Az egészségügyet súlyos mértékben terhelő járványhelyzet miatt számos egyéb területről, például az agráriumból érkező visszajelzések és figyelmeztetések nem kaptak kellő figyelmet. Pedig a mezőgazdasági gazdálkodók manapság olyan technológiákat használnak, mint a higro-szenzorok, GPS-jeladók és önvezető traktorok. A különböző eszközökkel gyűjtött adatok révén tervezik és irányítják intelligens gazdaságaik termelését, hasonlóan a technológiai vállalatokhoz. Az agrár-élelmiszeripar esetében a gyártó- és feldolgozósorok ma már automatizáltak, és ugyanazon a vállalaton belül osztják meg az adatokat a világ minden tájáról, így célponttá váltak a kiberbűnözők számára. Ez még inkább igaz a hálózatba kapcsolt, ám általában nem nyilvántartott, tehát ellenőrizetlen üzemi berendezésekre.
2020 júliusában a Nemzetbiztonsági Ügynökség (NSA), valamint a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) ajánlást tett közzé a létfontosságú iparágak számára (beleértve az agrár-élelmiszeripart is) arról, hogy „azonnal csökkenteni kell a távfelügyeleti eszközök sérülékenységeinek való kitettséget”, ami „nagyon komoly hatással van a kritikus infrastruktúrára”. Ez az ajánlás az összes régebbi üzemi berendezésre (OE) vonatkozik, és különösen az ICS/SCADA rendszerekre, amelyek az élelmiszer-feldolgozó üzemekben leggyakrabban használt felügyeleti rendszerek, ezért védeni kell őket. Ugyanebben a dokumentumban az NSA és a CISA egy sor támadási taktikát és eljárást is felsorolt:
• „lándzsás” adathalász technikák, amelyek a hagyományos IT-hálózatokon keresztül hatolnak be az OT-rendszerekbe;
• csatlakozás az internetre csatlakoztatott PLC-khez, előzetes hitelesítés nélkül az iparági szabványnak megfelelő portokon és protokollokon keresztül;
• a szoftvergyártó frissítési mechanizmusának kihasználása;
mindez azzal a céllal, hogy rosszindulatú programok telepítésével, például zsarolóprogramok általi adattitkosítással megbénítsák a gyártóeszközt.
Ez az ajánlás azért fontos, mert rámutat a támadók módszereinek megváltozására és a támadások összetettségére. Az eredmény: kifinomultabb, célzottabb és kártékonyabb kibertámadások, amelyek súlyosan érinthetik az agrár-élelmiszeripart.
A mezőgazdasági élelmiszeripar a kibertámadások elsődleges célpontja
2021-től folyamatosan érik kibertámadások az ágazat nagyvállalatait. Az év első felében a francia Lactalis és a pezsgőgyártó Laurent Perrier, valamint a Molson Coors – az Egyesült Államok második legnagyobb sörgyára – IT támadás áldozata lett. Különösen nagy horderejű kibertámadás történt a JBS Foods brazil mezőgazdasági csoport ellen is. Méretét tekintve a csoport a világ legnagyobb marha- és baromfihús-termelője, valamint a második legnagyobb sertéshústermelő. 2021. május 30-án a JBS Foods IT-biztonsági csapata felfedezte, hogy Észak-Amerikában és Ausztráliában számítógépes bűnözők vették célba a szervereiket. A zsarolóvírus-támadásért a felelősséget a REvil csoport vállalta magára, a JBS pedig kénytelen volt tíz napra leállítani tevékenységét az Egyesült Államokban, Kanadában és Ausztráliában. Nem sokkal később a cég elismerte, hogy 11 millió dollár váltságdíjat fizetett azért, hogy visszaszerezze a hozzáférést az adataihoz. Ez történelmi nagyságú összeg egy ekkora élelmiszeripari szereplő számára, és mérföldkőnek számító epizód annak bizonyítására, hogy az agrár-élelmiszeripari vállalatok különösen érzékenyek a kiberkockázatokra.
2021 szeptemberében az áldozatok listája tovább bővült az amerikai New Cooperative gabonaszövetkezettel, amelyet a BlackMatter zsarolóvírus sújtott. Ugyanekkor a francia bor- és szeszesital-forgalmazó, a La Martiniquaise adatlopással járó kibertámadásról számolt be. Néhány nappal később egy másik amerikai szövetkezet – a Crystal Valley – szintén bejelentette, hogy a New Cooperative elleni zsarolókampányhoz hasonló támadás érte. Aztán a Conti ransomware kétirányú támadást indított a Jean Floc'h breton mezőgazdasági élelmiszeripari csoport és a párizsi Dalloyau közétkeztetési cég ellen, majd a francia Avril mezőgazdasági élelmiszeripari csoportra került a sor, hogy adathalászat áldozatává váljon. A vállalat ezután azonnal megszakította az összes alkalmazott hozzáférését az e-mailekhez és az összes digitális eszközhöz. Végül – ismét az Egyesült Államokban – az Americold hűtöttélelmiszer-tároló óriáscég bejelentette, hogy 2021 novemberében kibertámadás érte.
Erre a rohamra tekintettel brit szakértők nyilvánosan aggodalmukat fejezték ki az ország agrár-élelmiszerláncának sebezhetősége miatt, Nagy-Britannia ugyanis élelmiszertermelésben importfüggő, mindössze 50 százalékban önellátó. Az ellátási lánc egyetlen láncszemét érő célzott kibertámadás így az egész iparágat megzavarhatja, és olyan messzemenő következményekkel járhat, amelyek az Egyesült Királyság élelmiszeripari politikájának átalakítását vonhatják maguk után. Az agrár-élelmiszeripar elleni kibertámadások valószínűleg változni fognak a jövőben, és célponttá válik az a sok összekapcsolt eszköz, amelyet a mezőgazdaság manapság egyre gyakrabban használ, hasonlóan minden más technológiai vállalkozáshoz. A DEFCON 29 konferencia során egy kiberbiztonsági szakértő bemutatta, hogy képes távolról átvenni az irányítást egy John Deere traktor felett. Ami ma még csak látványelem egy rendezvényen, hamarosan új biztonsági incidensek előtt nyithatja meg a kaput.
De az agrár-élelmiszeripari vállalatok, amelyek természetüknél fogva létfontosságú szereplők, hogyan tudnak reagálni ezekre a kiberfenyegetésekre? A válasz részben a hálózatszegmentálásban, a behatolás-megelőzési rendszerekben (IPS), valamint a végpontészlelési és válaszadási (EDR) technológiákban rejlik, amelyek számos kritikus mezőgazdasági vállalkozás kiberbiztonsági védelmi mechanizmusainak részét képezik. Az EDR azonosítja a rendellenes vagy rosszindulatú viselkedést a gépeken, például a jogosultságok kiterjesztését vagy a rosszindulatú programok telepítését. A hálózati szegmentációval és az IPS-sel kombinálva hatékony védelmet nyújt a felfedezés és az oldalirányú mozgási kísérletek ellen.
Egy iparág, amely kibertámadásokkal és a globális felmelegedéssel néz szembe
Ami a fenyegetési potenciált illeti, különös figyelmet kell fordítani a Kaseya RMM feltörésére is, amely új lehetőséget nyit meg a kiberbűnözők számára, hogy tömegesen terjeszthessék el „kártevőiket”, közvetlenül növelve ezen vállalatok ügyfelei között a vírus terjedésének lehetőségét. Az RMM (Remote Monitoring and Management) mozaikszó az IT-infrastruktúrák távfelügyeletére és kezelésére szolgáló eszközre utal. Ezeket az eszközöket ma már széles körben használják az informatikai szolgáltató cégek, rugalmasságot és egyszerűséget kínálva az infrastruktúra kezelésében, és – ami még fontosabb – a kiberbiztonsági megoldások megbízható eszközökként ismerik el őket. A Kaseya RMM esetében a kiberbűnözők észrevétlenek maradtak, mivel a piacvezető cég egymásra épülő megoldásait – azok működése és vélt megbízhatósága miatt – a kiberbiztonsági hatóságok nem vizsgálták kellőképpen, annak ellenére, hogy a frissítési folyamataik nagyban hasonlítottak a malware programok telepítési folyamataira. A zsarolóvírus-kampányok révén 2021-ben több ezer vállalatot érintettek ezek a tömeges ellátásilánc-támadások. 2021 júliusában Svédországban a Coop 800 élelmiszerboltja szenvedett járulékos károkat a Kaseya RMM incidens következtében. Összességében a cég informatikai szolgáltatói közül nem kevesebb, mint 130-at érintett a kibertámadás.
Az ilyen kibertámadások nyomán számos következmény lehetségesnek tűnik az agrár-élelmiszeripari ágazat jövője szempontjából. Elképzelhető, hogy az élelmiszertermelés vagy -forgalmazás letiltásával áremelkedést, szélsőséges esetben súlyos élelmiszerhiányt lehetne előidézni. A globális felmelegedés hatása ráadásul súlyosbíthatja az ilyen támadások következményeit. A NASA és az IFAD (Nemzetközi Mezőgazdasági Fejlesztési Alap) szakértőinek előrejelzései szerint az éghajlatváltozás várhatóan olyan kulcsfontosságú árukra is hatással lesz, mint a búza, a kukorica és a rizs, a hozamok és a termelés pedig drasztikusan csökkenni fog 2030-ra.
Az agrár-élelmiszeripar ellen az elmúlt hónapokban tapasztalt hirtelen erősödő kibertámadások tehát rendszerszintű válság lehetőségét sugallják. Az egészségügyhöz hasonlóan itt is elengedhetetlen, hogy az ágazat vállalatai tájékozódjanak a jelenségről és a felmerülő problémákról, és támogatást kapjanak kiberbiztonságuk javításához.
A Stormshield kibervédelmi megoldásaival kapcsolatban keresse a RelNet szakembereit!
Forrás
Food industry and cyberattacks: is a system-wide shock on its way?
Kapcsolódó tartalom
Stormshield képzések a RelNet eLearning programban