Vad kan vara bättre än att börja blogga om något som ligger en nära hjärtat? För min del är ett sånt ämne kritiskt infrastruktur. Frågan blev aktuell i och med att Stuxnet skapade ett verkligt ansikte för något som många uppfattade som teoretiskt fram till dess.
Här om dagen, kunde vi återigen läsa något ganska skrämmande som har med en ”udda” aspekt av kritiskt infrastrutkur att göra – flygplan. Den amerikanska militärens obemannade flygplan, Raptor och Predator, utsattes för virusattack. Mer korrekt handlade det om att styrsystemen blev infekterade av ett väldigt segt virus som de hade svårt att bli av med. Ännu mer skrämmande är att militären inte kunde avgöra om det var en riktad attack eller bara något som lyckades hamna i deras system. Det enda de verkade veta med säkerhet var att viruset läste av alt som knappades in på tangentborden.
Vid första ögonkastet känns det konstigt att sånt kan hända med tanke på att styrsystemet ska finnas i ett segregerat nätverk. Men med tanke på att militären måste använda externa USB minnen för att flytta information från styrsystemet till de övriga systemen så visar det sig ändå inte vara så beaktansvärt.
Problemet är att historien inte stannar där. Eller, rättare sagt, den börjar inte där. Det visar sig att för tre år sedan så kunde irakiska rebeller avlyssna satellitsändningen som liknande spionflygplan skickade hem eftersom dessa inte var krypterade. För ändamålet använde de ett program som kostade hela 26 USD.
Om det ser ut så här hos militären, som ändå är ganska inavlade i säkerhetstänk, hur ser det ut i den civila världen? Läget är självklart ganska otäckt där också. För ett tag sedan kunde vi läsa om hur motorhanteringssystemen på Boeing 747-or kan programmeras om medans planen flyger. Uppenbarligen är alla dessa styrsystem, som ska vara avskilda från publik nätverksåtkomst, inte så avskilda som alla verkar tro. Numera behöver man inte ha sprängämnen i kalsongerna för att krascha flygplan – en laptop är allt som verkar behövas.
Vad har detta med kritisk infrastruktur att göra? Enligt EU Direktiv 2008/114/EC måste varje medlemsland i EU identifiera och klassificera kritisk infrastruktur inom transport och energisektorena i landet. De måste också ha säkerhetsplaner för dessa kritiska anläggningar och utföra risk- och hotbildsbedömningar på dessa.
Jag kan inte låta bli att undra hur många medlemsländer tog med alla Boeing 747-or som flyger i deras luftrum i sina riskanalyser…