De aller fleste dataangrep mot industrielle kontrollsystemer, som Scada, treffer tilfeldige mål.
Kun 1 av 40 tilfeller der ondsinnet programvare finner veien inn i kritiske IT-systemer i industrien, handler om målrettet angrep, ifølge Scada-ekspert Delfin Rodillas hos sikkerhetsselskapet Palo Alto Networks.
– Ofte er det en tredjepart som uvitende planter kode hos en oppdragsgiver, sier Rodillas til digi.no.
Lang vei
Selv gammel skadevare som de fleste har fikset for lenge siden, kan være en risiko for disse systemene.
– De preges av sjelden oppgradering og patching, og sikkerhetsmekanismene er i utgangspunktet svake fordi systemene er designet for tilgjengelighet mer enn sikkerhet, sier Rodillas.
I den vestlige delen av verden er det bedring å spore, mens deler av Asia har en lang vei å gå.
Les også om skadevaren som trolig har fått mest oppmerksomhet.
Modning pågår
Han får støtte av forsker Niklas Vilhelm hos Norcert ved Nasjonal Sikkerhetsmyndighet.
– Her hjemme har det vært en modningsprosess i industrien, spesielt i kjølvannet av Dagbladets artikkelserie om datasikkerhet. Men i praksis finnes et ingen standardverktøy å plugge inn i de industrielle kontrollsystemene som oppdager og hindrer skadelig programvare, sier Vilhelm til digi.no.
Han er sikkerhetsekspert på industrielle kontrollsystemer.
Umulig å isolere
I "gamle dager" var disse systemene blokkert fra omverdenen og bygget for å ta hånd om produksjonsprosessene på stedet.
Nå er situasjonen en annen. Bedrifter opererer på tvers av landegrenser, slik at det er behov for tilgang til systemene over nettet.
Dermed er de også utsatt for truslene via nettet, uten at de får den samme oppmerksomheten når det gjelder sikkerhet som for eksempel kontornettverk.
– De blir også mer sårbare av at de settes sammen av stadig mer hyllevare, gjerne med en Windows-server i bunnen, sier Del Rodillas.
Les også: Skadevare uoppdaget i årevis
Ubevisst skade
Denne tilgangen over nettet gjør Scada-systemene ekstra sårbare, selv om det vanligvis ikke er snakk om målrettede angrep.
– Det er menneskers atferd og mangelfulle sikkerhetssperrer som fører til ødeleggelse. Ofte uten de involverte er klar over det, sier han.
Han gir et eksempel med et ikke navngitt selskap i amerikansk oljeindustri. En partner bidro med finansiering krevde tilgang til å overvåke produksjonen. Produksjonssystemet var godt sikret, men det var ikke tilfellet for nettverksforbindelsen til den eksterne partneren - der tilkoblet utstyr var infisert.
Dermed ble systemet smittet med en såkalt "Slammer". Dette er en hurtigkopierende kode i maskinens minne som du i prinsippet stopper med en omstart.
Systemene var ikke patchet til å takle den mer enn ti år gamle skadevaren. Resultatet var nedetid på åtte timer som kostet selskapet 1,2 millioner US dollar i tapt produksjon, utskifting av utstyr og arbeidsinnsats for oppstart.
– Og her var det et rent uhell at Scada-systemet ble rammet. Langt de fleste tilfellene av slike skader skjer på denne måten. Bare ett av 40 tilfeller dreier seg om målrettede angrep, sier Scada-eksperten.
Angrepet kommer
Sikkerhetsbransjen jobber med å finne løsninger som gir god nok sikkerhet.
– Og industrien jobber mange steder fremdeles med å overbevise ledelsen om at er nødvendig å investere i slikt, sier Vilhelm.
I påvente av løsninger anbefaler han at bedriftene forbereder seg på det verste.
– Du må rett og slett være innstilt på AT systemet ditt blir utsatt for skadelig programvare på et tidspunkt, sier han.
Da er oppskriften å være forberedt i form av en beredskapsplan, lyder rådet fra Norcert.
– Har vi de rette folkene? Har vi de rette ressursene? Har vi ekstra beredskap hvis det skjer noe under ferieavvikling? Det er spørsmålene du må stille, sier Vilhelm.
Relevant å se på: Advarer mot wifi på fly