Choć z perspektywy systemu bezpieczeństwa lepiej byłoby unikać konwergencji, potrzeba wykorzystania IT w automatyce przemysłowej w celu zwiększenia efektywności i obniżenia kosztów jest bardzo silna. Konwergencja OT i IT wydaje się więc koniecznością. Nie da się jednak ukryć, że w ten sposób wprowadzamy nowe zagrożenia dla bezpieczeństwa. Łączenie OT z IT wiąże się z drastycznym wzrostem ryzyka, a każdy błąd może być bardzo kosztowny – zwraca uwagę Freek Smit, pełniący funkcję Operational Security Lead w firmie Gasunie, zajmującej się infrastrukturą i transportem gazu ziemnego w Holandii i Niemczech. Mając przede wszystkim na uwadze obniżenie kosztów działalności, podjęto w niej decyzję o zapewnieniu inżynierom zdalnego dostępu do infrastruktury OT.

Co jest najważniejsze z praktycznego punktu widzenia, kiedy decydujemy się na łączenie IT z OT? 

Trudno wskazać jedną najważniejszą rzecz. W naszej firmie, w naszym zespole kierujemy się prostą zasadą: nie kombinuj za bardzo. Sprowadza się to do tego, żeby zbytnio nie komplikować realizowanych projektów. Kiedy bowiem stają się one przesadnie złożone, to sprawiamy, że infrastruktura staje się bardziej wrażliwa na zagrożenia, a my nie zdajemy sobie z tego sprawy, w ogóle tego nie zauważamy. Z pewnością więc to jest jedna z ważniejszych kwestii. 

Czy jest jeszcze coś, na co warto zwrócić uwagę?

Kolejna istotna kwestia – tak jak mówiłem w mojej prezentacji podczas „InfraSEC Forum 2020” – jeśli łączymy te dwa obszary, jeśli godzimy się na konwergencję IT i OT, to musimy skupić się na ryzyku.

Po pierwsze, trzeba odpowiedzieć sobie na pytanie, czy chcemy w ogóle łączyć IT z OT. Odpowiedź zawsze brzmi: tak, ponieważ osiągamy w ten sposób redukcję kosztów i zwiększamy efektywność. 

Następnie zazwyczaj podejmowana jest decyzja o podłączeniu do internetu. Jeśli już to robimy, to odpowiednio, z wykorzystaniem właściwych technologii, wszystko zabezpieczamy. Nie zapominajmy jednocześnie, że pomimo tych zabezpieczeń mówimy o połączeniu z internetem. Wszyscy muszą więc zrozumieć, że jeżeli decydujemy się na połączenie IT i OT, to poszerza się spektrum zagrożeń i zmieniają się wektory ataku.

Jak się za to zabrać? Czy wypracowaliście w firmie jakąś procedurę działania?

Zawsze zaczynamy od stawiania pytania dotyczącego funkcjonalności. Ktoś mówi, że ma konkretne wymagania. Przykładowo mówi, że chce móc podłączyć się z własnego domu do systemu OT, ponieważ tak jest taniej i bardziej efektywnie. To jest zawsze początek.

Potem reszta procesu polega na tym, że w większości przypadków włączamy się my, jako zespół bezpieczeństwa, i dokonujemy wstępnej oceny ryzyka. W pierwszej kolejności zastanawiamy się, jaki wpływ konkretny system będzie miał na naszą firmę. Następnie staramy się zrozumieć, jaki wpływ na firmę będzie miała decyzja negatywna: nie godzimy się na konwergencję.

Jeśli nie jesteśmy w stanie dobrze zrozumieć tych kwestii, to nie wiemy, co z punktu widzenia bezpieczeństwa mamy zrobić. Dopiero gdy to osiągniemy, zastanawiamy się nad tym, jakie środki bezpieczeństwa trzeba zastosować, żeby uzyskać najmniejsze prawdopodobieństwo wystąpienia problemów. Zastanawiamy się wtedy, jak zminimalizować ryzyko. Wreszcie, testujemy te rozwiązania. 

Podsumowując więc: oceniamy ryzyko, a następnie stosujemy środki bezpieczeństwa zgodnie z oceną ryzyka, którą przeprowadziliśmy, i wszystko dokładnie testujemy. 

Dalej robimy dokładnie to, o czym opowiadał występujący na konferencji InfraSEC przede mną Daniel Ehrenreich – zadajemy cały czas pytania: czy to nadal jest bezpieczne? czy zastosowane środki są odpowiednie? czy są odpowiednie w obliczu zmian zachodzących w infrastrukturze? czy powinniśmy coś zmienić? 

Wszyscy muszą zrozumieć, że jeżeli decydujemy się na połączenie IT i OT, to poszerza się spektrum zagrożeń i zmieniają się wektory ataku. Przed podjęciem decyzji trzeba dokładnie oszacować ryzyka z tym związane. 

A czy jest coś, czego pod żadnym pozorem nie wolno robić? Na co należy zwrócić uwagę?

To trudne pytanie, trudna kwestia. Mógłbym powiedzieć: nie podłączaj niczego bez zastosowania odpowiednich zabezpieczeń. Z punktu widzenia bezpieczeństwa należy powiedzieć, że w ogóle nie wolno łączyć IT z OT. 

Cofnijmy się jednak o krok. Konwergencja OT z IT nie musi oznaczać bezpośredniego połączenia z internetem. Może również oznaczać, że mamy jakieś urządzenie OT, ale wiemy, że istnieje także podobnie urządzenie IP, które robi dokładnie to samo, ale jest tańsze. To również jest konwergencja. Można wiec uznać, że automatyka przemysłowa będzie stawała się bardziej zinformatyzowana, bardziej konwergentna z IT, a nie będzie to miało nic wspólnego z połączeniem jej z internetem.

W tej drugiej sytuacji powiedziałbym więc, że jeśli podjęte zostaną wszelkie możliwe środki, żeby zapewnić bezpieczeństwo, to warto się na to zdecydować. Natomiast jeśli mielibyśmy stworzyć połączenie ze światem zewnętrznym, to doradziłbym, żeby raczej tego nie robić.

Ale jednak robicie to w firmie, pomimo istniejącego ryzyka łączycie IT z OT…

Tak, ponieważ korzyści przeważają nad ryzykiem. Ponad połowa wykonywanej przez mój zespół bezpieczeństwa pracy sprowadza się do oceny ryzyka. Nie ma to nic wspólnego z bezpieczeństwem operacyjnym, które skupia się raczej na sprawdzaniu, czy zastosowane środki bezpieczeństwa są sprawne, czy działają systemy reagowania na incydenty. 

W mojej firmie wprowadza się jednak tak wiele innowacji, że nie mamy innego wyjścia. Musimy te wszystkie nowości śledzić i na bieżąco dokonywać oceny ryzyka. Dlatego przez większość czasu jesteśmy tym pochłonięci, ale myślę, że to dobrze. Ocena ryzyka jest bowiem kluczem do wszystkiego, co jest związane z bezpieczeństwem. 

W firmie wiele osób nadal uważa i często mówi, że bezpieczeństwo ich ogranicza, że ciągle nie pozwala czegoś robić. W rzeczywistości my nigdy tego nie mówimy, nie zakazujemy ani nie zabraniamy. Jedyne, co mówimy to, że jeśli coś zrobisz, to pojawi się ryzyko i my doradzamy, żeby tego nie robić. Ostatecznie decyduje właściciel biznesowy odpowiedzialny za dane zasoby. On ma prawo powiedzieć: OK, akceptuję to ryzyko, godzę się na potencjalne konsekwencje. Dlatego właśnie zarządzanie ryzykiem jest kluczowe.

Rozmawiał Rafał Jakubowski. 

Freek Smitbył prelegentem na konferencji „InfraSEC Forum 2020”. Relacja z niej znajduje się na stronie: https://e-s-r.pl/2020/02/11/pragnienie-cyberbezpieczenstwa-ciagle-niezaspokojone/. Szczegółowy program konferencji można znaleźć na stronie: https://infrasecforum.pl/agenda-konferencji/.