Ponieważ ataki na przemysłowe systemy sterowania (Industrial Control Systems ? ICS) stają się coraz częstsze i coraz bardziej wyrafinowane, ewoluować muszą również strategie obrony. Na szczęście wykorzystywane do tego narzędzia są stale ulepszane.
W przemyśle przetwórczym nie ma miejsca na niepewność i ryzyko. Firmy muszą zapobiegać zagrożeniom dotyczącym cyberbezpieczeństwa i minimalizować te, które narażają na szwank procesy produkcyjne, infrastrukturę, zasoby i personel oraz środowisko naturalne. Podjęcie kroków ochronnych staje się łatwiejsze, gdy załogai menedżerowie rozumieją bieżące i przyszłe niebezpieczeństwa, wyciągają wnioski z incydentów, które miały miejsce w sektorach procesów technologicznych, i pozostają na bieżąco ze stale zmieniającymi się wyzwaniami.
Stan na dziś
W ostatnich latach kwestie cyberbezpieczeństwa w przemyśle rozrosły się i skomplikowały na tyle, że nie dotyczą już tylko działań małej grupy specjalistów, ale stały się problemem wszystkich pracujących w przedsiębiorstwach. Wzrosła odpowiedzialność pracowników i kadry kierowniczej oraz menedżerskiej za promowanie bezpiecznych procedur i technologii, a także niezawodność i stabilność kluczowej infrastruktury.
Jednocześnie wraz ze zwiększającym się zagrożeniem dla współczesnych, otwartych platform komputerowych ze strony złośliwego oprogramowania (malware), typowe przemysłowe systemy sterowania ICS stają się coraz bardziej podatne na dokonywane z zewnątrz, wrogie modyfikacje parametrów. W ostatnich latach nie tylko wzrosła liczba cyberataków na fabryczne systemy automatyki, ale też stały się one bardziej wyrafinowane. A ponieważ polegają zarówno na zbieraniu i kradzieży informacji, jak i eliminowaniu kluczowych danych, więc włamania hakerów stanowią realne zagrożenie dla produktywności, niezawodności i bezpieczeństwa fabryk.
Zrozumienie ryzyka
Kwestie cyberbezpieczeństwa dotyczą coraz większej liczby urządzeń znajdujących się w hali fabrycznej i realizujących procesy technologiczne. Operacje i procesy odbywające się na liniach produkcyjnych są obecnie w dużej części sterowane cyfrowo. Era sterowania analogowego ustąpiła systemom zintegrowanym, sieciom komputerowym, zautomatyzowanym maszynom oraz zainstalowanym w dużej liczbie i skomunikowanym czujnikom. Fabryki są sterowane z wykorzystaniem cyfrowych pakietów danych technicznych ? informacji dotyczących produktów i procesów technologicznych, które mogą być udostępniane wewnątrz przedsiębiorstwa i muszą być chronione.
Więcej uwagi niż kiedyś zwraca się na ochronę informacji technicznych w systemach i sieciach informatycznych. Ale zabezpieczanie systemów operacyjnych przedsiębiorstwa produkcyjnego stanowi nowy zestaw wyzwań. Dane techniczne muszą być zabezpieczone nie tylko przed kradzieżą, ale także przed możliwością ich nieuprawnionej modyfikacji, która mogłaby negatywnie wpłynąć na prawidłowe funkcjonowanie operacji technologicznych realizowanych w fabryce oraz na bezpieczeństwo i dostępność systemu produkcyjnego. Te zagrożenia są szczególnym wyzwaniem dla małych i średnich firm. W zakładach przemysłowych na cyber-ataki najbardziej podatne są:
-> procedury bezpieczeństwa;
-> komunikacja pomiędzy Internetem a siecią korporacyjną;
-> komunikacja w firmie pomiędzy lokalną siecią LAN (Local Area Network) a siecią sterowania procesem technologicznym ? poziomu obiektowego;
-> niedostateczne lub przestarzałe środki zapewnienia cyberbezpieczeństwa, takie jak oprogramowanie typu anti-malware;
-> przestarzałe łatki bezpieczeństwa (security patches) lub ich brak;
-> nieadekwatne konfiguracje zabezpieczeń;
-> niekompletne lub rzadko wykonywane kopie danych.
Aby prawidłowo zadbać o swoje zasoby, obejmujące systemy ICS o kluczowym znaczeniu, firmy z branży przemysłu przetwórczego muszą sprawić, aby każde urządzenie podłączone do sieci było bezpieczne i chronione przed włamaniami dokonywanymi za pomocą złośliwego oprogramowania i poleceń nadchodzących ze strony lokalnych portów oraz interfejsów LAN. Jednocześnie wszystkie sieci fabryczne powinny być zabezpieczone przed włamaniami i prawidłowo podzielone na strefy, co pomoże powstrzymywać i ograniczać zagrożenia sieciowe.
Co ważne, podjęcie kroków dla zapewnienia cyberbezpieczeństwa systemów ICS powinno przy okazji poprawić odporność systemów sterowania na inne niepożądane incydenty, przyczynić się do redukcji okresów nieplanowanych przestojów oraz ułatwić jak najszybszy powrót do ?stanu normalnego? po wystąpieniu każdego zakłócenia rytmu pracy.
Dodatkowe skutki cyberataków
Wprawdzie ataki na fabryczne systemy automatyki obejmują tylko przyłączone do sieci komponenty cyfrowe i ich funkcje, jednak skutki tych ataków mogą objąć również systemy fizyczne i firmowe, do których podłączone są systemy automatyki. Efekty wpływają także na personel i środowisko. W rezultacie niepożądane zdarzenia i ataki cybernetyczne ? czy to zainicjowane zewnętrznie, wewnętrznie czy spowodowane nieadekwatną do sytuacji polityką postępowania i nieskutecznymi procedurami ? mogą prowadzić do utraty kontroli nad systemem produkcji i funkcjami zarządzania oraz do związanych z tym negatywnych konsekwencji.
Wszystko to rodzi najważniejsze pytanie: czy firmy z branży przemysłu przetwórczego są przygotowane do poradzenia sobie ze skoordynowanym cyberatakiem?
Historia nauczycielką życia
W ciągu ostatnich lat sektor przemysłowy był celem wielu dobrze dziś znanych cyberataków. Według raportu Departamentu Bezpieczeństwa Krajowego Stanów Zjednoczonych (Department of Homeland Security ? DHS) w roku 2014 infrastruktura ICS doświadczyła co najmniej 245 incydentów związanych z zagrożeniem cyberbezpieczeństwa. Największa ich liczba miała miejsce w branży energetycznej, a na drugim miejscu znalazł się sektor produkcji kluczowej (Critical Manufacturing Sector, do którego DHS zalicza przemysł metalurgiczny, maszynowy, produkujący urządzenia elektroenergetyczne oraz środki transportu lądowego, wodnego i powietrznego ? przyp. tłum.).
Około 55% incydentów zgłoszonych do ICS-CERT (Industrial Control Systems Cyber Emergency Response Team ? działającego w ramach DHS zespołu ds. reagowania na sytuacje awaryjne związane z zagrożeniem cyberbezpieczeństwa przemysłowych systemów sterowania) obejmowało zaawansowane i natarczywe ataki lub ataki ze strony wyrafinowanych ?aktorów zagrożeń? (threat actor ? jednostka będąca częściowo lub całkowicie odpowiedzialna za incydent, który ma wpływ ? rzeczywisty lub potencjalny ? na bezpieczeństwo atakowanego podmiotu). Stwierdzono, że większość z tych incydentów miało nieznany wektor dostępu, co oznacza, że nie było wystarczających dowodów dla sądu, mogących potwierdzić metodę zastosowaną do włamania.
Przeprowadzony w 2010 r. słynny atak na irańskie zakłady wzbogacania uranu przy wykorzystaniu robaka Stuxnet spowodował, że wiele firm musiało przyznać, iż ich instalacje ICS są podatne na ataki i mogą być celami dla cyberprzestępców, terrorystów oraz wrogich państw. Od tego czasu stwierdzono zwiększoną aktywność hakerów i nowe uderzenia w sieci przemysłowe. Zagrożenie ewoluowało, kontynuując trend rozpoczęty przez Stuxnet i wykorzystując coraz bardziej wyrafinowane i złożone złośliwe oprogramowanie typu malware. Zmasowane cyberataki takich trojanów czy wirusów, jak np. Flame, Duqu, Shamoon, Dragonfly, Black Energy i inne, stale biorą na cel podmioty z branży energetycznej i przemysłowej. Zagrożenie nie jest już teoretyczne. Historia udowodniła, że perspektywa cyberataków na kluczową infrastrukturę państw ? taką jak rafinerie, platformy wiertnicze, sieci elektroenergetyczne czy rurociągi ? staje się coraz bardziej realna i obejmuje nowe obszary.
<—newpage—>Przeciwdziałanie zwiększonym zagrożeniom
We wszystkich branżach przemysłowych istnieje potrzeba oszacowania podatności na zagrożenia dotyczące cyberbezpieczeństwa i wdrożenia solidnej strategii przeciwdziałania. Większość bezpośrednich dostawców wyposażenia oryginalnego dla producentów (OEM) ma swój plan zabezpieczenia sieci przed cyberatakami. Nieco inaczej jest jednak w mniejszych firmach, gdzie produktywność bywa często uznawana za ważniejszą niż cyberbezpieczeństwo. Niekiedy rzeczywiście walczy się w nich z problemami związanymi z cyber-atakami, ale bywa i tak, że są one tam kojarzone jedynie z organizacjami terrorystycznymi poszukującymi okazji do masowych zniszczeń.
W przemyśle przetwórczym zakłady wszystkich typów i rozmiarów muszą być w stanie przystosować się do najnowszych technologii i najlepszych praktyk stosowanych na świecie. Prowadzenie firm wykorzystujących inteligentne technologie i zaawansowane rozwiązania teleinformatyczne wymaga użycia inteligentnych urządzeń oraz zintensyfikowanej komunikacji cyfrowej. To z kolei zwiększa obszar narażony na atak, a więc narzuca konieczność wdrożenia solidniejszych i bardziej wszechstronnych planów zapewnienia cyberbezpieczeństwa.
Kluczowe inicjatywy dla firm z branży przemysłu przetwórczego powinny zatem obejmować:
-> zwiększoną dostępność do danych operacyjnych ? co będzie siłą napędową bardziej inteligentnej i wydajniejszej niż dotąd produkcji;
-> stałą świadomość zagrożenia cyberbezpieczeństwa ? aby odpowiednio uszeregować środki kontroli cyberbezpieczeństwa oraz inteligentne praktyki biznesowe i operacyjne.
Oczywiście w praktyce nie jest to łatwe. Zapewnienie cyberbezpieczeństwa systemom ICS bywa trudnym zadaniem, zarówno dla dostawców, jak i użytkowników końcowych. Nie jest też związane z pojedynczym produktem, a stanowi kombinację architektury, praktyk, zachowania, komponentów zabezpieczeń (zarówno sprzętowych, jak i programowych) oraz usług stron trzecich.
Zgubiony pendrive
Skuteczne zabezpieczenie przed cyber-atakami wymaga większej separacji sieci, silniejszego uwierzytelniania i kontroli dostępu, ostrej kontroli nad przenośnymi nośnikami danych i obchodzeniem się z mediami, zwiększonego wdrażania zasad grupy (group policy) oraz ścisłych ograniczeń cyberincydentów, zarządzania zabezpieczeniami, kontroli nad zmianami, poprawnej konfiguracji i konserwacji.
To całkiem długa lista wymagań i mało firm jest przygotowanych na samodzielne podjęcie się wdrożenia, adaptacji choćby wybranych elementów z tego ogromu wyzwań. Wiele zakładów przemysłowych poszukuje więc na zewnątrz pomocy w radzeniu sobie z eskalacją zagrożeń ze strony cyberprzestępców. Chociaż istnieją rozwiązania dotyczące zapewnienia bezpieczeństwa zasobów fizycznych i elektronicznych, to tylko kompleksowe i zintegrowane podejście do tematu zaspokoi potrzeby zabezpieczenia pracowników, sprzętu oraz własności intelektualnej.
Rozwiązania praktyczne
W celu wdrożenia skutecznej strategii cyberbezpieczeństwa konieczne staje się podjęcie kilku zasadniczych kroków.
Zrozumienie ryzyka: kompleksowa ocena ryzyka związanego z cyberbezpieczeństwem jest bezcenna dla oszacowania aktualnego stanu bezpieczeństwa zakładu i nadania priorytetu wysiłkom zmierzającym do zmniejszenia zagrożeń. Można sporządzać okresowe oceny ryzyka, aby śledzić rozwój i dojrzałość programu bezpieczeństwa ? wskazywać postępy w osiąganiu pożądanego poziomu zapewnienia bezpieczeństwa. Techniczne środki kontroli mogą nawet być oceniane w sposób ciągły, przy użyciu nowego gatunku narzędzi do monitorowania cyberbezpieczeństwa, skoncentrowanych na zarządzaniu ryzykiem w przemyśle.
Przeprowadzanie audytów w celu ustalenia trendów: podmioty związane z przemysłem powinny przeprowadzać niezależne audyty w celu oceny zastosowania środków kontroli nad systemami, określenia ich zgodności z ustalonymi procedurami operacyjnymi oraz stworzenia zaleceń wdrożenia koniecznych zmian. To podejście pozwala uzyskać obraz panujących trendów i określa działanie systemów w odniesieniu do wstępnie zdefiniowanych wskaźników.
Wdrożenie bezpiecznych i niezawodnych architektur: zastosowanie bezpiecznej architektury pozwala ustalić długoterminowe punkty odniesienia dla dostępności, niezawodności i bezpieczeństwa systemu sterowania. Trzeba przy tym zdać sobie sprawę z zalet i mankamentów różnych typów architektury cyberbezpieczeństwa oraz zrozumieć wszystkie za i przeciw różnych topologii sieci, opartych na prawidłowej segmentacji stref zabezpieczeń i kanałów komunikacji pomiędzy tymi strefami.
Ustanowienie prawidłowych zabezpieczeń sieci: zabezpieczenie sieci zwykle stanowi pierwszą linię obrony przed cyberatakiem. Firmy powinny więc zadbać o wdrożenie takich środków zaradczych, jak zapory (firewalle), metody wykrywania zagrożeń i analizowania zabezpieczeń, procedury ograniczające nieautoryzowany dostęp i wykorzystanie zasobów systemowych.
Zabezpieczanie punktów końcowych: wdrożenie skutecznych środków ochrony jest sprawą zasadniczą przy zabezpieczaniu różnych punktów końcowych ? sieci poziomu obiektowego, odpowiedzialnych bezpośrednio za sterowanie procesem technologicznym, zanim zostanie przyznany dostęp do urządzeń. Działy ICS w firmach mogą chronić swoje sieci za pomocą łatek programowych, programów antywirusowych, sporządzania białych list aplikacji (application whitelisting) ? zbiorów tych aplikacji, które są oznaczone przez administratora jako bezpieczne, zabezpieczania węzłów końcowych (end-node hardening) oraz przenośnych mediów.
Identyfikowanie niebezpiecznych sytuacji:
oczywiście potrzeba ciągłego kształtowania świadomości ryzyka cyberataków nie może być wyolbrzymiana. Pamiętajmy bowiem, że przez ciągłe monitorowanie, stosowanie się do procedur i raportowanie, analizę zabezpieczeń, informacje dotyczące zabezpieczeń i zarządzanie zdarzeniami oraz szkolenia ze świadomości bezpieczeństwa i zagrożeń, personel fabryki uzyskuje już stopniowo zdolność do interpretowania i rozumienia aktywności w sieci sterowania procesem technologicznym.
Ułatwienie powrotu do stanu sprzed ataku oraz naprawy szkód: w wielu operacjach przemysłowych powinny być na bieżąco wykonywane kopie zapasowe danych oraz nastaw zaufanych i czystych systemów, tak by w przypadku awarii mogły być one szybko przywrócone. Procedury te stać się powinny częścią szerszego planu przywracania stanu sprzed incydentu ? tak aby zminimalizować okresy przestoju i ograniczyć potencjalne szkody.
Proaktywny, a nie pasywny
Aby więc chronić swoje zasoby, firmy z branży przemysłu przetwórczego muszą wdrożyć proaktywne podejście do spraw cyberbezpieczeństwa, obejmujące ciągłą ocenę ryzyka, dobrze zdefiniowaną politykę bezpieczeństwa oraz agresywną strategię bezpieczeństwa ogólnego. Obowiązywać powinna nieustanna czujność. Konsekwencje cyberataków są zbyt duże, aby je ignorować.
Autor: Eric Knapp jest globalnym dyrektorem ds. rozwiązań i technologii cyberbezpieczeństwa w firmie Honeywell Process Solutions.
Tekst pochodzi ze specjalnego wydania ?Bezpieczeństwo 2017?. Jeśli Cię zainteresował, ZAREJESTRUJ SIĘ w naszym serwisie, a uzyskasz dostęp do darmowej prenumeraty w formie drukowanej i/lub elektronicznej.
