Početkom 2007. godine grupa stručnjaka za sigurnost kritične nacionalne infrastrukture uočila je ozbiljan sigurnosni propust - rizik kojem su izložena mnogobrojna postrojenja za proizvodnju i distribucije električne energije, vode, plina... Ne ulazeći suviše duboko u detalje, radilo se o tome da procesna elektronika koja upravlja elementima energetske infrastrukture koristi zastarjele komunikacijske protokole koji nemaju implementirane nikakve ili gotovo nikakve elemente sigurnosti.
Naviknuti da se njihova upozorenja obično zanemaruju sve dok se katastrofa stvarno ne dogodi, kako bi političarima i poslovnjacima predočili veličinu problema razvili su jednostavan računalni program od svega 21 linije koda, uzeli 27 tonski generator i kameru, pokrenuli prvo kameru, zatim generator, a na kraju i program. Generator se prvo počeo tresti, zatim ispuštati čudne zvukove i dimiti se, da bi se nakon 39 sekundi u oblaku dima u potpunosti umirio. Onda su lijepo tu snimku zapakirali i poslali državnim tijelima zaduženima za sigurnost nacionalne infrastrukture. Dotična su tijela ubrzo shvatila da čak ni uz izmjenu regulative zapravo nemaju mogućnosti ozbiljno utjecati na proizvođače električne energije jer generatori se obično izrađuju po narudžbi, čekaju i po godinu dana, a trošak zamjene bio bi enorman. Uz sve to, ne postoji nikakva garancija sigurnosti novih generatora pa je cijela investicija vrlo upitna. Uglavnom, nije učinjeno baš mnogo.
Nekoliko godina kasnije...
Dobro organizirana i još bolje financirana grupa hakera odaslala je strogo ciljani malware, posebno prilagođen za preuzimanje kontrole nad računalnim sustavima tvrtki koje upravljaju električnom mrežom. Uskoro su preuzeli kontrolu nad SCADA sustavima u tri takve tvrtke i započeli sa daljinskim isključivanjem i onesposobljavanjem, ali ne električne mreže nego uređaja za besprekidna napajanja, modema za daljinsku kontrolu i svega onoga što bi vlasnik mreže mogao koristiti kako bi brzo povratio kontrolu i umanjio štetu. Kontrolnim i nadzornim uređajima obrisani su BIOS-i, ogromne količine datoteka doslovce su pometene sa diskovnih sustava, i tek tada, tek tada je došlo vrijeme za simultano isključivanje elemenata električne mreže i DDoS napad na centre za korisničku podršku kako bi korisnici koji su ostali bez električne energije u neznanju počeli dizati paniku. Isključeno je oko 30 podstanica, oko 230.000 potrošača ostalo je bez struje. Čak 103 grada ostala su u potpunom mraku, a 186 u djelomičnom, te nije bilo isporučeno 73mWh energije. Kada je nakon 1 do 6 sati mreža konačno ručno vraćena u funkciju direktna i indirektna šteta ovog događaja već je bila ogromna.
Forenzički nalaz
Okupili su se nakon toga vrhunski forenzičari kako bi ustanovili što se dogodilo, a ustanovili su da se radilo o ciljanom hakerskom napadu kako je opisano na početku kolumne. Političari su za sve krivili drugu zemlju i događaj nazvali najavom cyber rata. Nebitno! Ne bavimo se ovdje politikom. Bitno je što su rekli stručnjaci za sigurnost, a oni su rekli da se radi o iznimno dobro orkestriranom napadu koji vrlo vjerojatno ili predstavlja demonstraciju moći, ili tek probu za ozbiljniji napad. I što smo naučili? Vrlo malo!
Još godinu dana kasnije...
Jedva godinu dana kasnije, pred ponoć, 17.12.2016. ista elektro-energetska mreža ponovo pada. Ovoga puta samo na jedan sat i u puno manjem obimu. Hitna istraga pokazuje da se ponovo radi o hakerskom napadu, vrlo slično provedenom, ali daleko bolje organiziranom, provedenom sa IP adresa iz Rusije. Ovoga puta samo 60.000 pretplatnika, otprilike jedna petina glavnog grada Ukrajine ostala je u mraku. Hrvatska srećom nije bila žrtvom ovih događaja. Bila je to Ukrajina.
Dva puta.
Gdje smo tu mi?
Hrvatska ima Zakon o kritičnim infrastrukturama koji pokriva i područje energetike, no učinkovitost primjene ovog često kritiziranog zakona iz 2013. u praksi je u najmanju ruku upitna. Ovaj zakon zahtjeva izradu sigurnosnog plana temeljenog na procjeni rizika i scenarija velikih prijetnji kojima su izloženi kritični objekti, sustavi, mreže i sl. Ovaj je plan iz posve razumljivih razloga nedostupan javnosti, pa tako i informacija o tome da li su u svojim analizama rizika vlasnici i upravitelji kritične infrastrukture razmatrali i scenarije rizika hakerskih napada i ostale elemente IT sigurnosti. Pored navedenoga, Zakonom o energiji je predviđena godišnja izrada i javna objava izvješća o sigurnosti opskrbe energijom.
Na internetu je dostupno ovakvo izvješće Hrvatskog operatora prijenosnog sustava iz kojeg je vidljivo da je izrađen plan obrane elektroenergetskog sustava od velikih poremećaja. Nije jasno sadrži li taj plan i plan obrane od hakerskih napada koji su postali dio naše svakodnevnice. Danas se više ne branimo od besposlenih teenagera, nego od odlično financiranih, organiziranih i obrazovanih kriminalaca i vojnika - cyber specijalaca, a kritična infrastruktura poželjna je meta.
