Architektura systemów

Z różnych światów – w jednym celu

Cyfryzacja automatyki przemysłowej budzi wiele obaw i zastrzeżeń związanych z bezpieczeństwem. Z drugiej strony integracja OT i IT wydaje się dzisiaj niezbędna i nieunikniona. Jednym ze sposobów skutecznego przeciwdziałania zagrożeniom może być szersze wykorzystanie doświadczeń i metod cyberbezpieczeństwa sprawdzonych i stosowanych powszechnie na gruncie informatyki. O możliwościach w tym zakresie, ale i ograniczeniach dyskutowali uczestnicy konferencji „InfraSEC Forum 2019”.

Prosta separacja galwaniczna obu systemów, będąca jeszcze do niedawna codzienną praktyką w przedsiębiorstwach, nie zapewni już dostatecznego poziomu bezpieczeństwa. Chociażby z tego powodu, że zagrożenie może pochodzić nie tylko z zewnątrz, lecz również z wewnątrz – od pracowników, serwisantów. Zwracał na to uwagę Marek Damaszek, architekt bezpieczeństwa IT w Tauron Polska Energia. Jego zdaniem, w obszarze OT trzeba sięgnąć również po segmentację, rozwiązanie sprawdzone i wykorzystywane z powodzeniem na gruncie IT.

Marek Damaszek, architekt bezpieczeństwa IT, Tauron Polska Energia

„Separacja i segmentacja obszarów IT i OT to klucz do bezpiecznej integracji światów IT i automatyki” – mówił Marek Damaszek podczas „InfraSEC Forum 2019”. W praktyce polega to na wydzieleniu stref, gdzie pewne rzeczy są dozwolone, a inne nie. Na przykład w informatyce serwery są w strefie „zdemilitaryzowanej” – nie mam możliwości przedostania się do niej bez identyfikacji. Dla OT sieć lokalna, biznesowa powinna być traktowana jako sieć obca. Jeśli potrzebna jest wymiana informacji, to powinna się odbywać za pośrednictwem strefy „zdemilitaryzowanej”.

Można też wydzielać podstrefy, jedno rozwiązanie logiczne nie musi mieć dostępu do innych. Trzeba zwrócić uwagę na dostępy zdalne, np. dla firm serwisowych. Preferują one często VPN. Warto wtedy zadbać, żeby taki dostęp był zarządzany, np. poprzez stworzenie „stacji przesiadkowej” w strefie „zdemilitaryzowanej”. Tam następowałaby ocena potencjalnych użytkowników i decyzja o przyznaniu lub nieprzyznaniu im dostępu.

Do wykorzystania jest też wiele innych rozwiązań znanych już informatykom, np.: diody danych, dedykowane firewalle, SIEM, osłona antymalware’owa, sandboxy, testy laboratoryjne itp. Trzeba również, jak podkreślał Marek Damaszek, zwracać uwagę na bezpieczeństwo w sieciach bezprzewodowych, które są często wykorzystywane w przedsiębiorstwach, gdyż ich uruchomienie jest tańsze niż poprowadzenie kabla.

Trzeba zwrócić uwagę na dostępy zdalne, np. dla firm serwisowych. Preferują one często VPN. Warto wtedy zadbać, żebydostęp był zarządzany, np. poprzez stworzenie „stacji przesiadkowej” w strefie „zdemilitaryzowanej”.

Od konfiguracji do mikroserwisów

Oczywiście, nie można w sposób automatyczny i bezrefleksyjny przenosić rozwiązań, produktów i narzędzi ze świata IT do OT. Warto jednak zawsze skorzystać z doświadczeń wypracowanych na gruncie IT do poprawy poziomu bezpieczeństwa w obszarze OT. Dobre efekty może dać szukanie podobieństw i próba przenoszenia tego, co działa w jednej dziedzinie, na drugą dziedzinę. Wbrew pozorom, w wielu miejscach nie ma zasadniczych różnic. Niejednokrotnie mogą one wynikać tylko z historycznych zaszłości. Chociażby z tego, że wcześniej urządzenia automatyki przemysłowej nie były projektowane z myślą o bezpieczeństwie, przede wszystkim liczyła się ich funkcjonalność. Ich głównym zadaniem było zapewnienie ciągłości działania. Ponieważ wiele z nich wykorzystuje już technologie cyfrowe, nic nie stoi na przeszkodzie, by zacząć podchodzić do ich ochrony w sposób znany i sprawdzony już na gruncie IT.

Mateusz Matla, Programme Manager, Solutions IT, DSV

W zasobach OT jest wykorzystywanych dużo routerów. Zazwyczaj jednak nie są odpowiednio skonfigurowane. „Jeśli działają, to nikt z pionu automatyki się konfiguracją nie przejmuje. To daje jednak otwarty dostęp do sterowników” – zwracał uwagę Mateusz Matla, Programme Manager, Solutions IT, DSV. Jego zdaniem, sytuacja zmienia się ostatnio na lepsze, jednak regułą powinno być, że sterowniki podlegają autoryzacji przy logowaniu się do systemu.

Inny przykład: dzielenie WLAN dla IT jest oczywiste. W odniesieniu do infrastruktury przemysłowej jest to problem, osobny WLAN dla serwerów, osobny dla PC. W przemyśle jest to problem. A WLAN w zakładzie daje możliwości separacji. Warto też robić testy podatności w uzgodnieniu z szefem produkcji. Często wtedy wychodzą rozbieżności między deklarowanymi a faktycznie podłączonymi do sieci urządzeniami.

„Trzeba mieć możliwość kontroli tego, co jest robione w sieci. Musi być rozliczalność tego, co kto robi i na czym. Dlatego ważne jest odpowiednie zarządzanie dostępem”podkreślał Mateusz Matla. Wśród możliwych do zastosowania rozwiązań wymieniał: VPN, jedno źródło certyfikacji, stacje „przesiadkowe” dla zdalnego dostępu, rejestrowanie sesji, „cienki klient”, monitoring.

Jako użyteczne również na gruncie OT podaje znane i stosowane w informatyce: mikroserwisy, konteneryzację i wirtualizację. „Nie musimy mieć wszystkiego w jednym ERP-ie. Równie skuteczne mogą być mikroserwisy. Dzięki temu udaje się utrzymać dany mikroserwis i nie narażać całości. Mikroserwis może być na dodatek w kontenerze i zwirtualizowany” – tłumaczył Mateusz Matla.

Warto robić testy podatności w uzgodnieniu z szefem produkcji. Często wtedy wychodzą rozbieżności między deklarowanymi a faktycznie podłączonymi do sieci urządzeniami.

Na każdym kroku

O bezpieczeństwie systemów OT i IT należy myśleć w sposób kompleksowy. Często separacja i segmentacja są niewystarczające. Potrzebne jest podejście wielowarstwowe, wielopoziomowe. „Trzeba zaimplementować bezpieczeństwo w struktury organizacyjne firmy. Ważne jest określenie odpowiedzialności, jasne zdefiniowanie, kto czym ma się zajmować” – mówił Wiesław Kasprzak, ekspert ds. bezpieczeństwa informacji w BLUE Energy.

Tradycyjnie był podział na cyberbezpieczeństwo i bezpieczeństwo fizyczne. Teraz, zdaniem Wiesława Kasprzaka, trzeba zbudować kompleksowy system zarządzania bezpieczeństwem. W jego ramach należy określić, kto odpowiada za bezpieczeństwo OT. Podział kompetencji ma odzwierciedlać faktyczną sytuację w firmie, formalistyczne podejście się nie sprawdzi. Co więcej, w działania na rzecz bezpieczeństwa powinno być angażowanych jak najwięcej ludzi w firmie, również osoby spoza pionu bezpieczeństwa.

Potrzebne jest też stałe monitorowanie podatności, ciągłe robienie audytów. To pozwoli lepiej przygotować się na możliwe incydenty. Należy jednak pamiętać, że nie ma rozwiązań standardowych, sytuacja jest cały czas dynamiczna. Dobrze, gdyby udało się zautomatyzować działania w przypadku wystąpienia incydentu. Ważne jest też, by wyciągać wnioski z zaistniałych wydarzeń w celu zabezpieczenia się na przyszłość. W tym kontekście nie wolno lekceważyć prowadzenia dokładnej dokumentacji.

Trzeba zbudować kompleksowy system zarządzania bezpieczeństwem. W jego ramach należy określić, kto odpowiada za bezpieczeństwo OT. Podział kompetencji ma odzwierciedlać faktyczną sytuację w firmie, formalistyczne podejście się nie sprawdzi.

Dostęp kontrolowany

Michał Kurek, Partner, Head of Cyber Security, KPMG, lider OWASP Warszawa

Trzeba zwracać szczególną uwagę na kwestie bezpieczeństwa w odniesieniu do najnowszych rozwiązań technologicznych. Michał Kurek, Partner, Head of Cyber Security w KPMG oraz lider OWASP Warszawa, podkreślał, że w analizach ryzyka często są pomijane lub w niedostateczny sposób uwzględniane wektory ataku wykorzystujące podatności w warstwie aplikacji przemysłowego internetu rzeczy (IIoT).

Kluczowe znaczenie ma uwzględnianie zagadnień bezpieczeństwa już przy projektowaniu rozwiązań IIoT. Potrzebna jest analiza ryzyka dla aplikacji wykorzystywanych w ramach IIoT. Zdaniem Michała Kurka, separacja fizyczna i logiczna jest ważna dla infrastruktury automatyki przemysłowej. I chociaż pełna separacja jest mitem, to trzeba starać się w jak największym zakresie minimalizować ryzyka związane z nieuprawnionym dostępem. Dobrze jest powyłączać dostęp do wszystkiego, co nie wymaga udostępniania.

Artur Czerwiński, dyrektor ds. cyfryzacji, Cisco

W opinii Artura Czerwińskiego, dyrektora ds. cyfryzacji w Cisco, spójna i wszechstronna polityka kontroli dostępu jest jednym z podstawowych warunków utrzymania właściwego poziomu bezpieczeństwa infrastruktury krytycznej przedsiębiorstwa. Jak zauważył, dotychczas największą uwagę zwracano na ochronę fizyczną obiektów. W dobie coraz bardziej zaawansowanych ataków hakerskich, w tym na oprogramowanie do sterowania, istotne staje się zbudowanie całościowej polityki dostępu i automatyczna kontrola jej realizacji również w warstwie sieciowej.

Kluczowe znaczenie ma uwzględnianie zagadnień bezpieczeństwa już przy projektowaniu rozwiązań IIoT. Potrzebna jest analiza ryzyka dla aplikacji wykorzystywanych w ramach IIoT.

Bez pośpiechu i bez presji

Michał Nieżurawski, Head of Global IT Security Competence Center, DB Schenker

Dla zapewnienia należytego poziomu bezpieczeństwa systemów automatyki przemysłowej niezbędne jest robienie analizy ryzyka. Jak zwracał jednak uwagę Michał Nieżurawski, Head of Global IT Security Competence Center w DB Schenker, przy braku norm bezpieczeństwa OT wykonanie analizy ryzyka infrastruktury, a szczególnie infrastruktury krytycznej, jest dużym wyzwaniem. Tym bardziej, że systemy OT coraz trudniej oddzielić od systemów IT.

Nie można jednak zarządzać ryzykiem z nastawieniem na realizację krótkoterminowych priorytetów, pod wpływem wymagań politycznych czy w odpowiedzi na działania audytorów. Program cybersecurity, podkreślał Michał Nieżurawski, musi być realizowany w sposób długofalowy, bez presji politycznej i bez akcyjności. Wymaga to stałej uwagi i ciągłej pracy bo sytuacja w otoczeniu jest dynamiczna. Przydatne będzie zarządzanie podatnościami, robienie testów penetracyjnych czy prowadzenie audytów infrastruktury.


Ratunek w pełnej cyfryzacji?

Wygląda na to, że, paradoksalnie, ochroną dla automatyki przemysłowej przed zagrożeniami wynikającymi z cyfryzacji może być całkowita… cyfryzacja. Wtedy bowiem będzie można objąć całość cyfrowej infrastruktury skuteczną, spójną polityką cyberbezpieczeństwa. Oczywiście, nie uchroni to systemów OT – tak samo jak i systemów IT – przed nowymi zagrożeniami, ale pozwoli zastosować znane już i sprawdzone na gruncie cyberbezpieczeństwa metody i narzędzia ochrony. Nie należy ich przenosić w sposób automatyczny i bezrefleksyjny, ale warto będzie zastosować tam, gdzie się mogą sprawdzić. (ag)