Chociaż miesiąc zwiększania świadomości w zakresie cyberbezpieczeństwa jest już za nami, nie oznacza to, że nie trzeba już być na bieżąco z informacjami i trendami z tego obszaru. W dzisiejszym poście skupimy się na przemysłowych systemach sterowania: czym one są i dlaczego musimy je chronić.
Na temat przemysłowych systemów sterowania (ang. Industrial Control System, ICS) napisaliśmy już kilka postów, jednak dziś chciałbym pokazać je w innym świetle, bardziej zrozumiałym dla szerszej publiczności. Pomógł mi w tym Matwiej Wojtow, ekspert z Kaspersky Lab odpowiedzialny za wdrażanie ochrony infrastruktury krytycznej w firmach.
Co to jest ICS?
Skrót ICS oznacza przemysłowe systemy sterowania. To wszechstronne pojęcie łączy różne systemy informacyjne i technologie, takie jak kontrola nadzorcza i gromadzenie danych (ang. System Control And Data Acquisition, SCADA), rozproszone systemy sterowania (ang. Distributed Control Systems, DCS), programowalne kontrolery logiczne (ang. Programmable Logic Controllers, PLC) itp. Ich celem jest zarządzanie i kontrola procesów przemysłowych. Zadaniem tradycyjnych systemów informacyjnych (takich jak ERP, serwer pocztowy, system operacyjny) jest zarządzanie informacjami; z kolei zadaniem ICS-ów jest zarządzanie procesami fizycznymi. Z tego względu systemy takie są także określane jako systemy cyberfizyczne. Przemysłowe systemy sterowania są powszechnie używane w wielu branżach — naftowej, gazowej, produkcyjnej, obejmującej sieci energetyczne, jak również inteligentne budynki i miasta itp.
Co może się zdarzyć najgorszego?
Najgorszym scenariuszem jest zakłócenie procesów przemysłowych. W zależności od tego, jak istotną rolę odgrywa dany obiekt przemysłowy, może to skutkować utratą pieniędzy (w wyniku np. przestoju w zakładzie produkcyjnym) czy nawet doprowadzić do zniszczeń fizycznych. Tak się stało w Niemczech w 2014 roku: atak hakerski na stalownię zakłócił sterowanie wielkim piecem. Z kolei na Ukrainie w 2015 i 2016 roku ataki na podstacje elektroenergetyczne spowodowały przerwy w dostawie energii dla tysięcy konsumentów.
Które branże powinny szczególnie martwić się o bezpieczeństwo informacji i dlaczego?
W kontekście ochrony ICS „bezpieczeństwo informacji” oznacza bardziej „cyberbezpieczeństwo”, ponieważ w większości przypadków chodzi o ochronę procesów lub aktywów cyberfizycznych, a nie informacji.
Na zagrożenia podatne są wszystkie infrastruktury krytyczne, jednak najgroźniejsze są one dla obszaru wytwarzania, przesyłania i dystrybucji energii elektrycznej, nafty i gazu oraz wszelkiego rodzaju mediów. Oprócz tych wrażliwych infrastruktur na cyberataki cierpią również „niekrytyczne” zakłady przemysłowe, a to z powodu ich połączenia z sieciami zewnętrznymi. Według naszego badania w ciągu ostatnich 12 miesięcy 54% zakładów przemysłowych doświadczyło więcej niż jednego cyberincydentu.
Jakie są wektory oraz rodzaje ataków?
Ogólnie w przypadku systemów ICS istnieją dwa wektory ataków. Cyberprzestępcy mogą uzyskać dostęp do infrastruktury przemysłowej poprzez przekroczenie granic sieci zewnętrznych (np. sieć firmową z ERP, która wymienia dane z sieciami przemysłowymi w celu konserwacji prognostycznej) lub mogą próbować przedostać się do systemu bezpośrednio, wykorzystując nieostrożność pracownika czy przekupując kogoś. Na przykład pracownik może przynieść zainfekowanego pendrive’a USB lub włożyć własne urządzenie do komputera, który celowo nie jest połączony z internetem. W dzisiejszych czasach istnieje niewiele takich sieci prawdziwie odciętych od Sieci, nawet w infrastrukturach krytycznych. Ceną zwiększonej łączności sieci przemysłowych są błędy w konfiguracji i niska świadomość personelu — pracownicy mogą niechcący połączyć dany komputer z internetem. Dużą rolę odgrywa tu także modernizacja infrastruktury: ideą tzw. Przemysłowego Internetu Rzeczy jest dostępność sieci przemysłowych z zewnątrz.
W środowisku ICS mogą wydarzyć się cztery incydenty:
- Szkodliwe oprogramowanie, które przedostaje się do sieci przemysłowej i atakuje komputery z systemem Windows. Jako przykład można tu podać niedawną epidemię ransomware WannaCry i ExPetr, które przypadkowo wyrządziło wiele szkód w obszarze przemysłu na całym świecie.
- Ataki ukierunkowane, takie jak Stuxnet, Havex czy Industroyer, platformy szkodliwego oprogramowania i zabójcze łańcuchy (ang. kill chains) zaprojektowane z myślą o ataku na przemysłowe systemy sterowania.
- Podstępne działania osób wtajemniczonych, które wyrządzają szkody w organizacji przemysłowej bez konieczności wykorzystywania technik hakerskich, opierając się wyłącznie na posiadanej wiedzy odnośnie danego systemu ICS. Dość często zdarza się to w sektorze naftowym i gazowym.
- Błędy i luki w konfiguracji oprogramowania i sprzętu używanego w przemysłowym systemie sterowania.
Jak rozwiązać te problemy?
Pierwszym i najważniejszym krokiem jest zwiększenie świadomości w zakresie cyberbezpieczeństwa wśród pracowników: w większości przypadków ataki rozpoczynają się właśnie od nich. Szkolenia w zakresie cyberbezpieczeństwa i bezpieczeństwa ogólnie są niezbędnym elementem w firmie przemysłowej.
Z punktu widzenia technologii istotna jest świadomość, że tradycyjne rozwiązania bezpieczeństwa IT nie są odpowiednie dla sieci przemysłowych. Rozwiązania takie mają dużą tolerancje na fałszywe alarmy, znacznie zużywają zasoby, jak również wymagają nieprzerwanego połączenia z internetem. Aspekty te nie pokrywają się ze specyfiką systemów ICS, co oznacza, że zainstalowanie tradycyjnej ochrony punktów końcowych w środowisku ICS może stwarzać dla niego zagrożenie — czyli prowadzić do zakłócenia działania procesów przemysłowych.
Dlatego tak ważne jest, aby używać jedynie wyspecjalizowanych produktów zapewniających cyberbezpieczeństwo przemysłowe. Zwiększają one odporność punktów końcowych (konieczne jest tutaj stosowanie białych list) oraz umożliwiają pasywne monitorowanie sieci przemysłowych, obejmujące głęboką inspekcję pakietów (ang. Deep Packet Inspection, DPI), dzięki której można wyszukać anomalie w przepływie poleceń procesu przemysłowego. Oczywiście narzędzia te powinny posiadać autoryzację dostawców automatyki przemysłowej — takich firm jak Siemens, ABB czy Emerson.
Jeśli chcesz dowiedzieć się więcej na temat tego, jak firma Kaspersky Lab zabezpiecza ICS, odwiedź naszą stronę poświęconą cyberbezpieczeństwu przemysłowemu.