A közműveket támadhatja meg az a kiberfegyver, melyet az orosz kormánnyal szimpatizáló hekkerek fejleszthettek ki. A kártevőt 2016-ban már sikeresen bevetették az ukrán elektromos hálózat ellen.

Feltehetően az orosz kormánnyal szimpatizáló hekkerek egy csoportja fejleszthette ki az Industroyer (vagy más néven CrashOverride) kártevőt, amelyet kis módosítással a hagyományos közműhálózatok megtámadására lehet felhasználni. Az eszköz egy korábbi változatát már bevetették Ukrajnában, ahol 2016-ban az elektromos hálózat egyötödét zárták le sikeresen rövid időre, az akkori orosz‒ukrán hadioffenzíva részeként.

Átlagosan egy hétre van szükség ahhoz, hogy a nagyközönség is értesüljön az új biztonsági hibákról, a sérülékenységek háromnegyede viszont szinte azonnal felkerül a webes alvilág különböző fórumaira.

Ha egy biztonsági szakértő egy új szoftveres sérülékenységet fedez fel, három lehetősége van. Az első, hogy megtartja magának, és ha például az amerikai Nemzetbiztonsági Hivatal (NSA) alkalmazottja, akkor a saját céljaira használja fel, legyenek ezek a célok törvényesek vagy sem. A második lehetőség, hogy jelzi a gyártónak a hibát. Ha a gyártónak van hibavadász programja, akkor átlagosan 5–10 ezer eurós jutalmat kap ezért, de a kiemelkedő hibák felfedezéséért 30–100 ezer eurót is fizetnek. A céges hibavadász programokról korábban itt írtunk.

Egy adatveszteség után csökken a vállalat részvényének ára – ez nem jelent újdonságot senkinek. Az viszont igen, hogy idővel a vállalat kilábal ebből a helyzetből, hogy milyen gyorsan, az attól függ, hogy mennyire vette komolyan az IT biztonságot. Azért is érdemes vigyázni az adatokra, mert az ügyfelek több mint negyede elhagyja az adatokat rosszul kezelő vállalatot.

A tőzsdei részvények ára átlagosan öt százalékkal csökkent az adatveszteséget elszenvedő vállalatok esetében – derül ki a Centrify biztonsági vállalat kutatásából. A felmérésben olyan tőzsdén jegyzett cégeket vizsgáltak meg (összesen 113-mat), akik több mint 50 ezer adatsort veszítettek el, ezek között jelszavakat, fizetési információkat. A vizsgált vállalatok értesítették a történtekről a hatóságokat, az érintetteket.