Voda nechráněná hesly
Bezpečnostní výzkumníci z Izraele objevili nezaheslované vodohospodářské systémy volně přístupné z internetu. Přitom právě vodohospodářská infrastruktura se ve státě proslulém vyprahlým klimatem stala na jaře terčem kyberútoku. Nedostatečně zabezpečené byly i další systémy v Evropě, Americe a Asii.
Internet věcí je bezpochyby praktická věc. Možnost kontrolovat nejrůznější technická zařízení pomocí chytrého telefonu nebo jiného podobného hardwaru neuvěřitelně usnadňuje práci. Potíž však je, že cokoliv ke globální počítačové síti připojíte, začne dříve nebo později zajímat hackery. Je to i případ zavlažovacích systémů od firmy Mottech Water Management. Zabývá se výrobou zařízení na kontrolu zalévání, vodovodů a distribuce hnojiv. Sídlí v Izraeli. Její řešení lze nalézt na celém světě. Kybernetická bezpečnost systémů od Mottechu má ale ještě svoje mouchy.
Zjistila to další izraelská firma Security Joes. Zabývá se mimo jiné Identity & Access managementem. Výzkumníci ze Security Joes našli v Izraeli 55 závlahových systémů veřejně dostupných na internetu. Všechny byly v základním nastavení, nechráněné heslem! Když Security Joes rozšířili pátrání na zbytek světa, našli dalších 50 systémů ve Francii, Švýcarsku, Spojených státech a v Jižní Koreji.
„Mluvíme o plnohodnotných závlahových systémech. Mohla to být celá města,“ řekl spoluzakladatel bezpečnostní firmy Ido Naor webu threatpost.com. „Nedívali jsme se, co se za danou adresou skrývá, poněvadž jsme nechtěli způsobit potíže,“ dodal.
Kyberútok na vodohospodářský systém není sci-fi. Je to realita. Izrael se s ním potýkal letos v dubnu. Útočníci se pokusili zvýšit koncentraci chlóru v pitné vodě, otrávit tak její konzumenty a vyřadit na čas z provozu vodovodní síť. Bezpečnostní incident přišel v době, kdy celý svět zápolil s pandemií nemoci covid 19. Útok neměl souvislost s naposledy objevenými nedostatky vodohospodářských systémů od Mottechu.
Zranitelnosti kritické infrastruktury připojené k internetu věcí však už byly zaznamenány i jinde. Zdaleka se netýkají jen státního či veřejného majetku. Představují nebezpečí i pro soukromé firmy včetně těch největších hráčů. Nedávno byla například objevena zranitelnost v softwaru CodeMeter. Používají ho velcí dodavatelé průmyslové elektroniky, jako je Rockwell nebo Siemens. Z pohledu bezpečnosti IT je řešení pořád stejné: instalovat nejnovější záplaty a chránit své systémy hesly. Dvoufaktorová autentizace je nutné minimum.
