Rośnie świadomość kwestii cyberbezpieczeństwa wśród różnych grup społecznych – i jest to pożądane zjawisko. Nie trzeba dziś być zapalonym miłośnikiem komputerów aby wiedzieć czym jest wirus i po co instalować dedykowane oprogramowanie ochronne. Te pozytywne zmiany dotyczą również podejścia biznesowego. Coraz więcej osób interesuje się branżą IT, tematyką bezpieczeństwa i dziedzinami pokrewnymi. Wciąż jednak często pomija się aspekt infrastruktury przemysłowej. W przeciwieństwie do takich tematów jak zabezpieczanie poczty email czy służbowych smartfonów, bezpieczeństwo systemów OT rzadko kiedy jest poruszane przez popularne media. A przecież to właśnie sieć technologii operacyjnych i infrastruktura przemysłowa stają się coraz częstszym celem ataków cybernetycznych.

miasto
Współczesność przynosi nieodwracalne zmiany w postrzeganiu cyberprzestrzeni jako potencjalnego zagrożenia dla całych miast

Dziś ofiarami ataków mogą padać nie tylko korporacje, ale i fabryki, elektrownie a czasem całe miasta. W zeszłym tygodniu zachodnie portale rozpisywały się o sytuacji w Johannesburgu. 25 lipca miał miejsce udany atak ransomware na dostawcę energii elektrycznej w stolicy RPA. Oprogramowanie zaszyfrowało firmową bazę danych, sieć wewnętrzną, aplikacje internetowe i oficjalną stronę internetową. W efekcie mieszkańcy ( i nie tylko) zostali pozbawieni prądu na co najmniej kilkanaście godzin. W tym roku to z resztą nie pierwszy incydent, w którym całe miasto pada ofiarą ransomware. Riviera Beach City i Lake City na Florydzie a także Jackson County w Georgii zdecydowały się nawet zapłacić okup.

Wspomniane wydarzenia po raz kolejny dowiodły, że każda sieć OT, niezależnie od tego, czy obsługuje fabrykę, krytyczną infrastrukturę, czy inteligentny budynek, może paść ofiarą cyberataku. Konieczność prawidłowej ochrony jest niepodważalna. Niestety nie należy ona do najprostszych bowiem wiele istniejących rozwiązań nie jest zaprojektowanych z myślą o dużym natężeniu ruchu w tych sieciach. O tym czym jest i jak zapewnić bezpieczeństwo systemów OT przeczytacie w dzisiejszym artykule.

Czym są systemy OT?

Zacznijmy od podstaw – angielskojęzyczna Wikipedia przedstawia tę kwestię następująco:

Operational Technology (OT) – Technologia operacyjna  – sprzęt i oprogramowanie przeznaczone do wykrywania lub wywoływania zmian w procesach fizycznych poprzez bezpośrednie monitorowanie i / lub sterowanie urządzeniami fizycznymi, takimi jak zawory, pompy itp.”

Innymi słowy mianem infrastruktury OT można określić te miejsca, w których wykorzystuje się komputery do monitorowania lub sterowania danym, fizycznym systemem. Termin ten powstał aby wykazać różnice technologiczne i funkcjonalne między tradycyjnymi systemami informatycznymi (infrastrukturą IT) a środowiskiem przemysłowym. Przykłady technologii operacyjnych obejmują:

  • Sterowniki PLC (Programmable Logic Controller) czyli programowalne sterowniki logiczne. Pełnią one rolę układów przeznaczonych do sterowania procesami technologicznymi np. linią produkcyjną. Ich cechą charakterystyczną jest cykliczny obieg pamięci programu.
  • Systemy SCADA (Supervisory Control and Data Acquisition ) nadzorujące lub też sterujące przebiegiem procesu przemysłowego. Oprócz zbierania danych (pomiarów) zajmują się wizualizacją, najlepiej w czasie rzeczywistym, połączoną z alarmowaniem.
  • Układy CNC (Computerized Numerical Control) wyposażane w mikrokomputery, które można dowolnie zaprogramować. Często nazywane obrabiarkami CNC ponieważ zwykle służą do sterowania frezarkami, tokarkami itp.

Omawiając bezpieczeństwo systemów OT i tłumacząc ich specyfikę, nie sposób nie odnieść się do terminu ICS czyli Industrial Control Systems. Przemysłowe systemy sterowania (stosujemy angielski skrót – ICS) to ogólny termin, obejmujący kilka rodzajów systemów sterowania i związane z nimi oprzyrządowanie do sterowania procesami przemysłowymi. Jaka jest zatem różnica między ICS a OT? Systemy ICS stanowią podgrupę systemów OT o konkretnej specjalizacji. Większość ICS mieści się w systemie sterowania procesem ciągłym, zwykle zarządzanym za pomocą sterowników PLC lub systemów sterowania procesami dyskretnymi (DPC).

Pomocny może być tutaj poniższy rysunek:

PLC, DPC i SCADA są składowymi ICS, które z kolei stanowią podzbiór systemów OT.

Większość rozwiązań bezpieczeństwa systemów OT została pierwotnie zaprojektowana dla przemysłu naftowo-gazowego, komunalnego i wodnego. W tych obszarach infrastruktura OT zazwyczaj rozkłada się na dużą skalę geograficzną. Niemniej, każda pojedyncza sieć OT ma stosunkowo niewielką liczbę zasobów, niską przepustowość i deterministyczne, przewidywalne zachowanie.

Wyzwania w zapewnieniu spójności systemom IT & OT

Jednym z głównych ograniczeń ochrony systemów przemysłowych jest niezrozumienie różnicy między IT a OT. Dla wielu osób nie jest jasne czy i jak te dwie płaszczyzny pokrywają się, gdzie się rozchodzą, i jak należy zapewnić im bezpieczeństwo. Z pewnością lektura poprzedniej części artykułu przyniosła tę podstawową wiedzę. Podsumujmy zatem jeszcze raz: IT przechowuje, pobiera, przesyła i manipuluje danymi. OT wykorzystuje te dane do monitorowania, kontrolowania i obsługi urządzeń fizycznych, procesów i zdarzeń. Kiedyś systemy OT nie były podłączone do Internetu. Dzisiaj sytuacja wygląda zupełnie inaczej. I to właśnie w tym kontekście dbałość o bezpieczeństwo systemów OT staje się wyzwaniem.

Internet przemysłowy to miejsce, w którym infrastruktura informatyczna spotyka się z wymogami środowiska industrial. Technologia Internet of Things wkracza już w obszary przemysłowe. IoT pociąga za sobą obietnicę wygody dostępności i wydajności. O aspekcie bezpieczeństwa tego rozwiązania przeczytacie w jednym z poprzednich artykułów. Innymi słowy –  połączenie z Internetem stało się nieuniknioną rzeczywistością każdego biznesu, również środowisk przemysłowych z licznymi systemami OT. Wymaga to w konsekwencji zwiększonych zasobów – w tym przepustowości łącza, na co już w 2015 wskazywał portal SmartIndustry.com.

Według ich badania, respondenci zadeklarowali wykorzystanie inteligentnych rozwiązań w 25% urządzeń i procesów produkcyjnych. Natomiast w ciągu kolejnych dwóch lat przewidziano zwiększenie wykorzystania inteligentnych urządzeń i wbudowanej inteligencji w procesach produkcyjnych. Szacowano również, że w tym czasie o 66% zwiększy się zastosowanie aplikacji IIoT. Na ile przewidywania te się sprawdziły, można ocenić badając stan wdrożenia tzw technologii Industry 4.0 w przedsiębiorstwach. W wielu przypadkach zwiększyła się jedynie świadomość użytkowników i osób decyzyjnych. Aby dokonać konwergencji tych dwóch światów i zapewnić bezpieczeństwo systemów OT należy nierzadko zmienić podejście. Przykładowo wbrew powszechnemu przekonaniu testowanie rozwiązań security w warunkach laboratoryjnych nie będzie dobrym pomysłem. Mała sieć nie będzie w stanie zamodelować rzeczywistych wyzwań środowiska produkcyjnego. To podkreśla konieczność zastosowania przemyślanych i odpowiednich rozwiązań.

Zastosowanie technologii Industry 4.0 może służyć nie tylko poprawie wydajności ale również podnieść poziom bezpieczeństwa,

Zabezpieczanie środowisk działających na dużą skalę

Instalacja nieodpowiednich systemów bezpieczeństwa daje złudzenie, że sieć jest chroniona. Niestety, nie wszystkie krytyczne informacje mogą być prawidłowo przetwarzane z powodu problemów z wydajnością. Ponieważ nie wszystkie pakiety są przetwarzane, będą zapewniać tylko częściowe alarmowanie. Idąc dalej, będziemy mieli tylko częściową inwentaryzację, a niezabezpieczone zasoby OT pozostają w cieniu. Ponadto w złożonych, dużych sieciach, „szum” sieci jest znacznie bardziej widoczny. Termin ten oznacza nieprawidłowości, będące wynikiem błędnych konfiguracji i prac konserwacyjnych w różnych protokołach i urządzeniach. Te normalne zdarzenia powodują alarmujące zachowanie systemów, które nie mają wyspecjalizowanych algorytmów, aby odróżnić te zdarzenia od incydentów cyberbezpieczeństwa, na które należy zareagować.

Zamiast przeprojektowywać swoje systemy, większość dostawców zabezpieczeń po prostu próbuje skalować system. I to system, który nigdy nie był zaprojektowany odpowiednio dla sieci z tysiącami zasobów. Chociaż rozwiązania te są kompetentne w „klasycznych” sieciach, nie potrafią skalować się wystarczająco dobrze, aby zapewnić odpowiednie monitorowanie i bezpieczeństwo systemów OT. Brak wsparcia dla wielkoskalowych sieci OT jest widoczny w kwestiach takich jak niska wydajność i użyteczność, słaba wykrywalność i wysoki koszt. Eksperci z ScadaFense wyjaśniają, dlaczego tak się dzieje:

  • Aby naprawdę obsługiwać środowiska z tysiącami (a nawet dziesiątkami tysięcy) urządzeń, rozwiązanie zabezpieczające musi być w stanie zbierać i analizować ogromne ilości danych bez pominięcia pojedynczego bajtu, urządzenia, konfiguracji lub jakiegokolwiek innego punktu danych.
  • Gdy dane zostaną prawidłowo zebrane i przeanalizowane, użytkownicy końcowi muszą uzyskać do nich dostęp za pośrednictwem responsywnego i użytecznego interfejsu, pozwalającego im ocenić rzeczywiste zagrożenia bezpieczeństwa i odpowiednio zareagować.
  • Rozwiązania mogą mieć problemy z dokładnością i są obciążone dużą liczbą fałszywych alarmów z powodu ciągłych zmian i hałasu w dużych środowiskach. To ostatecznie odbija się na kondycji i efektywności zespołu bezpieczeństwa.

Wszystko to powoduje wzrost całkowitego kosztu posiadania (Total Cost of Ownership – TCO), ponieważ zespoły bezpieczeństwa zazwyczaj muszą wdrażać kosztowny sprzęt. W konsekwencji rosną koszty konserwacji oraz pojawia się konieczność zatrudniania dodatkowego personelu do obsługi bieżących operacji bezpieczeństwa.

Skalowalne bezpieczeństwo systemów OT w praktyce

To, że dziś nie wszyscy zdają sobie sprawę z priorytetu jaki ma bezpieczeństwo systemów OT, nie oznacza, że tak zostanie. Dzięki napędzającej się cyfrowej transformacji i wkraczania IIoT, wiele organizacji skaluje swoje operacje przemysłowe pod względem rozmiaru, złożoności i automatyzacji. Przykładowo rozmieszczając czujniki w swoich sieciach OT, mogą zbierać więcej danych. W konsekwencji zwiększają ogólną efektywność firmy poprzez ulepszanie procesów podejmowania decyzji.

Mimo istnienia coraz większej płaszczyzny, gdzie rozwiązania IT & OT się przenikają, środowiska przemysłowe wymuszają zastosowanie dedykowanych technologii.

Prowadzi to do zwiększenia poziomu łączności i automatyzacji w różnych branżach – a tak zaawansowane funkcje należy bezpiecznie wspierać. Organizacje muszą przyjąć odpowiednie środki bezpieczeństwa, które umożliwią ich rozwój i podróż w erę Industry 4.0. Oto kilka zaleceń i najlepszych praktyk:

1. Testowanie systemów nie tylko na nieaktywnej linii produkcyjnej lub w laboratorium – weryfikacja zachowania w obliczu rzeczywistych sytuacji.

2. Wykonanie test fałszywych alarmów – weryfikacja liczby alarmów opartych na prawdziwym zdarzeniu. Do tego dochodzi weryfikacja wprowadzonych reguł alarmowania oraz sprawdzenie zachowania osób decyzyjnych.

3. Przeprowadzenie testu false negative. Elad Ben-Meir, CEO w SCADAfence radzi by bez wiedzy dostawcy wykonać test w sieci produkcyjnej. W ten sposób pojawia się możliwość sprawdzenia co producent ukrył i czy monitoruje wszystkie pakiety. Następnym krokiem będzie sprawdzenie czy w GUI systemu można znaleźć dokładne informacje o incydencie.

4. Inwentaryzacja – czyli sprawdzenie liczby wykrytych zasobów i weryfikacja pod kątem dokładności i głębokości wykrywania.

5. Po uruchomieniu przez kilka dni w produkcji należy się upewnić, że interfejs użytkownika systemu jest responsywny oraz czy wszystkie funkcje są nadal użyteczne.

6. Dla tych, którzy planują zarządzać więcej niż jednym środowiskiem lub infrastrukturą o wysokiej złożoności, dobrze jest rozeznać się w ofercie rozwiązań SIEM. Pod tym akronimem kryje się Security Information and Event Management czyli system do zbierania informacji o incydentach bezpieczeństwa i zarządzania nimi. W praktyce jest to platforma integrująca dane z różnych punktów sieci w celu korelacji zdarzeń i wizualizacji. W przypadku złożonych infrastruktur jak sieci przemysłowe rozwiązanie SIEM jest dobrą inwestycją pod kątem bezpieczeństwa systemów OT.

Więcej informacji:

https://www.zdnet.com/article/ransomware-incident-leaves-some-johannesburg-residents-without-electricity

https://www.kuppingercole.com/blog/williamson/ot-ics-scada-whats-the-difference

https://www.helpnetsecurity.com/2019/07/26/scalable-ot-security

https://www.controlglobal.com/articles/2016/understanding-cybersecurity-for-operational-technology

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *