Przemysł stał się jednym z głównych celów ataków cyberprzestępców. W latach 2006-2012 liczba incydentów zagrażających bezpieczeństwu przemysłu na świecie wzrosła aż o 782 proc., mimo, że w niemal 60 proc. obiektów przemysłowych wdrożono programy do zarządzania bezpieczeństwem i ochrony przed złośliwym oprogramowaniem – wynika z danych firmy Schneider Electric.
Skuteczna walka z cyberatakami w przemyśle związana jest z szeregiem wyzwań, którym trzeba sprostać, aby podjęte działania w zakresie obrony miały szansę powodzenia. Do takich wyzwań zalicza się coraz bardziej otwarte środowiska przemysłowe zorientowane na zdalną pracę grupową. W przeszłości większość sieci przemysłowych była odizolowana. Z czasem jednak doszło do transformacji architektury systemów przemysłowych i wprowadzono mechanizmy umożliwiające pracę grupową oraz wewnętrzną i zewnętrzną integrację.
– Kadra kierownicza potrzebuje dziś dostępu do danych gromadzonych w czasie rzeczywistym, wykorzystywanych do tworzenia analiz i raportów oraz w procesie decyzyjnym. W ciągu ostatnich kilkudziesięciu lat przemysłowe systemy sterowania stawały się coraz mniej odizolowane, w związku z coraz powszechniejszym wykorzystywaniem urządzeń internetowych, bezprzewodowych i mobilnych w tych środowiskach. Co więcej, tradycyjne systemy sterowania nie były tworzone z myślą o obronie przed dzisiejszymi zagrożeniami – mówi Ireneusz Martyniuk, wiceprezes Pionu Przemysłu w Schneider Electric Polska.
Jak wskazują dane Repository for Industrial Security Incidents ok. 35 proc. incydentów związanych z atakami na przemysłowe systemy sterowania zostało zainicjowanych zdalnie. Nie jest to zaskakujące, jeśli weźmiemy pod uwagę, że w niemal 65 proc. obiektów możliwe jest uzyskanie zdalnego dostępu do systemów sterowania.
Kolejnym wyzwaniem jest niska świadomość ryzyka i bierność osób odpowiedzialnych za bezpieczeństwo, szczególnie w sektorze wytwórczym i produkcyjnym. Osoby te albo są nieświadome zagrożenia cyberatakami, albo niechętnie podejmują się wdrażania strategii bezpieczeństwa, ponieważ inwestycje w tym obszarze wydają się nie przynosić wymiernego zwrotu, mierzalnego współczynnikiem ROI.
Nie bez znaczenia jest również coraz częstsze korzystanie z komercyjnych, gotowych rozwiązań IT w środowiskach przemysłowych. Stopniowy zwrot w kierunku rozwiązań IT w przemyśle miał na celu uzyskanie korzyści biznesowych oraz ułatwienie realizacji operacji i integracji procesów Jednocześnie naraził on systemy sterowania na ataki złośliwego oprogramowania i zagrożenia wycelowane w systemy komercyjne. Na końcu wszystkich tych problemów pojawia się wyzwanie związane ze zbyt słabo wykwalifikowanym personelem. Pomimo, iż w sektorze przemysłowym pracuje wielu wysoko wykwalifikowanych pracowników operujących na systemach zautomatyzowanych, to nie przekłada się to na adekwatny poziom kompetencji w obszarze przemysłowych sieci IT. To luka, która blokuje możliwość opracowania całościowej strategii obrony i zapobiegania zagrożeniom w danej organizacji.
Odpowiednie zabezpieczenie przemysłu przed atakami jest jednak możliwe przy stworzeniu odpowiedniej strategii obrony. W kwestiach związanych z cyberbezpieczeństwem zaleca się przyjęcie strategii głębokiej obrony. – Defense-in-Depth. Jest to hybrydowa, wielopoziomowa, strategia bezpieczeństwa oferująca holistyczną ochronę całemu przedsiębiorstwu. Uważamy, że powinna ona stać się standardem w przemysłowych obiektach przyszłości – przekonuje Ireneusz Martyniuk.
Pogłębiona strategia obrony powinna więc objąć 6kluczowych elementów. Pierwszym z nich jest przygotowanie planu zabezpieczeń, czyli polityki i procedur obejmujących ewaluację i ograniczanie ryzyka oraz metody przywracania funkcjonowania systemu po awarii.
Drugim elementem jest separacja sieci, gdzie następuje oddzielanie systemów sterowania i automatyzacji przemysłowej od innych sieci przy pomocy "stref zdemilitaryzowanych" (DMZ – demilitarized zones). Strefy te mają za zadanie ochronę systemów przemysłowych przed poleceniami i informacjami napływającymi z sieci firmowej.
Trzeci obszar to ochrona na granicach sieci – zapory firewall, weryfikacja tożsamości, autoryzacja dostępu, sieci VPN (IPsec) i oprogramowanie antywirusowe, blokujące dostęp osobom bez uprawnień.
Czwarty element to segmentacja sieci, czyli ograniczenie zasięgu potencjalnych naruszeń bezpieczeństwa do jednego segmentu. Odbywa się to przy pomocy przełączników sieciowych i sieci VLAN, dzielących sieć na kilka podsieci i ograniczających wymianę danych pomiędzy nimi. Pomaga to ograniczyć negatywne skutki ataku złośliwego oprogramowania do jednego segmentu, redukując straty w całej sieci.
Piątym elementem skutecznej strategii jest wzmacnianie ochrony urządzeń poprzez zarządzanie hasłami, zdefiniowane profile użytkowników i zatrzymanie zbędnych procesów w celu podniesienia poziomu bezpieczeństwa urządzeń.
Ostatnim etapem powinien być monitoring i aktualizacje, polegające na kontroli aktywności operatora i komunikacji w obrębie sieci, jak również regularne aktualizacje oprogramowania.
– Pomimo tego, że strategia zaleca stworzenie i wdrożenie całościowego planu, wiele organizacji błędnie zakłada, że oznacza to przyjęcie postawy "wszystko albo nic". W takiej sytuacji warto odnieść się do metody działań krok po kroku, która może być pomocna w poszukiwaniach najlepszego sposobu działania dla danej organizacji – mówi Ireneusz Martyniuk.
W przypadku planowania strategii cyberbezpieczeństwa, najlepsza praktyka polega na całościowym uwzględnieniu wszystkich wymogów bezpieczeństwa, bez ograniczania się do cyberbezpieczeństwa. Dlatego też, zarządcy przedsiębiorstw przemysłowych jak i specjaliści powinni uwzględnić w swojej strategii również rozwiązania z dziedziny systemów sterowania dla przemysłu, kontroli dostępu do budynków, rozwiązań dla centrów danych, urządzeń do dystrybucji energii, a także systemów bezpieczeństwa (w tym nadzoru wideo, kontroli dostępu, systemu ochrony pożarowej i ratowania życia oraz wykrywania włamań). Daje to pewność, że plan ochrony wrażliwych punktów będzie naprawdę całościowy i kompletny.