Niemal połowa komputerów i innych urządzeń stosowanych w przemysłowych systemach sterowania i kontroli miała kontakt ze złośliwym oprogramowaniem lub była poddana cyberatakom. Systemy przemysłowe zaprojektowane na zamówienie przez HDF Polska, zagrożenia związane z atakiem niwelują do minimum.
Pod koniec lipca tego roku grupa rosyjskich hakaerów Energetic Bear, znana również jako Dragonfly, prowadziła kampanię pishingową celującą w amerykański sektor energetyczny, w tym obiekty jądrowe. W ramach ataku wiadomości wysyłane przez hakerów były wysoce spersonalizowane i skierowane głównie do inżynierów, którzy mieli bezpośredni dostęp do systemów przemysłowych. Złośliwe załączniki były dokumentami Worda, które po otwarciu wykradały dane logowania oraz rozprzestrzeniały złośliwe oprogramowanie na inne komputery w sieci. Raport od FBI i Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych nie wskazywał, czy ataki miały na celu kradzież danych czy próby uszkodzenia systemów sterujących pracę elektrowni. Pewnym jest, że nie był to atak pierwszy i zapewne nie ostatni. Niespełna trzy miesiące wcześniej miał miejsce globalny atak oprogramowania WannaCry, które w ciągu 48 godzin od wykrycia zainfekowało ponad 230 tys. komputerów. Jest to połączenie robaka, który instaluje szkodliwy moduł (rootkit), oraz oprogramowania ransomware szyfrującego dane ofiary. Użytkownikowi zainfekowanego komputera wyświetlany jest komunikat o konieczności zapłaty równowartości 300 dolarów w walucie Bitcoin. Chociaż wydawać się mogło, że po wydaniu przez Microsoft aktualizacji systemów Windows problem nie powinien już istnieć, WannaCry przypomniał o swoim istnieniu w czerwcu, powodując realne straty produkcyjne w firmie Honda Motors. Z powodu ataku unieruchomione zostały systemy produkcyjne w zakładzie w Sayama, który znajduje się na północ od Tokio. WannaCry wyeliminował również działanie części systemów ochrony zdrowia i ratownictwa w Wielkiej Brytanii, fragmentu infrastruktury hiszpańskiego operatora Telefónica, systemów chińskich linii lotniczych Hainan, a nawet komputerów w rosyjskim MSW. Do innych firm, które odczuły skutki szkodliwego oprogramowania należały m.in.: Iberdrola, Gas Natural, FedEx, Renault, Hitachi, Nissan, CJ CGV (Korea Południowa) oraz Telecom (Portugalia).
Najsłabsze ogniowo
Powyższe przykłady nie są odosobnione. Według dostępnych danych, w drugiej połowie 2016 roku pobieranie złośliwego oprogramowania i dostęp do stron sieciowych wyłudzających informacje (phishing) sprawił, że zablokowane zostało ponad 22% komputerów przemysłowych. Oznacza to, że jeden na pięć komputerów przemysłowych wystawiony był na niebezpieczeństwo infekcji przez Internet przynajmniej jeden raz. Dodatkowo w systemach automatyki przemysłowej i sterowania znaleziono około 20 tysięcy różnych próbek, które należały do ponad 2 tys. rodzin złośliwego oprogramowania. Ponadto odkryto 75 luk, z czego 58 zostało uznanych zostało za luki o znaczeniu krytycznym.
Przyczyn takiego stanu rzeczy jest kilka, ale cztery są najistotniejsze. Po pierwsze, sieci korporacyjne (biznesowe) są coraz lepiej chronione, więc hakerzy wyszukują cele swojej działalności wśród przedsiębiorstw przemysłowych. Po drugie, zmienił się model zarządzania sieciami przemysłowymi, które przestały być dedykowanymi systemami hermetycznymi, które były odseparowane tylko do komputerów używanych w konkretnej aplikacji. Obecnie są one coraz bardziej otwarte na sieć korporacyjną, ponieważ osoby w poszczególnych działach firmy mogą mieć bezpośredni dostęp do informacji produkcyjnych, a to przekłada się na szybsze decyzje oraz wzrost efektywności i zysków. Takie otwarcie powoduje jednak konieczność wprowadzania dodatkowych zabezpieczeń w sieci przemysłowej, aby potencjalne zagrożenia z sieci biurowej nie wpłynęły negatywnie na pracę systemu produkcyjnego. Po trzecie, sieci przemysłowe stosowane w zakładach produkcyjnych są bardzo rzadko dzielone, w odróżnieniu od sieci IT, na segmenty funkcjonalne, które ograniczają dostęp do danych, urządzeń i aplikacji w sieci wewnętrznej. To w znacznym stopniu ułatwia zadanie przejęcia kontroli cyberprzestępcom nad wszystkimi procesami produkcyjnymi fabryki. W końcu po czwarte, sieci przemysłowe w niewystarczającym stopniu są aktualizowane oraz wykorzystują przestarzały sprzęt, często niewspierany przez producenta w zakresie systemów operacyjnych.
Generalizując, to wszystko sprawia, że głównymi źródłami zagrożeń są: Internet, w tym wiadomości e-mail, oraz nośniki pamięci masowej. „Jednak zdecydowanie najsłabszym ogniwem systemów zarządzania produkcją, bez względu jak dobrze byłyby napisane, są zawsze ludzie” – informuje Łukasz Russak, analityk systemów informatycznych w HDF Polska. „Dlatego też wykonując proces optymalizacji, nasze oprogramowanie zabezpieczamy przed złośliwym działaniem zarówno od zewnątrz, jak i od wewnątrz. Zawsze polecamy też regularny serwis oprogramowania, który pozwala nie tylko wykryć zagrożenia, ale też sprawdzić czy system nie był narażony na atak cyberprzestępców.”
Zagrożenia i obrona
Obecnie najbardziej narażone na cyberataki są przemysłowe systemy sterowania ICS (Industrial Control Systems) i przede wszystkim wchodzące w ich skład systemy SCADA (Supervisory Control And Data Acquisition), DCS (Distributed Control System) oraz różnego typu wykorzystywane przez te systemy elementy wykonawcze. Należą do nich głównie sterowniki programowalne PLC, komputery przemysłowe, systemy sterowania maszyn, w tym panele sterownicze HMI (Human Machine Interface). To także Serwery Historian, barmy danych (OPC), a także stacjonarne i mobilne stanowiska dla inżynierów i operatorów.
Atakom można zapobiegać w różny sposób, jednak nie ma jednej recepty na całkowite zagwarantowanie bezpieczeństwa. W chwili obecnej przed cyberprzestępcami najlepiej bronić się poprzez wdrożenie tzw. strategii ochrony warstwowej (defense in depth). W dużym uproszczeniu polega ona na stosowaniu wielu różnych poziomów zabezpieczeń. Jeżeli jedna z blokad zostanie ominięta, pojawia się następna, co spowalnia lub wręcz powstrzymuje cyberatak. W zakresie bezpieczeństwa w systemach automatyki istotną rolę odgrywają też dwie inne strategie. Pierwsza z nich to koncepcja tzw. białych list (whitelisting). Jest to metoda odwrotna do tej stosowanej w oprogramowaniu antywirusowym, które bazuje na tzw. czarnych listach znanych zagrożeń. Tutaj tworzony jest wykaz bezpiecznych aplikacji, a każda próba uruchomienia programu spoza tej listy traktowana jest jak cyberatak. Drugą metodą jest komunikacja jednokierunkowa realizowana na poziomie sprzętowym. Wykorzystywane są w niej specjalne urządzenia (tzw. data diodes), które umożliwiają przepływ informacji w sieci wyłącznie w jednym kierunku, tzn. bez kanału zwrotnego. Dodatkowo budując przemysłowy system informatyczny, należy zadbać o jedną z podstawowych zasad bezpieczeństwa – uprawnienia bazujące na rolach. Każdy element systemu powinien posiadać dokładnie takie uprawnienia, jakie są niezbędne do wykonania zadania, co ogranicza zbędne ryzyko. „Wykonywana przez nas optymalizacja systemów produkcyjnych to także optymalizacja systemu zabezpieczeń. Należy jednak pamiętać, że wdrożenie systemu to dopiero pierwszy krok w całym procesie monitorowania cyberzagrożeń i zdobywania wiedzy o nowych technikach ataku. Dopiero po kompleksowym zajęciu się tym problemem możemy mówić o budowaniu skutecznych mechanizmów obronnych przed cyberprzestępcami. ” – podsumowuje Łukasz Russak, analityk systemów informatycznych w HDF Polska.
Źródło: HDF Polska