Az IBM 2024-es felmérése szerint a kibertámadások közel 25 százaléka a gyártócégek körében történt, és ezek több mint 70 százaléka zsarolóvírusos támadás volt. Az adatszivárgások átlagos költsége az iparban 2023-ban 4,73 millió dollár (1,7 milliárd forint) volt. Ez a költség minden évben körülbelül 125 százalékkal nő. A hackerek által okozott kár pedig a Világgazdasági Fórum becslése szerint idén elérheti globálisan a 10 ezer milliárd dollárt is.

A gyártási rendszerek gyors fejlődése során az ipari vezérlőeszközök (operational technology – OT) száma drámaian növekszik, és egy előrejelzés szerint 2026-ra több mint 15 milliárd eszköz kapcsolódik majd 5G- és felhőalapú hálózatokon keresztül a globális internethez. 2030-ra pedig ez a szám akár meg is duplázódhat – vélik a szakértők. A növekedés ugyanakkor számos sebezhetőséget hoz magával: sok OT-rendszert eredetileg elszigetelt környezetben való működésre terveztek, beépített biztonsági funkciók nélkül, így az internethez való csatlakoztatásuk kiteszi őket a rafinált kibertámadásoknak.

A gyártási környezetben használt régi, úgynevezett legacy rendszerek gyakran nem rendelkeznek megfelelő informatikai védelemmel, ezért ideális célpontjai lehetnek a támadásoknak. Ezek a gépek sok helyen ma is a gyártási folyamatok gerincét adják, noha tele vannak biztonsági résekkel, amelyek aranybányát jelentenek a kiberbűnözők számára. Sérülékenységük kihasználásával könnyen bejuthatnak a vállalat informatikai hálózatába, hátsó kapukat nyitva a rendszerekbe.

Az elavult ipari vezérlőrendszerek épp ezért egyre gyakoribb célpontnak számítanak, mert sok esetben olyan szoftvereket futtatnak, amelyek már nem kapnak biztonsági frissítéseket, ami súlyos kitettséget jelent a támadásoknak. Az ipari vezérlőrendszerek elleni támadások körülbelül 33 százaléka nyilvánosan elérhető alkalmazásokat céloz, míg 37 százalék külső távoli szolgáltatásokat használ ki.

2021-ben például a floridai Oldsmarban egy hackernek sikerült távolról hozzáférnie a vízkezelő üzem rendszeréhez, és a nátrium-hidroxid szintjének drasztikus emelésével próbálta megmérgezni a város vízellátását. Szerencsére az üzem egyik alkalmazottja észrevette a szokatlan tevékenységet, és gyorsan visszaállította a normál szintet, megelőzve egy potenciális katasztrófát.

A Sophos it-biztonsági cég jelentése azonban egy aggasztóbb jelenségre is rávilágít: az utóbbi néhány évben a támadók kifejezetten intenzíven célozták meg az olyan berendezéseket, amelyek a vállalati és a külső hálózatot kapcsolják össze. A támadóknak már nincs szükségük egyedi kártevők telepítésére, ehelyett a vállalkozások saját rendszereit használják ki; ez lehetővé teszi számukra, hogy olyan helyeken rejtőzzenek el, ahol a biztonsági vezetők nem is keresik a veszélyt.

A probléma nem új keletű: orosz hackereknek 2018-ban sikerült bejutniuk az Egyesült Államok áramhálózatát felügyelő szoftverbe. Etikus hackerek pedig azt mutatták be néhány éve, hogy mekkora pusztítást lehet véghez vinni, ha ipari eszközök interfészébe hatolnak be. A kutatók sikeresen átvették az uralmat egy több mint 100 kilogrammos robotkar fölött, ami lehetővé tette számukra, hogy távolról módosítsák a robot működését, hibás termékeket gyártsanak, vagy akár veszélyeztessék a dolgozók biztonságát.

Az internetre kapcsolt eszközök hálózata nemcsak a cégek belső folyamataiban játszik szerepet, hanem az ellátási láncok és a tágabb ökoszisztémák működésében is. Egyetlen ponton bekövetkező biztonsági incidens az egész hálózatra kihatással lehet. Ilyen volt az, amikor a tisztítószereket gyártó Cloroxot 2023-ban támadás érte, számos automatizált rendszert megbénítva, köztük azokat is, amelyeken keresztül a kiskereskedelmi láncok, például a Walmart és a Target rendelik meg az árukat. A támadás miatt a Cloroxnak 356 millió dolláros vesztesége keletkezett, a gyártási mennyiség visszaesése miatt a forgalom 20 százalékkal csökkent. A részvényárfolyam meredeken zuhanni kezdett, és a vállalatnak további 25 millió dollárjába került a rendszerek megerősítése a támadás után.

Bár a Clorox sosem ismerte el, hogy zsarolóvírus áldozata lett, az üzemkimaradás mérete és mintázata alapján a szakértők ezt valószínűsítették. A japán Toyota viszont nem rejtette véka alá, hogy 2023 végén a németországi leányvállalatát megtámadta a Medusa nevű, vélhetően orosz hátterű hackercsoport. Több millió ügyfél személyes és pénzügyi adatait sikerült ellopniuk, amiért 8 millió dollárt követeltek a vállalattól. Miután az nem fizetett, a bűnözők az összes adatot közzétették az interneten.

Adja magát a kérdés: ha ennyi gyenge pontjuk van a rendszereknek, miért nem javítják ki a hiányosságokat gyorsabban a cégek? Az ok néha prózai: nincs elegendő forrás a biztonsági frissítésekre. Van azonban számos olyan eset is, amikor a meglévő büdzsét inkább a jövedelmet termelő területekre költik, mert a kiberbiztonságot nem látják közvetlenül megtérülő befektetésnek. A cégek vezetése bizonyos esetben hamis biztonságérzetbe ringatja magát, arra alapozva, hogy velük még sosem történt meg a baj. Pedig egy kibertámadás nem mindig hirtelen következik be: sokszor lassú „fertőzésről” van szó, amelynek során a támadók akár évekig szivárogtatnak adatokat, mielőtt nyíltan akcióba lépnének.

Egy újabb „érv” a halogatás mellett az, hogy a gyártásban alapvető kritérium a folyamatos működés, hiszen az állásidő rendkívül költséges a vállalatok számára. Márpedig ha egy vállalat új kiberbiztonsági megoldásokat akar bevezetni, előfordulhat, hogy lassítania kell vagy akár le is állítani a termelést a rendszerek átalakítása érdekében. Ezt pedig sokan nem vállalják, ezért inkább a termelés folytonosságát választják a szigorúbb biztonsági intézkedések helyett.

A vállalatok felkészülésében azonban az az első lépés, hogy el kell fogadniuk: nincs „immunis” cég – fogalmazott David Chaddock, a West Monroe kiberbiztonsági részlegének ügyvezető igazgatója a Manufacturing Dive szakportálnak. Egy súlyos támadás szintén hosszú kényszerpihenőre küldheti a gyárat, ráadásul még a váltságdíjat is ki kell fizetni, vagy megpróbálhatják – óriási költséggel – visszaállítani az adatokat. Ha azonban a kiszivárgás már megtörtént, érzékeny információk kerültek illetéktelen kezekbe a vállalatról, annak partnereiről és ügyfeleiről.

„A gyártás számára az állásidő egyenlő a bevételkieséssel, és ha naponta több millió darabot gyártanak, már egy rövid leállás is hatalmas hatással lehet” – mondta a szakértő. Egy ugyancsak 2023-ban a Toyota szervereit érintő vírusfertőzés miatt például a japán márkának a szigetországban működő 14 autógyárában mind a 28 összeszerelő sort le kellett állítani, emiatt 13 ezer autó gyártása maradt el.

A gyártócégek azért is vonzó célpontok, mert értékes szellemi tulajdonnal, saját fejlesztésű tervekkel és kritikus működési adatokkal rendelkeznek. Szerepük az ellátási láncban és a tágabb gazdaságban azt jelenti, hogy a termelésük megzavarása széles körű következményekkel járhat – ez pedig komoly alkupozíciót ad a zsarolóvírussal támadóknak.

„Amikor a támadók először nagy hasznot húztak a zsarolóvírusokból, rájöttek, hogy aranybányára bukkantak. Ahogy néhány kiberbűnözőnek sikere lett, egyre többen követték őket” – vázolta a történelmi hátteret David Chaddock. Mint ahogy azt is felismerték, hogy ha valami létfontosságút, például egy kórházat támadnak meg, nagyobb az esély, hogy az áldozatok fizetnek a működés helyreállításáért – tette hozzá.