Badanie rynku: Cyberbezpieczeństwo

Zapewnienie niezawodności systemów sterowania jest warunkiem koniecznym prawidłowego funkcjonowania zakładów przemysłowych i bezpiecznego prowadzenia procesów produkcyjnych, zwłaszcza w czasach rosnących zagrożeń cyberatakami.

Przemysłowe systemy sterowania (Industrial Control Systems – ICS), na które składają się systemy SCADA (Supervisory Control And Data Acquisition), DCS (Distributed Control System), a także ich elementy składowe, takie jak sterowniki programowalne PLC (Programmable Logic Controller), coraz częściej stają się celem cyberataków. Niewątpliwie jest to wynikiem integracji technologii operacyjnej z informatyczną. W minionych latach rozwój tych systemów następował w izolacji od technologii teleinformatycznych, biurowych sieci komputerowych, co przekładało się na wysoki poziom bezpieczeństwa. Jeśli do tego dodamy korzystanie ze specjalizowanego sprzętu i stosowanie nietypowych protokołów komunikacyjnych, a także zazwyczaj dobrą ochronę fizyczną centrów sterowania, prawdopodobieństwo cyberataków było zredukowane w bardzo znacznym stopniu.

Niestety do dziś jeszcze wśród sporej liczby osób pokutuje przekonanie, że przemysłowe systemy sterowania są podatne na ataki w bardzo niewielkim stopniu bądź wcale. Założenie to jest jednak błędne. Zmieniły się czasy, a w wraz z nimi pojawiły się nowe źródła zagrożeń, będące następstwem m.in. korzystania z Internetu (protokołu IP) jako medium komunikacyjnego czy stosowania komercyjnych systemów operacyjnych i sprzętu komputerowego. Chcąc zminimalizować ryzyko cyberataków na systemy sterowania, należy przedsięwziąć odpowiednie kroki. Zdaniem respondentów biorących udział w badaniu przeprowadzonym przez redakcję magazynu Inżynieria i Utrzymanie Ruchu najważniejszymi strategiami bezpieczeństwa są: świadomość cyberzagrożeń i ochrony przed nimi (67%), kontrola dostępu (23%) oraz ochrona informacji (10%).

Świadomość zagrożeń

Jak wynika z sondażu, 78% osób jest przekonanych o istnieniu realnych zagrożeń dla informatycznych systemów sterowania, które mogą wpłynąć na ich działania biznesowe. Pozostały odsetek respondentów nie wierzy w istnienie tego rodzaju zagrożeń – twierdzą oni, że nie ma uzasadnionych powodów do obaw. Jest to szczególnie zadziwiające, zważywszy na to, że w przypadku większości zakładów przyjmowana jest polityka bazująca na założeniu, że stuprocentowe bezpieczeństwo jest niemożliwe do osiągnięcia.

Jeśli chodzi o systemy sterowania stosowane w firmach osób ankietowanych, to zdaniem 45% osób są one postrzegane jako zagrożone cyberatakami. Według tej grupy respondentów systemy zagrożone są w stopniu: niewielkim (56%), wysokim (34%) lub umiarkowanym (10%). Żaden z uczestników sondażu nie uważa, by były one zagrożone w bardzo wysokim stopniu. Warto w tym miejscu wyjaśnić, że pod pojęciem cyberzagrożeń kryją się wszelkie zamierzone i niezamierzone działania, które naruszają bezpieczeństwo lub zakłócają pracę systemów i/lub sieci komputerowych.

Program ochrony i system monitorowania

Należy pamiętać o tym, że dobrem przedsiębiorstwa są nie tylko finalne produkty i ich jakość, ale również informacje na temat produkcji, nowej technologii, wrażliwe dane dotyczące pracowników, finansów itd. Dlatego też niezwykle ważne jest zapewnienie odpowiedniego poziomu ochrony tych informacji.

Jak wynika z sondażu, ok. 80% uczestników badania deklaruje, że w ich firmach wykorzystywany jest program ochrony informacji bądź jest on właśnie implementowany. Program ten ma na celu zabezpieczenie przed atakiem na system, a tym samym na informację w nim przetwarzaną, co w konsekwencji prowadzi do naruszenia poufności (ujawnienie informacji przetwarzanej przez system nieautoryzowanemu użytkownikowi), integralności (nieautoryzowana modyfikacja lub zniszczenie danych przetwarzanych przez system) bądź dostępności informacji (brak dostępu w określonym czasie do systemu, programu lub informacji dla autoryzowanych użytkowników).

Natomiast jeśli chodzi o system monitorowania prób cyberataków i informowania o ich ewentualnym powodzeniu, to okazuje się, że jest on zainstalowany w firmach ok. 60% sondowanych osób.

Wrażliwe elementy systemu

Zdaniem sondowanych osób najbardziej wrażliwymi firmowymi elementami systemów sterowania są: połączenia z innymi systemami wewnętrznymi (36%), urządzenia i protokoły komunikacji bezprzewodowej wykorzystywane w systemach automatyki (34%), urządzenia sieciowe (22%) oraz sprzęt komputerowy (8%).

Jedną z przyczyn ataków mogą być słabe zabezpieczenia fizyczne, w wyniku czego może dojść do dostania się niepowołanych osób do obiektu czy systemów sterowania. Należy podkreślić, że atakujący wykorzystują różnego rodzaju słabości systemów, m.in. niewystarczające zapory firewall, brak zabezpieczenia na kanałach zdalnego dostępu czy słabą segmentację sieci. Jeśli chodzi o segmentację, to standardowa praktyka bezpieczeństwa zakładająca podział sieci na połączone ze sobą segmenty funkcjonalne, ograniczające dostęp do danych i aplikacji w sieci wewnętrznej, ciągle nie jest odpowiednio stosowana w przemysłowych systemach sterowania jako całości.

Jeśli zaś chodzi o sam sprzęt i oprogramowanie, źródłem problemów mogą być: niechronione zdalne terminale RTU, pamięci USB, komputery PC, urządzenia mobilne i peryferyjne oraz określone interfejsy HMI, a także różnego typu oprogramowanie sterujące.

Warto dodać, że potencjalnym źródłem cyberzagrożeń mogą być niezabezpieczone proste urządzenia telemetryczne, takie jak czujniki i ciśnieniomierze, w przypadku których zmanipulowanie danych może doprowadzić do problemów z działaniem całego systemu.

Nie bez znaczenia jest też także niewystarczająco częste przeprowadzanie aktualizacji oraz używanie przestarzałego sprzętu i przestarzałych systemów operacyjnych, których zgodność z nowoczesnymi mechanizmami zabezpieczeń, takimi jak oprogramowanie antywirusowe, pozostawia wiele do życzenia.

Faktem jest, że większość technologii wykorzystywanych w przemysłowych systemach sterowania, skądinąd bardzo zaawansowanych i niezawodnych, nigdy nie była projektowana pod kątem obsługi dostępu z sieci zdalnych. Zapewnienie bezpieczeństwa sprowadzało się do ograniczenia dostępu fizycznego do systemu. Jeśli tdo tego dodać stosunkowo dużą niewiedzę atakujących na temat składników systemu (takich jak moduły RTU lub sterowniki PLC) oraz stosowanych w nim protokołów łączności (takich jak Modbus, RP-570, Profibus czy Conitel), poziom bezpieczeństwa systemów był znacznie wyższy niż teraz. Liczba potencjalnych luk w zabezpieczeniach zaczęła się zwiększać wraz z zastępowaniem własnej infrastruktury gotowym do wdrożenia sprzętem i oprogramowaniem, wykorzystującym otwarte standardy (takie jak Ethernet, TCP/IP i Wi-Fi). Sytuację pogarsza również stosowanie na masową skalę urządzeń przenośnych, w tym wykorzystywanie urządzeń prywatnych do celów służbowych.

W przypadku wspomnianych urządzeń mobilnych podejmowane są różnego rodzaju inicjatywy mające na celu zminimalizowanie ataków. Z odpowiedzi uczestników sondażu wynika, że najczęściej praktykowane są: ochrona firmowej poczty elektronicznej i kalendarzy na urządzeniach prywatnych i firmowych (ok. 70%), mocne uwierzytelnianie na urządzeniach (ok. 30%), a także zakaz używania lub dostępu do sieci z własnych urządzeń użytkownika w miejscu pracy (ok. 20%). Poza tym co piąty ankietowany deklaruje, że wymienił oprogramowanie do zarządzania urządzeniami mobilnymi (MDM), a co dziesiąty przyznaje, że korzysta z mechanizmów kontroli geolokalizacji.

W celu zmniejszenia prawdopodobieństwa ataków warto wykonać analizę wrażliwości na zagrożenia. Jak wynika z badania, tego rodzaju analiza była przynajmniej raz przeprowadzana w firmach ok. 60% respondentów. 

Odizolowanie systemów sterowania

60% respondentów odpowiedziało, że w ich firmach sieć sterowania jest odizolowana od sieci IT. Takie rozwiązanie postrzegane jest przez wiele osób jako bezpieczne. W rzeczywistości jednak nie jest możliwe całkowite odizolowanie przemysłowych systemów sterowania od pozostałych sieci. Coraz większa liczba składników tych systemów, wymagających aktualizacji oprogramowania i okresowego instalowania poprawek, powoduje, że nawet sporadyczne przesyłanie danych staje się koniecznością. Co więcej, nawet jeśli nie ma trwałych połączeń z siecią bądź występują tylko połączenia z urządzeniami obsługującymi tylko jednokierunkowy przesył danych (np. diody optyczne), systemy te w dalszym ciągu są narażone na połączenie z zainfekowanymi komputerami lub urządzeniami magazynującymi dane. Przykładem jest pamięć USB – jedna z dróg wtargnięcia wirusa Stuxnet, atakującego przemysłowe systemy SCADA. Stuxnet atakował głównie konwertery częstotliwości, zmieniając częstotliwość prądu, jaki wysyłały, co w efekcie doprowadzało do przyspieszenia pracy silników wirówek. 

Cyberataki – przypadkowe czy konkretne?

Ok. 60% sondowanych doświadczyło już złośliwych cyberataków na swoje sieci i/lub sprzęt systemów sterowania. Jak deklaruje połowa uczestników badania, były to zazwyczaj przypadkowe infekcje. Natomiast ok. 20% respondentów twierdzi, że ataki te były nakierowane na konkretny cel. Pozostałych 30% osób odpowiedziało, że dochodziło zarówno do ataków przypadkowych, jak i konkretnych.

Jak pokazuje rys. 1, ok. 80% ankietowanych uważa, że głównym źródłem zagrożenia cyberatakami są przestępcy z grupy zorganizowanej. Ponadto w opinii respondentów ataki są także dziełem: nieznanych hakerów (45%), zaufanych partnerów – aktualnych lub byłych dostawców usług/konsultantów/wykonawców itd. (23%) oraz pracowników (11%).

Warto dodać, że 70% ankietowanych twierdzi, że w ich firmach są odpowiednio wykwalifikowani specjaliści zajmujący się wykrywaniem i odpieraniem cyberataków. Poza tym 1 na 3 osoby deklaruje, że w jej firmie odbywają się szkolenia z identyfikowania zdarzeń i objawów mogących wskazywać na cyberincydenty lub cyberataki.

Konsekwencje cyberataków

Cyberataki na przemysłowe systemy sterowania mają na celu przede wszystkim spowodowanie szkód majątkowych. Tego typu ataki, w przeciwieństwie do spektakularnych ataków na banki, pozostają jednak często niewykryte nawet przez wiele miesięcy.

Konsekwencje niezabezpieczenia przedsiębiorstwa przed atakami mogą być bardzo dotkliwe. Skutkami cyberataków mogą być znaczne straty finansowe, uszkodzenie urządzeń i infrastruktury, opóźnienie lub zakłócenie produkcji i procesów operacyjnych. Osobną kwestią są potencjalne problemy będące następstwem niezgodności z regulacjami bezpieczeństwa, a co za tym idzie – wysokimi karami pieniężnymi.

Jak pokazuje rys. 2, za najbardziej dotkliwe konsekwencje wystąpienia cyberataków w firmie ankietowani uznali ujawnienie lub modyfikację danych (56%) oraz straty finansowe (28%).

Przykładowo w przypadku sektora energetycznego nieuprawniona zmiana wartości sterujących czy celowa modyfikacja wartości obserwowanych może spowodować poważne zakłócenie procesu sterowania. Cyberataki te mogą doprowadzić nawet do fizycznego uszkodzenia urządzeń, co wiąże się z dużymi kosztami i długotrwałą naprawą. Może zajść również konieczność odbudowy całego bloku energetycznego. Z uwagi na złożoność i wielkość systemu elektroenergetycznego już nawet jedna awaria kluczowego systemu może spowodować destabilizację całości i wywołać dalsze zniszczenia.

Warto dodać, że zdaniem 16% respondentów niezwykle dotkliwą konsekwencją cyberataków jest utrata reputacji. Wychodząc z założenia, że szkody wywołane atakami hakerów mogą negatywnie wpłynąć na wizerunek firmy i obniżyć zaufanie klientów, dbanie o reputację firmy poprzez zwiększenie bezpieczeństwa systemów sterowania jest jak najbardziej uzasadnione, a wręcz konieczne. 

Autor: Agata Abramczyk

Tekst pochodzi z nr 4/2016 magazynu „Inżynieria i Utrzymanie Ruchu”. Jeśli Cię zainteresował, ZAREJESTRUJ SIĘ w naszym serwisie, a uzyskasz dostęp do darmowej prenumeraty w formie drukowanej i/lub elektronicznej.