Blaski i cienie cyfrowej transformacji

Przez ostatnie lata osoby działające w praktycznie dowolnym obszarze usługowym i produkcyjnym mogły doświadczyć postępującego rozwoju technologicznego, przede wszystkim w obszarach cyfryzacji i automatyzacji.

Nowoczesne technologie oparte już nie tylko o elektronikę i sieci, ale także zaawansowaną analitykę, sztuczną inteligencję i uczenie maszynowe, stanowią nie lada usprawnienie dla wielu biznesów. Wykorzystanie np. systemów telemetrycznych sprzęgniętych z zaawansowanym raportowaniem pozwala tworzyć i rewidować złożone strategie biznesowe a także reagować w mgnieniu oka na zaobserwowane anomalie. Co więcej, dzięki informatyzacji możliwa jest wydajna praca zdalna z dowolnego miejsca na świecie (z dostępem do Internetu, rzecz jasna), tak samo jak udostępnienie kluczowych zasobów pracownikom terenowym (np. mapy geodezyjne w Geoportalu czy też wewnętrzna dokumentacja i dane telemetryczne dla inżynierów).

Z tych niewątpliwie wspaniałych zdobyczy techniki korzystają nie tylko dobrzy ludzie ale i przestępcy (tu: cyberprzestępcy), którzy w tym swoistym wyścigu zbrojeń nie zamierzają odstępować na krok. Stawka dla nich jest zbyt duża. Możemy pokrótce wyliczyć ryzyka takie jak nieświadomego bądź sfrustrowanego pracownika lub ataki z zewnątrz: szpiegostwo przemysłowe, ataki szalonych przedstawicieli konkurencji, działania obcych państw (jeśli idzie o infrastrukturę krytyczną), najmodniejszy ostatnio rodzaj złośliwego oprogramowania szyfrującego dla okupu: ransomware, lub też jego ostrzejszy wariant, wiperware (złośliwe oprogramowanie mające na celu zniszczenie danych na zainfekowanych urządzeniach, niekoniecznie poprzedzone uprzejmą prośbą o przelew cyfrowego pieniądza). Część z tych zagrożeń jest sterowana świadomie, niektórymi zaś można dostać przypadkiem, właśnie dzięki automatyzacji którą „ci źli” też mogą po swojej stronie dziś uskutecznić.

Nowoczesne technologie

Nowoczesne technologie oparte już nie tylko o elektronikę i sieci, ale także zaawansowaną analitykę, sztuczną inteligencję i uczenie maszynowe, stanowią nie lada usprawnienie dla wielu biznesów. Wykorzystanie np. systemów telemetrycznych sprzęgniętych z zaawansowanym raportowaniem pozwala tworzyć i rewidować złożone strategie biznesowe a także reagować w mgnieniu oka na zaobserwowane anomalie. Co więcej, dzięki informatyzacji możliwa jest wydajna praca zdalna z dowolnego miejsca na świecie (z dostępem do Internetu, rzecz jasna), tak samo jak udostępnienie kluczowych zasobów pracownikom terenowym (np. mapy geodezyjne w Geoportalu czy też wewnętrzna dokumentacja i dane telemetryczne dla inżynierów).

Przez ostatnie lata osoby działające w praktycznie dowolnym obszarze usługowym i produkcyjnym mogły doświadczyć postępującego rozwoju technologicznego, przede wszystkim w obszarach cyfryzacji i automatyzacji. Nowoczesne technologie oparte już nie tylko o elektronikę i sieci, ale także zaawansowaną analitykę, sztuczną inteligencję i uczenie maszynowe, stanowią nie lada usprawnienie dla wielu biznesów. Wykorzystanie np. systemów telemetrycznych sprzęgniętych z zaawansowanym raportowaniem pozwala tworzyć i rewidować złożone strategie biznesowe a także reagować w mgnieniu oka na zaobserwowane anomalie. Co więcej, dzięki informatyzacji możliwa jest wydajna praca zdalna z dowolnego miejsca na świecie (z dostępem do Internetu, rzecz jasna), tak samo jak udostępnienie kluczowych zasobów pracownikom terenowym (np. mapy geodezyjne w Geoportalu czy też wewnętrzna dokumentacja i dane telemetryczne dla inżynierów). 

Z tych niewątpliwie wspaniałych zdobyczy techniki korzystają nie tylko dobrzy ludzie ale i przestępcy (tu: cyberprzestępcy), którzy w tym swoistym wyścigu zbrojeń nie zamierzają odstępować na krok. Stawka dla nich jest zbyt duża. Możemy pokrótce wyliczyć ryzyka takie jak nieświadomego bądź sfrustrowanego pracownika lub ataki z zewnątrz: szpiegostwo przemysłowe, ataki szalonych przedstawicieli konkurencji, działania obcych państw (jeśli idzie o infrastrukturę krytyczną), najmodniejszy ostatnio rodzaj złośliwego oprogramowania szyfrującego dla okupu: ransomware, lub też jego ostrzejszy wariant, wiperware (złośliwe oprogramowanie mające na celu zniszczenie danych na zainfekowanych urządzeniach, niekoniecznie poprzedzone uprzejmą prośbą o przelew cyfrowego pieniądza). Część z tych zagrożeń jest sterowana świadomie, niektórymi zaś można dostać przypadkiem, właśnie dzięki automatyzacji którą „ci źli” też mogą po swojej stronie dziś uskutecznić. 

Zamówienie ataku DDoS lub ransomware nie jest dziś problemem nawet „w detalu”, a skutki takich działań mogą być bardzo dotkliwe dla ofiary. Sklepy internetowe cierpią gdy trafią pod ogień ataku Denial-of-Service i ich usługi stają się niedostępne na minuty, godziny lub nawet dni. Wyciek danych do konkurencji lub do domeny publicznej grozi przejęciem klientów, ba! sama wieść o zdarzeniu może nadszarpnąć reputację przedsiębiorstwa, nie wspominając o potencjalnych konsekwencjach prawnych z tytułu rozmaitych wymagań formalnych, jakie na różnych branżach ciążą (w tym słynne już RODO). Być może takie zdarzenia nie brzmią spektakularnie. Wyobraźmy więc sobie kilka godzin lub dni przestoju na produkcji skutkujące zaburzeniem łańcucha dostaw. To już nie są elementy scenariuszy filmowych, dzisiaj takie rzeczy dzieją się realnie, a stać za tym mogą nawet nastolatkowie, choć raczej mam tu na myśli prostsze ataki. I o ile wymiar sprawiedliwości część sprawców jest w stanie uchwycić, a sprawność systemów szybko odtworzymy z kopii zapasowych lub dzięki redundancji różnych fragmentów infrastruktury to nie musi to oznaczać, że nasza firma szybko stanie na nogi. 

Nie trzeba sięgać daleko w przeszłość, żeby znaleźć przykłady brzemiennych w skutkach incydentów bezpieczeństwa. Coraz trudniej o miesiąc bez nowych doniesień tego typu. Trochę ciekawych, trochę strasznych. 

W grudniu 2019 miejska sieć komputerowa w Nowym Orleanie została zaatakowana złośliwym oprogramowaniem typu ransomware. Wprowadzono stan wyjątkowy, wyłączono wszystkie wrażliwe systemy i zobligowano urzędników miejskich do odcięcia swoich urządzeń od sieci. 

Na początku tego roku, w 15-tysięcznym Oldsmar na Florydzie hakerom udało się włamać do systemu zakładu uzdatniania wody oraz zmanipulować nastawy związane z ilością dozowanego wodorotlenku sodu. Szczęśliwie pracownikowi zakładu udało się na czas zaobserwować incydent i podjąć reakcję, dzięki czemu nikomu z Oldsmar nie stała się krzywda. 

Jednym z najpoważniejszych a zarazem najświeższych incydentów bezpieczeństwa o znacznym zasięgu był atak na infrastrukturę Colonial Pipeline, największego amerykańskiego operatora rurociągów. 8 maja 2021 roku spółka poinformowała o cyberataku mającym miejsce dzień wcześniej: i znowu było to ransomware. Warto wspomnieć, że mowa o ponad 8800 km rurociągów transportujących przez kraj między innymi benzynę, olej napędowy i paliwo lotnicze w niewyobrażalnej ilości: 350 milionów litrów dziennie. Wskutek ataku postanowiono wstrzymać pracę wybranych systemów w celu ograniczenia zasięgu złośliwego oprogramowania. Oznaczało to jednak, że czasowo zostało wstrzymane działanie tej kolosalnej pajęczyny rurociągów w ogóle. W całości. Stan awaryjny trwał przez 5 dni, dotknięte brakami dostaw było całe wschodnie wybrzeże, około 12 tysięcy stacji paliw. 

Jak zatem widać, należy gruntownie przeanalizować ryzyka które mogą spotkać naszą infrastrukturę. Analiza ta powinna skutkować powstaniem wewnętrznej polityki bezpieczeństwa, w której – pewnie wszyscy możemy się zgodzić – stosowne zabezpieczenie już nie tylko dostępu do budynku, ale także całej infrastruktury IT jest dziś niezbędne dla przetrwania biznesu. Firewalle, systemy kontroli dostępu do sieci, uwierzytelnianie, kontrola dostępu uprzywilejowanego, kopie bezpieczeństwa danych obok solidnego przeszkolenia pracowników w temacie „komputerowego BHP” stają się oczywistymi środkami zaradczymi, choć potrzeba jeszcze nieco czasu na ich upowszechnienie. Ale czy możemy wtedy spać spokojnie? Przecież mamy jeszcze infrastrukturę OT! 

Jest jedna niesamowicie istotna kwestia, która musi w niniejszym artykule wybrzmieć: infrastruktura IT oraz infrastruktura OT to dwa znacznie różniące się od siebie obszary. Różne są cele IT i OT. Różne urządzenia i systemy komunikują się ze sobą w tych obszarach. Korzystają z różnych protokołów komunikacyjnych. Ze względów historycznych, obszar OT zdaje się być mniej elastyczny. Przykładowo, w zakresie aktualizacji oprogramowania czy poprawek bezpieczeństwa. W sieciach przemysłowych, w których nie zawsze mamy zapewnioną redundancję każdego „pojedynczego punktu awarii”, łatwiej o wzbudzenie kontrowersji jeśli policzymy koszt zatrzymania produkcji w celu rekomendowanej aktualizacji oprogramowania systemów automatyki. Obszar OT przez długi czas nie był też tak bardzo wystawiony na ataki z zewnątrz jak dziś, producenci nie musieli więc adresować wielu potencjalnych problemów bezpieczeństwa spotykanych w świecie IT, czego przykładem jest częsty brak szyfrowania protokołów komunikacji. Ten zaś stanowi ryzyko podsłuchu transmisji jak i ryzyko wyciągania danych lub wprowadzenia fałszywych danych przez atakującego dzięki podszywaniu się pod uprawniony komponent (atak Man in the Middle). Jest to więc obszar wymagający więcej uwagi w zakresie security. Podczas gdy specjalistów od bezpieczeństwa w IT nie brakuje, świadomość cybersecurity w OT wciąż jest towarem deficytowym. 

Na szczęście, możliwe jest mimo wszystko poczynienie pewnych kroków w celu zwiększenia bezpieczeństwa w świecie OT na bazie bogatej historii doświadczeń ze świata IT, mając jednocześnie na uwadze czym te dwa światy się różnią i mając nadzieję, że producenci komponentów OT szybko wyczulą się na coraz to nowsze ryzyka związane z cyfrową transformacją. Już parę lat temu, w 2017 roku, firma PWC opublikowała raport pt. „10 słabych punktów sieci OT”, stanowiący zestawienie kluczowych kwestii bezpieczeństwa dla sieci przemysłowych, a zatem wymagających priorytetowego traktowania. Spośród kilku zagadnień dobrze już znanych w sieciach komputerowych, warto wymienić kilka pozostałych: 

  • systemy OT w wielu miejscach pierwotnie odizolowane od świata, z biegiem lat stały się systemami bezpośrednio podłączonymi do Internetu, choćby dla celów zdalnej diagnostyki; warto przy tym pamiętać, że bezpieczeństwo w komunikacji z Internetem nie było z naturalnych przyczyn przez wiele lat punktem odniesienia u producentów tych urządzeń, w których priorytetem jest np. dostęp do danych w czasie rzeczywistym; 
  • aktualizacje w zakresie bezpieczeństwa mogą być kosztowne jeśli zwrócić uwagę na możliwą potrzebę wstrzymania produkcji, ale kosztowne może też okazać się włamanie powiązane z przestarzałą wersją oprogramowania; warto nadmienić, że nawet najnowsze funkcje i aktualizacje dowolnego rodzaju sprzętu mogą zawierać pewne niedociągnięcia jeśli chodzi o kompatybilność lub bezpieczeństwo (sztandarowym przykładem niech będzie nowopoznany szereg podatności w sieciach Wi-Fi zwany FragAttacks, obejmujący także ostatni wariant mechanizmów szyfrowania WPA3); 
  • zabezpieczenie styku między sieciami IT i OT jest konieczne nie tylko z powodu ryzyka ataków na infrastrukturę przemysłową z obszaru IT, ale także z powodu ryzyka ataku na infrastrukturę IT, zapoczątkowanego w sieci operacyjnej, gdzie punktem wejścia mogą być (czasem jeszcze niewykryte i nieobjęte aktualizacjami) podatności na bezpośrednio osiągniętym urządzeniu OT; warto zwrócić też uwagę na odpowiednie zabezpieczenie (szyfrowanie) komunikacji urządzeń OT w zdalnych lokalizacjach w przypadku, gdy są od siebie oddzielone infrastrukturą IT, gdyż często stosowane protokoły komunikacyjne w OT są przestarzałe i niezorientowane na bezpieczeństwo; 
  • sama sieć OT powinna również być wewnętrznie podzielona na odpowiednio zabezpieczone obszary (zamiast często stosowanej płaskiej architektury) by utrudnić dostęp do urządzeń o krytycznym znaczeniu, oraz by ograniczyć zasięg tego, co atakujący może w sieci odnaleźć po włamaniu na urządzenie z któregoś obszaru; 

Nie tylko zdrowy rozsądek i najświeższa historia skłaniają nas do refleksji nad zabezpieczeniem sieci przemysłowych, możemy też znaleźć przesłanki formalne, takie jak Ustawa o Zarządzaniu Kryzysowym czy realizująca unijną dyrektywę NIS Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Inspirację w zakresie bezpieczeństwa infrastruktury OT, lub konkretniej infrastruktury krytycznej w sektorze wodno-kanalizacyjnym, może stanowić rekomendacja R-CYBER-01/2021 opublikowana w lutym 2021 przez Departament Cyberbezpieczeństwa KPRM. Znajduje się tam kilka uświadamiających przykładów i zaleceń, w tym wymienione w niniejszym artykule. 

Podsumowując, żeby nasza nowoczesna infrastruktura mogła w pełni korzystać z możliwości, jakie dają nowoczesne technologie, istotna jest gruntowna analiza ryzyka, identyfikacja urządzeń i sposobu ich komunikacji z innymi komponentami w sieci, identyfikacja przepływów danych. Wymagane jest zaadresowanie różnego rodzaju ryzyka dotąd nierozważanego w sieciach przemysłowych, także dla pełnej zbieżności z wymogami prawnymi. Jednym z systemów wspomagających analizę zagrożeń, procesy decyzyjne jak i zautomatyzowane reakcje na incydenty jest Scadvance – polskiej produkcji system wykrywania zagrożeń (IDS – Intrusion Prevention System). Spośród zalet tego systemu warto wspomnieć o funkcji raportowania incydentów do jednostek CERT oraz zapewnienia przestrzegania prawa i zgodności z polityką bezpieczeństwa wewnątrz organizacji. Oparty o algorytmy sztucznej inteligencji i uczenia maszynowego, wykrywa anomalie i ataki w sieci SCADA, pozwalając na podjęcie reakcji zanim atakujący będzie w stanie poczynić realne szkody w infrastrukturze operacyjnej. 

I na sam koniec – ważne jest, by nie traktować żadnego mechanizmu bezpieczeństwa jako wystarczającego, mechanizmy te powinny w miarę możliwości zazębiać się, dzięki czemu ewentualne „przełamanie” jednego z nich nie zakończy się pełnym otwarciem sieci przed atakującym. Można by rzec, że z podobnych powodów blokujemy drzwi samochodu (powiedzenie dziś „na klucz” może być nie do końca adekwatne) pomimo, że jest on wyposażony w alarm. 

demo scadvance

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Zamów demo

Wypełnij formularz. Nasi eksperci skontaktują się z Tobą, aby umówić indywidualne testy.

Dziękujemy

Odezwiemy się w ciągu 1 dnia roboczego