Strategie technologii informatycznej mogą pomóc w zwalczaniu luk w zabezpieczeniach i zagrożeń dla cyberbezpieczeństwa oraz we wdrożeniu solidnego programu cyberbezpieczeństwa dla zastosowań technologii operacyjnej w przemysłowych systemach sterowania, jednostkach RTU oraz systemach SCADA. Ma to duże znaczenie w obecnej sytuacji, gdy wdrożenia technologii Przemysłowego Internetu Rzeczy są coraz powszechniejsze.
Wykorzystywanie cudzych zasobów było i jest problemem od początku ery przemysłowej. Jednak w naszych czasach pojawił się także problem cyberbezpieczeństwa, dla którego zagrożenia ciągle wzrastają. Wraz z postępami w dziedzinie technologii informatycznej (IT) wzrosły też, i to w tempie wykładniczym, możliwości dokonywania włamań i zakłócania pracy systemów oraz sieci przemysłowych. Powstało nowe środowisko opracowywania złośliwych mechanizmów.
Chociaż pierwszy patent dotyczący cyberbezpieczeństwa został zarejestrowany na początku lat 80. XX wieku, to dopiero obecne, coraz większe uzależnienie firm przemysłowych oraz infrastruktury krytycznej państw od informatyki tworzy potrzebę powstawania państwowych agencji bezpieczeństwa i wywiadowczych w tej dziedzinie. Cyberbezpieczeństwo w technologii informatycznej doświadczyło wykładniczego wzrostu znaczenia w ciągu ostatnich 30 lat, jednak bezpieczeństwo tradycyjnie autonomicznych, nieusieciowionych systemów sterowania w technologii operacyjnej (OT) nadal pozostaje w tyle z powodu niezależnej natury swojej funkcjonalności. Systemy OT obejmują przemysłowe systemy sterowania (ICS), takie jak komputerowe systemy sterowania procesami technologicznymi i produkcji (SCADA), jednostki monitorujące odległe urządzenia obiektowe (RTU) oraz programowalne sterowniki logiczne (PLC). Wraz z początkiem zastosowania technologii Przemysłowego Internetu Rzeczy (IIoT) w systemach OT, coraz więcej uwagi zaczęto zwracać na kwestię cyberbezpieczeństwa.
W ciągu ostatniej dekady nastąpiło znaczne zwiększenie popytu na usieciowione systemy OT, w których wdraża się wiele zaawansowanych technologii, wymagających połączeń sieciowych. Technologie te są wykorzystywane do sterowania sprzętem oraz utrzymania ruchu w zakładach. To wykorzystywanie umożliwionych przez technologię IT systemów oraz komponentów technologii OT doprowadziło do większej liczby miejsc i możliwości cyberataków na zakłady, w których dokonano konwergencji tych dwóch technologii (konwergencji OT/IT).
Zalecenia na temat cyberbezpieczeństwa
W lipcu 2020 roku amerykańska Agencja ds. Bezpieczeństwa Państwowego1 oraz Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury2, należąca do Departamentu Bezpieczeństwa Krajowego3 wydały oświadczenie, stanowiące alarm dla amerykańskich korporacji. W oświadczeniu tym stwierdzono, że korporacje powinny podjąć natychmiastowe działania w celu zmniejszenia liczby luk w zabezpieczeniach swoich wszystkich systemów technologii operacyjnej i przemysłowych systemów sterowania oraz zmniejszenia możliwości cyberataków na te systemy.
Wydane zalecenie ?Agencje NSA oraz CISA zalecają podjęcie natychmiastowych działań we wszystkich zasobach technologii operacyjnych i systemach sterowania w celu zmniejszenia ich narażenia na cyberataki?4 mówiło, że ?W ciągu ostatnich miesięcy aktorzy zagrożenia (ang. cyber actors, threat actors) zademonstrowali ich ciągłą chęć do przeprowadzania złośliwych cyberataków na Infrastrukturę Krytyczną (Critical Infrastructure ? CI), wykorzystując do tego celu dostępne przez Internet zasoby technologii operacyjnej. Z powodu coraz większej aktywności i zwiększonych możliwości cyberprzestępców obiekty infrastruktury cywilnej stają się atrakcyjnymi celami ataków dla obcych mocarstw, usiłujących zaszkodzić interesom USA lub brać odwet za działania USA, postrzegane jako agresja.?
To ostrzeżenie o kluczowym znaczeniu stanowi wezwanie do działania dla firm z USA dostarczających media (zakłady energetyczne, wodociągowe, gazownie), które nie stosują się do podawanych przez organy federalne wytycznych dotyczących bezpieczeństwa, narażając infrastrukturę krytyczną na potencjalne zagrożenia. Wdrożenie podejść cyberbezpieczeństwa oraz zapobieganie możliwości eksploracji luk w zabezpieczeniach jest jednym z największych problemów dla większości producentów z branży infrastruktury krytycznej, twórców procedur i polityk bezpieczeństwa oraz organów federalnych.
Usieciowienie systemów infrastruktury krytycznej a ryzyko dla cyberbezpieczeństwa
Wyobraźmy sobie producenta z branży infrastruktury krytycznej albo dostawcę mediów, który nie potrafi dokładnie zrozumieć skutków cyberataku na dostawę podstawowych mediów, takich jak energia i woda i/lub żywność. Wyobraźmy sobie niezamierzone lub zamierzone rozprzestrzenianie się wirusa w złożonym i wielkim systemie informatycznym, który obsługuje w USA infrastruktury transportu, komunikacji i/lub służb ratunkowych. Wyobraźmy sobie wreszcie brak wiedzy lub niezrozumienie wielu istniejących luk w zabezpieczeniach sieci, które mogą być wykorzystane przez sprytnych hakerów w amerykańskiej sieci operacyjnej, poprzez amerykańską bazę przemysłową sektora obronnego (defense industrial base ? DIB).
Dlatego też wykorzystanie dojrzałości i automatyki cyberbezpieczeństwa dla celów infrastruktury krytycznej może pozwolić na kompleksową identyfikację i ocenę luk w zabezpieczeniach, jednocześnie wprowadzając kulturę bezpieczeństwa i ryzyka wśród osób decyzyjnych na szczeblu federalnym, stanowym i lokalnym. Obejmuje to ochronę przed dostępem osób nieupoważnionych do systemów infrastruktury krytycznej oraz zmniejszenie ilości ujawnianych danych oraz zagrożenia dla danych i/lub ich utraty, co jest realizowane poprzez optymalizację tych oszacowań za pomocą automatyzacji.
Trzy obszary infrastruktury według DHS
Departament Bezpieczeństwa Krajowego USA dzieli infrastrukturę na trzy obszary. Są to:
- Infrastruktura fizyczna: światłowody, tamy/zbiorniki wodne/oczyszczalnie ścieków, instytucje korporacyjne, miejsca dostaw, farmy/zakłady przetwórstwa żywności, obiekty rządowe, szpitale, elektrownie nuklearne, elektrownie tradycyjne/miejsca produkcji, linie kolejowe/autostrady, mosty/rurociągi/porty.
- Infrastruktura krytyczna/kluczowe zasoby: rolnictwo i przemysł spożywczy, banki/instytucje finansowe, zakłady chemiczne, obiekty handlowe, komunikacja, zapory, obronna baza przemysłowa, służby ratunkowe, energia, rząd, technologia informatyczna, pomniki/zabytki, paliwo jądrowe, poczta i firmy spedycyjne, publiczna służba zdrowia, transport, woda.
- Cyberinfrastruktura: systemy sterowania, sprzęt komputerowy, usługi informatyczne, oprogramowanie.
Zintegrowane ryzyka dla cyberbezpieczeństwa a korzyści dla firm z konwergencji IT/OT
Ponieważ obecnie wszystko jest połączone w sieci, niezałatane luki w zabezpieczeniach, nieprawidłowa konfiguracja lub słabości aplikacji mogą osłabić usieciowione systemy i narazić wszystko na ryzyko.
Połączenia pomiędzy systemami IT a OT rozszerzają się z dnia na dzień, w miarę jak wprowadzane są nowe technologie, organizacje rozbudowują swoje bazy klientów, zaś infrastruktura krytyczna się rozrasta. Sektor wytwarzania energii znajduje się pomiędzy wieloma obszarami infrastruktury krytycznej, doświadczając tej ?mieszanki? technologii oraz kombinacji sprzętu i oprogramowania w połączonych wzajemnie obszarach IT oraz OT. Celem połączenia IT/OT oraz wprowadzania nowych technologii, sprzętu i oprogramowania jest przynoszenie korzyści dla organizacji, firm, agencji oraz korporacji, które wykorzystują te połączone w sieci komponenty i systemy.
Zbieżne wymagania dotyczące bezpieczeństwa fizycznego, cyberbezpieczeństwa oraz zależności pokazują ogromną potrzebę całościowego podejścia do infrastruktury krytycznej oraz różnych systemów sterowania w obszarach tej infrastruktury w celu zrozumienia ryzyka. To wieloaspektowe spojrzenie jest wymagane we wszystkich sektorach infrastruktury krytycznej. Ponieważ technologia informatyczna jest obecnie wykorzystywana do obsługi operacji wykonywanych w obszarze technologii operacyjnej, połączenie ze sobą tych dwóch technologii powoduje pojawienie się nowych czynników ryzyka dla operacji i utrzymania ruchu w każdym obszarze.
Obecnie w przemyśle informatycy muszą zajmować się komunikacją sieciową na poziomie maszyn oraz połączeniami do przesyłu danych technologii operacyjnej. Jednak komponenty informatyczne zabezpieczeń tych sieci nie były zaprojektowane dla celów wykrywania i monitorowania. Wykorzystują one protokoły sieciowe nieznane dla działań związanych z monitorowaniem w sytuacji, gdy codziennie są wysyłane i odbierane dane będące bezpośrednio narażone na ryzyko. To może doprowadzić (i często doprowadza) do powstania niezidentyfikowanych luk w zabezpieczeniach urządzeń i aplikacji IT, czego wynikiem są włamania do sieci, awarie sprzętu oraz nieoczekiwane negatywne zdarzenia.
Wpływ struktury danych technologii informatycznej na technologię operacyjną
Obecnie systemy OT są instalowane, wdrażane i obsługiwane za pomocą połączeń i monitoringu ze strony IT. Jednak wejścia IT do systemów OT nie są projektowane lub skonfigurowane do obsługi tych nowych oraz różnych typów i struktur danych. Różnice pomiędzy technologiami IT oraz OT powodują, że sprzęt technologii operacyjnej reaguje w nieznany i nieoczekiwany sposób, co powoduje, że działa na poziomie niższym od optymalnego. To może wywierać zasadniczy wpływ na usługi mające duże znaczenie dla naszego życia codziennego, np. dostawy energii elektrycznej czy wody.
Aby stworzyć i wspierać system technologii operacyjnej, połączony z technologią informatyczną, musimy zrozumieć zagrożenia dla pracy tych systemów i im przeciwdziałać. Istnieją ryzyka dla naszych operacji, produktów, usług i działalności. Ryzyko powstaje, gdy jakieś zagrożenie wykorzystujące lukę lub rozbieżność w systemie wywiera niekorzystny wpływ na system, działanie czy proces w organizacji. Problemy te mogą spowodować zmniejszenie zysków firm, utratę danych (wynikiem czego będzie utrata zysków z powodu konieczności zapłacenia kar za złamanie przepisów), utratę klientów, utratę reputacji, a nawet być może utratę udziałów w rynku. Wszystko to dotyka organizację jako całość, a nie ?tylko? pracowników działu IT czy cyberbezpieczeństwa.
Zastosowanie zarządzania ryzykiem w technologii operacyjnej oraz infrastrukturze krytycznej
Aby wyjść naprzeciw zagrożeniom dla cyberbezpieczeństwa w obszarach technologii operacyjnej oraz infrastruktury krytycznej, należy znaleźć odpowiedzi na następujące pytania:
- Jakie są zagrożone komponenty w obszarach technologii operacyjnej oraz infrastruktury krytycznej?
- Jak są one połączone w sieci?
- Jakie dane są przechowywane i/lub przesyłane pomiędzy każdym komponentem oraz dowolnym podmiotem zewnętrznym?
- Jakie są ryzyka, zagrożenia oraz luki w zabezpieczeniach systemu?
- Jak poszukujemy tych ryzyk, zagrożeń i luk?
- Jak są one odkrywane?
Analiza systemu rozpoczyna proces ?modelowania ryzyka?. Na rys.1 pokazano zarys standardowego podejścia do modelowania ryzyka w obszarze OT według amerykańskiego Narodowego Instytutu Standardów i Technologii (NIST). Definiuje on ryzyko następująco: ?Ryzyko jest funkcją prawdopodobieństwa wystąpienia zdarzenia zagrażającego oraz potencjalnego negatywnego wpływu wystąpienia tego zdarzenia?.
Unikalne dla cyberbezpieczeństwa w obszarze technologii operacyjnej jest to, że istnieje wiele podejść pomagających ekspertom od cyberbezpieczeństwa w analizie ryzyka w celu kompleksowego opracowania odpowiedniej (odpowiednich) reakcji. Podejścia te to:
- Wykonanie modelowania ryzyka.
- Odizolowanie i konteneryzacja komponentów.
- Zdefiniowanie wzorców ataków na urządzenia i systemy OT.
- Ustanowienie i wdrożenie bezpiecznego łańcucha dostaw.
Techniki te pomagają organizacji w wyznaczeniu obszarów wysokiego ryzyka oraz tego, co musi być chronione i monitorowane w celu priorytetyzacji prac nad bezpieczeństwem dla rozważanego obszaru OT. Na rys. 2 przedstawiono ?lupę naukowca?5. Obraz ten pokazuje, że należy przeanalizować wszystkie ryzyka, w szczególności ryzyka dla cyberbezpieczeństwa.
Proces ten polega na wykonaniu ilościowych kalkulacji ryzyka dla każdego obszaru, co pozwala organizacji na wydzielenie obszarów priorytetowego ryzyka w celu jego obniżenia oraz podejmowanie właściwych decyzji.
Zarządzanie ryzykiem w obszarze technologii operacyjnej ? modelowanie i automatyzacja
To narzędzie może wykorzystać inżynierię systemów opartą na modelach (model-based systems engineering ? MBSE). Rozszerza ono możliwości analityczne oceny stanu cyberzabezpieczeń (ang. cybersecurity posture) na podstawie analizy komponentów, elementów, wymiany informacji oraz przepływów danych. Opracowano zautomatyzowane akceleratory ryzyka, oparte na zunifikowanej platformie architektury (unified architecture Framework ? UAF), których celem jest zwiększenie obszaru i głębi analizy, aby dokonać oceny ryzyka i cyberbezpieczeństwa na podstawie dowodów. Tego typu narzędzie jest kompleksowym przewodnikiem dla oceny ryzyka i cyberbezpieczeństwa zgodnie z normami organizacji międzynarodowych i krajowych, takich jak NIST. Na rys. 3 pokazano cechy i niuanse wykorzystywania takiego narzędzia do automatyzacji oceny cyberbezpieczeństwa i cyberryzyka. Drugie z podejść, odizolowanie i konteneryzacja komponentów, polega na odizolowaniu komponentów technologii OT, co blokuje ich narażenie na ryzyka pochodzące z zewnątrz, obecne w środowisku operacyjnym OT.
W przypadku trzeciego z podejść narzędzie do zautomatyzowanego modelowania ryzyka wyświetla graficznie schemat blokowy wzorców/ścieżek ataków, które są oceniane przez to narzędzie. W czwartym podejściu bezpieczny łańcuch dostaw tworzy aktywność operacyjną, która jest bezpieczna w środowisku, co dostarcza obszar zmniejszonego ryzyka dla pracy połączonych systemów OT oraz IT. Umożliwia to organizacji redukowanie ryzyk i zarządzanie nimi, dzięki czemu realizowane są bezpieczne działania w obszarze OT. Takie techniki oferują kluczowy wgląd w cyberbezpieczeństwo oraz jego analizę, co przynosi w wyniku proaktywną ochronę komponentów OT danego systemu. Dzięki temu organizacja uzyskuje opłacalne pod względem kosztów i efektywne zarządzanie operacjami związanymi z cyberbezpieczeństwem.
1 National Security Agency ? NSA
2 Cybersecurity and Infrastructure Security Agency ? CISA
3 Department of Homeland Security ? DHS
4 NSA and CISA Recommend Immediate Actions to Reduce Exposure Across all Operational Technologies and Control Systems, dokument nr U/OO/154383-20 | PP-20-0622 | July 2020 Rev 1.0
5 NIST, Publikacja Specjalna 800-30, rev.1 (2018), strona 12.
Steven Seiden, prezes firmy Acquired Data Solutions.
Leighton Johnson, posiadacz certyfikatów: CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager), członek organizacji CMMC-AB (Cybersecurity Maturity Model Certification Accreditation Body) z tytułem Provisional Assessor Level-3, starszy inżynier cyberbezpieczeństwa w firmie Acquired Data Solutions.
Dr. Tony Barber, posiadacz certyfikatów CSEP (Certified Systems Engineering Professional) i RMP (Registered Marketing Professional), dyrektor ds. inżynierii systemów w firmie Acquired Data Solutions.