Atak na system sterowania w jednym z zakładów przemysłowych w Iranie w 2010 r. spowodował wzrost zainteresowania bezpieczeństwem cybernetycznym tychże systemów. Od tamtej pory byliśmy świadkami wielu uderzeń w przemysłowe systemy kontroli i sterowania (ang. ICS) ? m.in. na Ukrainie (sektor energetyczny, rok 2015), w Niemczech (przemysł stalowy, rok 2014) oraz w przemyśle naftowym i gazowym (w latach 2012?2016).
Wydarzenia te uświadomiły właścicielom zakładów przemysłowych oraz rządom wielu państw skalę ryzyka, zarówno dla działań samych podmiotów, jak i ogólnie dla całych społeczeństw. W rezultacie w ostatnich pięciu latach powstało wiele inicjatyw, mających na celu poprawę bezpieczeństwa cybernetycznego tych systemów (m.in. przyjęta na poziomie UE w grudniu 2015 r. dyrektywa dotycząca bezpieczeństwa sieci i informacji ? a ponieważ wszedł w życie wymóg raportowania zdarzeń z zakresu bezpieczeństwa cybernetycznego, można się spodziewać, że coraz częściej będą napływać informacje o kolejnych atakach). W procesie planowania usprawnień szybko pojawiły się pytania o to, jak dalece trzeba chronić systemy, jakie rozwiązania są wdrażane przez innych na rynku oraz jaki poziom ochrony jest możliwy do osiągnięcia i utrzymania.
W niniejszym artykule omówiono opartą na normach międzynarodowych metodę szybkiego identyfikowania rzeczywistego oraz docelowego poziomu zabezpieczeń zakładów przemysłowych przed cyberatakami. Wykorzystuje się w niej tzw. profil zagrożeń ze strony potencjalnych atakujących, elementy zarządzania bezpieczeństwem oraz charakterystykę systemów DCS/SCADA. Zastosowana metodologia sprawiła, że możliwe stało się mierzenie stopnia ochrony cybernetycznej, a dzięki temu również przeprowadzanie analizy wyników, mającej na celu porównanie poszczególnych zakładów oraz branż. Firma Honeywell z powodzeniem korzysta z tej metody od roku 2011 i od tego czasu stworzyła repozytorium danych, służące do przeprowadzania testów zabezpieczeń w zakładach przemysłowych.
<—newpage—>Profilowanie zabezpieczeń
Profilowanie zabezpieczeń ma służyć wprowadzeniu pewnych uogólnień; wykorzystuje cechy potencjalnych atakujących, możliwości zabezpieczeń oferowane przez strukturę samej sieci oraz organizację zarządzania bezpieczeństwem. Wszystko to w celu określenia docelowego poziomu zabezpieczeń w danym zakładzie. Wspomniany poziom definiuje, jakiej skuteczności zabezpieczeń musimy wymagać od systemu i samej organizacji, aby odeprzeć potencjalny atak. Rzeczywisty poziom ochrony określany jest natomiast przez porównanie docelowych wymogów dotyczących zabezpieczeń z potencjałem oferowanym przez system sterowania oraz organizację. Przy takiej metodzie postępowania nie bierze się pod uwagę konfiguracji (ustawień) zabezpieczeń. Użytkownik skupia się przede wszystkim na potencjale zabezpieczeń oferowanych przez same systemy sterowania i ich organizację. Aby zidentyfikować luki w zabezpieczeniach wynikające z wadliwej implementacji, konieczne jest przeprowadzenie oceny zabezpieczeń. Jest to działanie, w ramach którego zbierane są dane z systemu DCS/SCADA oraz analizowane są ustawienia zabezpieczeń w systemie. Mimo że profilowanie nie wymaga żadnych dogłębnych i kosztownych analiz, umożliwia identyfikację luk projektowych i technologicznych oraz braków w zakresie zarządzania.
Poziom bezpieczeństwa stanowi funkcję skuteczności organizacyjnej systemu i jego efektywności operacyjnej. Z jednej strony jest to miarą stopnia kontroli w zakresie ochrony cybernetycznej przemysłowych systemów kontroli i sterowania DCS/SCADA, z drugiej ? zarządzania organizacją ukierunkowanego na odparcie cyberataków (rys. 1). Do oceny efektywności bezpieczeństwa systemu wykorzystywana jest międzynarodowa norma IEC 62443, która definiuje stopień kontroli bezpieczeństwa wymaganego w celu odpierania ataków podejmowanych przez hakerów o określonej charakterystyce (siła, motywacja). Do oszacowania skuteczności operacyjnej stosowany jest model C2M2, przedstawiający sposoby oceny dojrzałości organizacyjnej. Dla porównania: skuteczność bezpieczeństwa systemu to swego rodzaju zapora powstrzymującą ataki, podczas gdy efektywność operacyjna organizacji to fundament, na którym zapora ta się opiera. Oba elementy są równie ważne, chociaż nie zawsze poświęca się im tyle samo uwagi. Obecnie rzadko zdarza się, by nowe środki kontroli bezpieczeństwa były wdrażane bez uwzględnienia ich wpływu na efektywność operacyjną. Możliwe jest porównywanie zakładów przemysłowych pod kątem cyberbezpieczeństwa i wyznaczanie ścieżki pomiędzy docelowym a rzeczywistym poziomem ochrony. Wszystko to przy wykorzystaniu graficznej wizualizacji opartej na dwóch omówionych wcześniej standardach (rys. 2).
<—newpage—>Włączanie elementów kontroli bezpieczeństwa zazwyczaj prowadzi do określenia nowych wymogów zarządzania bezpieczeństwem w ramach organizacji. Wdrażanie nowych układów zabezpieczeń technicznych jest stosunkowo szybkie ? dużo bardziej czasochłonne staje się samo przygotowanie organizacji do skutecznego zarządzania nimi. Plan działania, ilustrujący powiązania pomiędzy wymaganymi procesami w zakresie bezpieczeństwa a środkami potrzebnymi do wdrożenia kontroli w zakresie ochrony, pomaga stworzyć program zabezpieczeń, mający na celu zwiększenie poziomu ochrony w zakładzie.
Jak to zrobić? Norma IEC 62443 określa powiązania pomiędzy wymaganymi środkami bezpieczeństwa potrzebnymi do ochrony przemysłowych systemów kontroli i sterowania DCS/SCADA a profilem atakującego. Profil ten jest opisywany przez poziom zabezpieczeń [SL 1 .. SL 4], podczas gdy środki wymagane, by powstrzymać atak dokonywany z określoną siłą, są definiowane przy wykorzystaniu określonych w normie definicji SLCAPABLE. Pierwsze działania, jakie należy podjąć, polegają na stworzeniu diagramu obszarów oraz kanałów komunikacyjnych dla przemysłowych systemów sterowania, ocenie ryzyka każdego z obszarów oraz dostosowaniu ich do formatu SLCAPABLE określonego w IEC 62443. Jest to możliwe przy wykorzystaniu zarówno normy IEC62443.3.3, jak i normy IEC62443.3.2 (projekt). W celu oszacowania ryzyka korzysta się z wieloaspektowej metody jego oceny. Metoda ta dostarcza dla każdego obszaru bezpieczeństwa informację o poziomie ryzyka, w zależności od takich czynników, jak: narażenie na dany czynnik, dostęp do obszaru oraz, oczywiście, profil atakującego. Poziom ryzyka jest konwertowany na poziom ochrony, przy wykorzystaniu zapisów normy IEC 62443.3.2. Wyznaczony w ten sposób poziom ochrony dostarcza informacji na temat środków bezpieczeństwa, które należy zastosować w celu ograniczenia ryzyka. Wykorzystanie tej metody to szybki sposób na uzyskanie informacji niezbędnych do określenia skuteczności rozwiązań bezpieczeństwa systemu w oparciu o IEC 62443.
Wymogi odnoszące się do poziomu dojrzałości systemów bezpieczeństwa mają bezpośredni związek z wymogami dotyczącymi ich efektywności. Im wyższy poziom bezpieczeństwa, tym wyższy musi być poziom dojrzałości w celu blokowania ataków (rys. 3). Obszary oznaczone na zielono w kwadratach 6, 7, 11, 12 i 16 stanowią obowiązującą docelową kombinację. Dojrzałość MIL 1 wskazuje, że procesy bezpieczeństwa są nadal doraźne i jedynie częściowo zostały zdefiniowane, podczas gdy MIL 2 oraz MIL 3 oznaczają przesunięcie struktury organizacyjnej na poziom środowiska zarządzanego, wykazującego pełną świadomość ryzyka. Niski poziom zabezpieczeń w połączeniu z wysokim poziomem dojrzałości do niczego nie prowadzi, podobnie jak wysoki poziom zabezpieczeń w połączeniu z niskim poziomem dojrzałości.<—newpage—>
Analizując wymogi dotyczące projektowania obowiązujące w różnych branżach (oparte na wykresach ilustrujących projekty oraz profil potencjalnych atakujących), można dostrzec różnice pomiędzy poszczególnymi gałęziamiprzemysłu, wynikające z różnych poziomów ochrony. Ważną kwestią jest tutaj znaczenie danej branży, gałęzi przemysłu. Na rysunku 4 pokazany jest poziom zabezpieczeń przypadający na poszczególne branże. Czasami zakres skali poziomu bezpieczeństwa jest niewielki, jak w przypadku gazociągu, czyli SL3 lub SL 4. W innych przypadkach rozpiętość skali jest dużo szersza. Dzieje się tak w odniesieniu do rurociągów przesyłających substancje ciekłe, gdzie wymagany jest poziom SL 2, SL 3 oraz SL 4, w zależności od ich przeznaczenia oraz czynników geograficznych.
Poza zilustrowaniem tych wyników z uwzględnieniem poziomu rynkowego, możliwe jest również wykorzystywanie danych oraz przyglądanie się rzeczywistym informacjom napływającym z przemysłu, w celuwykrycia ciągle istniejących luk. W oparciu o znaczną liczbę ocen przeprowadzonych przez lata naszej pracy, udało nam się opracować diagram, który prezentuje wyniki profilowania bezpieczeństwa cybernetycznego w zakładach. Ów wykres (rys. 5) pokazuje jednocześnie, że dużo jeszcze pracy przed nami. Możliwe, że ta graficzna prezentacja nie przedstawia nawet rzeczywistej sytuacji w obszarze przemysłowych systemów kontroli i sterowania DCS/SCADA. Wynika to z faktu, że powstała ona jedynie w oparciu o dane z systemów, w których wprowadzono już programy usprawniające. Jeśli przyjrzeć się wykresowi (rys. 5), można zauważyć, że duża część zakładów miała poziom ochrony w polu 1, gdy podejmowano wstępne działania profilujące. Ponadto, biorąc pod uwagę wykres na rys. 3, na którym pola 6, 7, 11, 12 i 16 zostały określone jako osiągalny poziom docelowy uzależniony od branży, zauważamy, że jedynie niewielka część zakładów osiągnęła ten poziom. Jeśli przyjrzeć się z kolei punktom przyznawanym za dojrzałość, łatwo można zaobserwować, że przedsiębiorstwa nadal podchodzą do ochrony bardzo doraźnie ? oznaczenie (MIL 1) MIL 0 wskazuje, że na miejscu nie było żadnego zarządzenia bezpieczeństwem.<—newpage—>
Można przedstawić dużo więcej szczegółów (rys. 6), przyglądając się dokładnie, których poszczególnych aspektów w zakresie bezpieczeństwa brakuje lub których procesów operacyjnych albo nie ma w ogóle, albo są, lecz jedynie częściowo wdrożone. Profilowanie zabezpieczeń idzie w parze z tworzeniem lepiej zabezpieczonego zakładu przemysłowego, a jeśli jest przeprowadzane przez zespół ekspertów z dziedziny zabezpieczeń, takich jak np. zespół ICS Honeywell, staje się również źródłem komfortu informacyjnego dla osób zarządzających i właściciela. Z tego względu jest to dobre rozwiązanie dla każdego zakładu ? te najlepsze już otrzymują informację o tym, na jakim poziomie są ich zabezpieczenia, a te dopiero zaczynające współpracę z programami poprawiającymi systemy zabezpieczeń mogą sprawdzić, jaki poziom zabezpieczeń jest dla nich odpowiedni. Poza wspomnianymi zaawansowanymi danymi, działania w zakresie profilowania dostarczają informacji, które wynikają z diagramu obszarów i kanałów komunikacyjnych oraz danych dotyczących różnych poziomów ryzyka w każdym z obszarów. Pomaga to poprawić bezpieczeństwo funkcjonowania sieci w zakładzie oraz umożliwia szybką identyfikację obszarów krytycznych, czyli obszarów o dużej przestrzeni podatnej na ataki oraz wysokim wskaźniku ryzyka.
Diagram obszarów oraz kanałów komunikacyjnych daje podstawy zarówno do przeprowadzenia oceny zabezpieczeń, jak i projektowania ulepszeń przez identyfikację wszystkich punktów styku w obszarach (ZIP ? Zone Interface Points), w których połączenia pomiędzy obszarami wymagają kontroli ze względu na różny poziom zaufania. Profilowanie bezpieczeństwa cybernetycznego to nie ocena zabezpieczeń ? nie obejmuje ono zbierania danych z systemu. Jednakże z czasem dostarcza kluczowych informacji za niewielką cenę.
<—newpage—>Korzyści
Z profilowania bezpieczeństwa wynikają określone korzyści. Oto kilka z nich:
- wgląd w wymogi zabezpieczeń dla danego zakładu przez określenie niezbędnego poziomu ochrony;
- otrzymywanie informacji na temat możliwego do osiągnięcia rzeczywistego poziomu ochrony, biorąc pod uwagę potencjał bezpieczeństwa oferowany przez istniejące systemy i organizację;
- identyfikacja ścieżki uszczelniania luk, w której zapewnianie większej ochrony idzie w parze z dobrem przedsiębiorstwa;
- posiadanie informacji poglądowych na temat tego, jak wygląda sytuacja na rynku;
- współpraca z zespołem ekspertów z dziedziny bezpieczeństwa sieci, potrafiącym ocenić, które obszary ochrony są kluczowe oraz czy podział na obszary przeprowadzono w należyty sposób;
- wykonanie istotnego kroku w kierunku zabezpieczenia zakładu za relatywnie niską cenę ? potrzebne działania zajmują w sumie dwa tygodnie wspólnej pracy zaangażowanych stron.
<—newpage—>Wnioski
Bezpieczeństwo cybernetyczne w ramach systemów DCS/SCADA nie polega na tymczasowym wdrożeniu rozwiązań technicznych. Powinno być zapewnione w należyty sposób, a to wymaga wszechstronnego programu, który wprowadzi je do przedsiębiorstwa.
Planowanie jest niezbędne, by poprawić zabezpieczenia. Stosunkowo łatwo można wdrożyć zabezpieczenia techniczne, jednak przedsiębiorstwo musi do nich również zostać przygotowane ? stać się bardziej świadome zagrażającego mu ryzyka i lepiej zarządzane. To oczywiście wymaga czasu i nie można nie doceniać wagi tego kroku.
Bezpieczeństwo cybernetyczne to kwestia wymagająca ciągłej uwagi ? nie można o nim zapomnieć po przeprowadzeniu oceny i minimalizacji ryzyka. Planowanie działań przedsiębiorstwa oraz dostosowywanie ich do etapu, na jakim obecnie ono się znajduje, to istotny wymóg, który należy spełnić, by osiągnąć sukces.
Przyglądając się danym zebranym na przestrzeni lat, dochodzimy do wniosku, że cel nie został jeszcze osiągnięty. Oczywiście nie ma się czego wstydzić, ponieważ ochrona przed cyberatakami to złożone zadanie. Struktura przemysłowych systemów kontroli i sterowania DCS/SCADA jako zbioru podsystemów, które są ze sobą silnie powiązane, jest niezwykle istotna dla zachowania ciągłości produkcji oraz bezpieczeństwa zakładu. Dlatego największe przedsięwzięcia powinny być podejmowane wtedy, gdy zakład nie pracuje, a te mniej kluczowe wówczas, gdy tylko nadarzy się do tego sposobność. Jednak czegokolwiek by się nie robiło, trzeba mieć pewność, że podejmowane kroki wynikają z zagrażającego ryzyka i są zgodne z normami międzynarodowymi.
Profilowanie bezpieczeństwa to bardzo solidne narzędzie, które jest potrzebne do usprawnienia pracy. Stanowi dużą wartość dla osób zarządzających i właścicieli zakładów przemysłowych, przy relatywnie niskich nakładach i niewielkim wysiłku, jeśli tylko wykonywane jest przez specjalistów mających odpowiednią, fachową wiedzę z zakresu cyberbezpieczeństwa, systemów automatyzacji oraz sterowania procesami.
Autor: Sinclair Koelemij, ekspert ds. cyberbezpieczeństwa OT
Tekst pochodzi z nr 3/2016 magazynu "Control Engineering". Jeśli Cię zainteresował, ZAREJESTRUJ SIĘ w naszym serwisie, a uzyskasz dostęp do darmowej prenumeraty w formie drukowanej i/lub elektronicznej.
