Pagal Energijos vartojimo efektyvumo direktyvą jau įrengti skaitikliai ir šilumos dalikliai, kurie nėra nuskaitomi nuotoliniu būdu, ne vėliau kaip 2027 m. sausio 1 d. turės būti pertvarkomi į nuotoliniu būdu nuskaitomus prietaisus arba tokiais pakeičiami, nebent tai nėra ekonomiškai efektyvu. Bent jau „Vilniaus šilumos tinklai“, sostinės gyventojams tiekiantys karštą vandenį, planuoja, kad ilgainiui visi karšto vandens skaitikliai bus nuskaitomi nuotoliniu būdu.
Portalas lrytas.lt aiškinosi, kokias grėsmes tai kelia. Pasirodo, toli gražu ne vandens skaitiklis iš namuose turimų prietaisų galimų kiberatakų atveju yra pavojingiausias.
Blogiausias scenarijus, kuris nebūtinai išsipildys
Į portalo lrytas.lt klausimus atsakė ir nepriklausomas IT saugumo specialistas, „baltosios skrybėlės“ (angl. whitehat) hakeris Edgaras (tikrasis vardas ir pavardė redakcijai žinomi).
– Ką gali padaryti neautorizuoti asmenys, prisijungę prie nuotolinių skaitiklių?
– Galima nuveikti labai daug ką. Tik duomenų nuskaitymo atveju galima stebėti skaitiklių duomenis ir iš jų ekstrapoliuoti, kada skaitiklio savininkas ilgesnį laiką nebūna namuose – pavyzdžiui, išvyksta atostogų: tą gali išduoti ilgesnį laiką nenaudojamas vanduo ir sumažėjusios elektros sąnaudos.
Bet jei skaitiklis ne tik registruoja duomenis, bet dar ir turi kažkokią kontrolę, tada įmanomos ne tik paprasčiausios vandališkos, bet ir kompleksinės atakos. Įsivaizduokite scenarijų: vartotojas telefonu aiškinasi, kodėl jam name dingo vanduo, o tuo metu, kol jo dėmesys nukreiptas, vykdoma kiberataka į jo telefoną, kompiuterį, įmonę ar dar kur.
Galima įsivaizduoti net ir miesto ar valstybės masto terorizmo ar diversijų scenarijų: viename rajone, mieste ar regione dingsta vanduo ar elektra, dėl to gal net įvyksta kokios avarijos, ten pritraukiama didelė specialiųjų tarnybų dalis – o tuo pat metu smogiama kur nors visiškai kitur.
Galų gale, kaip ir kiekvienas daiktų interneto (IoT) daiktas toks skaitiklis teoriškai gali būti panaudotas kiberatakų vykdymui. Žinoma, tai priklausytų nuo konkretaus išmaniojo skaitiklio modelio ir jo apsaugos lygio. Bet jau yra pilna pavyzdžių, kai užgrobiami IoT daiktai – visokios IP kameros, DVR ir kitokie įrenginiai jie pajungiami į botnetus, kuriais vykdomos DDoS atakos. Tam teoriškai lygiai taip pat galėtų būti panaudoti ir išmanieji skaitikliai.
Žinoma, tai yra blogiausias scenarijus, kuris nebūtinai gali išsipildyti.
– Kokie dar iš įrenginių, prietaisų, ką dažnas turime namie, gali būti pavojingi kibernetinės atakos atveju?
– Bet koks daiktas, kuris turi išėjimą į internetą, yra pavojingas. Kompiuteris, išmanusis laikrodis, IP kamera, dulkių siurblys (ypač pirktas „AliExpress“ ar panašioje nekontroliuojamoje internetinėje parduotuvėje), išmanusis durų skambutis ir t.t. Visur galima nepastebimai įdiegti žalingą programinę įrangą ir tiek šnipinėti savininką bei jo aplinką, tiek įtraukti į botnetą.
Dar vienas momentas: kuo įrenginys paprastesnis, mažiau galingas, tuo jis nesaugesnis. Į kompiuterius, išmaniuosius telefonus diegiamos antivirusinės programos, jiems nuolat kuriami atnaujinimai, lopomos saugumo skylės, jais įmanoma vykdyti komunikaciją šifruotais kanalais. Tuo tarpu paprastesni įrenginiai veikia primityviai, tad į juos ir patekti paprasčiau.
Norėčiau pabrėžti, kad net ir visa tai turint omenyje, nesiūlau išvis atsisakyti išmaniųjų skaitiklių diegimo iniciatyvos, bet primygtinai rekomenduoju gerai įvertinti technologijos rizikas ir jų užkardymo būdus: susiplanuoti periodines saugumo patikras, programinės įrangos atnaujinimo planą, o taip pat – krizės valdymo planą.
Kada atnaujina, kada – tą pamiršta
Vilniaus universiteto Matematikos ir informatikos fakulteto Informatikos instituto Kibernetinio saugumo laboratorijos lektorius Eduardas Kutka portalui lrytas.lt aiškino, kad skaitikliai, jei jie skirti tik duomenis nuskaityti, stipriai pakenkti negali.
„Tik kas nors gali pamatyti, kad kažkas sunaudojo vandenį, ir tiek. Bet jei per skaitiklius tiekėjas galėtų užsukti vandenį, situacija būtų kitokia. Su IoT daiktais problema ta, kad jie pagaminami, tarkime, šiais metais, o gamintojas atnaujinimus arba visai užmiršta, arba daro juos taip, kad atsiranda skylių, kurių niekas neužlopo“, – Edgarui antrino E.Kutka.
Kibernetiniai specialistai juokauja, kad yra dvi įmonių rūšys: tos, kurias jau nulaužė, ir tos, kurios dar nežino, kad jas jau nulaužė. Apsisaugoti galima tik išjungus elektrą, sako E.Kutka, o norint apsunkinti patekimą į savo įmonės tinklą, reikia turėti įvairių priemonių. Jei kažkas labai to nori, turi daug pinigų ir žinių, įsilaužti sugebės bet kuriuo atveju. Tik, jei įmonė rūpinasi saugumu, tą padaryti gana sudėtinga.
Be to, įsilaužėlį sunku pastebėti. Kaip sakė E.Kutka, vidutiniškai prireikia pusmečio, kol įmonės tinkle aptinkamas įsilaužėlis. „Būna tokių įmonių, kurios tą pastebi net ir po kelių metų. Jei turi reikiamų įrankių, įsilaužėlį gali pastebėti gana greitai: atsiranda kažkokių neaiškių siuntimų, kontaktų. Bet jei įmonė savo tinklą mažai stebi, tą pamatyti gali būti neįmanoma, jei, aišku, įsilaužėliai tinkle nedaro kažko labai aktyvaus“, – aiškino pašnekovas.
Tiesa, įsilaužti į įmonės tinklą per nuotolinius skaitiklius sudėtinga. Tai, anot lektoriaus, įmanoma nebent tokiu atveju, jei palikta rimta skylė.
„Bet jei skaitikliai skirti tiks duomenims stebėti, pasitelkus juos kažką padaryti sudėtinga“, – sakė E.Kutka.
Kaip ir Edgaras, jis atkreipė dėmesį, kad piktam gali būti panaudoti iš esmės visi prietaisai ir įrenginiai, kurie gali būti valdomi per nuotolį: išmanieji televizoriai, išmaniosios rozetės, dulkių siurbliai, atsiranda ir išmaniosios, per programėlę reguliuojamos elektros lemputės. „Svarbiausia, kad daugelis perka tai, kas pigiausia, bet pigiausias dažniausiai turi daug skylių. O jei dar pagaminta nedraugiškose šalyse, apskritai niekas nežino, kas prietaise įdėta“, – komentavo pašnekovas.
Tik nuskaito – daugiau jokių funkcijų
Tuo metu „Vilniaus šilumos tinklų“ Apskaitos prietaisų administravimo grupės vadovas Juozas Paulėkas portalui lrytas.lt nurodė, kad įmonei priklausančių karšto vandens skaitiklių nuotolinis duomenų nuskaitymas skirtas tik gyventojų suvartoto karšto vandens rodmenų nuskaitymui ir perdavimui. Jokių kitų papildomų funkcijų nuotolinio nuskaitymo skaitikliai neatlieka.
„Visi Vilniaus miesto daugiabučiuose gyvenamuosiuose namuose įrengti nuotoliniu būdu nuskaitomi karšto vandens skaitikliai veikia radijo bangų dažniu.
Skaitikliai transliuoja duomenis tik į vieną pusę, juos perduoda į anteną, o priimti duomenų iš kitų šaltinių nėra galimybės. Nuotoliniu būdu prisijungti prie karšto vandens skaitiklių ir daryti įtaką jų rodmenims taip pat nėra galimybės. Nematome pagrindo nerimauti dėl kibernetinių išpuolių galimybės“, – ramino J.Paulėkas.
Anot jo, daugiabučių namų gyventojams karšto vandens tiekimas gali būti apribotas tik ventiliu jį užsukus bute arba koridoriuje esančioje kolektorinėje spintoje, kuri rakinama. „Todėl gyventojai gali būti ramūs – piktavaliai per nuotolį negali jiems pakenkti. Tai – ne nuotolinio valdymo skaitikliai, o nuotoliniu būdu nuskaitomi karšto vandens skaitikliai, kurie siunčia duomenis apie per mėnesį suvartotą karštą vandenį“, – aiškino „Vilniaus šilumos tinklų“ atstovas.