Co musisz wiedzieć o cyberbezpieczeństwie w przemysłowych systemach sterowania?

Fot. Unsplash

Dwóch ekspertów z branży – Brad Bonette, dyrektor techniczny w firmie Wood Automation and Control, oraz Anil Gosine, specjalista ds. projektów globalnych w firmie MG Strategy+, podzieliło się swoją wiedzą tematy związane z cyberbezpieczeństwem w przemyśle: architektur zabezpieczeń, szkoleń, najlepszych praktyk, oceny ryzyka oraz trendów opartych na badaniach w przemyśle.

Jakie są często zaniedbywane najlepsze praktyki cyberbezpieczeństwa, które reprezentują słabe ogniwa w zabezpieczeniach? Czy różnią się one bardzo w zależności od firmy i gałęzi przemysłu, czy są też wspólne cechy dla wszystkich?

Brad Bonnette: Pozornie proste rzeczy, jak wyłączanie lub aktywne zarządzanie połączeniami USB, Bluetooth oraz zewnętrznych nośników danych. Brak zarządzania nieużywanymi kontami w sieci, odchodzenie pracowników z firm, zatrudnianie pracowników tymczasowych, nadawanie dostępu do sieci firmom partnerskim – wykonawcom prac czy dostawcom sprzętu. Brak zainstalowania monitorujących ruch zapór sieciowych (firewall) czy oprogramowania bezpieczeństwa, wykonującego monitoring i sporządzającego raport lub generującego alarmy. 

Anil Gosine: Nieprawidłowa konfiguracja zakupionych systemów oraz niedocenianie ilości czasu/pracy, wymaganego do ciągłego utrzymania ruchu i rozwiązywania problemów. Należy unikać takich sytuacji, jak operatorzy ignorujący alarmy, a następnie wymagający dodatkowej pracy związanej z zarządzaniem alarmami kilka lat po początkowym wdrożeniu systemu ICS.

Czy istnieją jakieś specjalne zalecenia na temat cyberbezpieczeństwa w komputerowych systemach sterowania procesami (SCADA) oraz systemami sterowania opartymi na programowalnych sterownikach logicznych (PLC)?

Brad Bonnette: Podstawowymi modelami są ochrona na krawędzi sieci oraz obrona w głąb (defense-in-depth). Jednak gdy system SCADA wykorzystuje chmurę obliczeniową lub sieć rozległą (WAN), to nie jest kontrolowany wyłącznie przez operatorów w zakładzie. W takim przypadku muszą być przeanalizowane dodatkowe zabezpieczenia do wdrożenia, takie jak: uwierzytelnianie ruchu sieciowego, urządzeń końcowych i użytkowników oraz ochrona (szyfrowanie) danych przesyłanych do chmury czy sieci partnerów umownych. Taka sieć zewnętrzna powinna być traktowana jako niezaufana krawędź. Jednak to, że Wasza firma posiada własną, specyficzną sieć LAN czy WAN, nie oznacza, że nie będzie musiała być także traktowana jako niezaufana. Zależy to od technicznej i fizycznej kontroli dostępu do tych sieci. Sieci zewnętrzne powinny być zawsze uważane za niezaufane i będące potencjalnie źródłem zagrożeń. Referencją jest tu standard ISA-TR100.15.01-2012 Raport Techniczny „Model architektury sieciowej typu backhaul” (Technical Report „Backhaul Architecture Model”). 

Czy istnieje potrzeba instalowania firewalli w produktach firmy Apple?

Brad Bonnette: Tak, aby chronić takie urządzenie, jednak zasadniczo po to, aby chronić resztę systemu przed tym urządzeniem. System operacyjny firmy Apple jest tak samo podatny na eksploracje, jak Microsoft Windows (a także Linux). Jako minimum każdy typ urządzenia sieciowego może być wykorzystany do ataków typu DDoS (distributed denial of service; rozproszona odmowa usługi) lub typu Storm (grupa komputerów „zombie”, botnet, kontrolowana na odległość) na roboty przemysłowe lub też jako punkt zwrotu (pivot point) w celu zdobycia danych, zakłócenia ruchu sieciowego czy uzyskania dostępu do systemu albo sieci technologii operacyjnej (OT) w fabryce. Złośliwe oprogramowanie w telefonach komórkowych spowodowało już incydenty w systemach OT. Przedostało się ono do tych systemów poprzez zwykłe podłączenie smartfona przez pracownika kablem do portu USB w stacji roboczej w celu naładowania. Jednak skutkiem tego było zainfekowanie systemów sterowania w zakładzie wirusami typu cryptolocker (szyfrującym pliki, co blokuje do nich dostęp) lub innymi.

Anil Gosine: Można rozważyć wykorzystanie protokołu bezprzewodowego Apple Wireless Direct Link do stworzenia sieci kratowych (mesh networks), jak to zauważono w niedawno podanych informacjach na temat cyberbezpieczeństwa.

Dokument pokazujący architekturę cyberbezpieczeństwa i ograniczania ryzyka w zakładzie przemysłowym. Pomaga on w uzasadnieniu przed dyrekcją konieczności dokonania pewnych inwestycji. SIEM (Security Information and Event Management; system do zarządzania informacjami bezpieczeństwa i zarządzania zdarzeniami w sieci komputerowej). | Źródło: MGStrategy+, Wood Automation and Control and Control Engineering

Czy istnieją jakieś szczególne zalety sieci przewodowych? Czy wszystkie dane trzeba raczej przechowywać na miejscu w firmie? 

Brad Bonnette: Sieć przewodowa może być łatwiejsza do zabezpieczenia fizycznego za pomocą barier i fizycznej kontroli dostępu. Jednak gdy tylko taka sieć wyjdzie poza kontrolowane fizycznie granice, to wszystkie punkty połączeń lub rozdziału staną się dostępne dla cyberataku. Zwykle dostęp nie jest taki łatwy, jak w przypadku sieci bezprzewodowych. Na temat przechowywania danych „u siebie” było już wiele dyskusji. Jeśli dana firma przemysłowa jest przytłoczona utrzymywaniem bezpieczeństwa oraz integralności danych i systemów danych, to zlecenie tego zadania wyspecjalizowanej firmie zewnętrznej może być rzeczywiście środkiem poprawy bezpieczeństwa lub integralności systemu. Aczkolwiek należy w takim przypadku ocenić ryzyka w integralności łańcucha dostaw (dostawcy usługi), praktykach bezpieczeństwa oraz możliwościach, jak gdyby wszystko to stanowiło majątek firmy przemysłowej.

Anil Gosine: Jeśli firma zamierza przechowywać dane w swojej siedzibie, to powinna najpierw rozważyć korzyści i wady tego rozwiązania, w postaci utraconej możliwości analizy danych w chmurze, dzięki której firma ta mogłaby uzyskać zwiększenie produktywności, wydajności oraz zysków. 

Jakie szkolenia powinien przejść personel zajmujący się cyberbezpieczeństwem, kto ma je przeprowadzać i jak często?

Anil Gosine: Należy się dowiedzieć, jak Wasza organizacja rozumie podstawowe pytania i odpowiedzi, wynikające z Kategorii Platformy Cyberbezpieczeństwa NIST (National Institute of Standards and Technology; amerykański Narodowy Instytut Standardów i Technologii). Będzie istniała potrzeba uzyskania materiałów szkoleniowych dla operatorów, administratorów systemów cyberbezpieczeństwa (security administrator) oraz użytkowników ogólnych. A także konieczność organizowania corocznych warsztatów dla personelu kierowniczego fabryki oraz administratorów systemów cyberbezpieczeństwa. Operatorzy powinni być przeszkoleni z wykrywania anomalii w obsługiwanym sprzęcie, administratorzy z narzędzi cyberbezpieczeństwa, technik zarządzania i nadawania priorytetów w ocenie ryzyka, użytkownicy ogólni – z manipulacji typu inżynieria społeczna (social engineering) oraz ze świadomości sytuacyjnej. Korzystne też może być publikowanie odnośnych informacji na temat cyberbezpieczeństwa w dostępnych kanałach informacyjnych firmy/ webcastach.

Co określa wymaganą częstotliwość wykonywania ocen ryzyka dla cyberbezpieczeństwa? Czy mini-oceny w pewnych obszarach powinny być wykonywane częściej niż w przypadku całości operacji, całości przedsiębiorstwa lub całości łańcucha dostaw połączonego w sieci?

Brad Bonnette: Częstotliwość wykonywania ocen ryzyka powinna być proporcjonalna do poprzednio ocenianego ryzyka. Systemy lub strefy o większych potencjalnych konsekwencjach cyberataku powinny być oceniane częściej niż obszary o mniejszych potencjalnych konsekwencjach. Okresowe oceny ryzyka dla pojedynczej strefy lub podzbioru powinny obejmować połączenia przewodowe z innymi strefami.

Anil Gosine: Kluczowe procesy operacyjne są oceniane częściej, aby pokazać unikanie/ograniczanie ryzyka do poziomu C (potencjalnie co 18 miesięcy). Będzie to oparte na tempie realizowania działań zaradczych. Wymagania określone przepisami tam, gdzie mają zastosowanie, podają minimalną częstotliwość wykonywania oceny ryzyka.


Redakcja tekstu Mark T. Hoske, menedżer ds. treści, Control Engineering, CFE Media and Technology