Praktyka „zabezpieczania przez projektowanie” może pomóc firmom w ochronie przed potencjalnymi cyberatakami na produkty Przemysłowego Internetu Rzeczy (IIoT).
Korzyści z technologii Przemysłowego Internetu Rzeczy (IIoT) są niezaprzeczalne. Dodatkowa wartość biznesowa z niej wynikająca jest wydobywana z ogromnej ilości danych z podłączonych do sieci czujników i urządzeń realizujących procesy przemysłowe – przez chmurę obliczeniową, analizę tych danych oraz elementy, narzędzia sztucznej inteligencji (AI). W pogoni za potencjalnymi zyskami z technologii IIoT bardzo istotnego znaczenia nabrały wyzwania związane z cyfryzacją zakładów przemysłowych i firm. Poczynając od niewielkich szkód osobistych wyrządzonych na skutek nielegalnego przechwycenia danych z sieci mediów społecznościowych, aż po znaczące szkody na dużą skalę, będące skutkami cyberataków realizowanych za pomocą oprogramowania typu ransomware (szyfrującego dane i żądającego okupu za ujawnienie klucza do odszyfrowania) w przemyśle i instytucjach rządowych, staje się jasne, że korzyści z czwartej rewolucji przemysłowej nie mogą być osiągnięte bez zaakceptowania różnych rodzajów i poziomów cyberryzyka. Dlatego też firmy muszą się chronić przed cyberzagrożeniami między innymi za pomocą „zabezpieczania przez projektowanie” (securing by design).
Zagrożenia dla urządzeń IIoT
Wiele urządzeń IIoT wykorzystywanych w przemyśle np. wodno-ściekowym, ropy i gazu, chemicznym oraz produkcyjnym, zostało już zainstalowanych w swoich aplikacjach, mimo posiadania wielu słabych punktów i miejsc wrażliwych na cyberataki.
Poważniejszą niż kiedykolwiek przedtem konsekwencją zwiększonej liczby wdrożeń technologii IIoT jest zacieranie się granic między technologią operacyjną (OT), która steruje fizycznym sprzętem przedsiębiorstwa przemysłowego, a technologią informatyczną (IT).
Wynika to z dążenia do ulepszania i ułatwienia zdalnego monitoringu oraz zbierania danych z przemysłowych systemów sterowania (ICS – industrial control systems) czy urządzeń OT. Umożliwienie dostępu poprzez sieci informatyczne do tych systemów doprowadziło w konsekwencji do zwiększonej liczby przypadków, w których systemy zaprojektowane do monitoringu, sterowania i zabezpieczania infrastruktury przemysłowej stały się bezpośrednio narażone na cyberataki przez Internet, których celem jest zakłócenie działania kluczowej infrastruktury realizującej procesy przemysłowe dla osiągnięcia zysków finansowych lub politycznych.
Zabezpieczanie urządzeń IIoT
Połączenie się technologii OT z technologią IT jest nieuniknione i zakłady przemysłowe powinny podjąć działania w celu zmniejszania zagrożeń przy wykorzystywaniu produktów IIoT. Zaadaptowanie najlepszych praktyk z dotychczasowych doświadczeń w aplikacjach przemysłowych zmniejszy ryzyko. Przy wdrażaniu produktów IIoT należy postępować według podanych w tym artykule sześciu zaleceń dotyczących zapewnienia podstawowego poziomu cyberbezpieczeństwa. Należy przeanalizować te zalecenia na początku procesu planowania wdrożenia lub modyfikacji sieciowych systemów sterowania tak, aby pomóc sobie w identyfikacji i skutecznym przeciwdziałaniu potencjalnym zagrożeniom wynikającym z wdrażania technologii IIoT.
1. Wykorzystywanie cyberbezpiecznych interfejsów operatorskich
Niezabezpieczone interfejsy operatorskie mogą sprzyjać manipulowaniu danymi i spowodować utratę lub uszkodzenie danych, generują potencjalny brak odpowiedzialności osób, możliwość odmowy dostępu lub przejęcia kontroli nad urządzeniami.
2. Regularne aktualizowanie oprogramowania sterującego i układowego
Sprawą zasadniczą jest, aby urządzenia IIoT dokonywały regularnego aktualizowania swojego oprogramowania sterującego i układowego w celu uzyskania ochrony przed najnowszymi zagrożeniami. Jeżeli chodzi o kwestię pewności, że aktualizacje te pochodzą z zaufanego źródła, urządzenia powinny wykorzystywać kryptograficzne wartości/słowa kontrolne.
3. Kontrola dostępu
Musi być zapewnione: stosowanie silnych haseł, ochrona danych dostępowych oraz podział i oddzielność ról przypisywanych pracownikom. Ma to na celu zapobieganie powstawaniu cyberzagrożeń dla poszczególnych urządzeń w przedsiębiorstwie lub kont użytkowników.
4. Zabezpieczanie sieci
Powinny być dostępne i widoczne tylko niezbędne porty sieciowe. Niezabezpieczone usługi sieciowe mogą być podatne na różne rodzaje cyberataków, w tym typu DoS (denial of service, odmowa dostępu), na skutek którego dostęp do danego urządzenia staje się niemożliwy.
5. Eliminacja luk w zabezpieczeniach typu backdoor („tylne drzwi”)
Żadne urządzenie nie może mieć nieudokumentowanych luk typu backdoor lub ukrytych funkcji, które może wykorzystać haker.
6. Konfiguracja pod względem cyberbezpieczeństwa
Hakerzy często wykorzystują brak stosowania w firmach zasady najmniejszych przywilejów (granular permissions) – ograniczania przywilejów, dostępu użytkowników i uzyskują w ten sposób dostęp do danych lub systemów sterowania. Zaostrzanie środków cyberbezpieczeństwa, szyfrowanie przesyłanych danych oraz rejestrowanie zdarzeń związanych z cyberbezpieczeństwem może przeciwdziałać temu ryzyku.
Przedstawione tu sześć zaleceń, w połączeniu ze ścisłymi reżimami zarządzania cyklem życia produktów oraz regularnym, stałym testowaniem produktów, może dać firmom przemysłowym odpowiednią ochronę, zapewnić właściwy poziom cyberbezpieczeństwa, niezawodność urządzeń i procesów, swobodę w działaniu i kontrolę prywatności, wymagane dla efektywnego wdrożenia rozwiązań IIoT. Dlatego też producenci, użytkownicy końcowi oraz integratorzy systemów muszą zaadaptować podejście „zabezpieczania przez projektowanie”, które przewiduje i zmniejsza potencjalne cyberzagrożenia na każdym etapie cyklu życia produktu IIoT.
Przeoczenie któregokolwiek punktu z przedstawionego w artykule zestawienia może zarówno narazić rozwiązanie IIoT na ryzyko wykorzystania przez hakerów, jak i zagrozić innym systemom.
Jalal Bouhdada jest założycielem Applied Risk i głównym konsultantem ds. cyberzabezpieczeń systemów ICS w tejże firmie.
