Ewolucja bezpieczeństwa sieci OT: Od izolacji do kompleksowej ochrony

Trzy dekady obserwacji, doświadczeń oraz rekomendacje dla wymagających projektów transformacji technologicznej przedsiębiorstw branży OT.

Otaczający Nas świat bezpośrednio wpływa na poczucie potęgującej się niepewności i braku bezpieczeństwa. Poczucie to od lat jako społeczeństwo staramy się zmieniać
i wpływać na zapewnienie odpowiedzialnego podejścia do bezpieczeństwa każdego obywatela, rodziny, przedsiębiorstwa jak również naszych ojczyzn. W tych działaniach wspierają nas liczne systemy oraz regulacje, które pomagają nam w uświadomieniu sobie zagrożeń i przestrzeganiu odpowiednich zachowań. Od lat wypracowujemy standardy, które mają dać nam pewność, że w zmieniającym się świecie my i nasza tożsamość nie zostanie naruszona. Popularyzacja dostępu do sieci Internet oraz stopniowe przenoszenie wielu usług do świata wirtualnego wymusza kształtowanie i wykorzystywanie tylko zaufanych narzędzi w miejscach uważanych za pewne. Tak jest w świecie IT, czyli Technologii Informatycznych. W obszarze produkcji przemysłowej, czyli w sferze OT (Operational Technology), również funkcjonują sieci służące do przesyłania danych i w ostatnich latach ich ochronie poświęca się coraz więcej uwagi.

Sieci OT są równie istotne dla naszego codziennego bytu. To od sfery OT zależy, czy będziemy mieli dostęp do energii, wody czy też wysoko przetworzonych dóbr konsumpcyjnych. Dodatkowo bezpieczeństwo sieci OT to temat dużo bardziej złożony od bezpieczeństwa w obszarze IT. Powodem tego stanu rzeczy jest dług technologiczny, spowodowany faktem, że przez wiele lat sieci OT były izolowane. Działały w zamkniętej infrastrukturze przemysłowych systemów automatyki, bez połączenia ze strukturami IT, wykorzystując głównie metody transmisji szeregowej. Ewentualny cyberatak mógł być przeprowadzony jedynie poprzez zdobycie fizycznego dostępu do zamkniętych szaf sterowniczych i podłączenie do infrastruktury układów automatyki. Fakt długotrwałej izolacji sieci OT objawia się również w postaci nieszyfrowanych i podatnych na ataki protokołów przemysłowych. Bezpieczeństwo samych urządzeń OT, takich jak programowalne sterowniki logiczne (ang. PLC) i komputery przemysłowe, także było traktowane zupełnie inaczej niż w branży IT. Wyobraźmy sobie np. brak bezpiecznego połączenia https czy też ssh w usługach dających dostęp do zarządzania switchem lub komputerem przemysłowym. Ten bardzo poważny problem bezpieczeństwa ujawnił się w pełnej skali dopiero podczas migracji sieci przemysłowych z protokołów szeregowych do Ethernetu i co za tym idzie, coraz powszechniej występującym stykiem sieci OT z obszarem IT. Pojawiły się nowe możliwości ataku na infrastrukturę przemysłową, włączając te, wykorzystujące zdalny dostęp do sieci przemysłowych poprzez infrastrukturę IT. Konsekwencje powodzenia takiego ataku są z reguły dużo poważniejsze od tych skierowanych na infrastrukturę IT. W tym przypadku nie mówimy już tylko o utracie, wycieku lub zaszyfrowaniu danych z systemów informatycznych, czy też o kompromitacji przedsiębiorstwa, ale o działaniach mogących prowadzić do katastrofy przemysłowej, a w konsekwencji do utraty życia lub zdrowia wielu ludzi oraz szkodliwego wpływu na środowisko.

Właśnie dlatego, podejście do zapewnienia bezpieczeństwa infrastruktury przemysłowej powinno być holistyczne i oparte na wielu poziomach ochrony:

  • Pierwszy poziom to segmentacja sieci przemysłowych, oparta o VLAN z logicznym, co do ich zadań podziałem na podsieci i dopuszczeniem tylko niezbędnego ruchu pomiędzy nimi.
  • Drugi poziom to bezpieczna konfiguracja poszczególnych urządzeń sieci OT,
  • Trzeci i potencjalnie najbardziej skuteczny poziom zabezpieczeń to systemy oparte na sztucznej inteligencji analizujące anomalie wykryte w kontekście zapamiętanych wzorców prawidłowej pracy całej infrastruktury OT.
  • Czwarty poziom to aktualizowanie oprogramowania urządzeń do najnowszych wersji w trakcie eksploatacji sieci OT.

Jednocześnie żelazną zasadą powinien być brak otwierania sieci przemysłowych na dostęp do Internetu, zaś wszelkie połączenia zdalne powinny być realizowane przez bezpieczne łącza np. VPN z wieloskładnikowym uwierzytelnianiem.

Jak możemy podnieść poziom bezpieczeństwa OT jako integrator systemów przemysłowych? Powinno to być działanie procesowe, oparte na profesjonalnie prowadzonej dokumentacji i testach. Wszystko zaczyna się od dobrego projektu uwzględniającego bezpieczeństwo infrastruktury sieciowej OT. Niezbędne jest w niej wydzielenie segmentów obsługujących niezależne procesy produkcyjne i ograniczenie komunikacji między nimi do niezbędnego minimum. Dobrą praktyką jest tutaj segmentacja sieci przemysłowej przy wykorzystaniu VLAN wraz z wprowadzeniem polityk bezpieczeństwa w komunikacji pomiędzy poszczególnymi segmentami.

Następnie przeprowadzamy bezpieczną konfigurację poszczególnych urządzeń sieci OT. Przy konfiguracji urządzeń sieciowych zwracamy uwagę na poziom zabezpieczeń, które w nich implementujemy. W urządzeniach usuwamy domyślne konta administracyjne i konta użytkowników, zastępując je nowymi, ze zwróceniem szczególnej uwagi na ich nazwy, które nie powinny sugerować roli danego konta. Do komunikacji między sterownikami PLC a systemami typu SCADA stosujemy bezpieczną wersje protokołu SNMP V3. W skrócie, konfigurujemy wszystkie dostępne w konkretnym urządzeniu sieciowym mechanizmy zabezpieczające, których zastosowanie nie zablokuje funkcji wymaganych do jego prawidłowej pracy. Pomocne w takim przypadku może być oprogramowanie narzędziowe dostarczane przez producenta danego urządzenia. Taka konfiguracja powinna obejmować np. wyłączenie nieaktywnych interfejsów komunikacyjnych.

W tym momencie przychodzi czas na poddanie sieci OT testom za pomocą urządzeń IPS (ang. Intrusion Prevention System), które mają bardzo rozbudowany wachlarz dostępnych funkcjonalności. Potrafią odnaleźć wszystkie urządzenia pracujące w sieci OT, uwzględniając informacje o wykrytych w nich podatnościach, a także znaleźć błędy w implementacji protokołów komunikacyjnych. Ostatnim krokiem pracy integratora jest wyeliminowanie lub przynajmniej zmarginalizowanie błędów wykrytych przez urządzenie IPS. Po tak przeprowadzonym procesie wdrożeniowym, my jako integrator jesteśmy pewni, że oddajemy klientowi bezpieczną i zarazem w pełni funkcjonalną infrastrukturę OT. Jednocześnie zostawiamy klienta z solidną tarczą (cyber)bezpieczeństwa w postaci urządzenia IPS. Urządzenie to dostarczane m.in. przez polską firmę ICSEC po nauczeniu się schematów komunikacyjnych pracującej infrastruktury przemysłowej potrafi wykryć i zablokować niechciany ruch sieciowy. Oprócz wyuczonych schematów IPS do wykrycia anomalii w ruchu sieciowym wykorzystuje zaimplementowane moduły analityczne, bazujące na znanych standardach sieci przemysłowych oraz ML (ang. Machine Learning) i AI (ang. Artificial Intelligence).

W ten sposób wiedza wynikająca z doświadczenia oraz współpracy z wieloma klientami tworzy oczekiwany klucz do poprawy (cyber)bezpieczeństwa, nad którym pracują od dawna liczne zespoły zajmujące się integracjami środowisk IT i OT. Podejście integratorów, którzy znają funkcjonujące wewnątrz przedsiębiorstw środowiska zapewnia, że oba obszary IT i OT mogą bez strat współpracować wydajniej na rzecz coraz szerszego wykorzystania automatyzacji. Przedsiębiorstwa, które jeszcze nie wydostały się z długu technologicznego będą mogły implementować najnowocześniejsze rozwiązania i tym samym konkurować pod względem jakościowym, produkcyjnym oraz (cyber)bezpieczeństwa. Jednocześnie przy odpowiednim wsparciu integratora i dostawcy technologii zabezpieczających, przedsiębiorstwa będą mogły sprostać zaostrzającym się przepisom i dyrektywom (w tym dyrektywie NIS2). Fakt ten jest dodatkowym argumentem, który przemawia za inwestycjami w modernizacje technologii wykorzystywanych w produkcji jak i w środowisku OT.

Wypełnianie obowiązków i regulacji w zakresie cyberbezpieczeństwa sieci IT / OT to argument umożliwiający przedsiębiorcom konkurowanie o nowe rynki, o niedostępne bez modernizacji wskaźniki jakościowe oraz o wyższą efektywność produkcji.

Podsumowanie

Merrid Controls i ICSEC redefiniują standardy integracji i bezpieczeństwa systemów IT i OT oraz stawiają na innowacyjne podejście do cyberbezpieczeństwa. Dzięki zaangażowaniu
w ochronę danych, doświadczeniu w realizacji projektów w wymagającym sektorze paliw płynnych oraz ciągłemu doskonaleniu procesów, zespół zapewnia swoim klientom kompleksowe wsparcie na każdym etapie projektu. Bezpieczeństwo, innowacyjność, oraz lokalne zrozumienie rynku to kluczowe cechy wyróżniające Merrid Controls i ICSEC na tle konkurencji.