Ekspert: Hackers Penetrating Control Systems

Nettverket som driver industrielle kontrollsystemer er blitt brutt mer enn 125 ganger i løpet av det siste tiåret, med en som resulterte i amerikanske dødsfall, sa en kontrollsystemekspert torsdag.

Joseph Weiss, administrerende partner for kontrollsystems sikkerhetskonsultasjon Applied Control Solutions, angav ikke bruddet som forårsaket dødsfall under hans vitnesbyrd før et amerikansk senatkomite, men han sa at han har kunnet finne bevis på mer enn 125 kontrollsystembrudd som involverer systemer i atomkraftverk, vannkraftverk, vannforsyning, oljeindustrien og agribusiness.

"Virkningene har variert fra trivial til betydelig miljøskade på betydelige utstyrsskader på dødsfall, "fortalte han Senatet Commerce, Science and Transportation Committee. "Vi har allerede hatt en cyberhendelse i USA som har drept folk."

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

På andre tidspunkter har Weiss snakket om en bensin i juni 1 pipeline ruptur nær Bellingham, Washington. Det bruddet spilte mer enn 200.000 liter bensin i to bekker, som antydet og drepte tre personer. Etterforskerne fant flere problemer som bidro til bruddet, men Weiss har identifisert et datautbrudd i rørledningens sentrale kontrollrom som en del av problemet.

Det kan ta USA lang tid å grave ut fra koordinerte angrep på infrastruktur som bruker kontroll systemer, sa Weiss senatorer. Skadet utstyr kan ta flere uker å erstatte, sa han. Et koordinert angrep "kan være ødeleggende for amerikansk økonomi og sikkerhet," sa han. "Vi snakker måneder for å gjenopprette. Vi snakker ikke dager."

Industriell kontrollsystemindustrien er år bak IT-bransjen for å beskytte cybersikkerhet, og noen av teknikker som brukes i IT-sikkerhet vil skade kontrollsystemer, Weiss la til. "Hvis du penetrerer-test et eldre industrielt kontrollsystem, vil du stenge det eller drepe det," sa han. "Du vil være din egen hacker."

En del av problemet er at det bare er en håndfull leverandører av kontrollsystemer, og deres arkitekturer og standardpassord er vanlige for hver leverandør, sa Weiss. I tillegg er det sannsynligvis færre enn 100 eksperter i styringssystemets cybersikkerhet over hele verden, og amerikanske universiteter har ikke læreplaner fokusert på styringssystemets cybersikkerhet, la han til.

Angrep kommer fra utenforstående, men også fra ansatte eller tidligere ansatte, Weiss sa. "Jeg tror trusselen øker ikke bare på grunn av nasjonalstatene … men fordi den økonomiske nedgangen har skapt mange misfornøyde, men kunnskapsrike antagonister," sa han.

Weiss ga tre eksempler på saker som involverte misfornøyde ansatte, inkludert et nylig tilfelle i California, hvor en ansatt deaktiverte lekkasjedeteksjonssystemene i tre oljedrikker utenfor kysten.

Senatorer krevde økt fokus på cybersikkerhet i USAs og private næringer. "Det er veldig viktig for folk å vite at cybersikkerhet ikke bare handler om å beskytte våre regjeringsnettverk fra land med terrorister eller hackere som vil ha våre hemmeligheter," sa senator Jay Rockefeller, en West Virginia-demokrat og komiteens leder. "Det handler om å beskytte nasjonens kritiske infrastruktur fra cyberangrep som kan ha alvorlig innvirkning på handel og økonomien som er helt ødeleggende." For mange innbyggere i USA tenker ikke eller vet om de pågående cyberangrepene, tilføyde Rockefeller.

James Lewis, direktør for teknologi og offentlig politikk på senter for strategiske og internasjonale studier, også oppfordret Kongressen til å fokusere på tradisjonell IT-sikkerhet i tillegg til kontrollsystemer. Foreløpig blir intellektuell eiendom i USA kompromittert, og disse tapene vil skade landets langsiktige konkurranseevne, sa han.

Mens kontrollsystemer representerer et potensial for angrep, "vi er under angrep akkurat nå," sa Lewis. "Jeg bekymrer meg mer om tap av informasjon. I dag blir vi ranet av utenlandske enheter av vår mest verdifulle teknologi, og vi må stoppe det."