W pewnej rafinerii zainstalowano nowoczesny rozproszony system sterowania, który automatyzuje i zarządza wykonywaniem zadań związanych z cyberbezpieczeństwem przemysłowym oraz eliminuje ludzkie błędy i redukuje koszty firmy.
Niedawne incydenty z zagrożeniem cyberbezpieczeństwa, takie jak atak za pomocą oprogramowania typu ransomware na norweskiego producenta aluminium Norsk Hydro, pokazują, że firmy z branży przemysłu procesowego dysponują bardzo ograniczonym marginesem błędu przy utrzymywaniu określonych poziomów obrony powyżej poziomów potencjalnych cyberzagrożeń. Niestety codzienne realia generują wiele przeszkód na drodze do realizacji zadań związanych z cyberbezpieczeństwem. Są to: ograniczona liczba informatyków znających się na cyberbezpieczeństwie oraz różnorodny sprzęt używany w zakładach, w tym przestarzały, wymagający szeregu różnych tzw. łatek bezpieczeństwa. Dobrą wiadomością natomiast jest to, że oprogramowanie do zarządzania ryzykiem może pomóc w automatyzacji monitoringu cyberbezpieczeństwa zarówno wtedy, gdy pozwala na sprawdzenie, czy kopie zapasowe zostały zainstalowane prawidłowo na serwerze, jak i wówczas, gdy raportuje o cyberzagrożeniu.
Wyzwania projektowe
Gdy w pewnej europejskiej rafinerii zmodernizowano rozproszony system sterowania (DCS) – w miejsce starszego, firmowego, zainstalowano nowoczesny, pracujący pod systemem operacyjnym Microsoft Windows – wówczas zorientowano się, że zaistniała okazja do zwiększenia poziomu cyberbezpieczeństwa. Informatycy oraz dyrekcja firmy rozpoznali i zaakceptowali potrzebę intensyfikacji działań w celu znalezienia potencjalnych słabych punktów w cyberzabezpieczeniach i ich wyeliminowania. Każde przejście na nową platformę automatyki i standardów w przemyśle wymaga dokonania oceny ryzyka, tak więc wspomniana firma przeanalizowała poziom cyberbezpieczeństwa w każdej fazie przeprowadzanej migracji systemowej.
Pierwszą główną decyzją było zredukowanie ręcznych przepływów roboczych wszędzie, gdzie to było możliwe. Obejmowało to sprawdzenie wszystkich węzłów końcowych sieci pod kątem potencjalnych słabych punktów w cyberzabezpieczeniach, takich jak przestarzałe łatki oprogramowania czy nieaktualne programy antywirusowe i bazy wirusów. Przydzielenie personelu do realizacji tego czasochłonnego zadania kosztowało firmę setki tysięcy dolarów, jednak w efekcie prowadzi do obniżenia kosztów eksploatacyjnych systemu w przyszłości. Poza obniżeniem kosztów możliwość standaryzacji i automatyzacji sprawdzania węzłów końcowych pomogła także w wyeliminowaniu błędu ludzkiego, zwiększyła częstotliwość kontroli stanu cyberbezpieczeństwa i umożliwiła konsekwentne zbieranie danych niezbędnych w celu wyznaczenia i poprawienia kluczowych wskaźników efektywności przedsiębiorstwa.
Rafineria posiada infrastrukturę krytyczną i wymaga poziomu nienaruszalności bezpieczeństwa SIL3 według normy IEC 62243. Firma musiała wypracować lepszą świadomość sytuacyjną cyberbezpieczeństwa, umożliwić łatwiejsze przesyłanie syslogu (protokołu rejestrowania wiadomości) do systemu klasy SIEM (security information and event management, system dostarczający raportów i generujący ostrzeżenia dotyczące podejrzanego ruchu w sieci) oraz zintegrowanie zarządzania ryzykiem z istniejącym raportem typu dashboard.
Szczegóły dotyczące projektu i zespoły projektowe
Wspomniana firma przy wykonywaniu analizy architektury sieci w celu zrozumienia i oceny potencjalnych luk w zabezpieczeniach oraz wspierania rozbudowy sieci w bezpieczny i zrównoważony sposób, współpracowała z pewnym wiodącym światowym dostawcą rozwiązań cyberbezpieczeństwa dla przemysłu. Planowanie obejmujące okres 5 lat pozwoliło zespołom na przeanalizowanie wpływu nadchodzących zmian, takich jak potrzeba dodania dalszych połączeń bezprzewodowych w sieci czy rozbudowa zakładów, na architekturę sieci. Ponadto, na podstawie wymagań SIEM oraz ze względu na dostęp do dashboardów, architektura mogła być zaplanowana tak, aby spełniała wymagania kompatybilności.
Modernizacja systemu DCS obejmowała ocenę systemu cyberbezpieczeństwa w celu identyfikacji kluczowych wymagań dla bezpiecznej migracji do nowego systemu. Obejmowało to konsultacje z inżynierami z działu operacyjnego oraz ekspertami od cyberbezpieczeństwa w przemyśle. Eksperci wykorzystali praktyczne informacje pochodzące od innych organizacji, które stanowiły zbiór obiektywnych danych, które z kolei pracownicy rafinerii mogli wykorzystać do określenia zakresu, budżetu oraz realizacji prac związanych z redukcją priorytetowego ryzyka.
Aby zwiększyć efektywność monitorowania i ulepszyć zarządzanie ryzykiem dla cyberbezpieczeństwa, rafineria wybrała pewne oprogramowanie do zarządzania ryzykiem. Obejmowało ono zautomatyzowanie ciągłego monitoringu (24/7) kluczowych wskaźników ryzyka w całej sieci, punktach końcowych oraz innych kluczowych czynników.
Zajmujący się automatyką personel rafinerii, rozpoczynając w fazie pilotażowej, zidentyfikował kluczowe słabe punkty w cyberzabezpieczeniach, w tym nieużywane porty, niekonsekwencje w wykonywaniu kopii zapasowych, przestarzałe łatki bezpieczeństwa oraz inne. Oprogramowanie do zarządzania ryzykiem dostarczyło personelowi jednolity i efektywny sposób mierzenia, monitorowania i zarządzania ryzykiem dla cyberbezpieczeństwa w zakładzie, bez konieczności wykonywania pracy ręcznej. Raport typu dashboard generowany przez to oprogramowanie wyświetla i podkreśla możliwe problemy, aby pomóc personelowi w chronieniu kilkuset węzłów końcowych. Ponadto dostarcza informacji na temat aktualizacji łatek, bezpieczeństwa w sieci oraz statusu kopii zapasowych. Pozwala to personelowi szybciej reagować na potencjalne zagrożenia, co prowadzi w efekcie do zwiększenia poziomu bezpieczeństwa w zakładzie.
Poza zyskami w wydajności zakładu wdrożenie wspomnianego oprogramowania przyniosło korzyści zarówno ludziom, jak i procesom. Na przykład organizacja musiała przedyskutować tzw. apetyt na ryzyko (wielkość ryzyka, która może być przez organizację zaakceptowana, biorąc pod uwagę całą jej strukturę), a następnie uzgodnić zdefiniowane progi ryzyka, które miały być ustawione w oprogramowaniu. To uprościło widoczność ogólnej struktury i stanu bezpieczeństwa sprzętu, oprogramowania, sieci, usług i informacji w organizacji, ponieważ omawiane oprogramowanie ukazywało wyniki algorytmiczne, odnoszące się do ryzyka jako części jego możliwości w zakresie monitoringu.
Umiejętności personelu zakładowego wzrosły, ponieważ ludzie zobaczyli, jakie działania mogą podjąć w celu obniżenia ryzyka specyficznego dla priorytetów organizacji oraz poziomów priorytetów monitorowanych zasobów. Nawet personel niezwiązany z bezpieczeństwem miał możliwość postępowania według zaleceń i wpływania na obniżanie ryzyka.
Na poziomie dyrekcji firmy zautomatyzowanie zarządzania ryzykiem daje bardzo przydatną widoczność-monitoring i możliwość egzekwowania procedur zarządzania ryzykiem w sieciach przemysłowych systemów sterowania (ICS). Na poziomie operacyjnym inżynierowie mogą odnajdować i rozwiązywać problemy związane z technologią operacyjną (OT) oraz funkcjonowaniem zakładu, zanim problemy te spowodują poważne konsekwencje. Każda inwestycja w automatyzację, standaryzację i ulepszanie zarządzania ryzykiem, dokonana zanim wpłynie ono rzeczywiście na wyniki firmy, jest jak najbardziej zasadna i korzystna.
Marty Israels jest dyrektorem ds. marketingu globalnego w firmie Honeywell Industrial Security.
