Written by Vyšlo na Control Engineering Česko, 14. 5. 2019: Bez vody by nebyl život. Není potřeba nikomu vysvětlovat důležitost vodního hospodářství, ani to, proč spadá do kritické infrastruktury státu. Pokaždé když otočíte kohoutkem, nebo dnes spíš baterií, očekáváme, že nám poteče čistá, pitná voda. Nehledě na to, že i čaj nebo káva, kterou si s ní zalejete, mohly vyrůst jen díky nekontaminovanému zavlažování.
V našich podmínkách se sice zavlažování týká spíš obilnin a zeleniny, ale stejně je do každé hadice potřeba nějak přivést nezávadnou vodu. Co víc, zastavení dodávek vody vážně narušuje činnosti řady dalších součástí infrastruktury státu – nouzových služeb, požární ochrany, ale i činnost zdravotních zařízení a výroben potravin.
Stejně tak je potřeba vodu udržet v korytech řek, či nádržích bez ohledu na to, jestli je sucho, moc zaprší nebo roztaje nadměrné množství sněhu. Nejde jen o to, aby vám nakonec kromě vany neskončila ve sklepě či obýváku, ale o nenarušení přepravy po vodních tocích.
Nehledě na to, že vodu používáme ke generování elektřiny. Kapacita vodních elektráren v ČR je kolem 1,09 GW (cca 5 % z celkově instalovaného výkonu) a v roce 2018 vyprodukovaly hydroelektrárny v přehradách, nádržích či mlýnech 1 627 GWh.
Ze všech těchto důvodů vodohospodářství ošetřuje tzv. vodní zákon č. 254/2001 Sb. s celou řadou prováděcích vyhlášek a nařízení, ale také krizový zákon, který upravuje ochranu evropské a české kritické infrastruktury.
Přesto, nebo možná i právě proto si hackeři našli cestu, jak tyto životné důležité systémy kompromitovat.
Různí výrobci, stejně ohrožený hardware i software
Architektura SCADA (Supervisory Control and Data Acquisition), kterou používá řada vodohospodářských a obecně energetických zařízení, je i přes jejich různorodost poměrně jednotná. Existuje přitom nespočet výrobců programovatelných logických automatů (PLC), z nichž někteří globální hráči mají kořeny v České republice (např. Amit Automation, Domat, Micropel, Orbit Merret, TECO či ZAT).
Z veřejně dostupných zdrojů jsou historicky dohledatelné zranitelnosti v rozšířených PLC od General Electric, Koyo Electronics, Rockwell Automation, Schneider Electric, nebo Schweitzer Engineering Laboratories. Zopakujme, že jsou to skutečně jen ty, které byly zveřejněny.
Asi není potřeba vysvětlovat, že odstavení počítačů, které řídí různá vodní díla a přehrady, by mohlo vést k záplavám, výpadkům proudu a dodávek pitné vody. V dlouhodobějším horizontu by to postihlo suroviny pro výrobu potravin a vedlo by to k šíření nemocí. V březnu a dubnu 2018 varovalo americké Ministerstvo vnitřní bezpečnosti a FBI, že ruská vláda se v rámci vícestupňového útoku zaměřuje specificky na vodárenský sektor a další sektory kritické infrastruktury.
Pokračování článku najdete na webu Control Engineering Česko.