24 octobre 2016
Pensez-vous toujours que toutes ces inquiétudes concernant la protection de la cybersécurité sur le réseau électrique sont exagérées ?
Demandez aux 225,000 XNUMX Ukrainiens dont l'électricité a été coupée en décembre dernier par un groupe de pirates informatiques russe se faisant appeler « Sandworm ». Lors du piratage, les experts de Sandworm ont actionné à distance les disjoncteurs, coupant ainsi le courant aux utilisateurs après avoir installé un logiciel malveillant, selon le Département de la Sécurité intérieure des États-Unis.
Pour rendre les choses encore plus dommageables et perturbatrices, les mêmes pirates informatiques ont peut-être également spammé le centre de service client de la société de services publics ukrainienne avec une avalanche d'appels téléphoniques destinés à empêcher les vrais clients de signaler les vraies conditions après que les pirates ont piraté le système, selon Reuters citant un rapport publié par SANS Inc.
Bien qu'il soit généralement admis que le piratage du service public ukrainien était le premier du genre, ne pensez pas un seul instant que les pirates informatiques d'ailleurs n'ont pas été encouragés, et peut-être enhardis, à tenter la même chose aux États-Unis ou ailleurs.
@NewAmCyber compagnon @RobertMLee discussions sur le piratage en Ukraine et les leçons à tirer pour le réseau électrique américain avec @SaraSorcher & @peterwsinger https://t.co/rnIflpiMjI
— CSMPasscode (@CSMPasscode) Le 21 juin 2016
La FERC reconnaît les menaces
L'étendue et la complexité des réseaux électriques les rendent particulièrement vulnérables aux menaces de cybersécurité. Les responsables américains en sont parfaitement conscients.
Preuve : En juillet, la Commission fédérale de réglementation de l'énergie (FERC) a demandé à la North American Electric Reliability Corporation (NERC) de développer un nouveau risque de chaîne d'approvisionnement norme de gestion qui traite des risques pour les systèmes d’information et les actifs connexes du système électrique.
« La cyberattaque de 2015 sur le réseau électrique ukrainien est un exemple de la manière dont les systèmes informatiques utilisés pour exploiter et maintenir plus efficacement les réseaux interconnectés peuvent avoir l'effet involontaire de créer des vulnérabilités informatiques », a déclaré l'agence dans son avis de juillet.
Le nouveau ou norme de fiabilité modifiée est conçu pour gérer l'intégrité et l'authenticité des logiciels, l'accès à distance des fournisseurs, la planification des systèmes d'information, la gestion des risques fournisseurs et les contrôles des achats. Dans chaque cas, la maîtrise du contrôle des documents est absolument vitale. Il y a à la fois une bonne et une mauvaise nouvelle. La bonne nouvelle est que la FERC n'impose pas d'exigence universelle à quiconque. La mauvaise nouvelle est que cette décision renforce encore la responsabilité de ceux qui sont chargés de la sécurité du réseau électrique. L'échec n'est pas une option.
« Ne pensez pas un seul instant que les pirates informatiques d’ailleurs n’ont pas été encouragés, et peut-être même enhardis, à tenter la même chose aux États-Unis. »
Contrôle des documents exigé
La FERC a chargé la NERC d'élaborer une norme de fiabilité de la protection des infrastructures critiques (CIP) prospective et fondée sur des objectifs, qui exige que chaque entité concernée « élabore et mette en œuvre un plan qui comprend des contrôles de sécurité pour la gestion de la chaîne d'approvisionnement pour le matériel, les logiciels et les services des systèmes de contrôle industriels associés aux opérations du système électrique en vrac ».
La FERC est également allée plus loin. Elle a également publié un avis d'enquête (NOI) visant à modifier les normes COP relatives à la protection des centres de contrôle utilisés pour surveiller et contrôler les réseaux électriques de transport en temps réel. La FERC sollicite des commentaires sur d'éventuelles modifications et leurs impacts potentiels sur le fonctionnement du réseau de transport, afin de remédier à la séparation entre Internet et les systèmes de cybercontrôle dans les centres de contrôle assurant les fonctions d'opérateur de réseau.
L'agence souhaite également entendre l'avis de l'industrie concernant les pratiques d'administration informatique qui empêchent l'exécution de programmes non autorisés, également appelées « listes blanches d'applications », pour les cybersystèmes dans les centres de contrôle clés.
Le DHS fait passer le message : la sécurité est importante
Pour revenir à la situation réelle en Ukraine, il est important de rappeler que le Département de la Sécurité intérieure (DHS) avait initialement minimisé l'importance de la faille de sécurité. Il a changé d'avis quelques mois plus tard et a lancé fin mars une campagne nationale comprenant une douzaine de séances d'information en personne et de webinaires en ligne destinés à aider les acteurs du secteur énergétique à comprendre les dernières menaces.
« Ces événements représentent l'un des premiers impacts physiques connus sur les infrastructures critiques résultant d'une cyberattaque », a reconnu une annonce de l'équipe d'intervention d'urgence cybernétique des systèmes de contrôle industriel du DHS lors de l'annonce des sessions.
Il poursuit : « Les attaques ont utilisé des outils et des tactiques couramment disponibles contre les systèmes de contrôle qui pourraient être utilisés contre les infrastructures de tous les secteurs. »
En d'autres termes, les plus hauts responsables de la cybersécurité du pays réalisent qu'ils ont peut-être sous-estimé la menace qui pèse sur le réseau électrique. S'ils ont changé d'avis, cela signifie probablement que les responsables de la protection des infrastructures énergétiques américaines devraient envisager de faire de même afin d'être prêts à prévenir, ou du moins à atténuer, la prochaine tentative d'attaque terroriste.
L'histoire nous montre que la menace est réelle. Elle nous montre aussi que les enjeux sont considérables.
