Bezpieczeństwo cybernetyczne budynków biurowych, kampusów uniwersyteckich czy zwykłych budynków mieszkalnych budzi coraz większe zainteresowanie opinii publicznej. Sprytny napastnik może sprowokować zdalnie ewakuację w godzinach pracy i wyrządzić dowolnej organizacji znaczne szkody. I nie jest to najgorszy ze scenariuszy. Dlatego na pierwszy plan wysuwa się kwestia ochrony systemów zarządzania budynkami i systemami energetycznymi. Muszą być one całkowicie odizolowane od internetu, aby zapobiec atakom generowanym z zewnątrz. Poza tym całość powinna być objęta podwójnym monitoringiem – uważa Daniel Ehrenreich, wykładowca i konsultant w firmie Secure Communications and Control Experts.

Podczas wystąpienia na konferencji „InfraSEC Forum 2020” opowiadał Pan o wypracowanym w Izrealu podejściu do ochrony budynków. Czym ono się wyróżnia?

Przede wszystkim trzeba powiedzieć, że zawsze, w każdej sytuacji, najważniejszą sprawą jest zapewnianie budynkom perfekcyjnej ochrony. Co mam na myśli, mówiąc: perfekcyjnej? Takiej, która działa bez względu na wszystko. Wbrew pozorom, nie jest to takie trudne. Budowa nowego obiektu jest niezwykle kosztownym przedsięwzięciem. W porównaniu z tym cyberbezpieczeństwo nie jest takie kosztowne, systemy komunikacyjne, monitoring wizyjny, ochrona cybernetyczna nie wydają się takie drogie. 

Izraelskie podejście sprowadza się do ochrony obszarów z różnymi systemami SCADA, które nie są połączone ze sobą. Dzięki temu, jeśli atakujący skutecznie zaatakuje jedną ze stref, nie przedostanie się w prosty sposób do innej strefy. To jest krytyczne, ponieważ mamy świadomość, że nie ma absolutnej ochrony. Dzięki jednak takiemu podejście osiągamy to, że atakujący nie będą mogli się przenieść środkami elektronicznymi pomiędzy strefami. Właśnie dlatego w wielu obszarach uniemożliwiamy komunikację internetową TCP. Nie polegamy tylko na firewallach, a używamy jednokierunkowych bramek bezpieczeństwa. Używamy protokołów szeregowych nie ze względu na to, że są one w stu procentach doskonałe, ale dlatego że nie pozwalają na łatwe rozprzestrzenianie się złośliwego oprogramowania w sieci. 

Wspominał Pan też o konieczności stosowania podwójnego monitoringu. Na czym to polega?

Zacznijmy od tego, że mamy do czynienia z systemem SCADA. Przykładowo, niech będzie to klimatyzacja albo wodociąg czy system ściekowy. Mamy taki system, ale czy możemy mu zaufać? Kiedy widzę w systemie SCADA, że pompa się obraca, to czy mam pewność, że tak faktycznie jest? W tym miejscu pojawia się podwójny monitoring: umieszczamy kolejny, dodatkowy czujnik, który monitoruje przepływ wody. Wówczas nawet jeśli w systemie SCADA obserwuję normalne działanie systemu, to mam dodatkowo możliwość sprawdzenia, czy faktycznie woda płynie.

Chodzi o dodatkową, niezależną weryfikacje informacji. Wystarczy przypomnieć sobie Stuxnet. Zaatakowane zostały wirówki. System sterowania nie informował o żadnych problemach. Obraz na ekranie był idealny. To zmyliło operatora. Nie miał pojęcia, że wirówki – jedna po drugiej – ulegają awarii, bo są atakowane. Podsumowując: podwójne monitorowanie to sterowanie typu SCADA, a do tego osobny system sterowania, który monitoruje osobny zestaw czujników, całkowicie niezależnych, umożliwiających przeprowadzenie weryfikacji posiadanych informacji. 

Dzięki podwójnemu monitoringowi nawet jeśli w systemie SCADA obserwuję normalne działanie systemu, to mam dodatkowo możliwość sprawdzenia, czy faktycznie wszystko działa sprawnie.

Czym różnią się strategie cyberbezpieczeństwa w IT i OT?

Zwykle kiedy mówi się o bezpieczeństwie informatycznym, to ma się na myśli zapewnienie integralności, dostępności i poufności zasobów. W przypadku systemów przemysłowych często zmienia się kolejność i na pierwszym miejscu stawia się dostępność, a dopiero w dalszej kolejności myśli się o integralności, a na końcu o poufności. Uważam, że to nie jest wystarczająco dobre podejście. To jest podejście, w którego centrum są dane – konta bankowe, rejestry państwowe, dane medyczne. Natomiast w przypadku przemysłowych systemów sterowania priorytetem jest bezpieczeństwo ludzi. Dopiero w dalszej kolejności możemy myśleć o niezawodności operacyjnej i wreszcie, jeszcze później, o integralności i poufności dostępności. 

Zresztą w większości przemysłowych systemów sterowania poufność nie jest tak istotna. Oczywiście, kiedy mówimy o operacjach w przemyśle farmaceutycznym czy fabryce Coca Coli, gdzie istnieje tajna receptura, wówczas poufność jest ważna. Zasadniczo tak jednak nie jest – nic przecież nie zmieni to, że okaże się, że jakiejś rurze, w której płynie woda,  ciśnienie jest o kilka procent wyższe albo niższe.

Czy zachodząca konwergencja IT i OT to pozytywne zjawisko, czy wręcz przeciwnie?

To niezwykle istotna kwestia. Zacznijmy od tego, że termin „konwergencja IT i OT” nigdy nie został właściwie zdefiniowany. Nie ma powszechnej zgody co do jednej definicji. To hasło bardzo często się pojawia, ale nie ma jasności co do tego, co ono oznacza.

Powiem to jasno: systemy IT i OT – przemysłowe systemy sterowania –muszą być rozdzielone. Integralność, dostępność i poufność nie są tym samym co niezawodność, bezpieczeństwo i wydajność. Jednak mimo to, i jest to zaskakujące, zwłaszcza po ataku Stuxnet, który był wewnętrznie generowanym cyberatakiem, nadal żąda się połączenia IT z OT w celu osiągnięcia wyższego poziomu nadzoru i kontroli. 

Zgadzam się, że dane, zwłaszcza w czasie rzeczywistym, są potrzebne do zarządzania, do obsługi technicznej i wielu innych zadań, ale nie oznacza to, że mamy dążyć do konwergencji. Jeśli rozumiemy przez konwergencję połączenie poprzez usunięcie granic, to nie może być mowy o żadnej konwergencji. Systemy muszą pozostać rozdzielone. 

Możemy zabezpieczyć dane, możemy wykorzystywać zaawansowane zapory ogniowe, możemy stosować jeszcze bardziej bezpieczne jednokierunkowe bramki, możemy mieć strefy zdemilitaryzowane i szyfrowaną komunikację. Zgoda, dysponujemy wieloma technologiami, które pozwalają na zwiększenie bezpieczeństwa. Powiedzmy jednak szczerze i chciałbym, żeby wszyscy o tym pamiętali: żaden system ochrony bazujący na oprogramowaniu nie jest w pełni bezpieczny. Dlatego kluczowa jest przeprowadzana okresowo ocena ryzyka.

Rozmawiał Rafał Jakubowski. 

Daniel Ehrenreich był prelegentem na konferencji „InfraSEC Forum 2020”. Relacja z niej znajduje się na stronie: https://e-s-r.pl/2020/02/11/pragnienie-cyberbezpieczenstwa-ciagle-niezaspokojone/. Szczegółowy program konferencji można znaleźć na stronie: https://infrasecforum.pl/agenda-konferencji/.