O kluczowych trendach rynkowych oraz nowych możliwościach rozwiązań technicznych z zakresu bezpieczeństwa dla przemysłowych systemów sterowania i monitorowania rozmawiamy z Piotrem Ciepielą, Associate Partner w EY.

Jakie są dzisiaj główne trendy rozwojowe w obszarze przemysłowych systemów sterowania i monitorowania?

Jednym z najbardziej istotnych jest zbliżanie się IT oraz OT. To zjawisko możemy obserwować już od pewnego czasu. Coraz wyraźniej odczuwa się potrzebę wykorzystania pewnej dojrzałości procesowej, która charakteryzuje sferę bezpieczeństwa IT. Dla obszaru automatyki, przynajmniej częściowo, to stosunkowo nowe zagadnienie.

Wszyscy zastanawiają się, jak można współpracować i co można wykorzystać w taki sposób, żeby nic nie zepsuć. Pierwsze działania zostały już podjęte. Co ciekawe, inicjatywa coraz częściej jest po stronie zarządów firm, a nie samego IT czy OT. Zarządy dostrzegają potrzebę zabezpieczenia infrastruktury krytycznej czy nawet krytycznych aktywów. Automatyka przemysłowa to zwykle krytyczny obszar dla firmy.

Czy konwergencja zasadniczo zmienia obszar automatyki?

To nie jedyny trend, który kształtuje ten obszar. Ze strony zarządów płyną coraz mocniejsze sygnały, żeby w odpowiedni sposób wprowadzać OT Governance. Obecnie to numer jeden pośród tematów podejmowanych przez operatorów infrastruktury krytycznej na Bliskim Wschodzie. Wszystkie firmy – od małych do bardzo dużych – zastanawiają się, jak poukładać kompetencje czy zarządzanie.

Bliski Wschód jest ciekawy, ponieważ tamtejsze przedsiębiorstwa aktywnie działają w tym obszarze. To zresztą już druga fala zainteresowania tematem zabezpieczenia infrastruktury. Pierwsza wystąpiła w 2012 roku. Powodem był realny wzrost zagrożeń w tym regionie. W porównaniu do Europy, w której panuje względny spokój, na Bliskim Wschodzie jest gorąco. Dlatego intensywność działań jest większa i warto się im przyglądać oraz wyciągać wnioski.

Na czym polega OT Governance?

Governance w OT dotyka bardzo wielu procesów. Gdy zastanawiamy się, jak zarządzać zmianą, to okazuje się, że de facto trzeba gruntownie zmienić sposób zarządzania całą automatyką. To daleko wykracza poza obszar bezpieczeństwa. Nawet jeśli chcemy wykonać proste działanie, zaktualizować bazę antywirusową, to nagle okazuje się, że trzeba wyznaczyć osobę po stronie automatyki, trzeba inaczej prowadzić działania utrzymania ruchu i ostatecznie trzeba zmienić model operacyjny firmy. Nawet nieznaczna zmiana w tym obszarze to bardzo poważne przedsięwzięcie.

Wiele projektów OT Governance zaczyna być właśnie realizowanych. Kiedy poważnie się do tego podejdzie, okazuje się, że mamy do czynienia z dużym projektem transformacyjnym, który zmienia sposób działania firmy na bardziej dojrzały, efektywny, ale wymagający większej współpracy.

To poziom organizacyjny. A co dzieje się na poziomie narzędziowym, technologicznym?

Właśnie, kolejny ważny trend dotyczy pojawienia się nowych rozwiązań i technologii w obszarze bezpieczeństwa przemysłowych systemów sterowania i monitorowania. Do niedawna takich narzędzi nie było. Dlatego w wielu organizacjach podejmowane były próby samodzielnego ich tworzenia.

Niedawno pojawiły się narzędzia, które mogą zabezpieczyć pewien obszar działalności dostawców usług krytycznych – sprawdzić, jakie mamy obecnie aktywa i czy one się zmieniają. To jest bardzo ważne. Każdy atak na automatykę zaczyna się od pewnej zmiany, np. oprogramowania układowego albo tylko zmiany ustawień. Jeśli jesteśmy w stanie kontrolować to środowisko pod kątem, czy jest stabilne, czy nie zmienia się niezgodnie z naszymi oczekiwaniami, to już jest w perspektywie bezpieczeństwa bardzo duża korzyść.

Świat IT jest znacznie bardziej dynamiczny. W automatyce wszystko jest na szczęście bardziej przewidywalne i dokładnie wiemy, które narzędzie z którym będzie się komunikowało i jak ta komunikacja będzie przebiegać. Jednocześnie wszystko to jest powtarzalne.

Dodatkowo możliwe jest dzisiaj także identyfikowanie pewnych podatności dotykających automatyki przemysłowej. Są serwisy internetowe, które gromadzą informacje o tym, są również narzędzia, jakie mogą prowadzić czynności sprawdzające, opierając się na bazach sygnatur.

Czy nie dałoby się w prosty sposób przenieść narzędzi IT do OT?

To są dwa różne światy. Są do siebie coraz bardziej podobne, to fakt. Nadal jednak istnieją poważne różnice między nimi, np. w zakresie protokołów. Trzeba też pamiętać, że bazujące na OT systemy krytyczne muszą być dostępne non stop. W związku z tym nie da się ich „dobezpieczyć” w taki sposób, jak to się robi w IT. Oczywiście, jest szereg podobieństw – podatności, systemy operacyjne. Niemniej jest wiele różnic, które sprawiają, że potrzebny jest zupełnie inny, bardziej skomplikowany system bezpieczeństwa.

Na jakie inne trendy warto zwrócić uwagę?

Istotnym zjawiskiem jest budowanie OT SOC-ów (Security Operations Center). Do niedawna były wyłącznie centra SOC dla IT. Dziś wiele firm pyta: co z częścią OT, która jest dla nas bardziej krytyczna? Mają dwie drogi do wyboru: jedna to budowanie wydzielonych centrów, a druga – niezwykle ciekawa i przyszłościowa – to łączenie SOC IT i dedykowanego SOC dla OT (cały czas jednak trzeba go tworzyć, bo narzędzia są różne).

Kolejny trend to bardzo mocna segmentacja sieci. Zjawisko znane od dawna, ale obecnie nawet firmy, które rozpoczęły projekty tego typu kilka lat temu, lepiej rozumieją ich cele. Ze względu na dostępność nowych narzędzi, które pozwalają zdobywać więcej danych, można to robić w bardziej efektywny sposób. To są projekty architektonicznie trudne, ale przynoszą wymierne efekty. Co więcej, część firm ubezpieczeniowych pyta o segmentację sieci, bo dzięki temu można wyeliminować ryzyko 80% ataków.

Wreszcie coraz więcej słychać o łączeniu obszarów safety i security. Były ataki na systemy SIS (Safety Instrumented System), które są ostatecznym zabezpieczeniem infrastruktury – np. mają w bezpieczny sposób wyłączać instalację. Zaczyna się dyskutować o łączeniu metodyki analizy zagrożeń i zdolności operacyjnych HAZOP (Hazard and Operability Study) z cyberbezpieczeństwem. Można dzięki temu wyliczyć, w jaki sposób zabezpieczyć poszczególne elementy oraz gdzie i jakie problemy występują. Upraszczając nieco, przy analizie bezpieczeństwa procesowego mamy pewne komponenty, dzięki którym możemy wyliczyć, kiedy będzie awaria. Gdy dochodzi do tego cyberbezpieczeństwo, czyli pewna niewiadoma, całe precyzyjnie zbudowane macierze ryzyka są zaburzone. Dlatego pojawia się chęć nowego podejścia do tego zagadnienia w sposób numeryczny.