Expert: Hackers Penetrating Control Systems

Nätverk som driver industriella kontrollsystem har brutits mer än 125 gånger under det senaste decenniet, med en som resulterade i amerikanska dödsfall, sa en kontrollsystemsekspert torsdag.

Joseph Weiss, chef för säkerhetssystem för konsultsystem Applied Control Solutions, beskriver inte brottet som orsakade dödsfall under hans vittnesbörd inför en amerikansk senatkommitté, men han sa att han har kunnat hitta bevis på mer än 125 kontrollsystemsbrott som involverar system i kärnkraftverk, vattenkraftverk, vattenkraftverk, oljeindustrin och jordbruksindustrin.

"Effekterna har varierat från trivialt till betydande miljöskador på betydande utrustningskador på dödsfall ", berättade han för senathandeln, vetenskaps- och transportkommittén. "Vi har redan haft en cyberhändelse i USA som har dödat människor."

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Vid andra tillfällen har Weiss pratat om en bensin i juni 1 pipelinebrott nära Bellingham, Washington. Brottet sprängde mer än 200 000 liter bensin i två vallar, som antändes och dödade tre personer. Undersökare hittade flera problem som bidrog till brottet, men Weiss har identifierat ett datorfel i rörledningens centrala kontrollrum som en del av problemet.

Det kan ta USA länge att gräva ur samordnade attacker på infrastruktur som använder kontroll system, sade Weiss till senatorer. Skadad utrustning kan ta flera veckor att ersätta, sa han. En samordnad attack "kan vara förödande för amerikansk ekonomi och säkerhet", sa han. "Vi pratar månader för att återhämta sig. Vi pratar inte dagar."

Industriell styrsystemindustrin är år bakom IT-industrin för att skydda cybersäkerheten och några av de tekniker som används i IT-säkerhet skulle skada kontrollsystem Weiss Lagt till. "Om du penetrerar-test ett gammalt industriellt kontrollsystem, kommer du att stänga ner det eller döda det," sa han. "Du kommer att vara din egen hacker."

En del av problemet är att det bara finns en handfull leverantörer av kontrollsystem, och deras arkitekturer och standardlösenord är vanliga för varje leverantör, säger Weiss. Dessutom finns det förmodligen färre än 100 experter inom cybersäkerhetssystem över hela världen, och amerikanska universitet har inte läroplaner inriktade på kontrollsystemets cybersäkerhet, tillade han.

Anfall kommer från utomstående, men också från anställda eller tidigare anställda, Weiss sa. "Jag tror att hotet ökar inte bara på grund av nationella stater … men eftersom den ekonomiska nedgången har skapat många missnöjda men kunniga antagonister", sade han.

Weiss gav tre exempel på fall som involverade missnöjda medarbetare, inklusive ett nyligen fall i Kalifornien, där en anställd inaktiverade läcksökningssystemen i tre oljediskar utanför kusten.

Senatorer krävde ökat fokus på cybersäkerhet i USA: s regering och privata industrin. "Det är mycket viktigt för människor att veta att cybersecurity handlar inte bara om att skydda våra statsnätverk från länder med terrorister eller hackare som vill ha våra hemligheter", säger senator Jay Rockefeller, en West Virginia-demokrat och ordförande för utskottet. "Det handlar om att skydda vår nations kritiska infrastruktur från cyberattack som kan påverka handeln och ekonomin som är helt förödande." För många amerikanska invånare tänker inte eller vet om de pågående cyberattackerna, som Rockefeller lagt till.

James Lewis, chef för teknik och offentlig politik på Center for Strategic and International Studies, uppmanade också kongressen att fokusera på traditionell IT-säkerhet utöver kontrollsystem. Just nu är den immateriella äganderätten i USA äventyras, och dessa förluster kommer att skada nationens långsiktiga konkurrenskraft, säger han.

Medan kontrollsystemen utgör en potential för attack, "vi är under attack just nu", säger Lewis. "Jag oroar mig mer om förlusten av information. Just nu rånas vi av utländska enheter av vår mest värdefulla teknik, och vi måste stoppa det."