Ποιος έχει πραγματικά πρόσβαση στις ενεργειακές υποδομές σας;
Υπάρχει ένα ερώτημα που λίγοι οργανισμοί μπορούν να απαντήσουν με απόλυτη βεβαιότητα: πόσοι εξωτερικοί συνεργάτες έχουν αυτή τη στιγμή πρόσβαση στα συστήματά τους; Όχι θεωρητικά, αλλά στην πράξη. Ποιοι λογαριασμοί είναι ενεργοί; Ποιες συνδέσεις παραμένουν ανοιχτές από έργα που ολοκληρώθηκαν μήνες ή ακόμη και χρόνια πριν; Ποιες απομακρυσμένες προσβάσεις χρησιμοποιούνται πραγματικά και ποιες απλώς εξακολουθούν να υπάρχουν; Σε πολλές περιπτώσεις, η απάντηση δεν είναι εύκολη. Και αυτό είναι ακριβώς το πρόβλημα.
Η απομακρυσμένη πρόσβαση δεν αποτελεί πολυτέλεια στις σύγχρονες ενεργειακές υποδομές. Είναι επιχειρησιακή ανάγκη. Κατασκευαστές εξοπλισμού που χρειάζονται πρόσβαση για την αντιμετώπιση βλαβών, εταιρείες ολοκλήρωσης συστημάτων (integrators) που συντηρούν πλατφόρμες εποπτικού ελέγχου (SCADA), εξωτερικές ομάδες υποστήριξης που παρακολουθούν εγκαταστάσεις εξ αποστάσεως και προμηθευτές λογισμικού που πραγματοποιούν αναβαθμίσεις και τεχνική υποστήριξη. Σε ένα σύγχρονο χαρτοφυλάκιο ανανεώσιμων πηγών ενέργειας με εκατοντάδες γεωγραφικά κατανεμημένες εγκαταστάσεις, η απομακρυσμένη διαχείριση δεν είναι απλώς βολική. Είναι συχνά ο μόνος ρεαλιστικός τρόπος λειτουργίας.
Το ζήτημα λοιπόν δεν είναι αν θα υπάρχει απομακρυσμένη πρόσβαση. Το ζήτημα είναι αν ελέγχεται.
Και εδώ βρίσκεται η πραγματική πρόκληση. Όχι στην ύπαρξη της πρόσβασης, αλλά στην απουσία ελέγχου γύρω από αυτήν. Ποιος έχει πρόσβαση και σε τι ακριβώς; Πότε τελευταία χρησιμοποιήθηκε; Για πόσο χρονικό διάστημα ισχύει; Ποιος εγκρίνει τη διατήρησή της; Υπάρχει σαφής διαχωρισμός μεταξύ των συστημάτων που μπορούν να διαχειριστούν οι εξωτερικοί συνεργάτες και των κρίσιμων συστημάτων ελέγχου; Σε περιβάλλοντα που έχουν αναπτυχθεί σταδιακά, μέσα από πολλαπλά έργα, διαφορετικούς προμηθευτές και διαφορετικές τεχνολογίες, οι απαντήσεις σε αυτά τα ερωτήματα είναι συχνά λιγότερο ξεκάθαρες από όσο θα περίμενε κανείς.
Δεν χρειάζεται να αναζητήσουμε παραδείγματα μόνο στη θεωρία. Στην επίθεση στην Colonial Pipeline το 2021, η αρχική πρόσβαση των επιτιθέμενων συνδέθηκε με ενεργό λογαριασμό εικονικού ιδιωτικού δικτύου (VPN) ο οποίος δεν χρησιμοποιούνταν πλέον ενεργά, αλλά παρέμενε διαθέσιμος χωρίς επαλήθευση πολλαπλών παραγόντων. Δεν χρειάστηκε κάποια εξελιγμένη τεχνική ευπάθεια. Αρκούσε μια πρόσβαση που ήδη υπήρχε. Και αυτό ανέδειξε μια σημαντική πραγματικότητα: πολλές φορές οι επιτιθέμενοι δεν χρειάζεται να παραβιάσουν πολύπλοκους αμυντικούς μηχανισμούς, αρκεί να εκμεταλλευτούν αυτό που τους έχει ήδη αφεθεί ανοιχτό.
Στην πραγματικότητα, αρκετά διεθνή περιστατικά των τελευταίων ετών έχουν κοινό παρονομαστή. Η αρχική είσοδος δεν έγινε μέσω κάποιας εντυπωσιακής τεχνικής επίθεσης, αλλά μέσω νόμιμων διαύλων πρόσβασης, λογαριασμών που παρέμειναν ενεργοί, συνδέσεων που δεν παρακολουθούνταν ή δικαιωμάτων που δεν επανεξετάστηκαν ποτέ. Ο μεγαλύτερος κυβερνοκίνδυνος πολλές φορές δεν βρίσκεται έξω από τον οργανισμό. Βρίσκεται στις νόμιμες προσβάσεις που έχουν δοθεί σε τρίτους και δεν ελέγχονται επαρκώς.
Η πρόκληση γίνεται ακόμη μεγαλύτερη αν ληφθεί υπόψη ότι ο κίνδυνος δεν σχετίζεται μόνο με τον ίδιο τον οργανισμό. Σε πολλές περιπτώσεις, η ασφάλεια των ενεργειακών υποδομών εξαρτάται και από την ασφάλεια των συνεργατών που διαθέτουν πρόσβαση σε αυτές. Ένας συμβιβασμένος λογαριασμός ή ένα περιστατικό στο περιβάλλον ενός προμηθευτή μπορεί να αποτελέσει την αφετηρία μιας ευρύτερης αλυσίδας επιπτώσεων.
Στον ενεργειακό κλάδο, η πολυπλοκότητα του ζητήματος είναι ακόμη μεγαλύτερη. Ένα μόνο χαρτοφυλάκιο φωτοβολταϊκών ή αιολικών πάρκων μπορεί να περιλαμβάνει εξοπλισμό από πολλούς διαφορετικούς κατασκευαστές, ο καθένας με τις δικές του απαιτήσεις υποστήριξης και συντήρησης. Κάθε νέο έργο φέρνει νέες συνδέσεις, νέους λογαριασμούς και νέους εξωτερικούς συνεργάτες. Και ενώ τα έργα ολοκληρώνονται, οι προσβάσεις συχνά παραμένουν ενεργές. Όχι απαραίτητα από αμέλεια, αλλά επειδή κανείς δεν έχει αναλάβει ξεκάθαρα την ευθύνη να τις καταγράψει, να τις επανεξετάσει και να τις διαχειριστεί συστηματικά.
Το να έχεις έλεγχο της απομακρυσμένης πρόσβασης δεν σημαίνει να την απαγορεύεις. Σημαίνει να γνωρίζεις ποιος συνδέεται, πότε συνδέεται, σε ποια συστήματα αποκτά πρόσβαση και τι ενέργειες πραγματοποιεί. Επαλήθευση πολλαπλών παραγόντων (MFA), αρχή της ελάχιστης αναγκαίας πρόσβασης, καταγραφή ενεργειών και συνεδριών, περιοδικός έλεγχος ενεργών λογαριασμών και σαφής διαχωρισμός μεταξύ των περιβαλλόντων πληροφορικής (IT) και επιχειρησιακής τεχνολογίας (OT) αποτελούν βασικές πρακτικές που συμβάλλουν σημαντικά στη μείωση του κινδύνου.
Δεν είναι τυχαίο ότι τα τελευταία χρόνια παρατηρείται μια σημαντική αλλαγή στον τρόπο με τον οποίο οι οργανισμοί ενέργειας διαχειρίζονται την απομακρυσμένη πρόσβαση. Η παραδοσιακή προσέγγιση, όπου ένας εξωτερικός συνεργάτης συνδεόταν μέσω VPN και αποκτούσε πρόσβαση σε σταθμούς εργασίας μηχανικών, σε απομακρυσμένες επιφάνειες εργασίας ή ακόμη και σε κρίσιμα συστήματα ελέγχου, σταδιακά αντικαθίσταται από πιο ελεγχόμενα μοντέλα. Η έγκριση κάθε σύνδεσης, η καταγραφή ενεργειών και συνεδριών (session recording), η προσωρινή εκχώρηση δικαιωμάτων και η πλήρης ιχνηλασιμότητα αποτελούν πλέον βασικές απαιτήσεις σε περιβάλλοντα κρίσιμων υποδομών.
Η ουσία όμως δεν βρίσκεται μόνο στην τεχνολογία. Βρίσκεται κυρίως στη διακυβέρνηση των προσβάσεων. Στο να υπάρχει ξεκάθαρη εικόνα για το ποιος έχει πρόσβαση, γιατί τη χρειάζεται, ποιος την έχει εγκρίνει και για πόσο χρονικό διάστημα πρέπει να τη διατηρεί. Γιατί μια πρόσβαση που κάποτε ήταν απαραίτητη, δεν σημαίνει ότι παραμένει απαραίτητη για πάντα.
Σε έναν ενεργειακό κόσμο που βασίζεται ολοένα και περισσότερο στη συνδεσιμότητα και στην απομακρυσμένη διαχείριση, η κυβερνοασφάλεια ξεκινά από το να γνωρίζεις ποιος μπορεί να συνδεθεί στις υποδομές σου, πότε και υπό ποιες προϋποθέσεις. Γιατί τελικά, η απομακρυσμένη πρόσβαση δεν είναι πρόβλημα. Η ανεξέλεγκτη απομακρυσμένη πρόσβαση είναι.
- Μιχάλης Κούκος - Μηχανικός Αυτοματισμού
OT Security | ICS/SCADA | Critical Infrastructure
