Cyberbezpieczeństwo w hiperusieciowionym świecie

Na zdjęciu widoczny jest klasyczny przełącznik sieciowy (switch). Dla sieciowego przemysłowego systemu sterowania taki switch jest tylko jednym z elementów warstwowej architektury cyberbezpieczeństwa. Źródło: Huffman Engineering, Inc.

Wdrożenie strategii cyberbezpieczeństwa skierowanej przeciw zagrożeniom wewnętrznym i zewnętrznym jest kluczowym działaniem w kierunku zabezpieczenia przemysłowego systemu sterowania (ICS) we współczesnych zakładach przemysłowych.

Firmy mogą osiągnąć niższy poziom zagrożenia cyberbezpieczeństwa dla swoich przemysłowych systemów sterowania (ICS) poprzez zbudowanie planu obrony w głąb infrastruktury sieciowej (defense-in-depth) i postępowanie według podanych w niniejszym artykule ośmiu wskazówek.

W obecnym nowoczesnym świecie inteligentnej produkcji technologie Internetu Rzeczy (IoT) oraz Przemysłu 4.0 przynoszą istotne korzyści firmom przemysłowym walczącym z konkurencją ? a usieciowienie jest drogą do przyszłości. Niektóre z firm są w czołówce, jeśli chodzi o zadbanie o cyberbezpieczeństwo, jednak inne nie traktują tego tematu poważnie aż do chwili, gdy zaistnieje cyberzagrożenie albo nastąpi cyber-atak. Zbudowanie solidnej strategii cyberbezpieczeństwa pomagającej w zapobieganiu cyberatakom wymaga całościowego podejścia i stworzenia wielu warstw zabezpieczeń. Poniżej podano kluczowe wskazówki, których uwzględnienie jest podstawą opracowania solidnego planu cyberbezpieczeństwa systemu ICS.

Plan zapewnienia cyberbezpieczeństwa poprzez obronę w głąb

?Obrona w głąb? jest terminem używanym do opisania strategii planowania mającej na celu warstwowe zabezpieczenie systemu ICS. Odnosi się ona do idealnego stanu posiadania wielu warstw systemów zabezpieczeń i kontroli dostępu. Oczywiście należy rozpocząć działania od zidentyfikowania zagrożeń dla systemu sterowania ? wewnętrznych, zewnętrznych, fizycznych i wirtualnych. Trzeba oszacować znaczenie każdego z tych zagrożeń. Zebrana wiedza będzie pomocna przy najlepszym przydzielaniu budżetu na skuteczny plan cyberbezpieczeństwa.

Należy wykonać kompleksowy plan zmniejszania tych zagrożeń do akceptowalnego poziomu (który będzie różny dla każdej firmy). Następnie opracować procedury przeciwdziałania każdemu z tych zagrożeń czy cyberwłamań w przypadku ich wystąpienia. Zaplanować monitoring systemu sterowania i sygnały alarmowe, które będą ostrzegać użytkowników, że właśnie trwa włamanie lub miało ono miejsce.

1?? Segmentacja

Segmentacja jest strategią obrony w głąb, wykorzystującą zasadę podziału sieci ? wydzielenia warstw w celu ograniczenia wielkości szkód, które mogą powstać na skutek cyberwłamania. W strategii tej wewnątrz większej sieci tworzy się mniejsze, odizolowane, niezależne i samowystarczalne sieci (segmenty), co ma na celu zapobieganie niepożądanemu dostępowi do całej sieci i ograniczeniu podatności całego systemu na cyberwłamania. Segmentacja może być wykonana fizycznie przy wykorzystaniu dodatkowego sprzętu, takiego jak kable i przełączniki (switche), jednak sposób ten jest czasochłonny i droższy od innego ? wirtualnego.

Izolowane sieci są tworzone w granicach większego systemu przez wykorzystanie wirtualnych sieci lokalnych (VLAN). Segmentacja może być bardzo podstawowa, taka jak odseparowanie sieci hali produkcyjnej od sieci biurowej firmy przemysłowej, lub bardziej złożona, polegająca na utworzeniu oddzielnego segmentu dla każdego gniazda produkcyjnego.

Na przykład w przemyśle farmaceutycznym każde gniazdo produkcyjne lub linia pakująca mogą być segmentowane indywidualnie i odseparowane od siebie. Jeśli segmenty sieciowe muszą się komunikować, to dodatkowe zabezpieczenie można uzyskać za pomocą firewalla. Firewall jest zwykle oddzielnym urządzeniem, które decyduje o tym, czy ruch sieciowy jest dozwolony, czy blokowany.

W przypadku fabryk regionalnych posiadanie sieci segmentowej chroni cały system przed potencjalnie katastroficznym uszkodzeniem. Jeśli wymagana jest dalsza separacja, to w każdej fabryce mogą być utworzone segmenty dla takich systemów, jak oprzyrządowania, sterowania i wizualizacji.

2?? Strefa zdemilitaryzowana

Specjalnym przypadkiem segmentacji sieci jest strefa zdemilitaryzowana (demilitarized zone ? DMZ), utworzona pomiędzy systemami przemysłowymi i produkcyjnymi, sieciami biurowymi oraz IT firmy lub Internetem. Chociaż nie jest standardowo wdrażana w systemach ICS, strefa DMZ spełnia ważną rolę w pewnych sytuacjach. Prawidłowo zaprojektowana nie pozwala bowiem na ruch sieciowy bezpośrednio pomiędzy siecią biurową czy Internetem a siecią systemu ICS. Wewnątrz tej strefy serwery lub inne urządzenia działają jako ?pośrednicy? w komunikacji w całej strefie.

3?? Regularne kopie zapasowe i uaktualnienia

Należy zapewnić regularne wykonywanie kopii zapasowych systemów. Tworzyć obrazy dla całych twardych dysków i kopie maszyn wirtualnych oraz przechowywać dane konfiguracyjne i programy na takich nośnikach jak serwery NAS (network attached storage). Kopie zapasowe powinny być duplikowane ? zapisywane także na innym urządzeniu, poza zakładem, w celu uzyskania dodatkowego zabezpieczenia. Nie ma znaczenia, jak bezpieczna jest obrona, trzeba mieć świadomość, że nigdy nie jest pewna w 100%. Kopie zapasowe są kluczem do szybkiego i bezproblemowego odzyskania danych i sprawności systemu.

Należy posiadać aktualne wersje systemów, instalując najnowsze łatki, oraz modernizować wszystkie komputery, które wykorzystują jeszcze nieobsługiwane już systemy operacyjne, takie jak Microsoft Windows XP lub Windows 2000. Na tych przestarzałych platformach słabe punkty mają często charakter publiczny, zaś odpowiednie łatki nie są już dłużej oferowane przez producenta.

Należy uzyskać listę dystrybucyjną e-maili od producentów sprzętu automatyki w celu otrzymywania odpowiednich biuletynów i informacji na temat cyberbezpieczeństwa. Dodatkowo warto śledzić aktualności Krajowego Systemu Cyberbezpieczeństwa (www.gov.pl/web/cyfryzacja/krajowy-system-cyberbezpieczenstwa).

4?? Zabezpieczenia specjalnego przeznaczenia

Kilka firm produkuje cyberzabezpieczenia opracowane specjalnie dla systemów ICS. Są to firewalle sprzętowe i programowe. Narzędzia te umożliwiają definiowanie reguł, zarządzanie zezwoleniami na komunikację urządzeń z systemem oraz określanie, które porty i protokoły urządzenia te mogą wykorzystywać. Firewall blokuje komunikację dla istniejących urządzeń, aby zapewnić prawidłowy przepływ danych w sieci. Ponadto rozpoznaje sytuacje, gdy komunikacja sieciowa nie wygląda tak, jak powinna, i wówczas blokuje ruch sieciowy. Poza blokowaniem ruchu danych w firewallu można ustawić powiadomienia lub alarmy informujące o takich sytuacjach.

5?? Należy opracować silną kulturę bezpieczeństwa

Cyberbezpieczeństwo łączy odpowiedzialność i edukację. Wiele zagrożeń i ataków pochodzi z wewnątrz lub jest przypadkowych, co podkreśla potrzebę zapoznania personelu z tym procesem oraz sprawienia, aby był on czujny. Należy stworzyć ciągły plan edukacji oraz zawrzeć w nim proces szkoleń dla przyszłych pracowników. Szkolić pracowników w zakresie powszechnych taktyk inżynierii społecznej. Inżynieria społeczna (social engineering) jest sztuką manipulowania ludźmi w taki sposób, że ujawniają oni poufne informacje. Są to e-maile typu phishing, które wydają się pochodzić z legalnego źródła, lub telefony od osób próbujących skłonić pracowników do ujawnienia informacji. Należy nauczyć personel, na co muszą zwrócić uwagę, w jakie linki nie klikać i jak unikać innych powszechnych pułapek.

6?? Należy wdrożyć ograniczenia dostępu i unikalne hasła

Należy stosować strategię ?najmniejszych przywilejów?, w której dany pracownik ma dostęp tylko do tego, co mu jest potrzebne do wykonywania swoich zadań, i do niczego więcej. Trzeba przymusić użytkowników do posiadania unikalnych haseł i nigdy nie pozostawić w systemie ustawionego domyślnego hasła. Ponadto użytkownicy nie powinni zapisywać haseł na widoku publicznym, w pobliżu sprzętu lub gdziekolwiek indziej. Tam, gdzie to możliwe, należy zastosować uwierzytelnianie dwupoziomowe (two-factor authentication), wykorzystując takie technologie, jak kod zmienny (rolling code), zabezpieczenia biometryczne itd. Uwierzytelnianie dwupoziomowe powinno być obowiązkowe dla wszystkich urządzeń oferujących zdalny dostęp do systemu wewnętrznego.

7?? Obrona przed dostępem fizycznym

Prawidłowe środki cyberzabezpieczeń fizycznych bywają często przeoczone. Działania w celu realizacji obrony przed dostępem fizycznym należy rozpocząć od zabezpieczenia wejścia do zakładu. Trzeba rozważyć zatrudnienie pracowników ochrony, zastosowanie systemów kontroli dostępu, ogrodzeń i drzwi z zamkami na klucz w celu kontroli dostępu do systemów infrastruktury krytycznej, takich jak serwery i sterownie komputerowe systemów sterowania procesami technologicznymi i produkcji (SCADA). Usunąć z programowanych sterowników logicznych (PLC) klucz umożliwiający zmianę programu, jeśli jest on dostępny. Należy zamykać na klucz szafy sterownicze, aby uniemożliwić dostęp do nich osobom nieupoważnionym. Ponadto wyłączyć lub zablokować porty USB systemu sterowania. Poprzez te porty mogą być wprowadzone wirusy albo kradzione dane, zaś pracownicy mogą przypadkowo wprowadzić zagrożenie dla cyberbezpieczeństwa, ładując przez nie telefony komórkowe.

8?? Należy utrzymywać dobre relacje z integratorem systemów

Posiadanie ?drugiej pary oczu?, która zna od wewnątrz i z zewnątrz systemy automatyki firmy przemysłowej, jest nieocenionym zasobem. Na przykład w 2017 r. na całym świecie dokonano serii ataków na firmy przy użyciu oprogramowania typu ransomware (szyfrującego dane i żądającego okupu za podanie klucza). Zaufany integrator systemów, który posiada gruntowną znajomość aplikacji ICS i procesów swojego klienta oraz staranną dokumentację zainstalowanego u niego oprogramowania, w tym najnowsze kopie zapasowe, może pomóc w przypadku takiego cyberataku lub po jego wystąpieniu oraz w przywróceniu prawidłowego działania systemu.

Wdrożenie strategii obrony w głąb dla zapewnienia cyberbezpieczeństwa nie musi być kosztownym i czasochłonnym przedsięwzięciem. Wdrożenie kilku środków obrony znacznie zwiększy poziom bezpieczeństwa dla systemu ICS. Integratorzy systemów sterowania współpracują bezpośrednio z działem informatycznym firmy klienta przy projektowaniu i instalowaniu pożądanych technologii cyberbezpieczeństwa w zakładzie produkcyjnym oraz przeprowadzają szkolenia pracowników tego zakładu.

Integratorzy systemów pracują razem z klientami lub w razie potrzeby mogą działać jako doradcy.


Keith Mandachit jest dyrektorem ds. technicznych, Sean Creager starszym inżynierem elektrykiem, a Jay Steinman inżynierem mechanikiem w firmie Huffman Engineering Inc.