Insecure in Security – ”Är fysiska skadorna av IT-attacker en verklighet?”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om fysiska skador av IT-attacker.

Är fysiska skadorna av IT-attacker en verklighet?
Julens Sony-hack överskuggade en annan intressant men obehaglig attack som ägde rum på ett stålverk i Tyskland under samma period. Hackarna hade infiltrerat stålverkets nätverk med hjälp av en spear phishing attack riktad mot anställda. Därifrån lyckades de sedan infektera styrsystemen för stålverket och attacken resulterade i stora skador då en av masugnarna inte kunde stängas av. Attacken är så pass färsk att det än idag är svårt att säga om masugnen var målet eller om det var en olycka.

Frågan man ställer sig är dock: kan det här vara starten på ett skifte där cyberattacker inte bara gör digital skada utan även fysisk skada?

Fenomenet är inte helt nytt och den första mjukvaruattacken som skapade avsevärd fysisk skada skedde mitt under kalla kriget. 1982 fick CIA information om att KGB var ute efter att stjäla styrprogram från väst som de kunde använda i deras gasledningar. CIA fick godkännande av dåvarande President Reagan att skapa en felaktig mjukvara och få Sovjet att köpa den. Mjukvaran var framtagen för att skapa ett högre tryck i gasledningen än vad det var byggd för och operationen var minst sagt framgångsrik. Mjukvaran resulterade i en så kraftig explosion att rapporter om att en mindre atombomb hade exploderat i Sovjet spreds i Washington strax efter explosionen.

I mer modern tid så minns nog de flesta Stuxnet som togs fram för att sabotera Irans kärnkraftsprogram genom att attackera en forskningsanläggning som fokuserade på urananrikning. Stuxnet var för sin tid så pass avancerad att den lyckades slå ut sitt mål utan att riskera skador för privatpersoner, inkluderat de som arbetade i den berörda byggnaden.

Även om de här två exemplen är attacker som utförts av nationer så kan attacken mot stålverket i Tyskland vara det första som ett företag, organisation eller privatperson står bakom. Och jag tror dessvärre att den här typen av attacker, som kan utföra fysisk skada, kommer bli allt vanligare. Det blir en naturlig förlängning av ett uppkopplat samhälle där allt fler funktioner styrs med uppkoppling mot internet eller ett nätverk.

Efter CES 2015 där allt var uppkopplat så får man sig en funderare på hur det kan påverka privatpersoner i deras vardag. De största hoten är nog tillverkningsindustrier och ser vi till Sverige så har vi en stor gruvindustri, stålindustri och pappersverk som traditionellt sett inte varit måltavlor. Om dessa förutsättningar nu har förändrats, hur förberedda är dessa verksamheter för eventuella intrång? De fysiska skadorna vid till exempel ett pappersbruk kan handla om såväl personal som att maskiner förstörs. Det kan även finnas direkta hot mot naturen.

IT-säkerhetsspecialister har siat om att det första dödsfallet som en direktkonsekvens av en IT-attack kommer att ske under 2015 och om stålverket i Tyskland ska ses som en fingervisning så kan de mycket väl ha rätt. Även om det kanske inte sker genom att en pacemaker hackas.

Jag tror att vi i en riskanalys måste lyfta in allt fler aspekter av verksamheten och inte bara se till de potentiella digitala skadorna – det är dags att fundera på de fysiska skadorna.