Cybernetyczna opieka zdrowotna

Jak tworzenie silnego schematu cybernetycznej ?opieki zdrowotnej? pomaga w obronieprzed zewnętrznymi i wewnętrznymi zagrożeniami.
Przejście od zastrzeżonych do otwartych systemów w sterowaniu przemysłowym doprowadziło do pełnej integracji pomiędzy systemami i sieciami. Usprawniło to sterowanie oraz poprawiło pracę przedsiębiorstw. Jednakże wzajemna integracja skutkuje zbyt dużą eksploatacją systemów. Od wirusów i robaków po konie trojańskie oraz manipulację danymi, cyberzagrożenia potrafią zainfekować i zakłócić pracę całego przedsiębiorstwa. Ostatnie cyberwydarzenia, w kontekście sterowania procesami, pokazują, że bez kompleksowej strategii bezpieczeństwa przemysłowe systemy sterowania mogą być narażone na różne ataki.
Mimo to statystyki pokazują, że większość zagrożeń, jakim muszą stawić czoła inżynierowie, wcale nie pochodzi z zewnątrz firmowych sieci, ale z ich wnętrza.
Ponad 60% inżynierów zgłasza, że do naruszenia bezpieczeństwa dochodzi od wewnątrz. Nie oznacza to, że pracownicy lub kontrahenci celowo narażają swoje systemy na niebezpieczeństwo. Naruszenie bezpieczeństwa to często wina pracowników którzy mimo działań w dobrych intencjach, naruszają obowiązujące procedury.
Odnotowane przypadki często są spowodowane przez złośliwe oprogramowanie, takie jak wirusy, robaki czy trojany, które często nie są skierowane na tego typu obiekty. A co z resztą? W większości są to niezamierzone konsekwencje błędów użytkowników lub błędów konfiguracyjnych.
Na przykład w elektrowni jądrowej BrownsFerry w 2006 roku nadmierny ruch w sieci sterowania pomiędzy urządzeniami dwóch producentów był prawdopodobnie przyczyną awarii redundantnych napędów sterujących systemami recyrkulacji wody, co spowodowało awaryjne wyłączenie. W roku 2008 w elektrowni jądrowej Edwin I. Hatch doszło do wyłączenia awaryjnego po aktualizacji oprogramowania, które zostało zainstalowane na jednym z komputerów w części biznesowej sieci zakładowej.
W rzeczywistości ochrona systemów sterowania procesami nie jest trudnym zadaniem, po prostu jest bardzo ograniczona. Należy pomyśleć o tym jak o schemacie leczenia: tak jak ludzkie ciało potrzebuje regularnej pielęgnacji, tak i systemy sterowania powinny być dokładnie sprawdzane i poddawane ocenie w regularny sposób. Bazując na zachowaniu się systemu podczas cybernetycznych badań kontrolnych, operatorzy mogą określić, jakie działania należałoby podjąć w celu dostosowania ich systemu do ustanowionych strategii.
Kompletny schemat
Mając na uwadze Stuxneta (działający w systemie Windows robak komputerowy ? przyp. tłum.) wielu operatorów poszukuje tego jednego rozwiązania, które sprawi, że ich system stanie się odporny na ataki. Prawda jest taka, że nie ma jednego lekarstwa na zapewnienie bezpieczeństwa w cyberprzestrzeni. Tak jak lekarz nie może przepisać tabletki gwarantującej dobry stan zdrowia ? jest ono rezultatem odpowiedniej diety, ćwiczeń, snu i kontroli wagi ? tak ochrona systemu sterowania zakładem przed lukami w bezpieczeństwie nie leży w jednym rozwiązaniu, lecz raczej w wielu zabezpieczeniach, które chronią wiele punktów dostępowych.
W cyberbezpiecznych zakładach powinno się znajdować solidne połączenie technologii, zasad oraz procedur do skutecznego zwalczania potencjalnych zagrożeń. Podobnie jak w odpowiednim planie zdrowia, zakłady powinny zdefiniować cele, zinwentaryzować obecny stan, a następnie pracować do osiągnięcia pożądanych rezultatów.
Jak w takim razie wygląda obraz cyberzdrowia w rzeczywistości? Niektóre z tych najlepszych praktyk mogą wydawać się oczywiste, a jednak nie są powszechnie stosowane. Dla przykładu, produkty często są sprzedawane z domyślnym hasłem, jednak zaskakujące jest, jak wiele z tych haseł pozostaje bez zmian. Pozostawienie domyślnego hasła i ustawień zabezpieczeń, jest analogiczne do pozostawienia kluczyków w stacyjce otwartego samochodu.
Inne proste, ale bardzo często pomijane kroki obejmują aktualizacje systemu MS Windows oraz baz danych narzędzi antywirusowych, które są niezwykle istotne dla utrzymania bezpieczeństwa w sieci. Aktualizacje utrzymują system na bieżąco i często są wydawane, kiedy zostaną wykryte luki w jego zabezpieczeniach. W przypadku niewdrażania aktualizacji system pozostaje wystawiony na działanie już zidentyfikowanych słabości.
Dostawcy systemu sterowania procesem mogą także uczestniczyć w kwalifikowaniu oprogramowania antywirusowego oraz powinni być włączeni do kwalifikowania aktualizacji, takich jak w przypadku aktualizacji systemów firmy Microsoft. Rekomendowanie oprogramowania antywirusowego przez dostawcę systemu sterowania może być korzystne dla zakładów przemysłowych, gdzie jeden z systemów antywirusowych może się okazać bardziej kompatybilny od innego. Producenci mogą także dostarczać produkty typu zamkniętego, który ułatwia zabezpieczenie systemu. Sprowadza się to do wstępnie skonfigurowanych ustawień zabezpieczeń dla plików, katalogów, a także kluczy rejestru, chroniąc zarówno przed złośliwym oprogramowaniem pochodzącym od wrogich użytkowników, jak i z przypadkowych pomyłek.
Zasady dotyczące wykorzystywania urządzeń przenośnych, takich jak karty pamięci, powinny zostać jasno określone i egzekwowane. Podłączenie karty pamięci do portu USB omija wszystkie sieciowe mechanizmy zabezpieczające, które zostały wprowadzone w celu obrony przed infekcją. Na przykład jedną z dróg rozpowszechnienia wirusa Stuxnet było podłączenie pamięci USB do całkowicie odizolowanych systemów (air-gappedsystems).
Zrozumienie ochrony wielopoziomowej
Nie każdy sposób na cybernetyczne zabezpieczenie jest tak oczywisty i łatwy do zrozumienia, zwłaszcza kiedymowa o ochronie wielopoziomowej. Założeniem podstawowym wielopoziomowej ochrony jest to, że występuje wiele różnych poziomów, na których odbywa się protekcja przed zagrożeniami. W jaki sposób cyberśrodki bezpieczeństwa mogą zostać podzielone na warstwy?
Bezpieczeństwo w Internecie najlepiej osiągnąć, dzieląc je na warstwy lub strefy. Ta metoda przyczynia się do ochrony przed zagrożeniami i może pomóc w zapobieganiu rozprzestrzeniania się ich w całej sieci. Kluczowa automatyka i sterowana aparatura powinny być pogrupowane w strefy, które mają wspólne wymagania dotyczące poziomu bezpieczeństwa. Komunikacja pomiędzy strefami musi przejść przez chroniony i monitorowany kanał, ścieżkę, która reguluje przepływ danych między strefami, zapewniając bardziej bezpieczną komunikację.
Definiuje się trzy strefy zabezpieczeń: wysoką, średnią i niską. Każda strefa wymaga bezpieczeństwa na poziomie docelowym, bazującego na analizie ryzyka zakładu i uwzględnieniu stopnia ryzyka i zakresu możliwych zagrożeń. Sprzęt w każdej strefie otrzymuje wymagany poziom zabezpieczeń. Kiedy ten wymóg jest niższy od strefy docelowego poziomu zabezpieczeń, technologia i zasady bezpieczeństwa muszą zostać wdrożone w celu ich zrównoważenia i ograniczenia ryzyka.
Biorąc pod uwagę wielopoziomową ochronę, bezpieczeństwo w Internecie staje się znacznie łatwiejsze do osiągnięcia. Stosując podział na strefy, poziom bezpieczeństwa zwiększa się wtedy, kiedy obiekt tego potrzebuje, bazując na możliwym ryzyku.
Polegając na zastosowaniu stref bezpieczeństwa, poprawia się także detekcja zagrożeń (zakładając, że możliwości wykrywania zagrożeń są częścią strategii podziału na strefy). Ustalenie pochodzenia problemów, które się pojawiają, staje się dużo prostsze, ponieważ operatorzy mogą rozwiązać problem u źródła oraz określić wszelkie inne nagle występujące luki w zabezpieczeniach. Limity transferów w ruchu sieciowym pomiędzy strefami należy dobrać tak, aby spełniały oczekiwania, a sam ruch powinien odbywać się po z góry określonych i odpowiednio zabezpieczonych przewodach. To może zapobiegać rozprzestrzenianiu się zagrożeń na inne obszary, w tym do systemów o znaczeniu krytycznym, jakimi są systemy sterowania. Najsilniejszą z możliwych strategii jest wielopoziomowa ochrona posunięta o krok dalej, zaimplementowanie stref w obrębie tych samych stref. Zapobiega to rozprzestrzenianiu się efektów pomyłki pracownika w jednym obszarze sieci na urządzenia w obrębie jednej strefy, tworząc system obrony złożony z wielu warstw.

Proces ustalania, w jaki sposób definiowane są warstwy, następuje według logicznej ścieżki znaczenia. Warstwowe sieci z najbardziej krytyczną częścią sieci w najgłębszej warstwie oferują wiele poziomów ochrony.
Poziom 1. Krytyczne urządzenia, sterowniki procesowe, urządzenia I/O pracują na poziomie pierwszym. Ogólnie rzecz biorąc, te krytyczne, wbudowane urządzenia sterujące powinny być odseparowane od sieci za pomocą zapór.
Poziom 2. Na tym poziomie swoje miejsce znajdują stacje operatorskie oraz systemy nadzorujące przebieg procesów. Stacje operatorskie są zazwyczaj oparte na systemie Windows, który powinien zapewnić wysoki model bezpieczeństwa do blokowania węzłów, używać zapór bazujących na węzłach oraz stosować wyspecjalizowane techniki do blokowania szumów sieciowych, takich jak burze transmisyjne.
Poziom 3. Na tym poziomie swoje miejsce mają aplikacje sterowania ogólnozakładowe oraz ogólnosieciowe. Przykładami są programy obejmujące zaawansowaną kontrolę i optymalizację. Bezpieczne bramypowinny być stosowane pomiędzy poziomem 3. a poziomem 2., który ogranicza limity komunikacji do takich, jakie są wymagane przy sterowaniu. Zapory z kontrolą dostępu oraz zasadami filtracji mogą być pomocne do zrealizowania tej klasyfikacji.
Poziom 4. Zwykle na tym poziomie znajduje się biznesowa część sieci, która podłączona jest do intranetu sieci zakładowej. Łącze między poziomem 3. i poziomem 4. jest miejscem, gdzie w grę wchodzą klucze łamania zabezpieczeń. Połączenie pomiędzy siecią zakładową i siecią biznesową, wymaga szczególnej uwagi oraz klasyfikacji. Jednym ze sposobów osiągnięcia tego celu jest ustanowienie zdemilitaryzowanej strefy (DMZ ? Demilitarized Zone), która jest w stanie ostrożnie zarządzać komunikacją pomiędzy procesem i biznesem.
DMZ. Strefa kontroli DMZ jest również dobrym miejscem do wprowadzenia stacji archiwizacyjnych (enterprises historians), serwerów zarządzania systemem, jak również zarządzania aktualizacjami/serwerów antywirusowych.
Dzięki zastosowaniu wielu warstw ochrony zagrożenia bezpieczeństwa mogą zostać zmniejszone przy jednoczesnym umożliwieniu interoperacyjności sieci oraz systemów.
Sprawdzanie stanu zdrowia
Raz przeprowadzona identyfikacja infrastruktury cyberbezpieczeństwa wystarcza do oceny stanu, w jakim zakład aktualnie się znajduje, identyfikacji luk w zabezpieczeniach oraz, jeśli zachodzi potrzeba, wdrożenia niezbędnych praktyk w celu uzyskania pozytywnej oceny cyberzdrowia.
Oceny ryzyka ujawniają luki, które już istnieją w systemie, przez sprawdzenie stanu sieci danego obiektu, między innymi zasad i procedur. Dla przykładu inwentaryzacja sieci może określić miejsca, gdzie projekty koncepcyjne nie są już aktualne oraz wskazać obszary o największym zagrożeniu. Następnie można określić cały szereg zagrożeń, zamiast stawiać nacisk na zdarzenia wysokiej rangi, takie jak ataki typu Stuxnet. Mając rozpoznane i poddane ocenie wszystkie zagrożenia, kierownicy zakładów mogą ustanowić priorytety i zająć się lukami w zabezpieczeniach o wysokim znaczeniu i prawdopodobieństwie wystąpienia.
Podczas gdy istniejące środki technologiczne wymagają dokładnych badań, tak samo kluczowe znaczenie ma określenie aktualnych zasad i procedur kadrowych. Należy zastanowić się, jakie procedury muszą przejść goście oraz kontrahenci przed dopuszczeniem do zwiedzania zakładu. Procedury te z pewnością są związane ze szkoleniami z zakresu bezpieczeństwa i zawsze obejmują środki mające zapewnić ochronę przed ryzykiem związanym z przebywaniem w zakładzie przemysłowym, takie jak kaski, odzież ochronna czy wzmocnione buty.
To samo rygorystyczne podejście należałoby uwzględnić w zastosowaniu do bezpieczeństwa w Internecie. Zapewniając gościom i kontrahentom szkolenia oraz konkretne wytyczne dotyczące postępowania w przypadku pracy w obiektach przemysłowych, można ograniczyć pewne zbiory cyberzagrożeń. Ludzie z zewnątrz powinni zostać jednoznacznie poinformowani o miejscach, do których mogą podłączać swoje komputery, jak je kontrolować oraz jak mają zarządzać swoimi przenośnymi pamięciami. Może się to wiązać z wprowadzeniem zasad, które nakazują pozostawienie napędów USB u strażników przed wejściem na teren obiektu. Ścisłe, kompleksowe zasady pomogą zrozumieć powagę polityki cyberbezpieczeństwa zakładu.
Oczywiście należy wpoić określoną politykę pracownikom zakładu. Kiedy odpowiednie zasady są na miejscu, ważne jest ustalenie, którzy pracownicy mają dostęp oraz z jakimi przywilejami. Powinny zostać zdefiniowane limity dostępu bazujące na poziomie odpowiedzialności pracownika. Należy rozważyć implementację strategii ?role engineering?, to jest stworzenie modelu, który określa zachowanie wewnątrz organizacji, w oparciu o wstępnie skonfigurowane grupy i zasady grup. Na przykład strategia ta definiuje ograniczenia dla użytkowników do używania aplikacji uznanych za niezbędne do prowadzenia procesu. Zakłady powinny także rozważyć dostępność i działanie tego oprogramowania na komputerach operatora. Kierownikom przyznawany jest podobny ograniczony dostęp. Inżynierowie mają większy dostęp, niemniej jednak nadal są ograniczeni do swoich przynależnych funkcji technicznych. Administratorzy otrzymują nieograniczony dostęp, ale wymagane są od nich bardziej rygorystyczne zabezpieczenia oraz częsta zmiana haseł. Warto również zauważyć, że im więcej przywilejów ma użytkownik, tym bardziej wiarygodną powinien być osobą.
Kompleksowa ocena obejmuje wszystkie zasoby sieci i daje kierownictwu zakładu solidne podstawy do tego, aby zrozumieć, jak fabryka wypada w porównaniu do standardów branżowych oraz najlepszych praktyk. Na podstawie tej oceny menedżerowie mogą zidentyfikować i nadać priorytety lukom w zabezpieczeniach, a następnie określić, jakie kroki powinni podjąć w celu poprawy cyberzdrowia ich zakładu.
Następnym krokiem jest skorygowanie sieci, zasad i procedur za pomocą specjalnie opracowanego programu zarządzania bezpieczeństwem. Każda sieć jest unikatowa. Pogram do zarządzania bezpieczeństwem w każdym zakładzie powinien być wyjątkowo dopasowany do ochrony najcenniejszych funkcji zakładu oraz obrony największych luk w zabezpieczeniach.
Nowa kultura
Można łatwo stracić koncentrację na utrzymaniu bezpieczeństwa w cyberprzestrzeni. Każdy, kto rozpoczął nowy program ćwiczeń czy zmienił swoją dietę, jest zaznajomiony z wyzwaniem, jakim jest przyjęcie i utrzymanie nowych procedur. Jednakże konsekwencje samozadowolenia są wielkie i bez dyscypliny zakłady przemysłowe mogą wrócić do niebezpiecznych praktyk, które pozostawią je podatnymi na zagrożenia.
Utrzymanie reżimu cyberzdrowia jest tak samo ważne, jak na początku jego budowa. Wiedza jest kluczem do utrzymania bezpieczeństwa w sieci, a ludzie są jednym z najmocniejszych atutów zakładów przemysłowych w kontekście cyberochrony. Zatrudnieni ludzie, którzy rozumieją luki w zabezpieczeniach ich sieci i potrafią wskazać najbardziej trafne praktyki, są wskaźnikami działania wprowadzonej strategii. To także minimalizuje ryzyko poniesienia wspólnej przypadkowej porażki.
Ustanowienie zespołu reagowania składającego się z interdyscyplinarnej grupy pracowników, który może monitorować każdą sekcję sieci, powinno zmniejszyć prawdopodobieństwo celowego narażenia na szkodliwe oprogramowanie. Takie zespoły mogą być o krok przed potencjalnym zagrożeniem, poprzez organizowanie regularnych spotkań, na których omawiane są najnowsze zagrożenia oraz technologie.
Zdrowie nie jest po prostu brakiem bólu czy choroby. Zdrowie jest to obecność dobrego fizycznego i psychicznego samopoczucia. Tak samo cyberzdrowie nie jest związane z brakiem zagrożeń, ale z gotowością i odpornością linii defensywy, w celu uniknięcia jakichkolwiek problemów i zachowania ciągłości działania zakładu. Postępowanie według tych najlepszych praktyk i procedur może pomóc zarządzającym zakładami w ochronie swoich sieci przed zagrożeniami.
Kevin Staggs, CISSP, jest inżynierem współpracującym z Honeywell Automation and Control Solutions.
Jason Urso jest wiceprezesem i głównym technologiem dla Honeywell Process Solutions.
CE