„A więc wojna!”– tak brzmiał komunikat w Polskim Radiu czytany pierwszego dnia światowego konfliktu w 1939 roku. To samo zdanie usłyszeliśmy podczas tegorocznej konferencji InfraSEC w kontekście zagrożenia cyberatakami polskiego przemysłu. Z każdym rokiem liczba zagrożeń i czynnych włamań do systemów rośnie, a pojęcie „wojny cyfrowej” nabiera rzeczywistego, złowieszczego znaczenia. Bezpieczeństwo przemysłowych systemów sterowania przez lata nie znajdowało się w centrum uwagi. Dopiero wydarzenia ostatnich kilku lat pokazały, że zagrożenia są realne i poważne. To oznacza, że infrastruktura podmiotów kluczowych dla polskiej gospodarki z branży energetyki, paliw i gazu oraz firm przemysłowych także może być celem ataku i musi zostać objęta odpowiednią ochroną.

Według raportu Mandiant najczęstszymi motywacjami do ataku są: kradzież danych, cyberprzestępczość, haktywizm i uderzenia w infrastrukturę, które były szczególnie odczuwalne w 2015 r. Wtedy m.in. dokonano ataku na ukraińską sieć energetyczną.

Paweł Pietrzak z FireEye wymienia dwóch najważniejszych aktorów na scenie cyberkryminalnej spośród państw najbardziej zaangażowanych w zorganizowaną cyberprzestępczość. Pierwszym z nich jest Rosja, której grupy przestępcze finansowane są głównie po to, by osiągać cele polityczne. O tym, że rosyjscy hakerzy dysponują sporymi możliwościami, świadczy raport z dnia 29 grudnia 2016 r. amerykańskiego Departamentu Bezpieczeństwa i FBI mówiący o wpływie drużyn hakerskich na ostatnią elekcję prezydencką w USA. W tym przypadku szczególną rolę odegrały dwie rosyjskie grupy hakerskie: Tsar Team/APT28 oraz Temp.Monkey/APT29. Te same grupy podejrzewane są o skuteczny atak na ukraińską sieć energetyczną w grudniu 2015 r. Wówczas to szkodliwe oprogramowanie o nazwie BlackEnergy wykorzystane zostało do przejęcia kontroli nad systemem SCADA.

Drugą, znaczącą globalnie „wylęgarnię” drużyn hakerskich stworzyła Korea Północna. Wprawdzie ta część podziemia dopiero się „kształci”, ale już ma na swoim koncie pierwsze sukcesy – ich malware nazywany Dark Seoul spowodował m.in. spore perturbacje w działaniu stacji telewizyjnych sąsiedniej Korei Południowej. Przypisuje się im także zakończony sukcesem atak na Sony Pictures Entertainment w 2014 r., przeprowadzony w odpowiedzi na zrealizowany przez tę wytwórnię, szydzący z wodza Korei Północnej film „Wywiad”.

Scenariusz ataku

Jak wygląda typowy atak grupy hakerskiej? Zaczyna się od wstępnej kompromitacji bazującej zwykle na phishingu. Jeden z pracowników otrzymuje e-mail, np. z żądaniem zmiany hasła do systemu. Wiadomość wygląda zwykle podobnie jak komunikat stworzony przez system. Nieświadomy zagrożenia użytkownik wprowadza swoje dane logowania niekoniecznie do systemu przemysłowego, może to być mniej istotny system. Wprowadzone przez pracownika dane przez internet trafiają do grupy hakerskiej. Jest także możliwość, że użytkownik bezrefleksyjnie zgodzi się na instalację drobnego fragmentu oprogramowania działającego na jego sprzęcie, np. dodatku do przeglądarki czy aplikacji na telefon. Jego celem będzie późniejsze szpiegowanie. Dzięki instalacji takiego programu możliwe jest przechwytywanie loginów i haseł do systemów, którymi posługuje się zhakowany użytkownik.

Drugim etapem jest stabilizacja (EstablishFoothold) i poszerzanie zakresu posiadanych informacji o atakowanym celu – sieci przedsiębiorstwa i działających w nim aplikacji. Następnie mamy do czynienia ze zdobywaniem nowych uprawnień przez atakującego oraz wyszukiwaniem nowych celów ataku. W kolejnym etapie następują już właściwe działania kończące się destrukcyjnymi operacjami na sieci i infrastrukturze albo kradzieżą danych.

Przejście procesu certyfikacji potwierdza nastawienie dostawcy, że poważnie traktuje kwestie bezpieczeństwa, ale nie oznacza, że używany produkt jest w pełni bezpieczny.

Dlaczego ataki się udają?

O tym, jak skuteczni są hakerzy, świadczą statystyki przedstawione przez Izabelę Lewandowską-Wiśniewską, koordynatora, starszego inżyniera ryzyka w PZU Lab. Według danych PZU, średnio na każdą firmę w Polsce przypadało aż 126 cyberataków. W stosunku do zeszłego roku liczba ataków na świecie wzrosła o 38%, a średni czas uzyskania nieautoryzowanego dostępu do systemów i danych wyniósł 4 godziny.

Często słabym ogniwem obrony przeciwko hakerom są pracownicy. Zwykle przedsiębiorstwa przemysłowe koncentrują sie na typowych aspektach obrony zapewniającej bezpieczeństwo sterowników PAC/PLC/RTU, urządzeń HMI, sieci sterowania i bezpieczeństwo stacji operatorskich.

Filip Kupiński i Artur Józefiak z Accenture stwierdzają, że klasyczne mechanizmy wyszukiwania informacji o atakach przestają działać i aby skutecznie wykrywać naruszenia bezpieczeństwa we wczesnych fazach, konieczne jest wdrożenie narzędzi pracujących na dużych wolumenach danych – Big Data. Problemem jest to, że coraz bardziej brakuje na rynku specjalistów, którzy mogliby takie narzędzia przygotowywać i na bieżąco dostosowywać do potrzeb użytkowników. Szacuje się, że już wkrótce na rynku będzie brakowało tysięcy ekspertów, bo potrzeby gwałtownie rosną. Zagraniczne firmy widzą, że polską specjalnością jest cyberbezpieczeństwo i skutecznie drenują nasz rynek pracy z ekspertów.

Rozwiązaniem może być tworzenie współdzielonych Security Operations Center (SOC), które będą zapleczem kompetencyjnym dla większej grupy spółek, np. posiadających tego samego właściciela. Wprawdzie stworzenie takiego centrum wymaga dużego wysiłku organizacyjnego, jednak już w krótkim czasie widoczne są wymierne korzyści.

Międzynarodowa współpraca w gronie zaufanych partnerów to warunek przeciwdziałania atakom.

Jak się bronić?

„Czym innym jest intencja współpracy, a czym innym operacyjna współpraca SOC-ów. Ma to szczególne znaczenie przy wyborze dostawcy technologii, którego obdarzymy zaufaniem. Wejście w usługi cyfrowe jest dla konsumenta ściśle związane z ufnością w kompetencje dostawcy” – mówi Artur Józefiak, dyrektor Zespołu Bezpieczeństwa, Accenture.

Przykładem działającego centrum kompetencyjnego jest CERT stworzony przez firmę Energa. W ramach jego kompetencji świadczonych jest 12 podstawowych usług, zarówno prewencyjnych, także reakcyjnych na wypadek ataku, jak i usług zarządzania jakością i bezpieczeństwem danych. „Bezpieczeństwo musi być zapewnione na trzech płaszczyznach: strategicznej, dotyczącej regulacji wewnętrznych i zewnętrznych; operacyjnej, służącej do koordynacji działań; oraz technicznej, na poziomie Security Operation Center. Jednym z najważniejszych elementów zachowania spójności procesów jest zaufanie między współpracującymi ze sobą ludźmi”– mówi Bogusław Kowalski, szef CERT ENERGA.

Inny przykład udanego wdrożenia procedur i systemów bezpieczeństwa zaprezentował Heinz-Uwe Gernhard, ekspert IT Security w IT Manufacturing Coordination firmy Bosch. Bosch stawia na ścisłe przestrzeganie reguł, norm i standardów bezpieczeństwa w organizacji. Właściwa ich implementacja na poziomie organizacyjnym i technicznym sprawia, że minimalizowane są ryzyka wystąpienia incydentów bezpieczeństwa. Wiadomo także, jak rozwiązać już zaistniałe problemy.

Klasyczne mechanizmy wyszukiwania informacji o atakach przestają działać i aby skutecznie wykrywać naruszenia bezpieczeństwa we wczesnych fazach, konieczne jest wdrożenie narzędzi pracujących na dużych wolumenach danych – Big Data.

Jakie jest podejście państwa do problemu?

W Rządowym Centrum Bezpieczeństwa (RCB) tworzone są standardy dotyczące ochrony przed atakami. Dotychczas Centrum wydało cztery poradniki na ten temat. Praca nad standardami trwa i nie ogranicza się do przetłumaczenia pozycji zagranicznych. Standardy te muszą być skorelowane z innymi narzędziami, takimi jak audyty czy kontrole.

„Standard przeznaczony jest przede wszystkim dla kadry zarządzającej przedsiębiorstw, osób odpowiedzialnych za prawidłowe funkcjonowanie automatyki przemysłowej oraz pracowników odpowiedzialnych za bezpieczeństwo w obiektach infrastruktury krytycznej. Aby zapewnić zrozumienie i przychylność tych osób, nie możemy po prostu przetłumaczyć norm obowiązujących w innych krajach, bo tworzone one były w innych warunkach prawnych i organizacyjnych” – tłumaczy Maciej Pyznar, szef wydziału w Rządowym Centrum Bezpieczeństwa.

Warto wspomnieć o konsekwencjach zaniedbań w obszarze ochrony przedsiębiorstw przed atakami z zewnątrz. Zwraca na to uwagę mec. Maciej Gawroński, partner w Kancelarii Prawnej Maruta Wachta. Wskazuje na gąszcz norm opisujących zjawisko cyberprzestępczości i brak jednolitego podejścia prawnego do tego zagadnienia. „W sprawie naszej właściwej reakcji na zagrożenie cyberatakiem głos ostateczny będzie miał prokurator, który oceni, czy postępowanie to cechowało się wystarczającą starannością” – mówi Maciej Gawroński.

Automatyka pod specjalnym nadzorem

Według ICS-CERT USA w 2009 r. zanotowano dziewięć incydentów związanych z bezpieczeństwem systemów automatyki przemysłowej. Jednak już w 2015 r. było ich aż 295. Nie ma jeszcze danych za rok 2016, ale wyraźnie widać niepokojącą tendencję wzrostową. Systemy ICS (Industrial Control System), do których należą systemy SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems) czy BPCS (Basic Process Control Systems), są atakowane praktycznie każdego dnia. Ich szczególnie wrażliwe części składowe – elementy PLC i RTU, czujniki i transmitery, elementy wykonawcze – znajdują się na celowniku nastawionych na zyski przestępców, sfrustrowanych pracowników albo wrogich państw, pośród których wymienia się głównie Rosję, Chiny i Koreę Północną. Konsekwencje udanego ataku mogą polegać nie tylko na stratach finansowych, ale także stanowić zagrożenie dla ludzkiego życia.

O konsekwencjach ataków na ukraińskie sieci energetyczne w 2015 i 2016 r. oraz działaniach zapobiegawczych podejmowanych przez Ukrainę opowiada Oleksandr Sukhodolia, jeden z gości specjalnych InfraSEC 2017, szef departamentu odpowiedzialnego za bezpieczeństwo energetyczne w ukraińskim Narodowym Instytucie Studiów Strategicznych. „Ataki na infrastrukturę krytyczną stanowią potężny instrument nacisku politycznego. Choć spowodowane straty nie były duże, to jednak stanowiły poważny problem. Przywracanie działania systemu w niektórych regionach było długotrwałe” – mówi Oleksandr Sukhodolia.

„Ukraińska lekcja” pokazuje, że incydenty tego typu nie stanowią jedynie potencjalnego zagrożenia. Są realne i trzeba być na nie przygotowanym. Oleksandr Sukhodolia podkreśla znaczenie ciągłego szkolenia personelu w tym zakresie. Zwraca przy tym uwagę, że można na te ataki spojrzeć jako na zbieranie przez cyberprzestępców doświadczeń potrzebnych do przygotowania większego, bardziej groźnego w skutkach ataku w przyszłości.

Systemy ICS (Industrial Control System), do których należą systemy SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems) czy BPCS (Basic Process Control Systems), są atakowane praktycznie każdego dnia.

Twarda strefa

Jednym z głównych źródeł problemów w ochronie infrastruktury przemysłowej jest konwergencja sieci automatyki przemysłowej i sieci teleinformatycznych. Obecnie są one ze sobą połączone, wykorzystują te same protokoły komunikacyjne, te same systemy operacyjne, taki sam sprzęt. „Dlatego do ataków dochodzi w klasyczny sposób – zwykle źródłem jest phishing lub niezadowolony użytkownik. Polegają one najczęściej nie na wykorzystaniu podatności, ale na przejmowaniu uprawnień. Przez to, że większość ataków wykorzystuje czynnik ludzki i celowanych jest w miejsce, gdzie człowiek styka się z komputerem, sprawne systemy bezpieczeństwa czy dwustopniowe uwierzytelnianie na niewiele mogą się przydać” – zwracają uwagę Grzegorz Bojar, dyrektor Departamentu Teleinformatyki, oraz Jeremi Gryka, zastępca dyrektora Departamentu Teleinformatyki w firmie Polskie Sieci Elektroenergetyczne (PSE).

Przedstawiają przy tym historię udanych ataków cyfrowych na systemy technologiczne. Pierwszy z nich, który spowodował eksplozję rurociągu gazowego na Syberii, nastąpił w 1992 r. W ciągu ostatnich miesięcy uwagę najbardziej zwracały ataki na Ukrainie. Sektor energetyczny jest bardzo atrakcyjny dla przestępców. Dlatego ataków w tym obszarze będzie coraz więcej. Jak zatem się bronić? „Istotną rolę odgrywają standardy i dobre praktyki oraz segmentacja sieci, zwłaszcza rozdzielenie IT od OT. Ważna jest również ochrona stacji roboczych i styku z internetem. Ochrona perymetryczna nadal się sprawdza, pod warunkiem że jest dostatecznie twardo stosowana” – tłumaczy Grzegorz Bojar.

Bezpieczne komponenty, bezpieczne systemy

Dr Joern Eichler, szef departamentu Secure Software Engineering we Fraunhofer Institute AISEC (Applied and Integrated Security), zwraca uwagę na konieczność współdziałania dostawców i operatorów systemów na rzecz cyberbezpieczeństwa, głównie systemów ICS (Incident Command System). Podkreśla przy tym, że informacje zwrotne od użytkowników są niezwykle istotne dla dostawców już na wczesnych etapach projektowania bezpiecznych komponentów. Fraunhofer Institute to największa organizacja w Europie, która skupia się na praktycznych zastosowaniach badań naukowych. Działający w jej ramach AISEC koncentruje się na wypracowywaniu technologii bezpieczeństwa, a także powiązanych metod i narzędzi.

Fraunhofer AISEC promuje koncepcję wbudowanego, domyślnego bezpieczeństwa systemów. Opiera się ona na bezpiecznych komponentach. Jak je tworzyć? Kluczowe znaczenie mają: model procesu (który opisuje co, kto, kiedy i po co oraz z jakim rezultatem robił), metoda i narzędzia (opisują kolejne kroki gwarantujące powtarzalne rezultaty i odnoszą się do tego, jak i gdzie działać) oraz miary (pozwalają ocenić, jak dobre jest to, co zrobiliśmy).

„Jakość produktów zależy od dojrzałości i jakości procesu, na które składa się zestaw: celów, aktywności do wykonania i kryteriów. Mierzenie jakości procesów pozwala dowiedzieć się, jak dobry, jak bezpieczny będzie produkt. To istotne, ponieważ certyfikaty potwierdzają zwykle bezpieczeństwo starszych wersji produktów, których raczej nie używają operatorzy” – mówi dr Joern Eichler. Wynika to z czasu potrzebnego do uzyskania certyfikatu. Przejście procesu certyfikacji potwierdza więc raczej nastawienie dostawcy, że poważnie traktuje kwestie bezpieczeństwa, ale nie oznacza, że używany produkt jest w pełni bezpieczny.

Jednym z głównych źródeł problemów w ochronie infrastruktury przemysłowej jest konwergencja sieci automatyki przemysłowej i sieci teleinformatycznych. Obecnie są one ze sobą połączone, wykorzystują te same protokoły komunikacyjne, te same systemy operacyjne, taki sam sprzęt.

Siła współpracy

O znaczeniu współpracy i dostępnych jej możliwościach opowiada Johan Rambi pełniący funkcję Privacy& Security advisora GRC w holenderskiej firmie Alliander, będącej operatorem sieci przesyłowych gazu i energii elektrycznej. Jest ona jednym ze współtwórców EE-ISAC, europejskiego forum wymiany informacji dotyczących bezpieczeństwa w sektorze utilities. Powołując się na słowa Petera Molengraafa, CEO Alliander, Johan Rambi przekonuje, że międzynarodowa współpraca w gronie zaufanych partnerów to warunek przeciwdziałania atakom.

Zagadnienie współpracy w skali krajowej oraz organizacji systemu informacji w obszarze cyberbezpieczeństwa to jeden z głównych tematów debaty podczas konferencji InfraSEC 2017. W debacie uczestniczyli przedstawiciele firm sektora utilities: PGE Systemy, Grupa PGNiG, PSE, a także Ministerstwa Cyfryzacji oraz NASK. Uczestnicy byli zgodni co do konieczności tworzenia formalnych platform współpracy i wymiany informacji obejmujących przedstawicieli poszczególnych sektorów, ale także szerszych, obejmujących różne sektory.

Działania zmierzające w tym kierunku prowadzi Ministerstwo Cyfryzacji, m.in. przy okazji budowy krajowego systemu cyberbezpieczeństwa, a także PSE w ramach PTPiREE. Na efekty trzeba jeszcze będzie poczekać i do tego czasu wykorzystywać nieformalne fora i osobiste relacje pomiędzy osobami odpowiedzialnymi za obszar cyberbezpieczeństwa w poszczególnych firmach.

PERN stawia na blockchain

PERN to kluczowy element rynku paliwowego w Polsce. Firma z siedzibą w Płocku jest operatorem rurociągów przemysłowych odpowiadających w praktyce za 100% dostaw ropy naftowej do Polski. Jej spółka zależna OLPP posiada 19 baz magazynowych paliw rozlokowanych na terenie całego kraju. Ze względu na rozbudowaną infrastrukturę, dużą liczbę systemów automatyki przemysłowej oraz urządzeń, biznesowy priorytet firmy stanowią analizy zagrożeń i wynikające z nich wyzwania dotyczące bezpieczeństwa.

PERN we współpracy z konsultantami EY poszukuje innowacyjnych rozwiązań technicznych w tym obszarze. W centrum zainteresowania znajduje się technologia blockchain, znana przede wszystkim jako fundament technologiczny dla krypto waluty bitcoin. Mechanizmy konsensusu oraz niezaprzeczalnej rejestracji w formie łańcucha bloków stwarzają możliwości podniesienia poziomu bezpieczeństwa m.in. w dwóch kluczowych dla PERN obszarach: ochrony urządzeń automatyki przemysłowej za pośrednictwem systemu zdalnego sterowania infrastrukturą IIoT (industrial Internet of Things) oraz rejestracji wszystkich operacji paliwowych na potrzeby akcyzy przy wykorzystaniu rejestrów powiązanych zdarzeń i zalgorytmizowanych kontraktów blockchain.

Na razie powstała ogólna mapa drogowa wykorzystania technologii łańcucha bloków w PERN. Przedstawiciele firmy mają świadomość istniejących wyzwań związanych z brakiem standardów czy faktu, że znaczna część wykorzystywanej automatyki przemysłowej nie będzie współpracować z nowoczesnymi systemami. Uważają jednak, że potencjalne korzyści są warte wysiłku koniecznego do przezwyciężenia aktualnych problemów.