Cały obszar cyberbezpieczeństwa OT dynamicznie się zmienia. Decyduje o tym popularyzacja internetu rzeczy, wirtualizacja infrastruktury i powszechne wykorzystywanie chmury obliczeniowej, a jednocześnie wyższy poziom dojrzałości dostępnych rozwiązań. W obliczu wciąż nowych i coraz bardziej wyrafinowanych ataków na infrastrukturę krytyczną znaczenie działań zmierzających do zapewniania skutecznej obrony stale wzrasta. Konferencja „InfraSEC” to najlepsza okazja, żeby w eksperckim gronie porozmawiać o praktycznych aspektach cyberbezpieczeństwa z punktu widzenia operatorów infrastruktury przemysłowej, ograniczeniach w zakresie integracji obszarów OT i  IT, a także problemach związanych wdrażaniem nowych regulacji. Nowością w programie „InfraSEC” będą w tym roku zagadnienia związane z cyberbezpieczeństwem w kontekście inteligentnych budynków.

Systemy automatyki budynkowej pojawiły się w Stanach Zjednoczonych już w latach 70. ubiegłego wieku, a ich znaczny rozwój wystąpił w kolejnej dekadzie. W owym czasie automatyka budynkowa pozwalała zarządzać takimi elementami budynku, jak: systemy przeciwpożarowe, systemy kontroli dostępu, systemy alarmowe, systemy zasilania, systemy pogodowe, systemy oświetlenia, systemy monitoringu CCTV czy systemy ogrzewania. 

Dzisiaj systemy BMS (Building Management Systems) czy SMS (Security Management Systems) stały się czymś naturalnym. Istnieje jednak zasadnicza różnica pomiędzy systemami dzisiejszymi a tymi z lat 80. Czterdzieści lat temu były to izolowane, wewnętrzne systemy każdego budynku, często z osobnym sterowaniem, niezależnym od siebie i w miarę bezpieczne. 

Wojciech Kamiński, CISO w SKANSKA

„Wszystko byłoby pięknie, gdyby w pewnym momencie ktoś nie wpadł na genialny pomysł i nie podłączył systemów BSM i SMS do sieci internet. Prawdziwy koszmar i realne zagrożenia przyszły natomiast wraz z technologią SMART i aplikacjami mobilnymi, kiedy to postanowiono sterować budynkiem i jego funkcjami z poziomu smarfona” – tłumaczy Wojciech Kamiński, CISO w SKANSKA, który podczas „InfraSEC 2020” będzie opowiadał o cyberzagrożeniach dla automatyki budynkowej.

„O ile w latach 70. i 80., a nawet do połowy lat 90. cyberzagrożenia ograniczały się do jednego obiektu i można było wykonać atak wyłącznie poprzez fizyczny dostęp do konsoli sterowania lub danego systemu BMS lub SMS, o tyle po podłączeniu budynku do sieci internet można włamać się do tych systemów, siedząc na ławce przed budynkiem. Więc stąd prosty wniosek: zagrożenia wewnętrzne stały się możliwe do realizacji z każdej części świata, a podatności systemów BMS i SMS zostały nagle w sposób prosty wyeksponowane do sieci internet” – mówi Wojciech Kamiński. 

Realne zagrożenia przyszły wraz z technologią SMART i aplikacjami mobilnymi, kiedy to postanowiono sterować budynkiem i jego funkcjami z poziomu smartfona. 

Nieograniczone konsekwencje

Mówiąc o cyberzagrożeniach dla systemów BSM i SMS, należy, zdaniem Wojciecha Kamińskiego, zacząć od tego, że system sam w sobie nie jest ciekawy dla atakującego. Atrakcyjne jest natomiast to, co można zrobić, jak już się do niego podłączy, np. przez atak typu side channel. Wówczas można wyłączyć windy czy prąd, zablokować parking budynku, zdalnie uruchomić instalację przeciwpożarową albo podłączyć się do systemu kamer CCTV i sterować nimi. To bezpośrednie skutki włamania, ale ich konsekwencje mogą być znacznie poważniejsze. Zablokowanie wejścia do budynku może oznaczać zablokowanie działania operacyjnego firm mających siedzibę w danym budynku. Nieautoryzowany dostęp do budynku może oznaczać dostęp do pomieszczeń firm znajdujących się w budynku, a dalej do danych atakowanej firmy. Zdalne otwarcie bramek na parking pozwala na wjazd cysterną pod budynek i wysadzenie go w powietrze. Konsekwencją może być także wyciek danych osobowych z systemów kontroli dostępów.

To tylko kilka przykładów. Ogranicza nas jedynie wyobraźnia atakującego i cel takiego ataku. Raport europejskiej agencji ENISA „Threat Landscape and Good Practice Guide for Smart Home and Converged Media” wskazuje wiele dodatkowych zagrożeń związanych z atakami na budynki określane jako SMART.

Najgłośniejszym i najbardziej spektakularnym atakiem na systemy automatyki przemysłowej jest wpuszczenie wirusa STUXNET w system automatyki przemysłowej i próba sterowania elektrownią atomową w Iranie. 

„Wiem, że jest różnica miedzy instalacją przemysłową a budynkową, natomiast podobieństwo leży w zakresie budowy takich systemów na bazie sterowników SCADA czy PLC. Choć dystrybucja tego wirusa odbywała się jeszcze przez zainfekowany nośnik zewnętrzny USB, to był on w pełni sterowalny i aktualizowany już przez sieć internet. Od 2010 roku aż do dnia dzisiejszego wektor ataku oraz sposób infekcji ewaluowały. Myślę, że od tego się zaczęło, a dołożenie do sieci internet smartfona, czyli kolejnego cyfrowego kanału ataku i niejako klucza cyfrowego, tylko bardziej naraża nas, obywateli i użytkowników, na ataki hakerów” – mówi Wojciech Kamiński. 

Systemy BSM i SMS same w sobie nie są ciekawe dla atakującego. Atrakcyjne jest to, co można zrobić po podłączeniu się do nich, np. wyłączyć windy czy prąd, zablokować parking, zdalnie uruchomić instalację przeciwpożarową albo sterować kamerami CCTV.

Bezpieczeństwo dopasowane do ryzyka

Jakie wnioski wyciągnęła z tego i innych przykładów branża deweloperska i technologiczna? Podstawowe wymagania cyberbezpieczeństwa inteligentnych budynków opierają się na zaleceniach agencji ENISA. Można je sprowadzić do stosowania jednorodnych zamkniętych systemów BMS i SMS, separacji sieci i segregacji ruchu sieciowego, używania szyfrowanego kanału komunikacji do sterowania budynkiem, a także mocnych haseł w dostępie zdalnym do panelu SMART lub aplikacji mobilnej. Ponadto ENISA rekomenduje przechowywanie danych wyłącznie lokalnie, wykonywanie kopii danych sterowania i ustawień dla sterowania budynkiem, zredukowanie liczby usług i aplikacji zewnętrznych.

Branża budowlano-deweloperska dodatkowo powinna stosować jednorodne standardy komunikacji dla platform wymiany danych i integracji systemów BMS oraz SMS różnych producentów, weryfikować integrację systemów budynku BMS i SMS z aplikacjami mobilnymi, a także platformami wymiany danych pod kątem poprawnej konfiguracji i braku podatności dla sieci oraz serwerów sterujących lub biorących udział w sterowaniu budynkiem. Powinna także wykorzystywać zestawy polityk bezpieczeństwa i szyfrowania kanału komunikacji oraz danych dla integracji z API lub interfejsami systemów BMS i SMS.

Potrzebne jest wreszcie wykonanie testów penetracyjnych dla każdego komponentu BMS i SMS oraz aplikacji mobilnej, platformy czy portalu administracyjnego budynku zintegrowanego i wystawionego do sieci internet. Niezbędna jest także niezależna zewnętrzna certyfikacja audytorska w zakresie konkretnej technologii czy branży, np. rozwiązania dla systemu sterowania budynkiem. Konieczna jest również niezależna zewnętrzna weryfikacja szczelności i bezpieczeństwa rozwiązania sterowania budynkiem pod kątem regulacji i wymagań RODO oraz potwierdzenie minimalnego akceptowalnego poziomu ryzyka związanego z wyciekiem danych osobowych lub przetwarzaniem danych osobowych.

Warto przy tym pamiętać, że nie jest to pełen zestaw zabezpieczeń, jakie należy stosować. To tylko podstawowe, zdroworozsądkowe w gruncie rzeczy wymagania cyberbezpieczeństwa dla budynków typu SMART lub szeroko rozumianych budynków z wbudowaną technologią IOT. 

W zależności od tego, jakie cele i funkcje określone przez najemców ma realizować budynek z wbudowaną technologią IOT oraz z jakimi serwisami wewnętrznymi i zewnętrznymi ma się łączyć, zostaną zastosowane różne zestawy zabezpieczeń oraz różne mechanizmy kontrolne w warstwie technologicznej i organizacyjnej. Przede wszystkim jednak, jak zauważa Wojciech Kamiński, należy rozważyć i zrozumieć aspekt cyberryzyk dla takiego budynku oraz jego ekspozycji na zagrożenia wewnętrzne i zewnętrzne. Wtedy można zadecydować o doborze mechanizmów kontrolnych oraz mechanizmów bezpieczeństwa technicznego i organizacyjnego.

„Zawsze podkreślam, ze dobór tych mechanizmów musi iść w parze z kosztem możliwych do poniesienia skutków zmaterializowanego ryzyka i zawsze musi być ukierunkowany na to, żeby zminimalizować poziom ekspozycji na ryzyko do poziomu akceptowalnego przez inwestorów, najemców czy rynek wynajmu powierzchni biurowych. W przeciwnym razie branża budowlano-deweloperska przeinwestuje i wcale nie musi to oznaczać, że budynek podłączony do sieci internet i sterowany z aplikacji mobilnej przez smartfona jest bezpieczny lub zabezpieczony przed cyberzagrożeniami” – podsumowuje Wojciech Kamiński.

Podstawowe wymagania dla cyberbezpieczeństwa inteligentnych budynków opierają się na zaleceniach agencji ENISA. Można je sprowadzić do stosowania jednorodnych, zamkniętych systemów BMS i SMS, separacji sieci i segregacji ruchu sieciowego, używania szyfrowanego kanału komunikacji do sterowania budynkiem, a także mocnych haseł w dostępie zdalnym do panelu SMART lub aplikacji mobilnej.

Wyzwania rewolucji przemysłowej

W środowisku przemysłowym motorem zmieniającego się podejścia do cyberbezpieczeństwa są przede wszystkim idee i rozwiązania tworzące tzw. Przemysł 4.0. Od dawna – podobnie zresztą jak w obszarze automatyki budynkowej – mówi się, że najważniejsze znaczenie mają kwestie związane z izolacją fizyczną.

Andrzej Dalasiński, Head of Vulnerability Management, Bosch Cyber Defense Center

„Do niedawna poza możliwością fizycznej modyfikacji działania urządzeń na hali fabrycznej mieliśmy jeszcze odizolowane pomieszczenia z zestawami wskaźników i manipulatorów, z których mogliśmy modyfikować część procesów. Taka konfiguracja wymagała od atakującego wysiłku polegającego na przejściu przez ogrodzenie fabryki, ominięcie ochrony i wejście do odpowiednich pomieszczeń. Dziś na procesy produkcyjne mogą wpływać informacje spływające do fabryki z drugiego końca świata, często podróżując przez publiczne sieci telekomunikacyjne” – mówi Andrzej Dalasiński, Head of Vulnerability Management, Bosch Cyber Defense Center. Podczas „InfraSEC 2020” będzie zastanawiał się, czy w kontekście czwartej rewolucji przemysłowej bezpieczeństwo jest bardziej problemem czy rozwiązaniem.

Czymś nowym dla wielu specjalistów cyberbezpieczeństwa jest zmiana perspektywy. „Mimo że bezpieczeństwo definiujemy jako zachowanie poufności, integralności i dostępności, to dwa ostatnie elementy nie zawsze były odpowiednio zaadresowane, a w systemach przemysłowych najczęściej to właśnie one są kluczowe” – dodaje Andrzej Dalasiński.

Dzisiaj wiele systemów przemysłowych jest projektowanych i wdrażanych nawet na dziesiątki lat. Dlatego od początku należy zaplanować możliwości modyfikowania warstwy bezpieczeństwa. Doświadczenie uczy, że wcześniej czy później zidentyfikowane zostaną słabości lub nieprzewidziane wcześniej wektory ataku na takie środowisko. W związku z tym musi istnieć możliwość rozbudowy lub modyfikacji takiego systemu bez zatrzymywania produkcji. Ze względów finansowych w fabrykach, a ze względów strategicznych w infrastrukturze krytycznej częste restartowanie systemów jest niemożliwe.

Wiele systemów w przemyśle to systemy czasu rzeczywistego. Na co dzień, w systemach domowych czy normalnych systemach komputerowych opóźnienia w transmisji dochodzące to kilkunastu czy kilkudziesięciu milisekund są akceptowalne. W systemie przemysłowym, gdzie produkuje się albo testuje kilkaset elementów na minutę, synchronizacja jest niezmiernie istotna. Jej brak może spowodować, że niesamowicie precyzyjne elementy mechaniczne w silniku samochodu albo urządzenia grzewczego nie będą już tak dokładne, co w konsekwencji jest niebezpieczne nawet dla życia ludzi. W tak wymagającym środowisku przygotowanie kontroli i analizy bezpieczeństwa jest wyjątkowo trudne.

Wiele systemów przemysłowych jest projektowanych i wdrażanych nawet na dziesiątki lat. Dlatego od początku należy zaplanować możliwości modyfikowania warstwy bezpieczeństwa. Doświadczenie uczy, że wcześniej czy później zidentyfikowane zostaną słabości lub nieprzewidziane wcześniej wektory ataku. W związku z tym musi istnieć możliwość rozbudowy lub modyfikacji takiego systemu bez zatrzymywania produkcji.

Wzrost ryzyka

Do tej pory bariera fizyczna i bariera geograficzna ograniczały atrakcyjność sieci przemysłowych jako celu ataku. Podobnie specyfika protokołów przemysłowych, ich różnorodność i brak powszechnie dostępnej wiedzy oraz dokumentacji sprawiały, że tylko zdeterminowani atakujący podejmowali się tego zadania. 

„W dobie systemów przemysłowych podłączonych do sieci IP dwa wymienione wcześniej ograniczenia znikają. Dziś próby dostępu do sieci fabrycznej czy sieci operatora energetycznego można dokonywać z dowolnego miejsca. Co więcej, wejście do fabryki we Wrocławiu nie musi nastąpić bezpośrednio z polskiej sieci telekomunikacyjnej, a np. z dziurawej kamerki IP czy domofonu w domu pracownika koncernu w Szanghaju i dalej poprzez zaufane koncernowe połączenia” – tłumaczy Andrzej Dalasiński. 

„Wartość nowoczesnych technologii w Przemyśle 4.0 opiera się na możliwości zautomatyzowania procesów przemysłowych nie tylko na podstawie konfiguracji dokonywanej przez inżynierów, ale również na podstawie danych z innych procesów biznesowych i technologicznych. Atak na systemy produkcyjne nie musi być kierowany bezpośrednio na przemysłowe systemy kontrolne, ale i na inne systemy biznesowe, także te w chmurach obliczeniowych, od których zależy proces produkcyjny” – zwraca uwagę Andrzej Dalasiński.

Ważne jest przy tym, że budowanie strategii bezpieczeństwa w przemyśle nie różni się w zasadzie od budowania strategii bezpieczeństwa w każdym innym obszarze. Należy jednak zwrócić uwagę na zwiększoną złożoność techniczną i często większą ilość wykorzystywanych technologii. Trzeba też pamiętać, że o ile w przypadku danych osobowych czy własności intelektualnej kluczowa jest poufność danych, o tyle w produkcji często pierwszeństwo mają integralność i dostępność.

Z programem konferencji „InfraSEC Forum 2020” można zapoznać się na stronie https://infrasecforum.pl/agenda-konferencji/ . Konferencja odbędzie się 5 lutego 2020 roku w Warszawie.