Atakujący mają określone cele. Aby skutecznie się bronić, musimy udaremniać ich realizację. Pamiętajmy też, że w przypadku systemów cyberfizycznych cele będą zawsze dotyczyć części fizycznej, a nie cyfrowej. Rozmowa ze Stefano Zanero, PhD, Associate Professor, Politecnico di Milano. 

Jak można zdefiniować systemy działające na styku świata cyfrowego i urządzeń fizycznych (CPS – Cyber-Physical Systems)? Poproszę o przykłady.

Są to systemy fizyczne, które są kontrolowane przez komputery i które ludzie postrzegają jako istotne. Ich bezpieczeństwo może wiązać się z zagrożeniem dla życia ludzkiego. Te systemy stają się coraz bardziej zależne od automatyzacji. Przykład stanowią nowoczesne samochody z 50–60 tys. wbudowanych komputerów odpowiadających za różne funkcjonalności. Inny przykład systemów cyberfizycznych to samoloty czy przemysłowe systemy kontroli. Jest także wiele innych systemów wokół nas, które są sterowane przez komputery.

Jakie zagrożenia wiążą się z systemami cyberfizycznymi? Jak mogą być one atakowane?

Ciekawą rzeczą jest to, że na ogół eksperci ds. cyberbezpieczeństwa myślą przede wszystkim o chronieniu danych i zasobów znajdujących się w ich systemach. W przypadku systemów cyberfizycznych dane stanowią tylko część, często niewielką, najważniejszy jest wpływ, jaki cyberzagrożenie może mieć na cyberfizyczne systemy. Widać to dobrze na przykładzie cyberataku na system sterujący zaporą wodną, w którym napastnicy nie są zainteresowani danymi dotyczącymi poziomu wody w zbiorniku, lecz chcą wywołać określony efekt (np. otworzyć śluzy w celu zalania okolicy czy zamknąć je, żeby wstrzymać dostawy prądu). Zatem celem takich działań jest wywołanie fizycznego efektu. Jako badacze danych (data scientists), zwykle myślący głównie o ochronie danych, w przypadku systemów CPS nie jesteśmy tak naprawdę przyzwyczajeni do tego, że to nie dane będą celem ataku, lecz fizyczne obiekty. 

Na ogół eksperci ds. cyberbezpieczeństwa myślą przede wszystkim o chronieniu danych i zasobów znajdujących się w ich systemach. W przypadku systemów cyberfizycznych najważniejszy jest wpływ, jaki cyberzagrożenie może mieć na cyberfizyczne systemy. 

Jakie są zatem główne wyzwania związane z bezpieczeństwem CPS?

Według mnie jednym z najważniejszych wyzwań jest fakt, że te systemy najczęściej mają znaczenie krytyczne i wiążą się z nimi znacznie poważniejsze zagrożenia niż w przypadku innych systemów, takie jak zagrożenia ekonomiczne wynikające z finansowych motywacji atakujących, np. za pomocą ransmoware. Celami ataków terrorystów i organizacji paramilitarnych mogą być państwowe instytucje i różne sektory, np. elektrownie. Nie poddawajmy się jednak paranoi, musimy być świadomi ryzyk oraz być pewni tego, jak odpowiemy na te zagrożenia.

Co powinniśmy zrobić na poziomie strategicznym, aby poprawić bezpieczeństwo systemów działających na styku świata cyfrowego i fizycznego?

Atakujący mają określone cele. Aby skutecznie obronić się przed tymi atakami, musimy udaremniać realizację tych celów. Zasada ta dotyczy zarówno systemów CPS, jak i czystej domeny cyfrowej. Jako przykład podam zabezpieczanie danych na laptopie lub innym mobilnym urządzeniu. Szyfrując na nim dane na wypadek kradzieży urządzenia, niweczymy w ten sposób cel złodzieja: przejęcie naszych danych. Uniemożliwienie atakującemu realizacji jego celu to właściwa strategia i rozwiązanie. Skupienie się na celach atakujących przynosi dobre efekty. Utrudniajmy im osiąganie celów. Udostępniajmy możliwie najmniej personalnych informacji w urządzeniach, które mogą zostać skradzione. Przegramy, jeśli będziemy starać się chronić wszystko na raz. Nie jesteśmy w stanie wygrać, zabezpieczając wszystko, ale możemy tak podnieść poziom trudności napastnikom, że przeprowadzenie ataku przestanie się im opłacać.

Jaki jest kluczowy przekaz dzisiejszej Pana prezentacji, „Kiedy cyber styka się z namacalnym: ochrona systemów na styku cyber i urządzeń fizycznych”?

Po pierwsze, cyberbezpieczeństwo oparte na ofensywnych badaniach jest przydatne do wskazywania problemów, ale nie powinniśmy zapominać, że to jest tylko mała, wstępna część wysiłków. Po drugie, nie wygramy, jeżeli będziemy uniemożliwiać korzystanie z systemów. Zwyciężymy, uniemożliwiając atakującym osiąganie ich celów. Pamiętajmy, że w przypadku systemów cyberfizycznych te cele będą zawsze dotyczyć ich części fizycznej, a nie cyfrowej. Zbytnio skupiamy się na badaniu ataków, wykrywaniu i wykorzystywaniu luk w zabezpieczeniach. 

Mam dwie sugestie. Po pierwsze, myślmy systemowo, nie skupiając się tylko na określonych podatnościach, ale raczej na ich skutkach i wpływie. Musimy bardziej koncentrować się na odporności strukturalnej, zmianach architektonicznych i ograniczaniu skutków cyberincydentów. Ponadto osadzajmy zabezpieczenia w procesach projektowania i podejmowania decyzji dotyczących bezpieczeństwa opartych na ryzyku. 

Rozmawiał Stefan Kaczmarek. 

Przegramy, jeśli będziemy starać się chronić wszystko na raz. Nie jesteśmy w stanie wygrać, zabezpieczając wszystko, ale możemy tak podnieść poziom trudności napastnikom, że podjęcie ataku przestanie się im opłacać.

Źródło: Stefano Zanero: Kiedy cyber styka się z namacalnym: ochrona systemów na styku cyber i urządzeń fizycznych – prezentacja podczas TRMF 2019

Stefano Zanero był gościem specjalnym konferencji „Technology Risk Management Forum 2019”. Relację z tego wydarzenia można znaleźć na stronie: https://e-s-r.pl/2019/06/18/podstawa-bezpieczenstwa-coraz-wiecej-wiedzy/ .