Cyberbezpieczeństwo przemysłowych systemów sterowania (ICS)

Cyberbezpieczeństwo w przemyśle musi być inicjatywą na poziomie całej fabryki, obejmując współpracę nad projektem i platformą, 
analizę luk, wdrażanie zabezpieczeń oraz przeprowadzanie audytów.

Stosowanie w przemyśle nieprawidłowych praktyk cyberbezpieczeństwa może przynieść katastrofalne skutki. W artykule opisano metody powszechnie wykorzystywane do przeprowadzania cyberataków, a także sposoby zapobiegania różnym typom cyberataków oraz etapy wprowadzania ulepszeń w cyberzabezpieczeniach.

Cyberbezpieczeństwo zawsze było postrzegane przez wszystkich branżowców przemysłowego IT jako zabezpieczanie firm przed utratą danych, szpiegostwem przemysłowym oraz nieplanowanymi przestojami w zakładach. Jednak atak dokonany za pomocą złośliwego oprogramowania Triton (inne nazwy to Trisis lub HatMan) w 2018 roku pokazał inną stronę tego bardzo poważnego zagrożenia: możliwość doprowadzenia do prawdziwej katastrofy. W dalszej części tekstu opisano słabe punkty powszechnie wykorzystywane do przeprowadzania cyberataków oraz informacje na temat poprawy cyberbezpieczeństwa w zakładach przemysłowych.

Tradycyjnie przemysłowe systemy sterowania (ICS) były projektowane do pracy w izolacji, w swoich własnych sieciach sterowania. Jednak wraz z ewolucją innych technologii cyfrowych i komunikacji danych wykorzystywanych w zakładach przemysłowych, w tym: inteligentnych czujników, bezprzewodowych bram sieciowych, zdalnie zarządzanych systemów, wirtualizacji, chmury obliczeniowej, smartfonów oraz różnych inteligentnych aplikacji biznesowych, prawdopodobieństwo pozostawania systemów ICS wolnymi od zakłóceń powodowanych działaniami z zewnątrz zmniejsza się z dnia na dzień.

Pierwszym przypadkiem zewnętrznej manipulacji systemem ICS był atak dokonany za pomocą robaka Stuxnet w 2010 roku. Stuxnet był skryptem napisanym w celu przeprowadzenia sabotażu w sterownikach przemysłowych obsługujących wirówki wzbogacające uran (w Iranie). Następnie w 2013 roku miał miejsce atak za pomocą oprogramowania typu RAT (remote access trojan) o nazwie Havex. Jego celem były sieci elektroenergetyczne i zakłady energetyczne. Wskutek tego cyberataku wyciekły duże ilości danych, które wykorzystano w celach szpiegowskich i dokonywania sabotażu.

W 2015 roku pojawiły się dwa kolejne zagrożenia: malware BlackEnergy, które zniszczyło dane i pliki w stacjach elektroenergetycznych na Ukrainie, oraz IronGate – wirus znaleziony przez ekspertów przeglądających źródła publiczne (Google Virus Total), który spełniał tę samą funkcję co Stuxnet. Złośliwe oprogramowanie atakujące systemy przemysłowe nazwano Industroyer. Spowodowało ono spustoszenie w systemie elektroenergetycznym na Ukrainie w 2016 roku, kasując dane i wykonując ataki typu DDoS (distributed denial of service, rozproszona odmowa usługi) na sieć informatyczną systemu. Spowodowało to wyłączenie wielkiej elektrowni i przerwę w dostawie energii elektrycznej na Ukrainie.

W 2017 roku miał miejsce cyberatak dokonany za pomocą malware o nazwie Triton. Jego wykrycie zapobiegło poważnej katastrofie. Oprogramowanie to mogło zainfekować sterowniki przemysłowego systemu bezpieczeństwa Triconex (firmy Schneider Electric), dając hakerom możliwość zmiany parametrów bezpieczeństwa. Złośliwy atak mógł zmienić bezpieczne nastawy systemu sterującego sprzętem przemysłowym, co potencjalnie mogło spowodować wypadek tej samej wielkości co eksplozja w fabryce chemicznej Jiangsu Tianjiayi w Chinach w marcu 2019 roku.

Zrozumienie źródeł cyberataków

Pierwszym krokiem na drodze do zapobiegania zagrożeniom dla cyberbezpieczeństwa jest zrozumienie, skąd mogą pochodzić cyberataki, ponieważ osoby dokonujące ich w pierwszej kolejności prowadzą przez pewien czas swego rodzaju rekonesans – wyszukują i analizują słabe punkty w obiektach, które mają być celem ataku. W dłuższym okresie organizacja może wykonać analizę wektora zagrożenia do zidentyfikowania różnych metod, które mogą być wykorzystane przez hakerów lub na które system może być wrażliwy. Wszystko to musi być oparte na ryzyku wynikającym z analizy BIA (business impact analysis, analizy wpływu na biznes) wykonanej dla zasobów firmy. Użytkownicy mogą chcieć wykorzystać niektóre z dostępnych na rynku narzędzi analitycznych, używając ich do segregacji kluczowych zasobów od pozostałych i uzasadnienia tego podziału oraz wykonania analizy luk (gap analysis) w celu rozpoczęcia właściwych działań.

Sześć metod najczęściej wykorzystywanych do przeprowadzania cyberataków to:

1. Ataki dokonywane z zewnątrz za pomocą sieci zewnętrznych, Internetu oraz połączeń zdalnych, poprzez oprogramowanie do planowania zasobów przedsiębiorstwa (ERP), bramy sieciowe, repozytoria danych i dokumentów oraz programy do archiwizacji danych online.

2. Wykorzystanie nieprawidłowo skonfigurowanych elementów ochrony sieci lokalnej, tzw. firewalli i bram sieciowych.

3. Kradzież lub wyłudzenie (phishing) loginów i haseł dostępu użytkowników do stacji roboczych i komputerów sterujących w firmie.

4. Ataki fizyczne na systemy produkcyjne, w większości przypadków przeprowadzane za pomocą interfejsów operatorskich (HMI) oraz inżynierskich i operatorskich stacji roboczych.

5. Przeprowadzanie ruchu bocznego (poprzecznego) w sieci (lateral movement, lateral network attack), co ma na celu dokonanie ataku na sieci sterowania, i wykorzystanie przemysłowych protokołów komunikacyjnych do odkrycia innych urządzeń w sieci i rozprzestrzenienia złośliwego kodu.

6. Ataki przy wykorzystaniu inżynierii społecznej (social engineering), które koncentrują się na oszukiwaniu pracowników firmy (wykorzystywaniu ich naiwności i łatwowierności), posiadających niejawne i przypisane do nich informacje potrzebne do uzyskania dostępu, otwarcia bram sieciowych czy niezamierzonego uruchomienia skryptów.

Zapewnienie cyberbezpieczeństwa – osiem środków zapobiegawczych

Do każdego typu ataku można przypisać osobny zestaw środków zapobiegawczych. Do takich środków i metod należą w szczególności:

1. Segregacja zasobów i segmentacja sieci

Może to się wydawać oczywiste, jednak staranna analiza luk w zabezpieczeniach sieci systemu sterowania, przy zaangażowaniu wykwalifikowanego personelu i odpowiednich narzędzi, potrafi bardzo często przyczynić się do wykrycia wielu niemonitorowanych punktów dostępu, które są ignorowane podczas realizowania standardowych praktyk zabezpieczania sieci sterowania. Źródłami tych zagrożeń mogą być:

brak ograniczeń dostępu do inżynierskich i operatorskich stacji roboczych,

nieaktualizowane oprogramowanie antywirusowe,

aplikacje i połączenia firm trzecich, które nie zostały odpowiednio zabezpieczone lub zweryfikowane,

brak tzw. stref zdemilitaryzowanych (demilitarized zones – DMZ) lub diod danych (data diodes) przy eksportowaniu danych z sieci sterujących;

kluczowe zasoby, które zostały podłączone do wspólnej domeny.

1. Zarządzanie dostępem użytkowników

Zadanie to obejmuje działania w celu ograniczenia nieautoryzowanego dostępu oraz śledzenie i zatrzymywanie wszelkiej działalności związanej z nieautoryzowanym dostępem. Są to:

utrudnienie dostępu dla nieupoważnionego personelu,

zarządzanie politykami cyberbezpieczeństwa i aktualizacja ich według ścisłego harmonogramu,

wdrożenie uwierzytelniania wieloetapowego w całej organizacji,

tworzenie tzw. białych list, dodanie uprzednio zatwierdzonych adresów, lokalizacji i alarmów opartych na portach, do identyfikacji systemów kontroli dostępu użytkowników,

zmiana wartości domyślnych dla wszystkich haseł i kodów dostępu oraz okresowe, systematyczne zmiany haseł użytkowników.

2. Częste patchowanie sprzętu sterującego i zabezpieczającego

Patchowanie, czyli instalowanie najnowszych wersji oprogramowania układowego (firmware) całego sprzętu sterującego i zabezpieczającego, musi być wykonywane okresowo. Podczas gdy rutynowe, nieinwazyjne instalowanie tzw. łatek powinno być wykonywane dla wszystkich kluczowych sterowników i kontrolerów, to w najgorszym przypadku patchowanie powinno być wykonywane podczas każdej corocznej konserwacji systemu sterowania.

3. Dokonywanie weryfikacji i walidacji oprogramowania, logiki i kodów wykonywalnych

Testy dla celów weryfikacji i walidacji oprogramowania, logiki i kodów wykonywalnych zapewniają, że zmiany w logice, kodach i skryptach zostały wykonane celowo przez upoważnioną osobę. Emulowane środowiska walidacyjne pomagają w monitorowaniu wszelkich niepożądanych zmian w logice i parametrach sterowników, a ponadto pomagają operatorom w szkoleniach z obsługi sprzętu, bez ryzyka uszkodzenia rzeczywistych systemów fizycznych. Dostępne są narzędzia do automatycznego wykrywania wszelkich zmian na poziomie logiki i wszystkie te zmiany są wykonywane w kontrolowanym środowisku, przy utrzymywaniu kopii zapasowej, która jest gotowa do przywrócenia w przypadku powstania cyberzagrożenia dla sterownika lub systemu sterowania.

4. Dodanie zabezpieczeń fizycznych do sterowników

Biorąc pod uwagę niedawne cyberataki, niektórzy producenci systemów sterowania dodają obecnie do swoich sterowników blokady fizyczne, które zapobiegają wykonywaniu przez te sterowniki jakichkolwiek dodatkowych kodów, bez uprzedniego przejścia przez warstwę zabezpieczeń fizycznych.

5. Przeprowadzanie szkoleń pracowników z zakresu cyberbezpieczeństwa

Kluczowa część zagrożenia dla cyberbezpieczeństwa pochodzi od hakerów, którzy wykorzystują błędy popełniane przez personel fabryk. Nie można w zakładzie w pełni wdrożyć żadnego ze środków cyberzabezpieczeń, gdy cały personel związany z systemami sterowania nie jest odpowiednio przeszkolony i świadomy swojej odpowiedzialności. Należy więc przeszkolić personel z metod identyfikacji cyberataków, zabezpieczania swoich osobistych danych, uwierzytelniania oraz zabezpieczania się przed cyberatakami. Szkolenia te powinny być realizowane dla pracowników każdego poziomu: dyrekcji, kierownictwa, działów operacyjnych (OT), administratorów i użytkowników systemów.

6. Opracowanie planu reagowania na cyberincydenty

Na wypadek popełnienia błędów lub przeoczeń, które mogą być wykorzystane przez potencjalnych hakerów, działania mające na celu zapewnienie cyberbezpieczeństwa powinny obejmować opracowanie praktycznego planu dla personelu, opisującego działania niezbędne do wykonania po naruszeniu cyberbezpieczeństwa albo zidentyfikowaniu zagrożenia. Plany te po opracowaniu powinny być wypróbowane w praktyce, np. poprzez regularnie prowadzone warsztaty, i udostępniane całemu odpowiedzialnemu personelowi, który w przypadku naruszenia cyberbezpieczeństwa przeprowadzi szybkie działania.

7. Utrzymywanie aktualizowanego rejestru zasobów

Aby zmniejszyć ryzyko, należy utrzymywać aktualizowaną listę wszystkich będących na stanie zasobów OT, w tym przełączników sieciowych, routerów, firewalli, różnych usług webowych, oprogramowania dla systemów sterujących SCADA, serwerów danych historycznych, sterowników i kontrolerów lub wszelkich innych urządzeń wykorzystujących protokół internetowy (IP), z których każde może pozostawić lukę dla hakerów mogących wtedy eksplorować niezarządzany system. Zasoby mogą być monitorowane przez sieć pod kątem aktualizacji oprogramowania do najnowszych wersji, natomiast łatki i wszelkie miejsca wrażliwe na cyberataki mogą być monitorowane za pomocą różnych narzędzi administracji i ochrony sieci.

Cztery fazy realizacji inicjatywy cyberbezpieczeństwa

Uruchomienie inicjatywy cyberbezpieczeństwa dla systemów przemysłowych nie jest ani tak trudnym zadaniem, ani tak dużą inwestycją, jak mogłoby się wydawać na początku. Wielkość możliwych szkód sprawia, że nierozważanie przez firmy możliwości zainwestowania w cyberbezpieczeństwo jest po prostu naiwne.

Podobnie jak każda skuteczna inicjatywa na poziomie całej firmy, cyberbezpieczeństwo także wymaga posiadania w firmie odpowiednich specjalistów, którzy pomogą jej w zaadaptowaniu niezbędnych polityk i procedur. W większości przypadków najlepszym sposobem jest wyznaczenie osób odpowiedzialnych (owners – „właścicieli”) za cyberbezpieczeństwo sieci biurowej oraz sieci systemu sterowania.

Cyberbezpieczeństwo w przemyśle musi być inicjatywą realizowaną na poziomie całej fabryki. Wdrażane jest w czterech fazach:

Faza 1. Projekt i platforma cyberbezpieczeństwa

Projektowanie systemu zarządzania cyberbezpieczeństwem jest najbardziej złożoną fazą, wymagającą najwięcej czasu i wysiłku. Jednak do dyspozycji firm przemysłowych jest na rynku wiele firm konsultingowych z branży cyberbezpieczeństwa. Ich główna działalność polega na pomocy zakładom w projektowaniu infrastruktury, polityk i procedur cyberbezpieczeństwa. Zadanie to obejmuje identyfikację wszystkich systemów i całego personelu powiązanego z cyberbezpieczeństwem, zdefiniowanie ich roli, dostępu i praw w systemach sterowania oraz budowanie polityk na podstawie tych parametrów w celu zapewnienia bezpiecznego realizowania operacji w zakładach. Faza projektowania cyberbezpieczeństwa wymaga znacznego wysiłku i udziału osób zainteresowanych w celu zapewnienia skutecznej realizacji tego projektu.

Faza 2. Odnalezienie i analiza luk w systemach

Faza odnalezienia luk w systemach zasadniczo obejmuje analizę projektu cyberbezpieczeństwa oraz zidentyfikowanie potencjalnych słabych punktów i ryzyk, w zależności od ich wpływu na firmę. Zidentyfikowane luki należy zawrzeć w projekcie i je aktualizować. Analizy mogą być wykonywane przez doświadczony personel oraz przy wykorzystaniu różnych narzędzi typu Sniffer (Packet Sniffer). Oprogramowanie to przechwytuje pakiety danych przepływających w sieci w celu wykrycia anomalii przepływu oraz luk w zabezpieczeniach systemu.

Faza 3. Opracowanie i wdrożenie polityk, procedur i praktyk cyberbezpieczeństwa

Ta część jest właściwym wdrożeniem polityk, procedur i praktyk cyberbezpieczeństwa. Na tym etapie przydaje się pomoc specjalistów z firm zewnętrznych, którzy mogą przyśpieszyć proces wyboru i wdrożenia oraz zapewnić, że wszystkie listy kontrolne zostaną wypełnione. Kluczową metodą jest tzw. utwardzanie systemu (system hardening).

Faza 4. Przeprowadzanie audytów cyberbezpieczeństwa

Audyty cyberbezpieczeństwa obejmują zadania takie jak kompleksowe testy penetracji, które mają zapewnić, że wdrożenie środków cyberbezpieczeństwa przynosi pożądane wyniki. Firmy specjalizujące się w audytach zwykle wykonują te zadania i pomagają swoim klientom w zapewnieniu właściwego poziomu cyberbezpieczeństwa. Ta część wymaga największego udziału specjalistów zewnętrznych w realizacji planu nowego wdrożenia. Jeśli jednak wewnętrzny zespół firmy przemysłowej, wyznaczony do przeprowadzania audytów, zostanie przeszkolony podczas wszystkich faz, to zespół ten może wykorzystać nabytą wiedzę i doświadczenie do przeprowadzania audytów w innych fabrykach i zakładach należących do firmy.


Osman Ahmed jest dyrektorem ds. rozwoju firmy, Asad Rehman jest inżynierem projektantem oraz inżynierem aplikacji, a Ahmed Habib jest dyrektorem ds. marketingu w firmie Intech Process Automation, zajmującej się integracją systemów.