Sajber-napad na postrojenje za prečišćavanje vode na Floridi je upozorenje koje bi trebalo ozbiljno shvatiti. Ono što je mnoge iznenadilo u prošlonedeljnom hakovanju postrojenja za prečišćavanje vode na Floridi je da se takve stvari ne dešavaju češće. Haker je neverovatno lako ušao u sistem upravljanja postrojenjem pomoću često korišćenog i veoma poznatog alata TeamViewer, koji omogućava inženjerima da na daljinu nadgledaju umrežene uređaje i prilagođavaju njihova podešavanja. Haker je povećao nivo natrijum-hidroksida, sastojka sredstava za čišćenje odvoda, sa 100 delova na milion, što je normalan nivo, na 11.100 delova na milion, što bi otrovalo svakoga ko pije vodu. Stotine ljudi u gradiću Oldsmar, u blizini Tampa Beja, izbeglo je obolevanje, a verovatno i smrt, samo zato što je operater postrojenja na monitorima sistema primetio da se dešava nešto čudno i ručno vratio postavke na normalne vrednosti. Da je nešto čitao ili dremao i pustio sistem na automatsko upravljanje, kao što se ponekad dešava kod komunalnih usluga koje se kontrolišu pomoću računara, dogodila bi se katastrofa.
Od sedamdesetih godina prošlog veka, upravljanje industrijskim sistemima obavlja se automatski, ali sve dok su bili fizički izolovani, bezbednost nije predstavljala problem. Kada se internet pojavio, tokom devedesetih, menadžeri tih kompanija su bili vrlo spremni i voljni da se prilagode takvim sistemima upravljanja, jer bi primena automatizovanih kontrola u velikim mrežama – na primer, velike električne mreže, vodovodi, naftovodi, železničke linije i slično – učinila život mnogo lakšim. Otprilike u isto vreme, visoki vladini zvaničnici postepeno su se upoznavali sa ranjivošću tih javnih mreža, ali većina firmi koje su upravljale mrežama bile su u privatnom vlasništvu – i žestoko su se opirale propisima, a nisu bile ni voljne da dobrovoljno potroše mnogo novca da bi rešile problem. Proces rešavanja problema bio je skup, a, s druge strane, pretnja nije bila toliko stvarna.
Sve je postalo mnogo stvarnije 2007. godine, kada je Ministarstvo energetike sprovelo eksperiment pod nazivom Aurora Generator Test. Do tada su zvaničnici već celu deceniju ispitivali ranjivost automatizovanih kontrola, ali Aurora je bila prvi opipljivi test u kome se proveravalo da li se objekat može fizički uništiti u sajber-napadu na daljinu. Generator snage 2,25 megavata, težak 27 tona, ugrađen je u test-komoru u Nacionalnoj laboratoriji u Ajdahu. Na signal iz Vašingtona, gde su zvaničnici na monitorima posmatrali šta se dešava, tehničar je u digitalni relej uneo samo 21 red zlonamernog koda. Kôd je otvorio prekidač u zaštitnom sistemu generatora, a zatim ga zatvorio neposredno pre nego što je sistem reagovao, i tako omeo sinhronizaciju operacija. Skoro istog trenutka, generator se zatresao, a neki delovi su odleteli. Nekoliko sekundi kasnije, ponovo se zatresao, a onda je počeo da se izvija beli dim i podigao se ogroman oblak crnog dima. Uređaj je bio neupotrebljiv. Video tog testa možete pogledati na Jutjubu.
Malo ranije, 2000. godine, nezadovoljni bivši radnik u australijskom centru za prečišćavanje vode provalio je u centralne računare i poslao komande koje su zaustavile pumpe, tako da se neprečišćena kanalizacija neometano ulivala u vodu. Hakeri su 2001. godine provalili u servere kalifornijske kompanije za isporuku električne energije širom države, a zatim su ispitivali njenu mrežu dve nedelje pre nego što su ih uhvatili. Ti incidenti su zanemareni ili odbačeni kao slučajnosti, sve dok Aurora Generator Test – koji je finansirala američka vlada – nije otkrio da je reč o sistemskom problemu. Da li je haker koji je upao u pogon za prečišćavanje vode na Floridi takođe bio nezadovoljni bivši radnik? Federalni agenti sarađuju sa forenzičarima, ali krivac još nije pronađen.
Još veća opasnost je u tome što su se vlade, takođe, bavile ovom vrstom hakovanja i to veoma dugo. Njihova namera nije nužno da naprave štetu, već je često cilj prikupljanje obaveštajnih podataka kako bi se videlo kako strane države stvaraju ili štite svoje kritične infrastrukturne mreže. Ipak, neke zemlje – uključujući Kinu, Rusiju, Izrael, Francusku i, da, Sjedinjene Države – zakopale su implante u te mreže, implante koji mogu da se aktiviraju da bi unapred sprečili štetu u slučaju rata. Da je haker na Floridi imao prefinjenije metode, da je posedovao resurse nacionalne države, mogao je da prikrije svoje postupke, a operater pogona možda nikada ne bi primetio da se nešto dešava. Na primer, u operaciji Stuxnet iz 2009–10. godine, glavne mete detaljnom postupku američko-izraelskog hakovanja iranskog nuklearnog reaktora Natanz, bile su centrifuge reaktora – vretena koja obogaćuju uran – koje su hakeri sabotirali tako što su ih usporavali ili ubrzavali. Ključni sporedni cilj bio je niz senzora koji su nadzirali funkcije reaktora. Tim Stuxnet-a ubacio je lažne podatke u te senzore, da bi iranski naučnici pogrešno zaključili da se centrifuge vrte pravom brzinom. Kada su se uređaji pokvarili, naučnici su krivili neispravne zalihe, a političke vlasti sumnjale su u diverziju.
Nešto ranije, 2007. godine, četiri izraelska borbena aviona napala su i uništila novoizgrađeni nuklearni reaktor u Siriji. Avioni su uspeli da izmaknu sirijskom PVO sistemu – naprednom sistemu, tek kupljenom od Rusije – jer je pre toga Jedinica 8200, izraelska tajna organizacija za sajber-rat, upala u radarske ekrane sistema i ugradila lažnu sliku, tako da se na ekranima ništa nije videlo, odnosno, operateri nikada nisu videli da dolaze avioni. Šta bi se desilo da je haker sa Floride ugradio lažne podatke u senzore koji nadgledaju merne instrumente za prečišćavanje vode i da je zbog toga operater postrojenja smatrao da je sve u redu, da je nivo natrijum-hidroksida i dalje 100 delova na milion umesto 100 puta više? Stotine ljudi bi se otrovalo, a niko ne bi znao zašto.
Samo bi izuzetno vešt haker, koji ima pristup mnogim resursima, mogao da izvede takav podvig. Međutim, samostalni hakeri postaju domišljatiji i veštiji – i uopšte ne bi trebalo da odbacimo mogućnost da bi neka druga nacionalna država to mogla da uradi. Ubrzo pošto je Stuxnet otkriven, postalo je jasno da Sjedinjene Države i Izrael, svakako, nisu jedine zemlje koje imaju visokokvalifikovane sajber-ratnike u svojim redovima. S obzirom na to koliko je napad na Floridi otišao daleko, verovatno bi mogao da bude blokiran. Neki stručnjaci pretpostavljaju, iako nisu videli šta su forenzičari otkrili u vezi sa tim incidentom, na osnovu analize napada koji su slični, da se desilo sledeće: Postrojenje verovatno nije postavilo dvofaktorsku potvrdu identiteta i možda je čak ostavilo podrazumevane lozinke. Dakle, haker se prijavio na kontrolnu tablu u oblaku na nalog i preuzeo kontrolu.
Više od decenije posle eksperimenta Aurora Generator Test, više od dve decenije posle nezadovoljnog Australijanca, više od tri decenije posle prvih studija američke vlade koje detaljno opisuju ranjivost industrijskih mreža, kompanije koje upravljaju našom kritičnom infrastrukturom – temeljima našeg društvenog i ekonomskog života – još uvek nisu naučile lekcije, nisu uložile neophodne investicije i nisu preduzele očigledne mere predostrožnosti, delom i zbog toga što ih vlada nije primorala da ro urade. To je odavno trebalo da se promeni.