Pager perusahaan - sumber kebocoran informasi penting

Setelah meretas infrastruktur energi Ukraina pada Desember tahun lalu , layanan keamanan fasilitas industri Ukraina, Rusia, dan negara-negara lain mulai lebih memperhatikan masalah perlindungan terhadap serangan dunia maya. Benar, kerentanan dalam perlindungan informasi tetap ada, dan ada beberapa di antaranya. Beberapa cara potensial untuk mendapatkan akses ke sumber daya penting perusahaan industri, pembangkit listrik tenaga nuklir, pabrik, dan pabrik mungkin tampak sangat tidak biasa. Misalnya, pager. Sebagian besar, perangkat primitif ini tidak menggunakan enkripsi, yang membuatnya rentan terhadap penyusup.

Melalui saluran pager, karyawan perusahaan mengirim dan menerima data penting yang terkait dengan diagnostik dan karakteristik teknis dari peralatan perusahaan. Dengan cara yang sama, seringkali, informasi hak milik lainnya ditransmisikan, termasuk nama karyawan, telepon internal perusahaan, dan terkadang informasi akun.

“Karena pager tidak mengenkripsi data yang dikirimkan, penyerang dapat menerima informasi dari perangkat ini dari jarak jauh. Semua mata-mata cyber perlu mendapatkan data tersebut adalah sistem radio yang ditentukan oleh perangkat lunak dan US $ 20 untuk dongle itu sendiri, ”kata Trend Micro dalam sebuah pernyataan .

Para ahli perusahaan membuat kesimpulan seperti itu setelah mencari cara yang mungkin untuk mendapatkan data tertutup perusahaan oleh cracker. Pekerjaan ini dilakukan selama empat bulan sekaligus di beberapa perusahaan di AS dan Kanada. Secara total, spesialis Trend Micro memeriksa sekitar 55 juta halaman pesan pager yang disimpan, di mana sekitar sepertiga dari pesan tersebut terdiri dari huruf dan angka. Pesan lain hanyalah angka atau nada panggilan karyawan.

Dalam beberapa kasus, karyawan perusahaan menerima pemberitahuan dari sistem keamanan perusahaan yang berisi informasi tentang apa yang telah terjadi. Misalnya, ini adalah pemberitahuan tentang kegagalan pemanas, ventilasi, dan elemen infrastruktur lainnya dari rumah sakit dan perusahaan industri. Dalam satu kasus, informasi rahasia tentang parameter penting sistem produksi secara teratur dikirim ke pager seorang karyawan perusahaan kimia besar. Akan berlebihan untuk mengatakan bahwa data ini juga dikirimkan dalam bentuk terbuka.

“Selama implementasi proyek, kami melihat berbagai sistem di perusahaan tempat pager digunakan sebagai alat untuk pemberitahuan. Tapi sistem tersebut dapat menjadi sumber pelanggaran data, termasuk informasi penting tentang konfigurasi sistem produksi, produk perusahaan, dan sejenisnya", - dinyatakan dalam laporan, Trend Micro.

Situasi serupa diamati oleh para ahli Trend Micro bahkan di pembangkit listrik tenaga nuklir, di mana data yang dikirimkan ke pager berisi informasi tentang masalah-masalah seperti:

• Mengurangi kecepatan memompa air;
• Kebocoran air, uap, zat pendingin;
• Peringatan kebakaran;
• Kehilangan komunikasi dengan sistem cadangan;
• Pesan tentang karyawan yang terluka;
• Informasi lokasi peralatan kritis;
• Kontaminasi radioaktif tanpa mengancam kesehatan manusia.

Laporan perusahaan, khususnya, menyatakan sebagai berikut: “Kami terkejut bahwa pesan tidak terenkripsi dikirim ke pager karyawan perusahaan industri besar mengandung informasi penting seperti itu. Kita berbicara tentang pembangkit listrik, pabrik kimia, perusahaan industri pertahanan, pabrik yang memproduksi semikonduktor. Pesan-pesan yang tidak terenkripsi ini kemungkinan merupakan saluran pengawasan pasif oleh penyerang. ”

Pager tidak menggunakan enkripsi atau otentikasi pengguna - tidak ada yang dapat dianggap sebagai perlindungan data. Data dikirim dalam bentuk teks. Setelah menerima pesan, seorang karyawan perusahaan biasanya tidak tahu siapa yang mengirimnya - tetapi tidak mungkin untuk memverifikasi keandalan sumber.

Dalam beberapa situasi, pakar keamanan informasi di Trend Micro merasa sulit untuk memahami apa yang pager bicarakan. Tetapi bagi seorang penyerang yang peduli tentang semua jenis informasi tentang perusahaan yang dipantau, semua ini bisa sangat menarik. Menurut aturan, pemantauan perusahaan energi di Amerika Serikat dilakukan oleh regulator khusus, North American Electric Reliability Corporation (NERC). Organisasi ini memiliki hak untuk mendenda perusahaan-perusahaan energi yang melindungi data penting dengan buruk, sehingga melanggar persyaratan keamanan. Ada regulator serupa di industri kimia.

Setelah mempelajari situasi dengan enkripsi data di perusahaan milik negara, pakar keamanan informasi mengajukan pertanyaan logis: "Mengapa program komunikasi seperti WhatsApp lebih terlindungi dari peretasan daripada sistem pemberitahuan yang beroperasi di pembangkit listrik tenaga nuklir dan perusahaan lain yang memiliki kepentingan yang sama?" Pertanyaan ini masih bisa disebut retoris, tetapi solusi untuk masalah ini harus dicari sekarang.



Menurut karyawan perusahaan itu sendiri, mereka tidak akan dapat sepenuhnya menghilangkan pager. Faktanya adalah bahwa dalam beberapa situasi perlu mengirim pesan ke karyawan di tempat-tempat di mana tidak ada komunikasi seluler atau Internet. Insinyur sistem SCADA yang bekerja di pembangkit listrik tenaga nuklir dan perusahaan-perusahaan yang memiliki kepentingan nasional harus tersedia 24/7. Karyawan ini diberikan pager, dan sistem komunikasi untuk beberapa dari mereka adalah satelit. Selain itu, masalahnya tidak hanya di pager, tetapi juga di telepon satelit: banyak sistem jenis ini juga tidak menggunakan enkripsi. “Ketika hanya komunikasi yang penting, dan sangat penting untuk memulihkan layanan atau peralatan, keandalan komunikasi, bukan keselamatan, adalah yang terpenting,” kata seorang karyawan dari salah satu perusahaan.

Rekomendasi Trend Micro untuk bisnis yang menggunakan pager adalah untuk segera mulai menggunakan enkripsi dan menambahkan sistem otentikasi pengguna. Selain itu, perlu untuk mengaudit semua sumber kemungkinan kebocoran data perusahaan secara berkala.

Source: https://habr.com/ru/post/id398689/