Ældgammelt produktionsudstyr er en åben ladeport for samfundskritiske cyberangreb

utopiske fejl er en svær størrelse

Jeg ville blive ret så stram i betrækket, hvis varmen gik midt i Januar, eller vandet var væk meget mere end et par dage.... Man kan ikke gå i bad, vaske op osv andet man indkøber kildevand.

Hvad værre er.... WC!

DISASTER!

Enheder med potentiale som ovenstående, og som ikke kan beskyttes tilstrækkeligt, må håndteres på et isoleret net, som ikke kan tilgås via internettet/andre offentlige net. Ja det er besværligt, men for at undgå overnstående scenarier, er det vel ok, at operatøren må flytte sig hen til det isolerede net.

Hovedproblemet er, at enheder der aldrig har været designet til at beskytte sig ww adgang i større og større omfang kommer direkte eller indirekte på nettet for convenience uden at man tænker nøjere over de muligheder, det åbner for...

Jeg kan selvfølgelig godt se truslen i at en ond person tilgår vandværkets modem og får åbnet for den store beholder med gift, der jo er på alle vandværk.

Men at pille ved BaneDanmarks signaler kan vist kun gøre situationen bedre end normalt.

(Sarkasme kan forekomme i ovenstående.)

Hehe, Banedanmark...

Men seriøst så ville det nok ikke tage mange timer at få de store gamle vandledninger til at sprænge, ved at skifte værdierne på nogle pumper og ventiler.

Hele ordvalget i artiklen bærer præg af at være afskrift fra en tale af en eller anden glattunget sælger, hvis målgruppe ikke er helt stiv i termerne. Det burde f.eks. ikke være nødvendigt at fortælle V2s læsere hvad en PLC er.
- Og nej, jeg er heller aldrig i min karriere i branchen stødt på et gift-doseringsmodul til vandværker...
Desuden er StuxNet-eksemplet i bedste fald faktuelt forkert - og sådan er der så meget...

Hvordan er det lige man tilsætter klor til vandet i andre lande... eller fluor ?
Det er da noget som kan bruges som giftdoseringsudstyr.

Via f.eks. http://www.shodanhq.com/ kan man søge sig til nogle af de helt webeksponerede enheder.
Det kræver en (gratis) konto, at søge landespecifikt dog.

Jeg har ikke lige kigget om "hele Jyllands vandforsyning" inkl giftbeholderne ligger der... :-)

Det kan godt være, at der ikke er giftbeholdere i vandforsyningen, men her er et citat fra Wikipedias artikel om "Vandforsyning":

"Den almene vandforsyning i Danmark bygger udelukkende på grundvand. Det har hidtil været et vigtigt princip, at forsyningen sker med uforurenet grundvand. Rensning af drikkevandet omfatter derfor kun fjernelse af naturligt forekommende stoffer som jern, mangan og metan."

Hvad hvis man via et angreb på vandforsyningen kan forhindre denne rensning? Og samtidig få det til at se ud, som om det er sket (forfalskning af data om mængderne af ovenstående stoffer)?
Er det så urealistisk, og vil det ikke gøre vandet giftigt?

Mængden af de stoffer der findes i grundvandet, og som renses fra via mekaniske processer er så lave, at hvis de slipper ud på forsyningsnettet, så vil det højest resultere i vand med misfarvning og dårlig smag. Få steder renses der for arsen, men der er så små mængder, at det reelt ikke vil betyde noget at drikke i en periode.

Forestiller man sig at vi brugte kemikalier i rensningen, så ville installationen have en mekanisk max-flow begrænsning, der ikke kan justeres via SRO/PLC. Så forgiftning er umuligt i Danmark. Dermed ikke sagt, at der ikke kan gøres store skader på infrastrukturen.

jeg håber da ikke produktions anlægget er på nettet nogen steder i det Danske samfund. Det er da at bede om problemer, uanset hvilke sikkerheds foranstaltninger man anvender. Det eneste der virker er fysisk at afskære produktions faciliteterne fra "nettet"

Der udskiftes i øjeblikket til intelligent elmåler i de danske husstande. Der kan nu sættes et tidsstempel på elforbruget og det rapporteres via netværk til elselskabet. Det er smart. Med et tidsstempel på forbruget er der også åbnet for, at prisen på elforbruget kan være billigst i aften/ nattetimerne og dyrest i dagtiden. Det er smart, hvis man kan vente med at stege anden, tænde for fladskærms tv'et, computeren, tørretumbleren etc. til alle er gået i seng.
Men det mest smarte, som har undgået hr. og fru Jensens opmærksomhed, er den fjernbetjente hovedafbryder. Elselskabet kan, naturligvis efter behørig rykker procedure, via fjernbetjening over netværket slukke for strømmen, der flyder gennem husstandens måler. Men måske slukkes der slet ikke fra elselskabets hovedkontor – men i stedet fra Timbuktu og ikke kun for din måler, men også naboens, kvarteret – regionens?

Bagsiden af medaljen er, at der i de senere år er sket en opblomstring af cyberangreb som følge af at vital infrastruktur bliver forbundet i netværk. Der kan nævnes Stuxnet ormen der var målrettet industrielle centrifuger, SQL Slammer der ramte et amerikansk atomkraftværk og nu senest er verdens største olieselskab blevet massivt ramt.
Sikkerhedseksperter vurdere at truslen er reel (ComputerWorld.dk 22 Sep. 2011 - It-systemer bag el, varme og vand er fyldt med huller) og det er derfor tankevækkende, at man vælger at spille russisk roulette med en vital infrastruktur komponent ved at sætte hovedafbryderen til landets husstande på nettet. Man har nu for alvor bragt sig i rampelyset og bliver nu nødt til at deltage i dyrt og ressource krævende kapløb mod cyberterrorister og andre. Et kapløb som ikke kan vindes. Systemerne er blevet så store og komplekse, at der vil altid være et zero day hul (et hidtil ikke kendt sikkerhedshul) og guleroden vil være stor. Stuxnet benyttede bl.a. 4 zero day huller.
Men man kunne jo også bare opsætte intelligente elmålere uden fjernbetjent hovedafbryder. Se det ville være rigtig smart.