Utwardzanie komputerów polega na uczynieniu ich systemów odpornymi na cyberataki. Inżynierowie pracujący w przemyśle stają się coraz bardziej świadomi konieczności utwardzania systemów i sprzętu informatycznego. W artykule opisujemy w skrócie sześć etapów wdrażania tych zabezpieczeń.
Ponieważ cyberataki na zakłady przemysłowe zdarzają się coraz częściej, coraz więcej firm podejmuje aktywne działania w celu ochrony swoich kluczowych systemów sterowania. Doradcy i konsultanci, zarówno wewnętrzni, jak i zewnętrzni, często dostarczają personelowi kierowniczemu zakładów listę wymagań i zaleceń na temat ogólnego zwiększenia poziomu cyberbezpieczeństwa. Ta lista niemal zawsze zawiera wymaganie ?utwardzenia? komputerów przemysłowych.
Utwardzanie (ang. hardening) to proces uczynienia komputera bardziej odpornym na cyberzagrożenia ? zarówno złośliwe ataki, jak i przypadkowe infekcje szkodliwym oprogramowaniem. Utwardzanie dokonywane jest poprzez likwidowanie znanych luk w zabezpieczeniach i takie konfigurowanie systemu operacyjnego, aby uniemożliwiał osobom nieupoważnionym uruchamianie programów i modyfikowanie plików oraz rejestrowanie aktywności w systemach.
Komputer przemysłowy nigdy nie będzie całkowicie odporny na cyberwłamania, jednak proces utwardzania dodaje do systemów przemysłowych dodatkowe warstwy cyberzabezpieczeń. Dlatego warto zapoznać się z sześcioma różnymi obszarami utwardzania, z których każdy zasługuje na dokładniejsze zgłębienie. Przytoczone niżej skrótowe opisy będą tu dobrym punktem startowym.
1. Aktualizacje oraz instalowanie łatek oprogramowania przemysłowych komputerów PC
Żadna metoda zabezpieczenia systemu komputerowego przed cyberatakiem nie jest doskonała. Każdy element sprzętowy oraz oprogramowania może zawierać słabe punkty albo luki w zabezpieczeniach. Producenci oprogramowania publikują aktualizacje oraz łatki, które likwidują potencjalne i znane luki. Regularne instalowanie tych aktualizacji i łatek jest jednym z najlepszych sposobów utrzymywania komputera odpornym na cyberatak. Natomiast jeśli łatki opracowane na podstawie zidentyfikowanych nowych metod włamań nie są instalowane oraz gdy czas, jaki upłynął od tej identyfikacji do zainstalowania, jest zbyt długi, to maszyna ciągle staje się bardziej wrażliwa na cyberataki.
W świecie przemysłowym zatrzymywanie produkcji raz na tydzień w celu zainstalowanie poprawek oprogramowania jest często niepraktyczne. Zalecane jest jednakże posiadanie harmonogramu instalowania aktualizacji i łatek, na przykład raz na kwartał. Ważną jest też świadomość, że nie każda łatka powinna być natychmiast zainstalowana. W przypadku oprogramowania sterującego od producenta wyposażenia oryginalnego (OEM) ryzyko wystąpienia awarii oprogramowania przemysłowego na skutek zainstalowania nieprzetestowanej łatki jest wysokie. Większość producentów OEM ma swój własny program testowania oprogramowania, który dokonuje weryfikacji łatek dla systemu operacyjnego na własnym sprzęcie i czasami na podstawie wyników testów producent opracowuje odpowiednie aktualizacje dla swoich systemów sterujących.
2. Kontrola dostępu do plików w przemysłowych komputerach PC
Podobnie jak każdy komputer, przemysłowy PC jest zagrożony podłączeniem zewnętrznego nośnika danych, zawierającego wirusy. Osoba podłączająca taki nośnik wcale nie musi mieć złych zamiarów, może to być np. pracownik fabryki, który chce pokazać koledze z pracy zdjęcia swoich dzieci znajdujące się na prywatnym pendrivie. Jednak mający dobre zamiary inżynier, który musi przenieść jakiś plik z danymi, może zamiast pendrive?a użyć przenośnego dysku twardego, stosując przy tym bezpieczne metody transferu danych. Systemy, które skanują pliki pod kątem zagrożeń, są często nieaktualne, dlatego też prostsze może być ustawienie całkowitego zabezpieczenia przed dostępem do nowych systemów plików. Nie ma znaczenia, czy podłączane urządzenie jest zainfekowane, czy też nie, jeśli system operacyjny odmawia rozpoznania znajdujących się tam plików.
3. Ochrona przed dostępem przemysłowych komputerów PC do sieci niezaufanych
Znalezienie dowodów na istnienie połączeń komputerów przemysłowych z sieciami niezaufanymi nie jest wcale trudne. Niezależnie od tego, czy będzie to połączenie z hotspotem za pomocą Wi-Fi w celu obejrzenia filmiku na YouTube, czy podłączenie smartfona do PC kablem USB w celu naładowania baterii, każde połączenie sieciowe inne niż z autoryzowaną przemysłową siecią sterowania stanowi wysokie ryzyko. Dlatego też po ustanowieniu połączeń komputera IPC z wyznaczoną siecią należy zablokować w nim możliwość połączeń ze wszystkimi innymi sieciami.
4. Zapobieganie możliwości uruchamiania programów oraz modyfikacji plików na komputerach PC przez nieautoryzowanych użytkowników
Działania komputera opierają się na oprogramowaniu, które jest w nim uruchomione. Na przemysłowym komputerze PC dozwolone mogą być programy przeznaczone do normalnego używania. Autoryzowani użytkownicy powinni być jedynymi osobami, które mają pozwolenie na uruchamianie wymaganych przez siebie programów. Natomiast nieautoryzowani użytkownicy nie powinni mieć możliwości uruchamiania programów, nieważne, czy niezaufanych, czy nawet zaufanych. Podobnie możliwość modyfikacji plików na dysku komputera PC powinna być ograniczona tylko do autoryzowanych procesów i użytkowników.
5. Zainstalowanie na przemysłowych komputerach PC oprogramowania typu firewall, które chroni przed niezaufanym ruchem sieciowym
Firewalle programowe (ang. host-based firewalls, host firewalls) to programy zainstalowane i uruchamiane na komputerze, które chronią go przed nieautoryzowaną komunikacją sieciową, działając jak zapora sieciowa. Mogą one ograniczać typy danych, które mogą być wymieniane, protokoły wykorzystywane do wymiany danych oraz jej punkty końcowe. Natomiast firewalle sprzętowe (network-based firewalls) to także zapory sieciowe, które powinny blokować niepożądany ruch sieciowy we wszystkich lokalizacjach, gdzie urządzenia te są fizycznie zainstalowane. Jednak przeważnie nie jest możliwe zainstalowanie ich dla każdego indywidualnego komputera osobno. Dlatego zainstalowanie oprogramowania typu firewall na każdym komputerze PC zapobiegnie niepożądanej komunikacji sieciowej pomiędzy komputerami, które znajdują się w tej samej fizycznej strefie sieci.
6. Rejestrowanie aktywności przemysłowych komputerów PC, zarówno w celu wykrywania cyberwłamań w czasie rzeczywistym, jak i późniejszego analizowania tych zdarzeń
Rejestrowanie aktywności w systemie niekoniecznie powoduje utwardzanie pojedynczego komputera przez samego siebie, jednak może pomóc w ogólnym utwardzaniu systemów, które zawierają te komputery. Cała aktywność komputera, taka jak zdarzenia w sieci, sukcesy i odmowy uwierzytelnienia użytkownika, aktualizacje systemu plików oraz wiele innych, powinna być zapisywana w innej lokalizacji niż dany lokalny komputer. Scentralizowany system zarządzania zdarzeniami może oceniać zarejestrowane wydarzenia po ich wystąpieniu w celu wykrycia potencjalnie negatywnych działań i zalecać podjęcie działań zapobiegawczych. Zapis zdarzeń historycznych może być pomocny w analizie cyberataku już po fakcie, dzięki czemu można zidentyfikować konkretne luki w zabezpieczeniach i je likwidować.
Utwardzanie przemysłowych komputerów PC oraz systemów w opisanych wyżej sześciu obszarach może być wdrożone do pewnego stopnia za pomocą narzędzi i funkcji wbudowanych w większości systemów operacyjnych. To zadanie wymaga specyficznej wiedzy na temat systemu operacyjnego, wymagań bezpieczeństwa oraz ich wzajemnej interakcji z oprogramowaniem przemysłowym, uruchamianym na każdej maszynie. Można też zakupić oprogramowanie z kategorii bezpieczeństwa, które będzie realizowało te zadania w prostszy w obsłudze sposób. Niektóre zakłady przemysłowe zatrudniają własnych inżynierów oraz informatyków, którzy mają wymagane umiejętności wdrażania i utrzymywania programu utwardzania zasobów, jednak wiele zakładów takiego personelu nie zatrudnia. W takiej sytuacji można nawiązać współpracę z wyspecjalizowaną firmą informatyczną, która może pomóc zarówno w utwardzeniu systemu według wymagań, jak i długoterminowej konserwacji.
Gdy zakład przemysłowy wynajmuje wyspecjalizowaną firmę zewnętrzną do wdrożenia oraz konserwacji utwardzenia systemu informatycznego, jednocześnie wykorzystując dostępne w handlu oprogramowanie zabezpieczające, to ważne jest zorientowanie się, czy personel inżynierski tego zakładu nadal musi być zaangażowany w obsługę i monitorowanie tego systemu. Utwardzanie komputerów przemysłowych nie jest działaniem jednorazowym, tylko procesem ciągłym, który musi być cały czas analizowany i aktualizowany.
Robert Henderson, główny inżynier w firmie Maverick Technologies, będącej partnerem CFE Media ds. treści
