Zmiana paradygmatu bezpieczeństwa przemysłowego: uodpornienie fabryk

Kaspersky IoT Secure Gateway 100: jak chronić dane przemysłowe przy zachowaniu ciągłości biznesowej?

W obszarze cyberbezpieczeństwa dziesięć lat to długi czas. Gdybyśmy mogli wtedy zobaczyć przyszłość i sprawdzić, jak daleko zajdą technologie cyberbezpieczeństwa w 2022 r., jestem pewien, że nikt by w to nie uwierzył. Łącznie ze mną! Paradygmaty, teorie, praktyki, produkty (Antywirus? Co to jest?) – wszystko się zmieni i rozwinie nie do poznania.

Jednocześnie, bez względu na to, jak daleko się posuniemy – i pomimo pustych obietnic cudów sztucznej inteligencji oraz różnych innych gorących pomysłów związanych z niby-cyberbezpieczeństwem dziś wciąż mamy do czynienia z tymi samymi, klasycznymi problemami, które mieliśmy 10 lat temu, np.:

Jak chronić dane przed osobami niepożądanymi i nieautoryzowanymi zmianami, zachowując przy tym ciągłość procesów biznesowych?

Rzeczywiście, ochrona poufności, integralności i dostępności nadal stanowi codzienne zajęcie dla większości specjalistów ds. cyberbezpieczeństwa.

Bez względu na to, dokąd zmierza, „ucyfrowienie” zawsze niesie ze sobą te same problemy. Tak było, jest i będzie, bo zalety cyfryzacji są oczywiste. Nawet tak pozornie konserwatywne dziedziny jak budowa ciężkich maszyn, rafinacja ropy naftowej, transport czy energia są już od lat mocno zdigializowane. Wszystko fajnie, ale czy to bezpieczne?

Dzięki cyfryzacji efektywność biznesu rośnie skokowo. Ale z drugiej strony wszystko, co cyfrowe, może być — i bywa — zhakowane, a przykładów jest na to wiele. Pokusa, aby zastosować technologię cyfrową w pełni i czerpać z niej wszelkie korzyści, jest wielka, jednak musi to być zrobione bezboleśnie (czyli bez konieczności wstrzymania procesów biznesowych). I tu właśnie może pomóc nasz nowy specjalny produkt — KISG 100 (Kaspersky IoT Secure Gateway).

To maleńkie pudełko (sugerowana cena detaliczna producenta wynosi nieco ponad 1000 euro) jest instalowane między urządzeniami przemysłowymi (zwanymi dalej „maszynami”) a serwerem, który odbiera różne sygnały z tego sprzętu. Dane ujęte w tych sygnałach dotyczą wydajności, awarii systemu, zużycia zasobów, poziomów wibracji, pomiarów emisji CO2/ NOx i wiele innych aspektów – ale wspólnie pozwalają uzyskiwać ogólny obraz procesu produkcyjnego i podejmować świadome i rozsądne decyzje biznesowe.

Jak widać, pudełko jest małe, ale ma też potężną funkcjonalność. Jedną z kluczowych funkcji jest to, że umożliwia ono przesyłanie tylko „dozwolonych” danych, a także transmisję danych ściśle w jednym kierunku. Dzięki temu KISG 100 przechwytuje natychmiastowo całą masę ataków: man-in-the-middle, man-in-the-cloud, ataki DDoS i wiele innych zagrożeń internetowych, które są aktywne w tych cyfrowych czasach.

KISG 100 (który działa na platformie sprzętowej Siemens SIMATIC IOT2040 i naszym cyberodpornym systemie KasperskyOS) dzieli sieci zewnętrzne i wewnętrzne w taki sposób, że żaden bajt szkodliwego kodu nie zdoła się przedostać. Dzięki temu maszyna pozostaje w pełni chroniona. Technologia ta (na którą mamy trzy zgłoszone patenty) działa w oparciu o zasadę diody danych: otwiera przepływ danych tylko w jednym kierunku i tylko po spełnieniu określonych warunków. Ale w przeciwieństwie do konkurencyjnych rozwiązań KISG robi to (i) niezawodniej, (ii) prościej i (iii) taniej!

Przyjrzyjmy się bliżej temu rozwiązaniu…

Nie bez powodu to małe pudełko zwane jest „bramą” — działa tak, jak znajdująca się na kanałach mechaniczna brama hydrotechniczna — czyli śluza. Otwierasz dolną bramę, łódź wchodzi do komory; poziom wody podnosi się, górna brama otwiera się, łódź opuszcza komorę. W ten sam sposób KISG 100 najpierw inicjuje agenta źródła z sieci przemysłowej, a następnie łączy go z agentem odbiornika danych w kierunku serwera i umożliwia jednokierunkowy transfer danych.

Po nawiązaniu połączenia między maszyną a serwerem system ma tak zwany status chroniony: dla obu agentów (źródłu, jak i odbiornikowi) dostęp do sieci zewnętrznej i niezaufanej pamięci jest zabroniony, podczas gdy dostęp do zaufanej pamięci (z której otrzymują one parametry robocze, takie jak klucze szyfrowania, certyfikaty itp.) jest dozwolony. Dzięki temu brama nie zostanie zhakowana w ramach ataku z sieci zewnętrznej — ponieważ na tym etapie wszystkie jej komponenty są odłączone od świata zewnętrznego i są uważane za zaufane (są tylko ładowane i inicjowane).

Po zainicjowaniu stan bramy zmienia się na aktywny: agent odbiornika otrzymuje uprawnienie zarówno do przesyłania danych do sieci zewnętrznej, jak i dostępu do niezaufanej pamięci (w której zawarte są dane tymczasowe). W związku z tym, nawet jeśli po stronie serwera nastąpi włamanie, haker nie dostanie się do innych komponentów bramy ani sieci przemysłowej. Ilustruje to poniższa grafika:

Kontrola nad przestrzeganiem zasad interakcji między agentami, a także przełączanie statusów bramy odbywa się za pomocą monitora cyberbezpieczeństwa KSS. Ten odizolowany podsystem KasperskyOS stale monitoruje przestrzeganie wstępnie zdefiniowanych polityk bezpieczeństwa (który komponent może co zrobić) i, zgodnie z zasadą „odmowy domyślnej”, blokuje wszystkie zabronione działania. Główną przewagą konkurencyjną KSS jest to, że politykę bezpieczeństwa można bardzo wygodnie opisać specjalnym językiem i połączyć ją z różnymi predefiniowanymi modelami cyberbezpieczeństwa. Jeśli okaże się, że zhakowany został tylko jeden z komponentów KISG 100 (na przykład agent odbiornika), nie zaszkodzi to pozostałym elementom, ponieważ operator systemu zostanie poinformowany o ataku i będzie mógł rozpocząć działania mające na celu powstrzymanie go.

Co więcej, to małe pudełko może pomóc w zapewnieniu dodatkowych usług cyfrowych. Umożliwia ono bezpieczną integrację danych przemysłowych w ERP/CRM i różnych innych systemach biznesowych przedsiębiorstwa.

Scenariusze obejmujące takie usługi mogą być różne. Na przykład dla naszego szanowanego klienta Chelpipe Group (wiodącego producenta rur stalowych) obliczyliśmy wydajność obrabiarki tnącej rury. Dzięki tej analizie predykcyjnej przy zakupie takiego narzędzia można zaoszczędzić nawet 7000 dolarów miesięcznie (!). W rzeczywistości taka integracja zapewnia nieskończone możliwości.

Jeszcze jeden przykład: firma z Petersburga, LenPoligraphMash, podłączyła swoje urządzenia przemysłowe do systemu ERP 1C, a teraz – niemal w czasie rzeczywistym – pokazuje w analizie ERP wydajność wszystkich operatorów, dzięki czemu może płacić im w oparciu o rzeczywisty (nie normatywny lub uśredniony) czas przestoju. Wyjątkowość tego podejścia i jego skalowalność potwierdzili eksperci z szanowanej agencji analitycznej Arc Advisory Group w swoim pierwszym raporcie o cyberodporności.

Jak widać, nie jest to tylko jakieś stare pudełko. Jest ono genialnie magiczne! Oprócz tego, że jest w pełnej służbie bojowej w Chelpipe Group, KISG 100  jest dostarczany wraz z maszynami do obróbki metali StankoMashKomplex, udane projekty pilotażowe już działają w firmach Rostec i Gazprom Neft, a kilkadziesiąt innych programów w dużych organizacjach przemysłowych już się rozpoczęło. Urządzenie to otrzymało specjalną nagrodę za wybitne osiągnięcia technologiczne na największym chińskim wydarzeniu IT, Internet World Conference — na  wystawie przemysłowej Hannover Messe 2021 KISG 100 uplasowało się wśród najlepszych innowacyjnych rozwiązań, a niedawno zdobyło główną nagrodę w IoT Awards 2021 przyznawaną przez Internet of Things Association, pokonując wiele wysoko ocenianych firm.

W przyszłości będziemy rozszerzać gamę takich inteligentnych skrzynek. Już teraz „starszy brat” KISG 100 KISG 1000 – jest w fazie testów beta. Oprócz tego, że jest strażnikiem bramy, jest także inspektorem: nie tylko zbiera, sprawdza i dystrybuuje dane telemetryczne, ale także przesyła polecenia zarządzania do urządzeń i chroni przed atakami sieciowymi.

Nie trzeba bać się cyfryzacji, wystarczy odpowiednio się do niej przygotować. A my jesteśmy po to, aby Ci w tym pomóc.

Porady