Berta Sándor
Gyakran védtelenek a világhálón az atomerőművek
Az IT-biztonság területén komoly hiányosságaik vannak az atomerőműveknek.
A legnagyobb problémát az jelenti, hogy - a nyilvánvaló biztonsági kockázatok ellenére - számos atomerőmű csatlakozik közvetlenül az internetre, ráadásul az IT-biztonsági szabványok is elmaradnak a kor követelményeitől. Erre az eredményre jutottak a Chatham House kutatói, akik másfél éven át vizsgálták a biztonsági szabványokat, s az IT-biztonsággal kapcsolatos belső folyamatokat és eljárásokat.
A szervezet interjúkat készített több országban (Anglia, Kanada, Franciaország, Németország, Japán, Ukrajna, Oroszország és az Amerikai Egyesült Államok) a területen dolgozó szakemberekkel, kiberbiztonsági szakértőkkel és az IAEA és az ENISA hálózatbiztonsági mérnökeivel. Volt köztük két amerikai nukleáris erőmű korábbi vezetője, angliai biztonsági főnök, kanadai és francia erőmű-operátorok és japán atomerőmű alkatrész-beszállító. Ezek alapján azt állítják, hogy az üzemeltetők gyakran nem jelentik a fontos IT-eseményeket a megfelelő szerveknek és kommunikációs problémák vannak a mérnökök és a biztonsági személyzet között. A helyzetet súlyosbítja, hogy az IT-szakértők nem a helyszínen dolgoznak, hanem leányvállalatoknál és külső szolgáltatóknál.
Hiába vannak ugyanakkor bizonyos létesítmények teljesen leválasztva a világhálóról, ha egy fertőzött USB-kulcs segítségével ugyanúgy megfertőzhetők a számítógépek. Gond az is, ha az internetes csatlakozások szinte titokban valósulnak meg, ilyenkor hanyagságból vagy más okból nem dokumentálják a folyamatokat. De előfordul az is, hogy például a karbantartási munkákkal megbízott társaságok egyszerűen nem kapcsolják le a feladatok elvégzése után a hálózati hozzáféréseket. Az online lévő atomerőművek egyszerűen megtalálhatók különleges keresők, például a Shodan segítségével. Egyetlen egyszerű kereséssel sikerült a szakembereknek az összes Franciaországban a világhálóra csatlakoztatott atomerőmű adataihoz hozzáférniük.
Az eredményeket bemutatták a NATO két kiberbiztonsággal foglalkozó konferenciáján. A Chatham House munkatársai azt javasolták, hogy a jövőben a biztonsági személyzet névtelenül ossza meg az információkat a felügyelő hatóságokkal. Emellett a kormányoknak különleges CERT-csapatokat kellene létrehozniuk, hogy javítsanak az információcserén és új ipari szabványokat dolgozzanak ki.
A legnagyobb problémát az jelenti, hogy - a nyilvánvaló biztonsági kockázatok ellenére - számos atomerőmű csatlakozik közvetlenül az internetre, ráadásul az IT-biztonsági szabványok is elmaradnak a kor követelményeitől. Erre az eredményre jutottak a Chatham House kutatói, akik másfél éven át vizsgálták a biztonsági szabványokat, s az IT-biztonsággal kapcsolatos belső folyamatokat és eljárásokat.
A szervezet interjúkat készített több országban (Anglia, Kanada, Franciaország, Németország, Japán, Ukrajna, Oroszország és az Amerikai Egyesült Államok) a területen dolgozó szakemberekkel, kiberbiztonsági szakértőkkel és az IAEA és az ENISA hálózatbiztonsági mérnökeivel. Volt köztük két amerikai nukleáris erőmű korábbi vezetője, angliai biztonsági főnök, kanadai és francia erőmű-operátorok és japán atomerőmű alkatrész-beszállító. Ezek alapján azt állítják, hogy az üzemeltetők gyakran nem jelentik a fontos IT-eseményeket a megfelelő szerveknek és kommunikációs problémák vannak a mérnökök és a biztonsági személyzet között. A helyzetet súlyosbítja, hogy az IT-szakértők nem a helyszínen dolgoznak, hanem leányvállalatoknál és külső szolgáltatóknál.
Hiába vannak ugyanakkor bizonyos létesítmények teljesen leválasztva a világhálóról, ha egy fertőzött USB-kulcs segítségével ugyanúgy megfertőzhetők a számítógépek. Gond az is, ha az internetes csatlakozások szinte titokban valósulnak meg, ilyenkor hanyagságból vagy más okból nem dokumentálják a folyamatokat. De előfordul az is, hogy például a karbantartási munkákkal megbízott társaságok egyszerűen nem kapcsolják le a feladatok elvégzése után a hálózati hozzáféréseket. Az online lévő atomerőművek egyszerűen megtalálhatók különleges keresők, például a Shodan segítségével. Egyetlen egyszerű kereséssel sikerült a szakembereknek az összes Franciaországban a világhálóra csatlakoztatott atomerőmű adataihoz hozzáférniük.
Az eredményeket bemutatták a NATO két kiberbiztonsággal foglalkozó konferenciáján. A Chatham House munkatársai azt javasolták, hogy a jövőben a biztonsági személyzet névtelenül ossza meg az információkat a felügyelő hatóságokkal. Emellett a kormányoknak különleges CERT-csapatokat kellene létrehozniuk, hogy javítsanak az információcserén és új ipari szabványokat dolgozzanak ki.