Firmy wdrażające program cyberbezpieczeństwa muszą mieć jasny plan działania i znać odpowiednie narzędzia. W artykule opisujemy cztery podejścia do cyberbezpieczeństwa w przemyśle oraz dostępne na rynku produkty.
Osoby odpowiedzialne za cyberbezpieczeństwo sieci przemysłowych są w trudnej sytuacji. Każdego miesiąca wiele luk w cyberzabezpieczeniach związanych z technologią operacyjną (OT) jest zgłaszanych do takich instytucji jak amerykańska Agencja Cyberbezpieczeństwa oraz Bezpieczeństwa Infrastruktury, która zatrudnia profesjonalistów do zabezpieczania swoich sieci przed zagrożeniami.
Co miesiąc pojawiają się nowe żądania lub inicjatywy ze strony kierownictwa firm, aby przystosować sieci do Przemysłu 4.0, inteligentnej produkcji lub rozwiązań Przemysłowego Internetu Rzeczy (IIoT). W jaki sposób osoby odpowiedzialne za cyberbezpieczeństwo mogą zaspokoić te potrzeby przedsiębiorstw, jednocześnie pracując nad zmniejszaniem istniejących oraz nowych zagrożeń w ich środowiskach? Poniżej przedstawiamy kilka podejść i rozważań dotyczących cyberbezpieczeństwa, które powinny wdrożyć firmy przemysłowe.
Spostrzeżenia dotyczące cyberbezpieczeństwa
▪️ Cyberbezpieczeństwo w firmie to coś więcej niż tylko stworzenie jakiegoś programu w pośpiechu i niedbale oraz zatrzymanie się na tym etapie. W przypadku producentów oraz innych przedsiębiorstw przemysłowych sukces wdrożenia programu cyberbezpieczeństwa wymaga opracowania kompleksowego planu i zrozumienia go w całej firmie.
▪️ Takie działania jak segmentacja sieci, zainstalowanie zapór ogniowych oraz systemów wykrywania włamań (IDS), mogą pomóc w poprawieniu pozycji firmy w zakresie cyberbezpieczeństwa i dać jej wgląd w jej silne i słabe punkty, jeśli chodzi o odporność na cyberataki.
▪️W ostatecznym rozrachunku program bezpieczeństwa cybernetycznego jest silny tylko tak jak stojący za nim ludzie, którzy go wdrażają.
1. Zrozumienie lub stworzenie zasad cyberbezpieczeństwa
Ważne jest, aby zrozumieć, kto ponosi odpowiedzialność (zarówno pracownicy, jak i personel kierowniczy) za sieć przemysłową w przedsiębiorstwie. Czy jest to korporacyjny dział informatyczny (IT), inżynierowie i technicy zakładowi, czy też wyznaczony personel działu produkcji (OT)? W jaki sposób ta struktura raportowania wiąże się z większym zbiorem korporacyjnych ryzyk cyberbezpieczeństwa, których właścicielem jest dyrektor ds. informatyki lub szef bezpieczeństwa informacji? Kim są inne osoby zainteresowane funkcjonalną i sprawną siecią w zakładzie oraz w jaki sposób wnoszą one swój wkład lub są informowani o zmianach? Jakie standardy lub wymagania musi spełniać sieć przemysłowa?
W miarę jak sieci przemysłowe stają się czymś więcej niż tylko środkiem komunikacji pomiędzy urządzeniami w celu sterowania procesami, zwiększa się liczba grup, z których każda ma swoje własne priorytety i potrzeby. Wszystkie one muszą być wzięte pod uwagę podczas opracowywania strategii cyberbezpieczeństwa ze względu na potencjalne skutki, jakie niosą ze sobą zmiany. Jeśli na te pytania nie ma natychmiastowych i udokumentowanych odpowiedzi, to ważne jest, aby przedsiębiorstwo poświęciło czas na ich rozwiązanie, zanim posunie się do przodu z programem cyberbezpieczeństwa.
2. Ocena obecnego stanu cyberbezpieczeństwa w firmie
Wiele rozwiązań z zakresu cyberbezpieczeństwa, takich jak system wykrywania włamań (IDS), wymaga, aby infrastruktura sieciowa miała możliwości lub funkcjonalność obecną tylko w przełącznikach sieciowych (switchach), które można skonfigurować lub którymi można zarządzać. Inicjatywy związane z izolacją lub segmentacją sieci również wymagają przełączników sprzętowych, które potrafią trochę więcej niż tylko umożliwić urządzeniu A komunikację z urządzeniem B. Przed rozpoczęciem jakiegokolwiek projektu mającego na celu wprowadzenie nowych rozwiązań z zakresu cyberbezpieczeństwa lub zmianę architektury sieci powinniśmy dokonać przeglądu przełączników i zapór sieciowych zainstalowanych w sieciach przemysłowych. Nie zapomnijmy przyjrzeć się sieciom łączącym moduły lub maszyny przemysłowe, ponieważ mogą one być celem przyszłych projektów związanych z Przemysłem 4.0 lub Przemysłowym Internetem Rzeczy.
Podczas dokonywania oceny weźmy pod uwagę, ile fizycznych portów jest dostępnych w danym urządzeniu, czy podlega ono jeszcze gwarancji lub umowie wsparcia, jakie ma możliwości i jak jest obecnie zarządzane lub administrowane. Jeśli podczas przeglądu znajdziemy przełącznik, który jest całkowicie zapełniony i nie obsługuje funkcji takich jak zdalne zarządzanie lub wirtualna sieć lokalna (VLAN), znajomość nadchodzących projektów, zarówno ze strony inżynierów, jak i specjalistów z zespołu ds. cyberbezpieczeństwa, może zadecydować o typie przełącznika, który będzie musiał zostać zainstalowany jako zamiennik istniejącego. Bez wiedzy o tym, co jest obecne i co będzie potrzebne w przyszłości w naszym zakładzie, możemy zmarnować wiele czasu i kapitału na niewłaściwe modernizacje lub wymiany sprzętu.
3. Spojrzenie w przyszłość na infrastrukturę sieciową
Wdrażanie rozwiązań z zakresu cyberbezpieczeństwa w obecnym środowisku nie jest najlepszym podejściem. Przedsiębiorstwa muszą poświęcić czas na spojrzenie w przyszłość i zrozumienie, jak nowe technologie i rozwiązania dodawane do systemów sterowania w ciągu najbliższego roku lub trzech albo pięciu lat wpłyną na sieci oraz infrastrukturę wymaganą do ich obsługi. Sieci przemysłowe to także coś więcej niż Ethernet i sieć bezprzewodowa wg standardu IEEE 802.11. Bardzo ważne jest, aby wszystkie sieci zaangażowane w operacje realizowane w zakładzie, w tym komórkowe, LoRaWAN, BLE (Bluetooth low energy) i wszelkie protokoły specyficzne dla producenta zostały uwzględnione w planach i rozważaniach dotyczących cyberbezpieczeństwa.
Liczba połączeń przychodzących i wychodzących będzie rosła ze względu na wykorzystanie usług opartych na chmurze, pakietów do analityki danych działających w sieciach IT oraz usług firm zewnętrznych, które wykorzystują bezpośrednie połączenia zakładu przemysłowego z systemami lub platformami tych firm. Projektowanie strategii cyberbezpieczeństwa bez uwzględnienia interakcji z usługami internetowymi z pewnością przyniesie kłopoty w przyszłości. Dlatego też niezbędne jest zidentyfikowanie i zaangażowanie wszystkich osób wykorzystujących sieć przemysłową.
4. Analiza możliwości w zakresie cyberbezpieczeństwa
Nawet najbardziej zaawansowane i mające największe możliwości rozwiązania w zakresie cyberbezpieczeństwa są bezwartościowe bez odpowiedniego wdrożenia, wsparcia i utrzymania (konserwacji).
W ramach procesu oceny każdego ewentualnego rozwiązania cyberbezpieczeństwa przedsiębiorstwo musi rozważyć, kto i jak będzie je obsługiwał. Czy przedsiębiorstwo jest gotowe wysłać swoich pracowników na szkolenie lub zatrudnić nowych z doświadczeniem oraz umiejętnością zarządzania i nowo wdrożonymi narzędziami cyberbezpieczeństwa i ich utrzymania? Czy przewidziało budżet na umowy dotyczące bieżącego wsparcia? Jakie są oczekiwania dotyczące reakcji na przykład o godzinie 2.00 w nocy, gdy rozwiązanie cyberbezpieczeństwa wykryje jakieś krytyczne zdarzenie? Jakie nowe obowiązki i oczekiwania zostaną nałożone na personel obsługujący automatykę sterującą po wdrożeniu rozwiązania z zakresu cyberbezpieczeństwa?
Ustalenie tych punktów przed rozpoczęciem oceny produktów lub rozwiązań z zakresu cyberbezpieczeństwa może pomóc przedsiębiorstwu w szybkim odfiltrowaniu tych, które nie są zgodne z jego planem organizacyjnym.
Cztery możliwe działania na rzecz poprawy bezpieczeństwa sieci
Poza podstawowymi strategiami pewne konkretne działania mogą pomóc firmom poprawić ich sytuację w zakresie cyberbezpieczeństwa w perspektywie krótko- i długoterminowej. Poniżej opisujemy cztery z takich działań, które powinny znaleźć się na szczycie listy.
1. Segmentacja urządzeń w sieci. Jeśli działająca dziś sieć przemysłowa ma ograniczoną separację pomiędzy maszynami, obszarami lub funkcjami, dobrym początkiem zwiększania poziomu cyberbezpieczeństwa może być dokonanie większej segmentacji tej sieci w celu ograniczenia niepożądanej komunikacji. Oprócz zmniejszenia ilości masowych komunikatów wysyłanych do wszystkich urządzeń segmentacja sieci może być warunkiem wstępnym dla wdrożenia rozwiązania typu firewall. Jest ona również brana pod uwagę w podejściach do bezpieczeństwa, takich jak opisane w serii standardów ISA/IEC 62443. Jeśli używane są przełączniki sieciowe, które nie obsługują takich funkcji jak VLAN, to może być wymagana tego sprzętu na nowy.
2. Zainstalowanie zapór ogniowych. Zainstalowanie zapory ogniowej pomiędzy siecią przemysłową a biurową w przedsiębiorstwie jest dobrym pierwszym krokiem do ograniczenia ścieżek komunikacyjnych do urządzeń i sprzętu. Przy rozważaniu firewalli szukajmy takich, które mają wbudowane protokoły przemysłowe. Zapory dobieramy do przepustowości sieci oraz liczby połączeń potrzebnych w przyszłości. Umieszczenie firewalla w linii pomiędzy połączeniem (połączeniami) sieci przemysłowych i biurowych powinno być zaplanowane tak, aby zminimalizować zakłócenia. Zachowajmy także ostrożność przy wdrażaniu reguł dostępu oraz blokowania niezdefiniowanej komunikacji sieciowej. Zapory ogniowe mogą również służyć jako środek zapewniający bezpieczny dostęp do sieci przemysłowych z zewnątrz poprzez wykorzystanie funkcji wirtualnej sieci prywatnej (VPN). Może to pozwolić na usunięcie istniejących technologii zdalnego dostępu oraz skonsolidowanie ich w jedno centralne i łatwe do zarządzania podejście.
3. Zainstalowanie systemów wykrywania/zapobiegania włamaniom. Istnieje wiele różnych podejść do wdrażania systemu wykrywania lub zapobiegania włamaniom (IDS/IPS). Ogólnie rzecz biorąc, rozwiązania te analizują komunikację sieciową i alarmują o aktywnościach, które są nieznane, nieoczekiwane lub zostały wcześniej zdefiniowane jako podlegające powiadamianiu o nich. W przypadku interfejsów operatorskich (HMI) oraz komputerowych systemów sterowania procesami (SCADA) do rozwiązania cyberbezpieczeństwa można dołączyć podejście oparte na hoście pod warunkiem, że oprogramowanie to nie koliduje ze zdolnością systemu do działania. Niektóre nowe produkty mają bardziej zaawansowane funkcje uczenia się, które pozwalają im na zrozumienie normalnej komunikacji w środowisku, co skutkuje większym prawdopodobieństwem generowania tylko właściwych alarmów – sygnalizujących podejrzane zachowania w sieci. W zależności od sposobu dostarczenia systemu IDS/IPS mogą być wymagane dane dotyczące komunikacji sieciowej, zmiany przełączników sieciowych lub dodania odgałęzień sieciowych. Kwestie te powinniśmy omówić z dostawcą danego rozwiązania.
4. Wdrożenie sieci definiowanych programowo (SDN). Dla przedsiębiorstw chcących wdrożyć znacznie dokładniejszy poziom kontroli nad komunikacją pomiędzy urządzeniami odpowiedzią mogą być sieci definiowane programowo. Każde urządzenie lub grupa urządzeń w zakładzie będzie mogła komunikować się tylko za pośrednictwem określonych portów albo protokołów zdefiniowanych w konfiguracji tych sieci. Wdrożenie takiego rozwiązania może wymagać wymiany wszystkich przełączników na nowe oraz zainstalowania kontrolera przełączników, ale z perspektywy bezpieczeństwa korzyści mogą przeważyć nad problemami związanymi ze wdrożeniem i konfiguracją.
Znalezienie właściwej równowagi między bezpieczeństwem a niezbędnym i akceptowalnym ryzykiem jest inne dla każdej firmy. Poruszanie się po tej cienkiej linii nigdy nie było bardziej kluczowe i wymagające, ponieważ ataki na sieci przemysłowe stają się coraz liczniejsze i bardziej wyrafinowane. Podejścia i rozważania opisane w tym artykule mogą być przewodnikiem, sposobem na znalezienie luk, początkiem rozmowy i nie tylko. Zawsze będzie istniał konflikt pomiędzy tymi dwoma priorytetami, a przedsiębiorstwa, które dobrze sobie z tym radzą, nigdy nie przestaną oceniać i wprowadzać innowacji do swoich rozwiązań w zakresie cyberbezpieczeństwa.
[1] Cybersecurity and Infrastructure Security Agency, CISA
[2] chief information officer; CIO
[3] chief information security officer; CISO
Alan Raveling jest architektem OT w firmie Interstates
