ICS 보안, 의료 기기 및 우발적 보기맨

해킹된 심장 박동기, 인슐린 펌프, 자동차, 산업 시설, 위성 수년 동안 사이버 보안 연구원들은 블랙햇 해커가 악용을 통해 사람을 다치게 하거나 죽일 가능성에 대해 경고해 왔습니다.

그러나 주제에 수반되는 선정주의의 정도는 실제 위험 수준을 모호하게 만들 수 있으며, 구식 운영 체제, 패치되지 않았거나 버그가 있는 소프트웨어, 잘못 구성된 네트워크 등과 같은 일반적인 공격 벡터 및 취약성의 위험 수준을 거의 강조하지 않습니다.

일반적으로 인공위성 제어에서 석유 및 가스 장비, 공장의 자동화 장비에 이르기까지 다양한 애플리케이션에 사용되는 산업 제어 시스템의 사이버 위험 수준은 높습니다. 수십 년 전으로 거슬러 올라가는 혼란을 야기하는 컴퓨터 사보타주에 대한 보고가 있습니다. 예를 들어, 미국이 시베리아 횡단 파이프라인에서 가스 흐름을 제어하는 ​​데 사용되는 컴퓨팅 장비에 트로이 목마 악성코드를 배포하여 대규모 폭발을 일으켰는지 여부를 확인하기 어려운 것이 사실입니다. 레이건 행정부의 전 공군 장관인 Thomas C. Reed는 "Abyss에서"라는 책에서 그렇게 주장했습니다.

[ 사물 인터넷 세상 는 산업과 IoT 혁신의 교차점입니다. 예약 컨퍼런스 패스 $350 절약하고 무료 엑스포 패스 또는 보기 IoT 보안 스피커 이벤트에서.]

그러나 연결된 산업 시스템에 대한 공격은 이제 일반적입니다. IBM Managed Security Services에서 Kaspersky Lab에 이르기까지 많은 사이버 보안 공급업체가 최근 몇 년 동안 ICS 보안 공격의 증가를 추적했습니다. 세계 최대 알루미늄 생산업체 중 하나인 Norsk Hydro는 3월에만 유럽과 미국에서 사이버 생산으로 인한 생산 문제로 어려움을 겪었습니다.

이 문제를 해결하기 위해 거대 산업 기업인 Siemens와 국제 테스트, 검사 및 인증 회사인 TÜV SÜD는 "디지털 안전 및 보안에 대한 새로운 접근 방식"이라고 부르는 것에 힘을 합쳤습니다. 지멘스의 산업 사이버 및 디지털 보안 부문 글로벌 책임자인 레오 시모노비치(Leo Simonovich) 부사장은 “산업 환경에 대한 공격이 기하급수적으로 증가하고 있다. "그러나 데이터 손실이 주요 관심사인 IT와 달리 운영 기술을 표적으로 하는 사이버 공격은 잠재적인 시스템 중단 또는 더 심각한 상황으로 이어질 수 있습니다." 따라서 두 회사는 에너지 고객, 특히 사이버 위험을 평가하고 관리하는 데 도움이 되는 "디지털 안전 및 보안 평가"를 제공하기 위해 협력할 것입니다.

Simonovich는 사이버 보안 회사 Dragos가 2017년 사우디 아라비아에서 발견한 잠재적으로 치명적인 Triton 멀웨어를 지적했습니다. 연구원들은 최근 두 번째 시설에서 코드를 발견했습니다.

Simonovich는 "[Triton] 공격에서 주목할 만한 점은 공격자가 IT에서 OT, 안전 시스템으로 쉽게 이동했다는 것입니다."라고 말했습니다.

실제로 이것은 사이버 보안 침해가 잠재적인 안전 위험을 제기하는 부문 전반에 걸쳐 반복되는 주제입니다. 사이버 보안 이벤트에서 난해하고 종종 경계선에서 불가능한 공격 유형을 보여주는 모든 연구에도 불구하고 "에어 갭(air-gapped)" Windows XP 컴퓨터나 Kwampirs와 같은 오래된 맬웨어에 의해 야기되는 위험을 간과하기 쉽습니다. 2015년 또는 2008년에 처음 발견된 Conficker. 연구자들이 입증했듯이 해커는 CT 스캔을 수정하여 가짜 암세포를 생성할 수 있지만 병원이 상용 유형의 공격이나 심장 박동기 환자의 공격을 받을 가능성이 더 높습니다. 사이버 히트맨의 표적이 될 것입니다. MedSec의 연구 개발 담당 부사장인 Stephanie Preston Domas는 "사람들은 내가 사이버 보안 전문가라고 생각하지만 사람들을 다치게 하는 더 쉬운 방법이 있다고 말할 때 항상 웃습니다. “의료 기기를 대상으로 설계된 이러한 모든 멋진 사용자 지정 익스플로잇은 실제 문제를 가리키는 것이 아닙니다. 진짜 문제는 Kwampirs와 같은 것들이 여전히 작동한다는 것입니다. Conficker와 같은 것은 여전히 ​​작동합니다.”

그리고 2017년 Europol이 범위 면에서 전례가 없는 랜섬웨어 공격인 WannaCry가 있습니다. 약 200,000대의 컴퓨터에 영향을 미친 WannaCry는 산업 및 의료 시설에 영향을 미쳤습니다. Nissan은 영국의 한 시설에서 생산을 중단해야 했습니다. Renault는 여러 사이트에서 생산을 중단해야 했습니다. 독일의 철도 회사 Deutsche Bahn이 희생자였습니다. 유사한 악성코드 히트작인 Notpetya는 운송업체인 Maersk에 수백만 달러 상당의 피해를 입혔습니다.

그러나 ICS 보안에 대한 영향이 컸던 만큼 WannaCry는 영국의 National Health Service에도 막대한 영향을 미쳐 거의 1억 파운드에 달하는 피해를 입었고 19,000건의 진료 예약이 취소되었습니다.

시네리오의 레온 레먼 최고경영자(CEO)는 "일반적으로 직접적인 연관성을 입증하기는 어렵지만 워너크라이(WannaCry)나 이와 유사한 상품 공격이 심장 수술을 지연시켜 사망이나 부상을 초래할 수 있다"고 말했다.

WannaCry와 같은 공격은 또한 국가에서 개발한 익스플로잇이 유출되어 무의식적으로 적에게 미국과 동맹국을 공격할 수 있는 권한을 부여할 위험을 보여줍니다. WannaCry와 NotPetya는 모두 EternalBlue로 알려진 익스플로잇을 사용했으며, 이 익스플로잇은 미국 국가안보국이 개발했을 가능성이 있습니다. New York Times는 최근 중국 정보 요원이 "[미국] 사이버 보안 무기고의 핵심 부분"을 사용하여 공격을 수행했다고 보고했습니다. 덧붙여서, 이 기사는 이란 핵 원심 분리기를 표적으로 삼는 데 사용되는 정교한 NSA 개발 스턱스넷 악성코드가 Chevron을 포함한 미국 기업에 피해를 입혔다고 보고합니다.

Domas는 안전에 영향을 미치는 사이버 공격에서 일반적인 맬웨어 또는 단순한 부주의에 대해 더 걱정하고 있습니다. “나는 여전히 환자에게 해를 입히는 나쁜 사람들에 초점을 맞춘 선정주의가 너무 많이 보입니다.”라고 그녀는 말했습니다. “[사이버 공격의 결과로] 환자에게 피해가 발생했다면 아마도 우발적일 수 있다는 점을 이해하는 방향으로의 전환을 더 보고 싶습니다. 아마도 그들이 시스템에서 하려고 했던 다른 작업의 부작용일 것입니다.”

시모노비치는 산업 제어 시스템에 대한 사이버 공격을 조사한 연구원들도 비슷한 패턴을 보고 있다고 말했습니다. "대부분은 위반과 관련하여 일정 수준의 인적 오류가 있습니다."

이와 관련하여 산업 시스템 및 의료 기기의 소프트웨어 오류 코드는 안전 및 사이버 보안과 밀접한 관련이 있는 주제입니다. 보잉 737 MAX에 관한 최근의 무용담은 이 점을 강조합니다. 보안 전문가인 Bruce Schneier는 문제에 대해 이렇게 썼습니다. “기술적으로 이것은 보안이지 보안이 아닙니다. 공격자는 없었다. 그러나 분야는 밀접하게 관련되어 있습니다.”

Domas는 예를 들어 휴대전화를 꽂은 후 마취 기계가 비정상적으로 작동하도록 하는 병원 직원의 사례를 인용하면서 그러한 감정에 동의합니다. 사이버 공격자가 관련되지 않은 일상적인 사건의 위험을 간과하기 쉽습니다.

마찬가지로, 언론에서 가장 많이 보도되는 헤드라인 ICS 보안 및 의료 기기 기사 유형으로 인해 내부 위협의 위험을 쉽게 간과할 수 있습니다. 그러나 "내부 위협은 [산업 부문의 공격]의 압도적인 다수를 차지합니다."라고 Simonovich는 말했습니다.

궁극적으로 더욱 긴밀하게 연결된 산업 및 의료 환경에서 위험을 해결하는 데 도움이 되도록 내부에서 일하는 사람들은 이러한 연결된 시스템이 고의로 악용되었는지 여부에 관계없이 발생할 수 있는 위험을 명확하게 이해해야 합니다. “기술에 정통한 사람들이 더 많이 인식하고 있다고 생각하지만, 그렇지 않은 사람들에 대한 이해나 감사가 크게 증가하지는 않습니다.”

그리고 위험 관리를 측정하는 주제는 엄청나게 어려울 수 있습니다. 위험 관리의 하위 집합인 위협 모델링 중 하나입니다. Domas는 "그러나 모든 시스템에는 사이버 위험이 너무 많기 때문에 모든 것을 고칠 수는 없습니다."라고 말했습니다. "그래서 위협 모델링과 같은 요소와 연결하고 가장 우려해야 하는 요소가 무엇인지 파악해야 하는 이유입니다."라고 그녀는 덧붙였습니다. “솔직히 많은 경우 순위 시스템을 통해 급작스럽게 떠오르는 것들을 발견하고는 이렇게 말했습니다. '그거 알아? 나는 그 위험을 감수할 수 있다'고 말했고, 사이버 보안 문제가 있다는 것을 알면서도 해결하기 위해 아무 조치도 취하지 않습니다.”라고 Domas가 말했습니다. “전략을 세워야 합니다. 모든 것을 고칠 수는 없습니다.”