Skuteczna ochrona systemów automatyki przemysłowej wymaga doboru narzędzi i metod odpowiednich do specyfiki tego obszaru. Nie da się przenieść wprost rozwiązań sprawdzonych na gruncie IT. Systemy sterowania, mimo rosnącego ucyfrowienia, funkcjonują na innych zasadach niż systemy stricte informatyczne. Polityka bezpieczeństwa w firmie musi to uwzględniać.

Jest coraz więcej narzędzi, dzięki którym uzyskuje się informacje dotyczące stanu sieci. Pozwalają wykrywać włamania, śledzić anomalie w ruchu sieciowym, analizować występujące wydarzenia. Dają możliwość monitorowania sytuacji w przedsiębiorstwie. Wiele z nich jest dostępnych nawet w wersji open source. „Specyfika systemów OT nie pozwala na pobieranie danych z każdego miejsca sieci. Jest jednak wiele obszarów, z których można uzyskać informacje do analizy. To może być statystyka ruchu sieciowego, to mogą być logi, to mogą być komunikaty sterowników PLC” – wyjaśniał podczas konferencji „InfraSEC Forum 2018” Adam Paturej, dyrektor programu cyberbezpieczeństwa w Międzynarodowym Centrum Bezpieczeństwa Chemicznego.

Żeby zastosowanie wybranych narzędzi przyniosło pożądane skutki, monitoring i analiza sieci muszą być prowadzone nieustannie. Nie tylko po to, by reagować na pojawiające się incydenty, ale także w celu identyfikacji potencjalnych, najnowszych zagrożeń. Wykorzystanie technologii wymaga też jednak wsparcia odpowiednimi procedurami i zasadami polityki bezpieczeństwa. Zdaniem Adama Patureja, role i odpowiedzialność w firmie powinny być zdefiniowane indywidualnie. Ważne jest też, by zmienić myślenie o bezpieczeństwie – nie podchodzić do niego w kategoriach cybersecurity, lecz w kategoriach zapewnienia ciągłości działania.

W praktyce duża część wykorzystywanych w firmach zasobów OT jest nierozpoznana i nieopisana. Nie ma dokumentacji wszystkich pracujących urządzeń, nie ma dokumentacji przepływu danych.

Działanie według priorytetów

Trzy czwarte organizacji ma problem z identyfikacją zagrożeń w obszarze automatyki przemysłowej. 12% w ogóle nie podejmuje w swoich działaniach tego tematu. Z drugiej strony, co roku wykrywanych jest około 4 tys. podatności. To dane z badania przeprowadzonego przez firmę doradczą EY.

Jednym z najczęściej stosowanych przez cyberprzestępców sposobów powodowania zaburzeń w pracy infrastruktury krytycznej są próby dokonania zmian w algorytmach sterujących. Nawet jeśli w pełni się nie udają, to przedsiębiorstwo i tak może być narażone na duże straty, związane m.in. z koniecznością przestoju linii produkcyjnej do czasu usunięcia zagrożenia. Przestępcy wykorzystują do ataków wszelkie możliwe miejsca i sposoby. „Serwery, stacje robocze, systemy OT – to najbardziej podatne na ataki elementy. Sterowniki też są zagrożone” – zwracał uwagę Jacek Walaszczyk, OT/ICS Consultant w EY.

Dlatego tak ważne jest wprowadzenie stałych mechanizmów zarządzania podatnościami. Firmy często popełniają jednak błąd, próbując przenieść politykę bezpieczeństwa z IT na całą organizację, w tym również na OT. „Taka próba jest niewykonalna, jeśli nie uwzględni się specyfiki OT” – podkreślał Jacek Walaszczyk. Należy przede wszystkim zidentyfikować występujące ryzyka oraz dokonać ich analizy. Dopiero na tej podstawie można podjąć działania zmierzające do redukcji wykrytych ryzyk.

Często okazuje się, że zagrożenia wynikają po prostu z błędów w konfiguracji. Zła konfiguracja urządzeń, na przykład sterowników PLC, to jedna z najczęściej wykrywanych luk w systemach OT. Dobrze jest wdrożyć proces stałego weryfikowania konfiguracji urządzeń. Do innych najczęściej występujących ryzyk należą: luki w samych rozwiązaniach OT, słabe hasła, słabe zabezpieczenia sieci bezprzewodowych, nieznane urządzenia w sieci. „Należy dokonać priorytetyzacji zidentyfikowanych ryzyk i skupić się na podstawowych, najbardziej groźnych dla przedsiębiorstwa” – radzi Jacek Walaszczyk.

Co zrobić, gdy systemu OT nie da się zaktualizować? W przedsiębiorstwach to dość częsty przypadek. Wiele urządzeń jest wykorzystywanych przez 20 i więcej lat. Pracują na starych, niewspieranych przez producenta rozwiązaniach. Zdaniem Jacka Walaszczyka, można spróbować odizolować taki system od reszty środowiska OT, żeby nie przenosić podatności na inne elementy.

Zła konfiguracja urządzeń, na przykład sterowników PLC, to jedna z najczęściej wykrywanych luk w systemach OT. Dobrze jest wdrożyć proces stałego weryfikowania konfiguracji urządzeń.

Logiczna bariera

„Urządzenia automatyki przemysłowej były dotychczas projektowane i budowane tak, aby działać szybko. Tam nie ma czasu na uwierzytelnianie” – zwraca uwagę Andrzej Dalasiński, Vulnerability Management & Compliance Checks w Bosch Cyber Defense Center. Stąd m.in. biorą się problemy z „łataniem” luk w tych rozwiązaniach. Nawet jeśli jest dostępna „łata”, nie ma kiedy jej zainstalować, bo urządzenie musi pracować non stop i nie ma tzw. okna serwisowego, w którym można dokonać aktualizacji.

Andrzej Dalasiński zwraca uwagę, że jest już coraz więcej narzędzi, które umożliwiają wyszukiwanie podatności w systemach OT. Można to robić m.in. poprzez tzw. skany aktywne. Nie wszystkie systemy da się jednak sprawdzić, bo nie do wszystkich jest dostęp. Problem też w tym, że narzędzi skanujących dostosowanych do specyfiki OT jest wciąż za mało. Dominują głównie rozwiązania sprofilowane pod kątem IT i nie zawsze można się nimi posłużyć do monitorowania sieci automatyki przemysłowej. Zdaniem Andrzeja Dalasińskiego, lepiej wygląda sytuacja, jeśli chodzi o analizę ruchu sieciowego. Tu jest już znacznie więcej narzędzi przeznaczonych do wykorzystania w środowisku OT.

Przedsiębiorstwa muszą szukać nowych sposobów zabezpieczania swojej infrastruktury przemysłowej, gdyż tradycyjne metody separacji nie zawsze już dadzą się zastosować. Szczególnie separację fizyczną będzie coraz trudniej osiągnąć, bo coraz częściej wszystko ze wszystkim będzie się łączyć. Internet rzeczy i Przemysł 4.0 spowodują, że trudno będzie myśleć o systemach całkowicie od siebie odizolowanych.

Wyjściem z sytuacji, jak zauważa Andrzej Dalasiński, jest stosowanie separacji logicznej. Umożliwiają to na przykład jednokierunkowe bramki sieciowe, które przepuszczają ruch tylko w jedną stronę. Innym rozwiązaniem są specjalne węzły VPN w szafach, w fabryce tuż przed sterownikami. Sprawdzać się będzie również szyfrowanie i uwierzytelnianie.

Separację fizyczną będzie coraz trudniej osiągnąć, bo coraz częściej wszystko ze wszystkim będzie się łączyć. Internet rzeczy i Przemysł 4.0 spowodują, że trudno będzie myśleć o systemach całkowicie od siebie odizolowanych.

Inwentaryzacja to podstawa

Przeszkodą w zbudowaniu skutecznej segmentacji i separacji sieciowej jest często słaba znajomość środowiska OT. W praktyce duża część wykorzystywanych w firmach zasobów jest nierozpoznana i nieopisana. Nie ma dokumentacji wszystkich pracujących urządzeń, nie ma dokumentacji przepływu danych. Decyzje podejmowane są nierzadko na podstawie nieaktualnych informacji. Co robić w takiej sytuacji?

„Trzeba zacząć od inwentaryzacji i klasyfikacji zasobów OT. Chodzi o to, żeby wiedzieć, czym naprawdę firma dysponuje i jak faktycznie przepływają dane” – tłumaczy Łukasz Stasiak, Manager, Cyber Security w KPMG Advisory. Podkreśla, że nie może to być jednorazowe działanie. To musi być stały proces, bo systemy i urządzenia ciągle się zmieniają.

Istotne znaczenie dla ochrony systemów sterowania ma również bezpieczeństwo fizyczne, w tym dobrze przemyślana i zorganizowana kontrola dostępu. Ważne jest odpowiednie zdefiniowanie uprawnień. Łukasz Stasiak zwraca uwagę, że częstym błędem jest współdzielenie kart przez różnych pracowników. W przypadku wystąpienia incydentu trudno jest ustalić, kto faktycznie miał dostęp do newralgicznych zasobów. Powszechnie spotykaną praktyką w przedsiębiorstwach jest również nadawanie nadmiarowych uprawnień przedstawicielom firm trzecich, na przykład serwisowych czy remontowych. W tej sytuacji tak samo trudno zapewnić rozliczalność – nie ma możliwości przypisania odpowiedzialności do konkretnych osób.

Warto, by firmy realizowały programy podnoszenia poziomu świadomości pracowników w kwestiach bezpieczeństwa. Chodzi o coś więcej niż pojedyncze, wyrywkowe szkolenia. Chodzi o przemyślany, długofalowy program zintegrowany z procesami HR i z innymi działaniami przedsiębiorstwa oraz z tym, co się dzieje wokół niego.

Gotowi na kryzys

Każda organizacja powinna zadać sobie pytanie, co będzie w stanie zrobić, gdy dojdzie do incydentu. Czy ma wystarczające siły i środki, by stawić czoła sytuacji kryzysowej? Zwracał na to uwagę Maciej Król, CIO w Solaris Bus & Coach. Jego zdaniem, kryzys na pewno kiedyś przyjdzie i trzeba odpowiednio wcześniej przygotować firmę, by mogła sobie z nim poradzić, nie ponosząc strat.

W tym kontekście decydujące znaczenie ma mechanizm zapewnienia ciągłości działania. Musi zapewniać skuteczność w każdej sytuacji, bez względu na to, czy firma zostanie pozbawiona prądu, zaatakowana przez cyberprzestępców, czy też postawiona w obliczu pożaru magazynu lub hali produkcyjnej. Dlatego poszczególne procedury i zasady działania powinny być sprawdzane niemal codziennie, by w chwili faktycznego kryzysu nikt nie musiał się zastanawiać, co ma zrobić.

Może być bardzo dużo scenariuszy zdarzeń kryzysowych. Dla ich zidentyfikowania przydatna jest analiza krytycznych procesów. W wielu z nich kluczową rolę zajmuje IT, co nieuchronnie wywołuje zagrożenie w postaci cyberprzestępczości. Jednym ze sposobów przeciwdziałania im jest prowadzenie stałych testów podatności systemów informatycznych, identyfikowanie i usuwanie luk oraz analiza ryzyka.

„Powołaliśmy w naszej firmie stały sztab kryzysowy. Żeby było wiadomo, kto koordynuje działania, a kto się zajmuje komunikacją” – opowiadał Maciej Król. Komunikacja ma duże znaczenie zarówno w odniesieniu do własnych pracowników, jak i mediów oraz służb publicznych. „Prowadzimy również szkolenia mające na celu podnoszenie świadomości w różnych grupach pracowniczych” – dodawał Maciej Król.

Odpowiednie zachowania i sposoby postępowania ludzi ćwiczone są też przez testy wewnętrzne i symulacje różnych sytuacji, na przykład: zerwanie łączności, zalanie pomieszczeń, brak dostępu do maszyn, a także brak dostępu do papierowej dokumentacji, która wciąż pełni ważną rolę zarówno w procesach biurowych, jak i produkcyjnych. „Oczywiście, testy muszą być prowadzone tak, aby nie wywoływać prawdziwych sytuacji krytycznych w zakładzie” – podkreśla Maciej Król. Rekomendacje po odbytych testach i symulacjach służą do dalszego usprawniania systemu zarządzania kryzysowego w organizacji. Ten model może z powodzeniem działać również w innych przedsiębiorstwach.