električne energije i poruka građanima da ne kontaktiraju službu za korisnike. U tom trenutku još nije bilo nikakvih detalja o samom uzroku nestanka električne energije
Nakon samo pola sata iz energetske su tvrtke priopćili da je bez energije ostala cijela regija, a već u sljedećem priopćenju je jasno rečeno da su problem izazvali vanjski akteri koji su preuzeli kontrolu nad upravljanjem sustava.
Otprilike u isto vrijeme i druga velika ukrajinska tvrtka iz energetskog sektora, Kyivoblenergo, objavila je da je hakirana te da su napadači preuzeli kontrolu nad sustavom čime je bez električne energije ostalo 80.000 stanovnika. Kao i u prvom slučaju, služba za korisnike bila je preplavljena telefonskim pozivima što je uzrokovalo kompletan pad sustava korisničke službe. Zanimljivo je da su brojni pozivi stizali iz inozemstva dakle, nisu zvali ljudi koji su ostali bez struje. Naime, pozivanjem službe za korisnike napadači su srušili i taj sustav koji je u tim trenucima bio od izuzetne važnosti i tako korisnicima sinkronizirano uskratili dvije usluge.

Što se zapravo dogodilo?
Tek nakon opsežne istrage koja je trajala nekoliko tjedana počeli su polako pristizati u javnost detalji o incidentima. Izvorni napad onesposobio je upravljačke sklopove u postrojenjima čime je postignut primarni cilj - nestanak električne energije. Kako bi osigurali što kasniju reakciju, napadači su izveli napad na nadzorne sustave koji su tijekom nestanka energije uredno prikazivali stanje kao normalno. Osim tog napada koji je prouzročio najveću štetu, izveden je i (telefonski) DoS napad na korisničku službu kompanija, a nakon toga i napad na poslovnu mrežu.
Forenzičkom analizom nakon napada u poslovnim mrežama kompanija pronađen je zloćudni kod KillDisk čije su komponente zadužene za brisanje najvažnijih sistemskih datoteka što onemogućuje ponovno pokretanje računala i poslužitelja. Iako su kompromitaciju sustava javno priznale samo dvije kompanije nagađa se da je bilo napadnuto ukupno šest ukrajinskih energetskih kompanija.
Iz izvješća se može zaključiti - ako se napadi promatraju odvojeno nijedan nije pretjerano sofisticiran, međutim tijek tih napada i njihova uspješna sinhronizacija ukazuju na visok stupanj tehničkih vještina napadača. Inicijalni vektor napada nije identificiran iako je zanimljivo da je otprilike pola godine prije tog događaja kompanija prijavila incident povezan sa spear phishing kampanjom koji je uspješno zaustavljen, ali je naknadno u mreži pronađen trojanski konj BackEnergy2 koji ima modularnu strukturu pa se može iskoristiti za razne vrste napada. Zanimljivo je, iako nije pronađen u mreži i trojanski konj BackEnergy3 koji ima zlonamjerni kod KillDisk.

Programskim kodom na mehaniku
Dakako, ukrajinski primjer nije prvi u kojemu je zlonamjerni kod prouzročio fizičku štetu na industrijskim postrojenjima. Iako se najviše cyber-napada i dalje odnosi na kompromitaciju sustava na podatkovnoj razini, na krađu informacija, financijskih sredstava i slično već odavno je prepoznata opasnost i za strogo čuvana industrijska postrojenja kojima se danas upravlja i nadzire ih se putem računalnih mreža.
Samo godinu dana prije ukrajinskog slučaja javnost je zaokupljao slučaj neimenovane njemačke čeličane koja je bila meta napada. Za razliku od ukrajinskih elektrana u kojima je došlo do prekida isporuke električne energije, u njemačkom je slučaju došlo do fizičkog uništenja dijela postrojenja. Iako detalji nisu poznati, šteta je navodno značajna, a vektor inicijalne zaraze je sličan kao i u ukrajinskom slučaju. Naime, nekoliko mjeseci prije incidenta potvrđen je spear phishing napad kojim je zlonamjerni kod ušao u poslovnu mrežu kompanije.
U velikim industrijskim postrojenjima često je problem da poslovne mreže nisu na primjeren način odvojene od procesnih mreža koje služe isključivo za upravljanje i nadzor nad postrojenjima. Primjeran način odvajanja bi bila potpuna izolacija tih dviju mreža kako bi se jednostavno izbjegle sve opcije pristupa iz jedne mreže u drugu i obratno. Nažalost, iz praktičnih razloga mreže su najčešće povezane u uskom segmentu koji se nakon incidenta pokaže dovoljno širokim za kompromitaciju sustava. Baš to se dogodilo i u njemačkoj čeličani – maliciozni kod je e-mail porukom ušao u poslovnu mrežu iz koje je pronašao put do procesne mreže. Softverskim gašenjem sigurnosnih mehanizama postrojenje nije ispravno odreagiralo na mehaničke poteškoće i došlo je do fizičke štete.
Definitivno najpoznatiji napad na industrijska postrojenja je onaj malicioznim kodom Stuxnet na nuklearno postrojenje Natanz u Iranu. S obzirom na to da sam tu priču već detaljno obradio u ranijim člancima neću je ponavljati. Ukratko, Stuxnet je maliciozni kod visokog stupnja složenosti koji je djelovanjem na SCADA komponente iranskog nuklearnog postrojenja uspio fizički uništiti brojne centrifuge za obogaćivanje urana i time unazaditi iranski nuklearni program. Iako se napad dogodio prije više od šest godina sve komponente tog koda do danas nisu potpuno analizirane. Priznanje za razvoj i upotrebu tog moćnog oružja nikad nije stiglo iako se nagađa da iza njega stoje dvije najveće svjetske cyber-sile SAD i Izrael.
Upravo su SAD domovina prvog pravog iako insceniranog cyber-napada na industrijske uređaje. Ono što danas poznajemo pod imenom Aurora Generator Test provedeno je 2007. godine u Idaho National Laboratory u svrhu demonstracije mogućnosti fizičkog uništenja uređaja pomoću cyber-oružja. Snimka koja je danas već postala legendarna prikazuje golemi dizelski generator u pogonu, a nakon toga nekontrolirane vibracije koje se izmjenjuju s razdobljima normalnog rada te u konačnici pojavu dima i kompletan raspad višetonskog generatora. Pristupom prekidačima kojima se može računalno upravljati, napadači su izmjenično uključivali i isključivali prekidače i generator s mreže dok ga nisu uništili.