Ten artykuł to druga część publikacji “Roboty przemysłowe a cyberataki“, podczas gdy w części pierwszej omówiliśmy podatności m.in. związane z routerami przemysłowymi. Co więcej, poruszyliśmy temat problemów z oprogramowaniem, podatnościami, dostępem itp. Artykuł zakończyliśmy przedstawieniem rodzajów atakujących a teraz przejdziemy do konkretnych form zagrożeń. Jakie cyberataki stanowią zagrożenie dla robotów przemysłowych? Jakie scenariusze wydarzeń mogą nastąpić? Oraz jak poprawić bezpieczeństwo robotów przemysłowych?

Ataki specyficzne dla robotów przemysłowych

Prace badaczy zaowocowały we wnioski, że pewne kombinacje luk w oprogramowaniu umożliwiają określone klasy ataków, które są unikalne dla robotów przemysłowych. Eksperci z Trend Micro i Politechniki Mediolańskiej odkryli pięć klas ataków opartych na obserwacji, że robot pracujący w normalnych warunkach powinien być w stanie zrealizować zadania: Dokładnych odczytów z czujników, logiki sterowania oraz wykonywania precyzyjnych ruchów, zaniechania wyrządzania krzywdy ludziom. Zamiast tego, szereg ataków przeprowadzony przez zespół badaczy dowiódł, że żadna z tych wytycznych nie jest zapewniona. Ataki sklasyfikowano w tabeli jak poniżej:

Zestawienie ataków testowanych przez badaczy z Trend Micro i Politechniki Mediolańskiej, wraz z konkretnymi efektami i naruszonymi obszarami

Atak 1: Zmiana parametrów pętli sterowania

Atak ten dotyczy poziomu serwomechanizmu (patrz poniżej). Opiera się on na założeniu, że kinematyka i parametry konfiguracyjne są odczytywane z pliku lub w inny sposób definiowane w czasie wykonywania. Służy to elastyczności i ponownemu wykorzystaniu kodu, jednak zostawia przestrzeń dla atakującego. Jeśli ma on dostęp do pliku konfiguracyjnego, może zmodyfikować te parametry. Dla atakującego najciekawszymi parametrami do modyfikacji są te, które wpływają na ruchy robota – skrajna modyfikacja, która może całkowicie naruszyć wymagania funkcjonalne i bezpieczeństwa.

Abstrakcyjna reprezentacja architektury systemu sterowania sterownika robota przemysłowego

Atak 2: Zmiana parametrów kalibracji

Atak ten jest ukierunkowany na poziomy przetwarzania sensorycznego i modelu wiedzy systemu sterowania (rysunek powyżej). Istotne jest, aby każdy system sterowania znał dokładne położenie osi i obliczał błędy. Przy pierwszym podłączeniu robota do kontrolera lub po zmianie konfiguracji urządzenie wykrywające musi zostać skalibrowane. Sterownik wykorzystuje dane kalibracji, aby skompensować znane błędy pomiaru podczas wyzwalania serwomotorów. Dane kalibracyjne zapisane są początkowo w urządzeniu pomiarowym, dalej zaś są przesyłane do sterownika podczas rozruchu systemu. Następnie kontroler używa lokalnej kopii danych.

Gdy robot nie porusza się, atakujący może manipulować parametrami kalibracji na kontrolerze. Podczas gdy zacznie się poruszać, takie manipulowanie może zmusić serwomechanizm do pracowania nieregularnie lub nieoczekiwanie, ponieważ prawdziwy błąd mierzonego sygnału różni się od błędu, który zna sterownik. W konsekwencji narusza to wszystkie wymogi. Ponadto, jeśli atakujący wielokrotnie uruchamia manipulacje, może to zakończyć się efektem DoS. Roboty przemysłowe pozostają wówczas w stanie zatrzymania.

Atak 3: Manipulacja logiką produkcji

Atak ten odnosi się do poziomu zadań, w szczególności programu zadań, który osadza logikę produkcji. Jeśli kontroler nie wymusza integralności programu od początku do końca, osoba atakująca może wykorzystać system plików lub lukę obejścia uwierzytelniania, aby dowolnie zmienić zadanie programu. Na przykład może wstawić umieścić błędne instrukcje powodujące usterki, zmodyfikować przedmiot obrabiany lub całkowicie naruszyć proces produkcyjny firmy.

Atak 4: Zmiana postrzeganego przez użytkownika stanu robota

Interfejs operatora musi dostarczać aktualnych informacji co najmniej o stanie silnika (włączony / wyłączony) i trybie pracy (ręczny / automatyczny). Ponadto normy wymagają, aby warunki krytyczne dla bezpieczeństwa (np. ponowne uruchomienie robota ze stanu zatrzymania) wymagały celowego potwierdzenia użytkownika. Niestety, niektóre z tych warunków są komunikowane i wymagają interakcji użytkownika za pomocą oprogramowania, a nie za pomocą komponentów elektrycznych (np. przycisków). Tak jest w przypadku obecnych modeli botów. Zatem wpływając na zwykły interfejs użytkownika (UI) można przeprowadzić atak modyfikacyjny. Zmiana UI mogłaby ukryć lub zmienić prawdziwy status robota, oszukując operatorów aby dokonywali błędnych ocen ryzyka, a tym samym stwarzając znaczne zagrożenie bezpieczeństwa.

Atak 5: Zmiana stanu robota (fizycznego)

Atakujący może wykroczyć poza zmianę postrzeganego stanu robota. W pewnych warunkach atakujący może zmienić prawdziwy stan robota, gdy operator pozostaje nieświadomy. Atak ten można połączyć z innymi atakami 1-4, aby uzyskać większy efekt. Na przykład przedmiot obrabiany może zostać zmieniony a sterownik robota tego nie odnotuje.

Możliwe scenariusze zagrożeń dla robotów przemysłowych

Cyberprzestępcy są motywowani różnymi celami, które głównie mają charakter finansowy. Nawet jeśli działają na zlecenie polityczne, to i tak ich praca musi być dla nich opłacalna. Mogą też tworzyć większą sieć, która realizuje cele biznesowe. Biorąc pod uwagę krytyczne dla bezpieczeństwa i gospodarki cele, jakie obierają atakujący, zainteresowanie bezpieczeństwem przemysłu przez organy państwowe powinno być na porządku dziennym. Organizacje, które nie przeszły odpowiednich przeglądów bezpieczeństwa w odniesieniu do korzystania z podłączonych robotów, mogą być zagrożone atakami opisanymi w poprzednim punkcie. Na podstawie podatności odkrytych podczas prac nad raportem, analitycy określają poniższe scenariusze zagrożeń jako możliwe:

Scenariusz 1: Zmiana lub sabotaż

Wykorzystując sterowanie robotem, hakerzy są w stanie umieścić celowe mikrodefekty do obrabianego przedmiotu. Wygląda to niewinnie. Taki scenariusz to nie jest przecież całkowite zniszczenie każdego etapu linii produkcyjnej. Aczkolwiek, ewentualność taka stanowi ważny punkt wejścia, który operatorzy robotów przemysłowych muszą wziąć pod uwagę. W skutek mikrobłędów pewna liczba produktów może stać się bezużyteczna. Ponieważ duże partie są testowane przez dział kontroli jakości, wadliwe produkty nie trafią do klienta, ale będą stratą. Zależnie od rodzaju przedmiotu i jego defektu, może on przejść kontrolę, a jego wada ujawni się dopiero w toku użytkowania. W skrajnych przypadkach może wówczas dojść do obrażeń lub śmierci u użytkowników.

Robot ABB przy pracy

Scenariusz 2: Ataki ransomware

Ransomware to temat rzeka i niestety w środowiskach przemysłowych oferuje wyjątkową możliwość zarabiania. W zależności od dokładności i charakteru kontroli jakości, która jest wdrażana w obiekcie docelowym oraz od tego, jaki inny mechanizm sprawdzający istnieje, osoba atakująca może ukradkiem wprowadzić mikrodefekty w łańcuchu produkcyjnym. Następnie będzie śledzić, które produkty są dotknięte takimi mikrodefektami, a później skontaktuje się z producentem, prosząc o okup, w zamian za nieujawnianie, które partie zostały naruszone.

Jeśli przestępcom się powiedzie, a wartość dóbr i ewentualne straty przewyższą koszt żądania okupu, dostawcy mogą rozważyć płatność. Jest to hipotetyczny scenariusz, ponieważ musi istnieć wiele czynników, a napastnicy mogą wybrać szybsze sposoby na czerpanie korzyści z ofiar. Jeśli jednak odniosą sukces i będą w stanie zaprezentować uszkodzenie, ten mechanizm może zadziałać jak dźwignia dla kolejnych pomysłów.

Scenariusz 3: Uszkodzenia fizyczne robotów przemysłowych

Osoba, która może kontrolować robota, może również uszkodzić jego części, a według analityków – nawet spowodować obrażenia osób, które ściśle z nim współpracują. Ten scenariusz mógłby stać się rzeczywistością jeśli zaistniałyby okoliczności opisane w przypadku dwóch ataków: Po pierwsze, atakujący może zmienić stan robota postrzegany przez człowieka, zmieniając informacje o statusie wyświetlane na urządzeniu HRI. Po drugie, atakujący może zamiast tego zmienić prawdziwy stan robota bez zauważenia tego przez jego operatora. Póki co takie informacje nie docierają do publicznej świadomości, zapewne ze względu na fizyczne ograniczenia. Jednakże w dobie IoT możemy się spodziewać, że atakujący znajdą takie obejście, które pozwoli na wyłączenie wszystkich funkcji zabezpieczeń.

Scenariusz 4: Zakłócenia procesu produkcyjnego

W zależności od stopnia szkód spowodowanych atakiem cybernetycznym, produkcja może zostać natychmiast uruchomiona ponownie lub po dłuższym czasie. Atakującym szczególnie zależy na tym drugim wariancie. Możliwym scenariuszem jest zastosowanie przez nich modyfikacji w postaci np. nagłego zwiększenia siły ramienia robota. Aktywuje się na po ponownym uruchomieniu. Wówczas może on uszkodzić części linii produkcyjnej, zmuszając operatora do zatrzymania produkcji na danym kroku. W efekcie, spowoduje to opóźnienia w produkcji, które przekładają się na pracę całej organizacji a także mogą mieć różne konsekwencje finansowe.

Scenariusz 5: Wyciek wrażliwych danych

Robot przemysłowy jest „tylko” elementem komputera podłączonego do sieci fabrycznej. Jeśli nie jest poprawnie “załatany” od strony programowej, reprezentuje otwarty punkt wejścia do sieci. Ponadto ze względu na zadania, które musi wykonać, czasami przechowuje poufne dane (np. kod źródłowy lub informacje o harmonogramach i wolumenach produkcji). Nierzadko takie informacje stanowią tajemnice branżowe. Również parametry kalibracji robota, są chronione zarówno przez dostawców, jak i użytkowników, aby zapobiec nieautoryzowanemu dostępowi. Jak pokazuje to praca badaczy z Trend Micro i Politechniki Mediolańskiej, istniejące mechanizmy ochrony są często niewystarczające. Jeśli atakujący namierzy podatnego robota, będzie mieć bezpośredni dostęp do takich danych. Oznacza to kłopoty dla firmy padającej ofiarą oraz cenne informacje dla konkurencji.

Holistyczne podejście do tematu szansą na poprawę bezpieczeństwa robotów przemysłowych

Nawet najprostsze podatności i luki w bezpieczeństwie mogą posłużyć do przeprowadzenia złożonych ataków w sieciach, gdzie pracują roboty przemysłowe. To, co zaprezentowano na łamach raportu Trend Micro, uświadamia, że zbudowanie bardziej bezpiecznego ekosystemu robotyki to spore wyzwanie. Nie będzie ono polegać wyłącznie na poprawie jakości wbudowanego oprogramowania działającego na robotach, ani na zwiększeniu liczby ujawnionych podatności i szybszych poprawek. Potrzeba jest zmiana całego podejścia do kwestii bezpieczeństwa.

Roboty przemysłowe marki Hyundai przy pracy

Standardy zabezpieczeń i bezpieczeństwa cybernetycznego

Standardy robotów przemysłowych kładą nacisk na wymogi bezpieczeństwa, takie jak funkcje zatrzymywania, zmianę sterowania, ograniczenia prędkości i zakresu ruchu. Niestety, żaden ze standardów nie uwzględnia wyraźnie zagrożeń cyberprzestrzeni, podczas gdy badania jasno pokazują, że pewne scenariusze zagrożeń i ataków są wykonalne. W niektórych przypadkach, za naruszenia bezpieczeństwa przewidziane są zbyt łagodne konsekwencje. Badacze mają tez wiele zarzutów w stosunku do organów przeprowadzających ocenę ryzyka. W myśl tego, standardy bezpieczeństwa dla robotów przemysłowych powinny zostać ponownie przeanalizowane przez odpowiednie organy normalizacyjne.

Środki bezpieczeństwa i wyzwania dla robotów przemysłowych

Projektanci maszyn i robotów przemysłowych stają przed niewątpliwie trudnym zadaniem, jakim jest zaprojektowanie bezpiecznej architektury. Chcąc nie oszczędzać na funkcjach wykonawczych, czasem pogarszają te związane z dostarczaniem aktualnych aktualizacji zabezpieczeń. W porównaniu z innymi systemami technologii informacyjno-komunikacyjnych, roboty przemysłowe mają bardzo długą żywotność. Pociąga to za sobą ryzyko, że będą posiadać jakieś wbudowane podatności – czyli dobrze znane producentom luki bezpieczeństwa, które nigdy nie zostaną załatane.

W wielu przypadkach brakuje też hardeningu na poziomie systemu, co sprawia, że wykorzystanie luki jest łatwiejsze niż w normalnym systemie operacyjnym. Ten problem pogłębiają też zachowania klientów – użytkowników rozwiązań. Potrafią oni powstrzymywać się od terminowego aktualizowania systemów sterowania m.in. robotami przemysłowymi z obawy przed przestojami lub problemami. W tym miejscu po raz kolejny kłania się brak podstawowych zasad bezpieczeństwa. Doświadczenie wielu specjalistów bezpieczeństwa pokazuje, że takie praktyki są stosowane nagminnie. W postawach osób odpowiedzialnych za systemy IT & OT powielane są dwa wzorce. Albo testowania „na produkcji” albo odwlekania w czasie aktualizacji do momentu, gdy jest za późno. Niestety, żadna z tych postaw nie służy przedsiębiorstwom. Chcąc zadbać o bezpieczeństwo robotów przemysłowych, należy w pierwszej kolejności podnieść poziom cyberbezpieczeństwa organizacji w ogóle.

Ludzka interakcja

Należy wprowadzić mechanizmy bezpieczeństwa, które zapewniają, że operatorzy będą mogli w bezpieczny sposób zaradzić nieoczekiwanym lub niepożądanym zachowaniom robota. Większa lub bardziej bezpośrednia możliwość interakcji ze strony człowieka mogłaby zmienić wynik niektórych ataków, jakie opisaliśmy. Jeśli awaryjne przystanki bezpieczeństwa są prawidłowo realizowane za pomocą przełączników elektromechanicznych, operator może całkowicie zatrzymać robota, jeśli zauważy coś złego. Nie dotyczy to jednak mniej widocznych scenariuszy ataku. A już zwłaszcza tych bardzo wyrafinowanych.

Wykrywanie ataków i poprawa bezpieczeństwa systemów

Potrzebne są skuteczne i łatwo stosowane metody wykrywania ataków, aby zapewnić rozwiązanie w zakresie krótko- i średnioterminowego łagodzenia zagrożeń. Szczegółowe wytyczne i rekomendacje znajdują się w raporcie – link

Robot przemysłowy marki FANUC

Jak poprawić bezpieczeństwo robotów przemysłowych?

Nowa generacja robotów przemysłowych współpracuje z ludźmi, pomagając im, a nie tylko wykonując zautomatyzowane operacje. Dlatego roboty te muszą być zabezpieczone w pierwszej kolejności. Przede wszystkim w kontekście bezpieczeństwa ludzi, którym zagraża zdalne hakowanie robota, co niestety jest możliwe.

Sposobem na zminimalizowanie powierzchni zagrożeń jest weryfikacja specyfikacji robota przemysłowego. Zwłaszcza jeśli chodzi o zapisy dotyczące bezpieczeństwa cybernetycznego. Badacze z IOActive radzą wyraźnie:. “Jeśli w materiałach marketingowych jest niewiele lub nie ma żadnych informacji o zabezpieczeniach, to nie jest to dobry wskaźnik”. Warto zwrócić uwagę również na wymóg szyfrowania komunikacji z dowolnym punktem końcowym podłączonym do robota.

Kolejną poradą jest uwierzytelnianie, które ma zapobiec przejęciu kontroli nad robotami przemysłowymi w skutek braku mechanizmu uwierzytelniania. Nasza ostatnia publikacja o dwuskładnikowym uwierzytelnianiu (2FA) zahacza o tematykę cyberbezpieczeństwa w przemyśle. Podobnie do 2FA warto rozważyć izolację komponentów i segmentację sieci. Badacze tłumaczą, że odseparowanie krytycznych komponentów ma szczególne znaczenie dla bezpieczeństwa całej organizacji. Zapobiega bowiem przejściu zagrożenia z mniej potencjalnie bardziej podatnych części infrastrktury.

Wdrażane rozwiązania bezpieczeństwa dla robotów przemysłowych i infrastruktury IT & OT mają wiele do wykonania. Przede wszystkim powinny nakładać dodatkowe bariery i zapewniać głębokie kontrole ruchu (Deep-packet Inspection). Dzięki temu umożliwią dostęp tylko dla użytkowników zweryfikowanych przez wiele źródeł i pomogą zapobiec wielu cybertakom.

Źródło

https://documents.trendmicro.com/assets/wp/wp-industrial-robot-security.pdf

https://www.newequipment.com/plant-operations/six-things-know-about-industrial-robot-cyber-security

https://robosec.org/

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *