Vergiliustól kölcsönözve Ab uno ne omnes iudices – azaz egyből ne következtess mindre – mondhatnám az erőművek védelmére. Megjelent a YouTube-on egy urbexes srác videója arról, hogy jutott be egy „üzemelő” erőműbe, előbb kerítést mászva, majd később a kapun keresztül.

Curiositas portas perfodit - a kíváncsiság áttöri a kapukat

A kolléga (tulajdonképpen bátran nevezhetem annak, hiszen végülis egy fizikai behatolási tesztet végzett – nyilván nem etikus keretek között, de nem erről a vonatkozásról akarok beszélni, ráadásul ez az urbex egyik velejárója is.

Arról sem akarok beszélni, hogy mennyire veszélyes dolog egy ipari területre helyismeret nélkül bemenni, ez különösen igaz az erőművekre természetesen, de alighanem ez is az urbex egyik velejárója, ettől izgalmas és kalandos – egész addig, amíg valaki ott nem hagyja a fogát.

A kolléga maga is felvetette a videójában – és ő sem akarta elhinni – hogy fordulhat az elő, hogy nem csak, hogy bejutott, de be is járta az erőművet anélkül, hogy bárki is megkérdőjelezte volna az ott tartózkodását, de még azt is megtette, hogy pizzát rendelt magának az erőműbe. De nem is a pizzáról, vagy annak élettani hatásáról akarok beszélni, bár alighanem az már nem az urbex velejárója.

A kolléga erősen megfogalmazta azt, hogy ha ezt ő urbexesként megtette, akkor alighanem a rosszindulatú feleknek (terroristáknak) sem okozna ez gondot és pillanatok alatt súlyos károk okozhatóak az erőműben. És ez az amivel foglalkozni szeretnék, mert a kollégának (akár etikus, akár nem etikus volt a behatolás) - res ipsa loquitur - ebben láthatóan igaza van.

A kiberfizikai rendszerek és a fizikai környezet

A fizikai védelem alapozza meg az üzembiztonságot, vagy legalábbis nagyon nagy mértékben járul hozzá ahhoz, hogy a folyamatok valóban biztonságosak legyenek. OT kiberbiztonság szempontjából azonban egyértelműen a fizikai védelem jelenti az elsődleges – és sajnos sokszor egyben az utolsó védelmi vonalat is.

Az OT jellemzően hamis biztonságérzetben él a fizikai védelemmel kapcsolatban (meg persze például a tűzfalakkal és egyéb szegmentációkkal kapcsolatban is). Szinte állandó jelleggel elhangzik, hogy nem kell a kiberrel foglalkozni, mert zártak vagyunk, az igazán súlyos támadáshoz ide kellene jönni és be kellene jutni, stb. Azt hiszem ez a videó megmutatja azt, hogy mennyire elbizakodott az ilyen kijelentés.

Nem állítom, hogy minden erőműbe ennyire egyszerűen és észrevétlenül lehet bejutni és kóborolni, de a tapasztalatom szerint (Paksot kivéve) általában sokkal jobban bíznak a fizikai védelemben – mint amennyire az valójában és képességeit tekintve megalapozott lenne. Ennek egyik oka, hogy míg az IT környezetekben elfogadott a sérülékenységvizsgálat (az OT logikai infrastruktúrájával, illetve az irányítástechnikával vagy folyamatirányítással kapcsolatban ez már nem mondható el), a fizikai biztonságot ritkán vizsgálják és még ritkábban tesztelik. Látható pedig, hogy kellene.

Másik oknak azt mondanám, hogy azt gondolják, a fizikai biztonság olyan külső szolgáltatás, amelyre az OT-nak közvetlenül nincs hatása. Ez szerintem tévedés. Mindenképpen van kapcsolat, mégpedig pont az üzembiztonság: ebbe nem csak az tartozik bele, hogy ne robbanjon fel az erőmű, de az is ide tartozik, hogy a területre belépők ne essenek áldozatul a fizikai környezetnek, ne élhessenek vissza a fizikai környezettel, illetve a fizikai környezeten keresztül ne fenyegethessék az OT folyamatok üzembiztonságát, megbízhatóságát, rendelkezésre állását, sértetlenségét és bizalmasságát.

A munkabiztonsági és munkavédelmi intézkedések rendkívül szigorúak és erősek az OT-ban és különösen erősek egy erőművi környezetben. Az erőmű mindenképpen veszélyes üzem, még azoknak is, akik minden nap ott dolgoznak, pláne a látogatóknak, vagy azoknak, akik csak úgy „betévednek”. Az OT kiberbiztonságának igen is ki kellene terjednie a fizikai védelemre is, pontosabban együtt kellene működnie a fizikai biztonsági területtel, igényeket és elvárásokat kellene megfogalmazni, intézkedéseket bevezettetni és fenntartani.  A kiberbiztonság – legyen az IT vagy OT – a fizikai biztonság hiányában félkarú rabló óriás és azt hiszem sokkal több figyelmet érdemelne a részünkről.

Érdemes lesz azt is figyelemmel kísérni, hogy milyen hatása lesz ennek a videónak az erőművi környezetekben? Elindulnak esetleg a fizikai biztonságot értékelő vizsgálatok, esetleg konkrét „kerítésmászós” fizikai behatolási tesztek? Felül lesznek vizsgálva a különféle őrző-védő cégek tevékenységei, vagy az alkalmazott biztonságtechnikai eszközök és azok használata? Átgondolják az objektumvédelmet és rétegzett, mélységi védelemre fognak törekedni? Vagy minden marad a régiben?

A NIS2, a kritikus infra tv. és az NCCS hajnalán sincsenek Illúzióim, azt hiszem inkább én is rendelek egy pizzát.Kerítésmászás nélkül.