ICSセキュリティ、医療機器、および偶発的なブギーマン

ハッキングされたペースメーカー、インスリンポンプ、自動車、産業施設、衛星電力網の侵害…何年もの間、サイバーセキュリティの研究者は、ブラックハットハッカーが悪用によって人々を傷つけたり殺したりする可能性について警告してきました。

しかし、このトピックにしばしば伴うセンセーショナルな度合いは、真のリスクレベルを覆い隠す可能性がありますが、一般的な攻撃ベクトルや、古いオペレーティングシステム、パッチが適用されていない、またはバグのあるソフトウェア、ネットワークの構成不良などの脆弱性のリスクレベルを強調することはほとんどありません。

一般に、サイバーリスクのレベルは、衛星の制御から石油ガス機器、工場の自動化機器まで、さまざまなアプリケーションに使用される産業用制御システムで高くなっています。何十年にもわたって混乱を引き起こしているコンピューター妨害の報告があります。確かに、たとえば、米国がシベリア横断パイプラインのガスの流れを制御するために使用されるコンピューティング機器にトロイの木馬マルウェアを配備し、大規模な爆発を引き起こしたかどうかを確認することは困難です。レーガン政権の元空軍長官であるトーマス・C・リードは、「アット・ザ・アビス」という本で同じように主張しました。

[ モノのインターネットの世界 は、業界とIoTイノベーションの交差点です。 を予約する 会議パス そして350ドル節約して、を手に入れましょう 無料のエキスポパス またはを参照してください IoTセキュリティスピーカー イベントで。]

しかし、接続された産業システムへの攻撃は現在一般的です。 IBMマネージドセキュリティサービスからカスペルスキーラボまで、多くのサイバーセキュリティベンダーが、近年のICSセキュリティ攻撃の増加を追跡しています。 3月になって初めて、世界最大のアルミニウム生産者の1つであるNorsk Hydroが、ヨーロッパと米国の両方での運用におけるサイバー誘導生産に苦労しました。

この問題に対処するために、産業大手のシーメンスと国際的な試験、検査、認証会社であるテュフズードが協力して、「デジタルの安全性とセキュリティへの新しいアプローチ」と呼んでいます。シーメンスの産業用サイバーおよびデジタルセキュリティ担当バイスプレジデント兼グローバルヘッドであるレオシモノビッチは、次のように述べています。 「ただし、データの損失が主な懸念事項であるITとは異なり、オペレーショナルテクノロジーを標的としたサイバー攻撃は、潜在的なシャットダウンまたはそれ以上の事態につながる可能性があります。」したがって、両社は協力して、エネルギーの顧客、特にサイバーリスクの評価と管理を支援するために、「デジタルの安全性とセキュリティの評価」と呼ばれるものを提供します。

Simonovichは、サイバーセキュリティ会社Dragosが2017年にサウジアラビアで発見した潜在的に壊滅的なTritonマルウェアを指摘しました。研究者は最近、2番目の施設でコードを発見しました。

「[Triton]攻撃で注目に値するのは、攻撃者がITからOT、安全システムへと簡単に移動できることでした」とSimonovich氏は述べています。

確かに、これはサイバーセキュリティ違反が潜在的な安全上のリスクをもたらすセクター全体で繰り返されるテーマです。サイバーセキュリティイベントでの難解でしばしば境界線が不可能なタイプの攻撃を実証するすべての研究にもかかわらず、たとえば、「エアギャップ」のWindowsXPコンピュータまたはトロイの木馬が発見したKwampirsなどの古いマルウェアによってもたらされるリスクを見逃しがちです。研究者が示したように、ハッカーはCTスキャンを変更して偽の癌細胞を作成する可能性がありますが、病院は一般的なタイプの攻撃やペースメーカーの患者に襲われる可能性が高くなります。サイバーヒットマンの標的になってしまうでしょう。 MedSecの研究開発担当バイスプレジデントであるステファニープレストンドーマスは、次のように述べています。 「医療機器に対して設計されたこれらの派手なカスタムエクスプロイトのすべてが、実際の問題を指し示しているわけではありません。本当の問題は、Kwampirsのようなものがまだ機能していることです。 Confickerのようなものはまだ機能します。」

そして、WannaCryがあります。これは、Europolがその範囲で前例のないものであると述べた2017年のランサムウェア攻撃です。 WannaCryは、約20万台のコンピューターに影響を与え、産業および医療施設に影響を与えました。日産は英国の施設での生産を停止しなければなりませんでした。ルノーは複数のサイトでの生産を停止することを余儀なくされました。ドイツの鉄道会社ドイツ鉄道が被害者でした。同様のマルウェアヒットであるNotpetyaは、輸送大手のMaerskに数百万ドル相当の損害をもたらしました。

しかし、ICSのセキュリティへの影響は大きかったものの、WannaCryは英国の国民保健サービスにも大きな影響を及ぼし、19,000件の医療予約のキャンセルにつながる一方で、1億ポンド近くの損害をもたらしました。

Cynerioの最高経営責任者であるLeonLerman氏は、WannaCryまたは同様の商品攻撃が、心臓手術の遅延などによって死亡または負傷につながる可能性がありますが、直接的なつながりを証明することは一般に困難です。

WannaCryのような攻撃は、国民国家によって開発されたエクスプロイトが漏洩し、無意識のうちに敵に米国や同盟国を攻撃する権限を与えるリスクも示しています。 WannaCryとNotPetyaはどちらも、米国国家安全保障局が開発したと思われるEternalBlueと呼ばれるエクスプロイトを使用していました。 New York Timesは最近、中国の諜報機関が「[米国の]サイバーセキュリティ兵器の重要な部分」を使用して攻撃を実行したと報告しました。ちなみに、この作品は、イランの核遠心分離機を標的にするために使用された高度なNSA開発のStuxnetマルウェアが、シェブロンを含む米国企業に損害を与えたとも報告しています。

Domasは、一般的なマルウェアや単純な不注意がサイバー攻撃に関与し、安全性に影響を与えることを懸念しています。 「私はまだ、患者に危害を加える悪者に焦点を当てた扇情主義が多すぎるのを見ています」と彼女は言いました。 「（サイバー攻撃の結果として）患者に危害が加えられた場合、それはおそらく偶然であるということを理解する方向にもっとシフトしていきたいと思います。彼らがシステムでやろうとしていたことは、おそらく他の何かの副作用です。」

シモノビッチ氏によると、産業用制御システムへのサイバー攻撃を調査する研究者も同様のパターンを見ているという。 「ほとんどの場合、違反に関連するある程度の人的エラーがあります。」

関連する注記として、産業用システムと医療機器のソフトウェアコードの欠陥は、安全性とサイバーセキュリティの両方に密接に関連している主題です。ボーイング737MAXに関する最近の物語は、この点を強調しています。この問題について、セキュリティの専門家であるBruce Schneierは次のように書いています。「技術的には、これは安全であり、セキュリティではありません。攻撃者はいませんでした。しかし、分野は密接に関連しています。」

ドーマス氏は、たとえば、携帯電話を接続した後に麻酔器を異常に動かした病院職員の事例を引用して、その感情に同意します。サイバー攻撃者が関与しない、このような日常的な出来事のリスクを見落とすのは簡単です。

同様に、最も多くのメディア報道を獲得する傾向があるヘッドラインICSセキュリティおよび医療機器ストーリーのタイプは、内部脅威のリスクを見逃しやすくします。しかし、「内部脅威は、[産業部門での攻撃]の圧倒的多数を占めています」とSimonovich氏は述べています。

最終的に、これまで以上に接続された産業および医療環境でのリスクに対処するために、その中で働く人々は、意図的または不注意に悪用されたかどうかにかかわらず、そのような接続されたシステムがもたらす可能性のあるリスクを明確に理解する必要があります。 「テクノロジーに精通している人々の意識は高まっていると思いますが、そうでない人々の理解や評価に大きな上昇は見られません。」

そして、リスク管理の測定のトピックは非常に難しい場合があります。リスク管理のサブセットである脅威モデリングの1つ。 「しかし、どのシステムにも非常に多くのサイバーリスクがあり、それらすべてを修正することはできないためです」とDomas氏は述べています。 「そのため、脅威モデリングなどと組み合わせて、最も懸念する必要があるものを把握する必要があります」と彼女は付け加えました。 「正直なところ、多くの場合、ランキングシステムを介して細流になっているものを見つけて、次のように言いました。私はそのリスクに問題はありません。」と、サイバーセキュリティの問題があることを知っていても、あなたはそれを修正するために何もしません」とDomas氏は述べています。 「戦略を立てる必要があります。すべてを修正することはできません。」