Sécurité du SCI, dispositifs médicaux et croque-mitaine accidentel

Piratage de stimulateurs cardiaques, pompes à insuline, voitures, installations industrielles, satellites et des brèches dans les réseaux électriques… Depuis des années, les chercheurs en cybersécurité mettent en garde contre la possibilité que des pirates informatiques au chapeau noir blessent ou tuent des personnes à travers leurs exploits – souvent avec des démonstrations sur la façon dont ils pourraient le faire.

Mais le degré de sensationnalisme qui accompagne souvent le sujet peut masquer le véritable niveau de risque, tout en faisant peu pour souligner le niveau de risque des vecteurs d'attaque et des vulnérabilités courants tels que les systèmes d'exploitation obsolètes, les logiciels non corrigés ou bogués, les réseaux mal configurés, etc.

En général, le niveau de cyber-risque est élevé avec les systèmes de contrôle industriels, qui sont utilisés pour un éventail d'applications, du contrôle des satellites aux équipements pétroliers et gaziers en passant par les équipements d'automatisation dans les usines. Il y a des rapports de sabotage informatique causant un chaos qui remonte à des décennies. Certes, il est difficile de vérifier, disons, si les États-Unis ont déployé un malware cheval de Troie sur des équipements informatiques utilisés pour contrôler le flux de gaz dans un pipeline transsibérien, provoquant une explosion massive. Thomas C. Reed, un ancien secrétaire de l'Air Force dans l'administration Reagan, l'a affirmé dans le livre "At the Abyss".

[ Le monde de l'Internet des objets est l'intersection des industries et de l'innovation IoT. Réservez votre pass conférence et économisez 350 $, obtenez un pass expo gratuit ou consultez le Orateurs de sécurité IoT à l'événement.]

Mais les attaques contre les systèmes industriels connectés sont désormais courantes. Un certain nombre de fournisseurs de cybersécurité, d'IBM Managed Security Services à Kaspersky Lab, ont suivi une légère augmentation des attaques de sécurité ICS ces dernières années. Ce n'est qu'en mars que Norsk Hydro, l'un des plus grands producteurs d'aluminium au monde, a été aux prises avec une production induite par la cybersécurité dans ses opérations en Europe et aux États-Unis.

Pour faire face au problème, le géant industriel Siemens et TÜV SÜD, la société internationale d'essais, d'inspection et de certification, ont uni leurs forces pour ce qu'ils appellent « une nouvelle approche de la sûreté et de la sécurité numériques ». « Les attaques contre les environnements industriels augmentent à un rythme exponentiel », a déclaré Leo Simonovich, vice-président et responsable mondial de la cybersécurité industrielle et de la sécurité numérique chez Siemens. "Cependant, contrairement à l'informatique, où la principale préoccupation est la perte de données, les cyberattaques ciblant la technologie opérationnelle peuvent entraîner un arrêt potentiel ou pire." Les deux sociétés collaboreront ainsi pour proposer ce qu'elles appellent des « évaluations de la sûreté et de la sécurité numériques » afin d'aider les clients de l'énergie, en particulier, à évaluer et à gérer le cyber-risque.

Simonovich a souligné le malware Triton potentiellement catastrophique, que la société de cybersécurité Dragos a découvert en Arabie saoudite en 2017. Les chercheurs ont récemment trouvé le code dans une deuxième installation.

"Ce qui était remarquable à propos de [l'attaque Triton], c'était la facilité avec laquelle les attaquants passaient de l'informatique à l'OT en passant par les systèmes de sécurité", a déclaré Simonovich.

En effet, il s'agit d'un thème récurrent dans tous les secteurs où les violations de la cybersécurité présentent un risque potentiel pour la sécurité. Malgré toutes les recherches démontrant des types d'attaques ésotériques et souvent invraisemblables lors d'événements de cybersécurité, il est facile d'ignorer le risque posé par, par exemple, un ordinateur Windows XP « à vide » ou des logiciels malveillants datés tels que Kwampirs, un cheval de Troie découvert en 2015, ou Conficker, découvert pour la première fois en 2008. Alors que les pirates pourraient, disons, modifier les tomodensitogrammes pour créer de fausses cellules cancéreuses, comme les chercheurs l'ont démontré, il est plus probable qu'un hôpital soit touché par un type d'attaque de base ou un patient porteur d'un stimulateur cardiaque. finira par être la cible d'un cyber-tuteur à gages. « Les gens rient toujours quand je dis : Même si je me considère comme un expert en cybersécurité, il existe des moyens plus faciles de blesser les gens », a déclaré Stephanie Preston Domas, vice-présidente de la recherche et du développement chez MedSec. « Tous ces exploits personnalisés sophistiqués conçus contre les dispositifs médicaux n'indiquent pas le vrai problème. Le vrai problème, c'est que des choses comme les Kwampirs fonctionnent toujours. Des choses comme Conficker fonctionnent toujours.

Et puis il y a WannaCry, l'attaque de ransomware de 2017 qui, selon Europol, était sans précédent dans sa portée. Affectant quelque 200 000 ordinateurs, WannaCry a touché des installations industrielles et médicales. Nissan a dû arrêter la production dans une usine au Royaume-Uni. Renault a été contraint d'arrêter la production sur plusieurs sites. La compagnie ferroviaire allemande Deutsche Bahn a été victime. Un malware similaire, Notpetya, a causé des millions de dollars de dommages au géant maritime Maersk.

Mais aussi important que soit l'impact sur la sécurité d'ICS, WannaCry a également eu un impact démesuré sur le National Health Service du Royaume-Uni, entraînant des dommages de près de 100 millions de livres sterling tout en entraînant l'annulation de 19 000 rendez-vous médicaux.

Il est possible que WannaCry, ou une attaque similaire aux produits de base, entraîne la mort ou des blessures en retardant, par exemple, une chirurgie cardiaque, bien qu'il soit généralement difficile de prouver un lien direct, a déclaré Leon Lerman, PDG de Cynerio.

Des attaques comme WannaCry illustrent également le risque que les exploits développés par les États-nations fuient et autorisent involontairement des adversaires à attaquer les États-Unis et leurs alliés. WannaCry et NotPetya ont tous deux utilisé un exploit connu sous le nom d'EternalBlue, que l'Agence de sécurité nationale des États-Unis a probablement développé. Le New York Times a récemment rapporté que des agents de renseignement chinois utilisaient « des éléments clés de l'arsenal de cybersécurité [des États-Unis] » pour mener des attaques. Incidemment, l'article rapporte également que le malware sophistiqué Stuxnet développé par la NSA et utilisé pour cibler les centrifugeuses nucléaires iraniennes a causé des dommages à des entreprises américaines, dont Chevron.

Domas s'inquiète davantage des logiciels malveillants génériques ou de la simple négligence jouant un rôle dans les cyberattaques ayant des conséquences sur la sécurité. "Je vois encore trop de sensationnalisme axé sur les méchants causant des dommages aux patients", a-t-elle déclaré. « J'aimerais voir davantage d'évolution vers la compréhension que si un préjudice subi par un patient s'est produit [à la suite d'une cyberattaque], il s'agit probablement d'un accident. C'est probablement un effet secondaire de quelque chose d'autre qu'ils essayaient de faire sur le système. »

Les chercheurs qui examinent les cyberattaques contre les systèmes de contrôle industriels constatent un schéma similaire, a déclaré Simonovich. "La plupart ont un certain niveau d'erreur humaine associé à la violation."

Dans le même ordre d'idées, le code logiciel défectueux sur les systèmes industriels et les dispositifs médicaux est un sujet étroitement lié à la fois à la sécurité et à la cybersécurité. La récente saga concernant le Boeing 737 MAX souligne ce point. Écrivant sur le problème, l'expert en sécurité Bruce Schneier a écrit :« Techniquement, il s'agit de sécurité et non de sécurité; il n'y avait pas d'attaquant. Mais les domaines sont étroitement liés.

Domas partage ce sentiment, citant, par exemple, le cas d'un employé d'un hôpital qui a provoqué un blocage anormal d'un appareil d'anesthésie après y avoir branché un téléphone portable. Il est facile de négliger le risque de tels événements quotidiens, qui n'impliquent pas un cyberattaquant.

De même, les types d'articles sur la sécurité des SCI et les dispositifs médicaux qui ont tendance à faire l'objet de la plus grande couverture médiatique permettent d'ignorer facilement le risque de menace interne. Mais "les menaces internes constituent l'écrasante majorité des [attaques dans le secteur industriel]", a déclaré Simonovich.

En fin de compte, pour aider à gérer les risques dans des environnements industriels et médicaux de plus en plus connectés, les personnes qui y travaillent doivent comprendre clairement le risque que de tels systèmes connectés peuvent poser, qu'ils soient exploités volontairement ou par inadvertance. "Je pense que les gens qui connaissent la technologie deviennent de plus en plus conscients, mais je ne vois vraiment pas une énorme augmentation de la compréhension ou de l'appréciation des gens qui ne le sont pas."

Et puis, le sujet de l'évaluation de la gestion des risques peut être diaboliquement difficile. L'une des modélisations des menaces, qui est un sous-ensemble de la gestion des risques. "Mais parce qu'il y a tellement de cyber-risques dans n'importe quel système, et vous ne pouvez pas tous les résoudre", a déclaré Domas. "C'est pourquoi vous devez l'associer à des éléments tels que la modélisation des menaces et déterminer ceux qui vous préoccupent le plus", a-t-elle ajouté. « Honnêtement, souvent, vous trouvez des choses qui ressortent de votre système de classement et vous avez dit : « Vous savez quoi ? Je suis d'accord avec ce risque », et vous ne faites rien pour y remédier, même si vous savez qu'il y a un problème de cybersécurité là-bas », a déclaré Domas. « Il faut élaborer une stratégie. Vous ne pouvez pas tout réparer."