Kunsten å tenke det utenkelige

Kunsten å tenke det utenkelige

Industriell infrastruktur blir i økende grad utsatt for spionasje og sabotasje. Ralph Langner jobber med klienter innen kjernekraft, olje- og gass, og industriell produksjon for å redusere risiko for fysiske skader fra cyberangrep.

  • Sikkerhet
Motta nyhetsbrev fra Effektiv IT

Med over 20 års erfaring innen sikkerhetsrådgivning for samfunnskritisk infrastruktur er han ansett som en ekspert innen cyberforsvar. Vi traff Langner på Paranoia-konferansen i regi av sikkerhetsselskapet Watchcom.

- Utviklingen av offensive strategier er imponerende. De offensive aktørene lærer av historien og blir stadig mer avanserte. På den defensive siden er dessverre situasjonen annerledes. «Best practice» for å beskytte oss mot angrep er utdaterte. Vi kjemper den siste krigen med gamle våpen, innleder Langner til Effektiv IT.

[factbox id="1"]

- Om du ser på anti-virus programmer er dette en blindvei. Anti-virus lar deg gjenkjenne kjente virus og databasen over kjente virus vokser hvert sekund. De mest farlige virusene er skreddersydde og lar seg ikke identifisere av anti-virus. Dette betyr at vi må forsterke våre defensive strategier på andre områder, sier han.

Økt bevissthet gir ikke bedre cyberforsvar

I mange år har vi hørt fra myndigheter, media, og industrien at vi blir bedre rustet til å beskytte oss gjennom økt bevissthet. Langner mener dette gir oss falsk trygghet.

- Dessverre en ideen om at økt bevissthet motiverer oss til å endre adferd feilslått. Jeg vet ikke hvorfor, men det er et faktum vi observerer, innrømmer han.

- Om man ikke selv har blitt utsatt for omfattende skade fra et cyberangrep tar man ikke trusselen på alvor. Samtidig er det mange trusler du ikke greier å gjenkjenne. Se på industriell spionasje og overvåkning. Om en organisasjon eller en statlig aktør overvåker eposten eller mobiltelefon din, er det ofte vanskelig å vite dette, forteller Langner.

[factbox id="2"]

- Vi vet at selskaper som Google og Apple overvåker datatrafikken din hele tiden, de innrømmer dette selv. Vi må ta et standpunkt i forhold til om dette er greit. For min del er det åpenbart ikke greit. Jeg gjør derfor alt jeg kan for å beskytte meg. For andre kan det være greit at selskapene bruker datatrafikken til, for eksempel, å gi deg mer relevante søkeresultat. Samtidig samtykker du til at selskapene filtrerer søkeresultater og bestemmer hva som er relevant for deg. Jeg mener det er du som skal bestemme hva som er relevant eller ikke, forteller han.

- Det hjelper ikke å skremme folk med faren for cyberangrep. Om du ser på avsløringene til Snowden ser du at det ikke har ført til endret adferd. Det er ikke flere som bruker kryptert epost som følge av avsløringene og de fleste forventer at myndighetene skal sørge for sikkerheten. Dessverre endres svært lite som følge av slike avsløringer, sier sikkerhetseksperten.

Økt kompleksitet gir større risiko

Internet of Things (IoT) og Machine to Machine (M2M) kommunikasjon er i sterk vekst. Økende kompleksitet og informasjonsmengde i løsninger for konsumentmarkedet og industrielle anlegg skaper flere veier inn til sårbare systemer.

- Om du ser på IoT er dette et teknisk begrep forbeholdt konsumentmarkedet, det er ikke relevant for industrielle systemer. Den potensielle kostnaden og skaden ved et datainnbrudd på et smart kjøleskap er ubetydelig.

Om noen bryter seg inn i din smarte vaskemaskin er resultatet at klesvasken ikke blir så ren som du ønsker. Det er ikke noe vi trenger å bekymre oss for.

Om du ønsker en smart vaskemaskin må du akseptere risikoen for at noen bryter seg inn i den, sier han humoristisk.

- Det som er relevant på den industrielle siden er trenden mot stadig flere koblinger til internett. Vi ser dette innen sanntidsovervåkning av forsyningskjeder, for eksempel innen tysk bilindustri som er kommet langt på dette området. Hver gang man øker kompleksiteten i industrielle systemer gir dette større risiko. Komplekse systemer er veldig vanskelig å sikre. Om man skal bygge et helt sikkert system må det være veldig enkelt, sier han.

- En av våre bekymringer er at stadig flere leverandører ønsker tilgang på systemene de leverer til. For hvert tilkoblingspunkt man legger til i systemene oppstår nye måter for angrep. Forsyningskjeder er motorveien for angrep på mål med høy verdi. Store selskaper er godt beskyttet. Problemet ligger ofte hos underleverandører med dårlig sikkerhet. Foreløpig ser vi ikke spesielt økt fokus på denne type sikkerhet. På mange måter venter vi på at katastrofen skal inntreffe, forteller han.

- Ideen om at vi skal vente på katastrofen før vi gjør noe er problematisk. Når systemene har nådd et visst nivå av kompleksitet vil det bli veldig kostbart å sørge for sikkerhet. Vi risikerer å måtte bygge systemene på nytt fra bunnen av, advarer Langner.

- Vi står foran en veldig spennende utvikling vi ikke kjenner utfallet av. Om du ser på industrielle systemer og automasjon blir disse levert uten sikkerhetsløsninger. Store maskiner med avanserte PLC-systemer blir koblet på internett uten krav til autorisasjon. Vi har sett internasjonale kampanjer med utgangspunkt i Russland som angriper slike industrielle systemer. Dette er en stor risiko for industrien, sier han.

Kartlegger industriell infrastruktur

Industrielle systemer blir i økende grad utsatt for datainnbrudd. Formålet er i mange tilfeller utelukkende å kartlegge sårbarheter uten nødvendigvis å forårsake skade.

- Vi har sett storskala angrep på strømnett og vannforsyningsanlegg. Alle vet hvordan slike systemer fungerer og det finnes ikke intellektuell eiendom av verdi for angriperen. Angrepet gir bare mening hvis man er ute etter å kartlegge systemene for å finne sårbarheter. Dessverre er mange av angrepene klassifisert og man finner ikke tilgjengelig dokumentasjon på hvordan de gjennomføres, forklarer han.

Myndighetene hever pekefingeren og sier at «slikt gjør man bare ikke», men det resulterer aldri i sanksjoner eller kinetisk krigføring.

- Om man ønsker å gjennomføre store angrep på slike systemer må de først kartlegges. Når man besitter denne informasjonen er det lettere å planlegge angrep som forårsaker fysisk skade. Kostnaden ved kartleggingen er billig og aktørene forstår at det er dumt å ikke bedrive slike aktiviteter. I tillegg er konsekvensene av å bli avslørt ubetydelige.

Cyberspionasje sparer R&D kostnader

Snowdens avsløringer bekrefter tidligere rykter om at Lockheed Martin ble utsatt for et cyberangrep og at planene for det nye kampflyet F-35 Joint Strike Fighter er i kinesiske hender.

- Når man ser på Kina har de en kultur for å utnytte andre lands intellektuelle eiendom. Det kinesiske militæret er ikke noe unntak, og har den samme kulturen og ambisjoner som resten av landet. Tidsbruken og kostnaden ved å utvikle et avansert kampfly er i milliardklassen. Om man kan bruke noen millioner på et cyberangrep som kan ekstrahere slik informasjon er det en god forretningsplan, sier han.

- Det gir ikke mening for amerikanerne å gjøre endringer på designet og vi må lære oss å leve med konsekvensene av slike angrep. F-35 er fortsatt i luften og det er vanskelig å estimere kostnadene ved slike angrep, fortsetter han.

- Det som var en overraskelse er at store aktører innen forsvarsindustrien, som Lockheed Martin, ikke er i stand til å beskytte sin intellektuelle eiendom mot cyberangrep, sier Langner.

Manglende vilje til investeringer

Vi har sannsynligvis bare sett begynnelsen av cyberangrep mot kritisk infrastruktur. Langner er bekymret over den manglende vilje til å investere i bedre sikkerhet.

- Jeg innrømmer at den rådene holdningen fortsatt er at vi bør sitter på gjerdet og vente på katastrofen. Fundamentalt handler dette om en manglende vilje til å bruke penger på å sikre infrastrukturen, sier han.

- Vi har løst mange av de tekniske problemene for å øke sikkerheten ved kritisk infrastruktur. Anvendelsen av slike løsninger vil koste veldig mye penger og det er et politisk spørsmål om man ønsker å bruke penger på cybersikkerhet, fortsetter han.

- La meg gi deg et eksempel. Min mobiltelefon koster mer enn din, men har allikevel mindre funksjonalitet. For meg handler dette om å sørge for sikker kommunikasjon uten at jeg vet at jeg blir overvåket. På samme måte må vi ta politiske avgjørelser og gjøre investeringer uten å kjenne omfanget av risikoen, sier Langner.

- Da Stuxnet ble oppdaget i 2010 visste USA at Iran ikke hadde kapasiteter til å gjengjelde angrepet. I dag vet vi at Iran både har vilje og evne til å gjengjelde. Det er derfor lite sannsynlig at USA vil gjennomføre slike angrep i fremtiden, avslutter Langner.

Se hele presentasjonen "The changing face of cyberwar" (PDF) til Ralph Langner fra Paranoia-konferansen.

Til toppen