Zagrożenia cyberbezpieczeństwa w przemyśle
Doświadczenie zebrane podczas licznych audytów bezpieczeństwa i testów penetracyjnych firm działających w różnych branżach, w tym również w branży przemysłowej, pozwala wyodrębnić dwie zasadnicze kategorie problemów związanych z bezpieczeństwem. Z jednej strony mamy do czynienia z zagrożeniami, z którymi borykają się wszystkie firmy korzystające z dobrodziejstw rozwiązań IT. Można tu wymienić: infekcje złośliwym oprogramowaniem, wycieki poufnych informacji czy też ataki mające na celu pogorszenie wizerunku firmy (np. podmiana witryny firmowej). Ta grupa ataków zagraża praktycznie każdej firmie korzystającej z różnych systemów IT realizujących bądź wspierających podstawowe procesy biznesowe. O tym, że stają się celem ataków cybernetycznych, często decyduje przypadek.
Z drugiej strony materializacja istniejących zagrożeń może przysporzyć poważnych strat firmom produkcyjnym. Dotyczy to przede wszystkim szpiegostwa przemysłowego i przestojów lub nieprawidłowości w procesach produkcyjnych. Tego typu ataki są najczęściej zagrożeniami ukierunkowanymi: atakujący zdają sobie sprawę, kogo dotykają ich szkodliwe działania, nie jest to wybór przypadkowy. Nie trudno odgadnąć, że ataki ukierunkowane są znacznie groźniejsze dla ofiary, ze względu na lepsze dopasowanie ataku do profilu wybranego celu oraz wcześniej zaplanowaną strategię działania.
Szpiegostwo przemysłowe może dotyczyć różnych rodzajów informacji. Zdobycie planów wprowadzenia nowych produktów na rynek może pozwolić konkurencji na przygotowanie i wcześniejsze wprowadzenie podobnego produktu na rynek. Szczegółowe informacje techniczne mogą pomóc konkurencji w udoskonaleniu ich produktu w krótszym czasie, bez ponoszenia dodatkowych kosztów badawczych. Informacje związane z opracowaniem przełomowej technologii mogą nie tylko pozwolić nieuczciwym rywalom na szybszą reakcję, ale też niosą ryzyko utraty wyłączności na dane rozwiązanie (np. projektów zgłaszanych w urzędach patentowych).
Nie tylko plany produktów, szczegóły techniczne czy harmonogram premier są łakomym kąskiem. Również informacje dotyczące samego procesu technologicznego mogą okazać się bardzo użyteczne, jeśli konkurencja dowie się z nich o zastosowanych rozwiązaniach, które uczyniły dany produkt lepszym jakościowo lub tańszym w wytwarzaniu. Informacje o niepowodzeniach (nieopłacalne technologie, nieefektywne rozwiązania, badawcze „ślepe uliczki”) także mogą zostać wykorzystane, chociażby w celu uniknięcia kosztownych pomyłek, które popełnił i dostrzegł szpiegowany konkurent. Szpiegostwo przemysłowe jest groźnym zjawiskiem, ponieważ bardzo często nie zostaje wykryte lub świadomość tego, że do niego doszło, oparta jest jedynie na domysłach.
Znacznie mniej zawoalowane i bardziej destrukcyjne są zagrożenia dla samego procesu produkcyjnego. Wyłączenie kilku sterowników przemysłowych albo zmodyfikowanie ich działania może zatrzymać proces produkcyjny lub spowodować, że wytworzone produkty będą posiadały wady lub będą charakteryzować się obniżoną jakością. Manipulacja procesem produkcyjnym może wydawać się zdarzeniem mało prawdopodobnym. Niestety, dla dobrze zmotywowanego napastnika jest to zadanie niezbyt wymagające, co wynika z częstych i bardzo poważnych zaniedbań oraz braku świadomości niebezpieczeństwa wśród firm – ofiar.
Nawet w przypadku obiektów o krytycznym znaczeniu dla biznesu czy całych sektorów gospodarki i bardzo restrykcyjnych reguł dotyczących bezpieczeństwa komputerowego tego typu ataków nie da się uniknąć, możliwe jest jedynie zbudowanie rozwiązań bądź mechanizmów ochronnych. Warto przytoczyć przykład robaka komputerowego Stuxnet, który, jak szacują eksperci, w wyszukany sposób opóźnił irański program atomowy o całe dwa lata. Wystarczyła modyfikacja częstotliwości pracy wirówek wzbogacających uran przy jednoczesnym fałszowaniu informacji przekazywanych do systemu monitorującego pracę sterowników przemysłowych. Warto dodać, że zainfekowane przez Stuxneta systemy nie były podłączone do sieci publicznej (tzw. air gap – fizyczne wyizolowanie krytycznych elementów od pozostałych sieci, w tym Internetu), a źródłem infekcji były… napędy USB.
Mniej znane firmy i instalacje również mogą stać się celem tego typu ataków. W 2000 roku sfrustrowany pracownik firmy współpracującej z zakładem oczyszczania ścieków w Maroochydore w Australii dokonał ataku na jej systemy kontrolne. W konsekwencji miliony litrów ścieków przedostały się do środowiska naturalnego, co doprowadziło do katastrofy ekologicznej.
Cyberbezpieczeństwo w przemyśle – połączone siły BCC i Vector Synergy
BCC (aktualnie All for One Poland) i Vector Synergy przygotowały wspólną ofertę dla firm przemysłowych zainteresowanych poprawą poziomu cyberbezpieczeństwa. To wspólna odpowiedź na wyzwania, jakie stoją przed infrastrukturą IT w firmach sektora przemysłowego.
„Nasze oferty w zakresie bezpieczeństwa IT bardzo dobrze się uzupełniają. Vector Synergy ma doświadczenie w budowaniu, przygotowaniu do certyfikacji i testowaniu bezpieczeństwa systemów informatycznych wspierających produkcję w firmach przemysłowych różnych branż. Z kolei BCC wyspecjalizowało się w budowaniu i audytowaniu systemów zarządzania bezpieczeństwem informacji, w tym Planów Ciągłości Działania. Dzięki współpracy BCC i Vector Synergy polskie firmy przemysłowe mogą skorzystać z kompleksowej oferty, uwzględniającej różne aspekty cyberbezpieczeństwa – zarówno organizacyjne, jak i informatyczne” – podkreśla Menedżer ds. Współpracy z Klientami w BCC (aktualnie All for One Poland).
Podstawowym elementem wspólnej oferty jest zapewnienie bezpieczeństwa w ramach usługi SOC (Security Operations Center). SOC jest formą ciągłej, kompleksowej opieki nad sferą bezpieczeństwa organizacji. W ramach SOC specjaliści od cyberbezpieczeństwa stale monitorują ruch odbywający się w systemach IT organizacji, aby podjąć odpowiednie działania w przypadku stwierdzenia zagrożeń. SOC to również zbiór procesów, procedur i narzędzi, które mają za zadanie zapewnić cyberbezpieczeństwo organizacji. Pozostałymi elementami wspólnej oferty BCC i Vector Synergy są m.in. wszechstronny audyt organizacji pod kątem zagrożeń, wdrożenia i rozwój systemów bezpieczeństwa informacji, testy penetracyjne wszelkich elementów infrastruktury IT, stworzenie Planów Ciągłości Działania.
Typowe zagrożenia
Aby uświadomić potencjalne problemy związane z cyberbezpieczeństwem w zakładach przemysłowych, poniżej przedstawimy najczęściej spotykane zdarzenia.
- Źle zaprojektowana topologia sieci lokalnej (LAN) – brak odpowiedniej segmentacji infrastruktury sieciowej ułatwia zarówno szpiegostwo przemysłowe, jak i ataki na urządzenia produkcyjne. Właściwy model sieci to nie tylko przeniesienie serwerów świadczących usługi dostępne publicznie do strefy DMZ. Należy również dokonać segmentacji pozostałych urządzeń korzystających z sieci. Dział kadr czy księgowości nie powinien mieć dostępu ani do podsieci, w której rezydują urządzenia kontrolujące produkcję, ani do podsieci, w której pracuje dział badań i rozwoju. Im bardziej sztywny „gorset”, tym z punktu widzenia bezpieczeństwa lepiej – pracownicy powinni mieć dostęp wyłącznie do zasobów niezbędnych do wykonywania ich obowiązków służbowych, ale w taki sposób aby nie było to przeszkodą w realizacji codziennych zadań.
- Domyślne dane uwierzytelniające – część administratorów wychodzi z założenia, że jeśli system lub urządzenie znajduje się wewnątrz sieci, to będą z niego korzystać tylko osoby upoważnione. Dlatego ogromna liczba urządzeń działających w sieciach ma pozostawioną domyślną konfigurację kont (bardzo często na poziomie uprawnień administratora), do których dane logowania można znaleźć na stronach producentów. W wielu przypadkach nawet, jeśli urządzenie posiada specjalne konta użytkowników dla odpowiednich pracowników, świadomie utworzone przez dział IT, to w systemie nadal obecne są domyślne konta. Problem wzrasta lawinowo w odniesieniu do urządzeń występujących w wielu egzemplarzach, a staje się jeszcze poważniejszy, jeśli taki problem dotyczy np. kamer przemysłowych… w całym zakładzie i jego okolicach.
- Przestarzałe technologie/protokoły – rozwiązania odchodzące do lamusa w świecie IT bardzo często są nadal obecne w sieciach przemysłowych. Wielokrotnie spotkać można sieci bezprzewodowe działające np. w halach produkcyjnych, w których „szyfrowanie” opiera się na protokole WEP, od ponad dekady uznawanym za niebezpieczny.
- Oprogramowanie podatne na ataki cybernetyczne – zagadnienie znane od dawna w obszarze bezpieczeństwa. Niestety, o ile firmy radzą sobie coraz lepiej z aktualizacjami oprogramowania zwykłych serwerów czy stacji roboczych, o tyle w przypadku komputerów obecnych na halach produkcyjnych czy sterowników urządzeń już tak nie jest. Problem wynika zwykle albo z braku świadomości, albo z braku zasobów kadrowych, sprzętowych i finansowych potrzebnych do przetestowania aktualizacji i wdrożenia jej do środowiska produkcyjnego. Nawet jeśli firma ma wiedzę i chęć zaktualizowania oprogramowania, to producenci niektórych rozwiązań przemysłowych po prostu nie przygotowują aktualizacji, nawet jeśli informacje o krytycznych lukach bezpieczeństwa zostają opublikowane w Internecie.
- Pozostawianie aktywnych kont byłych pracowników – nieblokowanie kont pracowników odchodzących z firmy (lub co gorsza zwalnianych przez firmę) to potencjalne źródło poważnych kłopotów. Pod wpływem negatywnych emocjami osoby takie zdolne są do wielu ryzykownych aktywności, również destrukcyjnych dla byłego pracodawcy. Blokowanie wszystkich kont i innych dostępów byłych pracowników to prawdziwe wyzwanie. Nawet jeśli większość urządzeń i usług jest centralnie zarządzana przez rozwiązania takie jak Active Directory, to często pozostaje szereg innych dostępów, wiele otwartych furtek. Częstym przykładem takich zapomnianych dostępów są konta VPN. Warto zawczasu opracować procedurę usunięcia dostępów pracownika, który odchodzi z firmy – zarówno w systemach IT, jak i obowiązujących procedurach.
- Brak kontroli dostępu – o ile pozostawiania kont z domyślnymi danymi uwierzytelniającymi lub pozostawiania aktywnych kont byłych pracowników jest najczęściej uświadomionym problemem, to często firmy nie zwracają uwagi na zupełny brak kontroli dostępu do urządzeń lub ekranów informacyjnych. Podczas testów bezpieczeństwa trafiamy na sytuacje, w których kompresor udostępnia w sieci swój panel sterowania bez jakiejkolwiek formy uwierzytelnienia, pozwalając na przejęcie nad nim kontroli osobom nieuprawnionym. Skutkiem może być stworzenie poważnych niebezpieczeństw, z zagrożeniem życia pracowników włącznie.
- Samowola – często dział zajmujący się obsługą sprzętu przemysłowego jest niezależny od firmowego działu IT. W konsekwencji rozwiązania przez niego używane nie tylko nie korzystają z rozwiązań udostępnianych przez dział IT (np. nie są wpięte do firmowej domeny zarządzającej kontami użytkowników), ale również traktowane są w inny sposób, zaś zasady związane z bezpieczeństwem nie są przestrzegane tak restrykcyjnie jak wynikałoby z przyjętej polityki bezpieczeństwa.
Audytorzy i testerzy bezpieczeństwa systemów z firmy Vector Synergy zetknęli się ze wszystkimi powyższymi problemami, przeprowadzając audyty i testy penetracyjne firm z sektora przemysłowego. Oczywiście wymieniliśmy tylko najpoważniejsze zagrożenia, jakie można znaleźć w infrastrukturze IT na większości hal produkcyjnych. Do listy grzechów można jeszcze długo dodawać kolejne zaniedbania, które wprawny napastnik obróci na swoją korzyść.
Audyty, testy penetracyjne, SOC
O ile firmy produkcyjne mają problemy z charakterystycznymi dla nich zagrożeniami, o tyle zalecenia związane z eliminacją tych problemów mają uniwersalny charakter. W pierwszej kolejności należy jednak zacząć postrzegać elementy IT związane z produkcją dokładnie tak jak postrzegamy inne, krytyczne elementy firmowej infrastruktury.
W pierwszej kolejności warto zlecić zewnętrzny audyt bezpieczeństwa, który oceni obecny poziom bezpieczeństwa firmowej infrastruktury. Po wdrożeniu zaleceń, które będą wynikiem audytu, dobrą praktyką jest przeprowadzenie testów penetracyjnych, które zweryfikują efektywność wprowadzonych po audycie zmian. Na tym jednak nie należy poprzestawać. Bezpieczeństwo to nie produkt, który można kupić i jednorazowo uruchomić w swojej sieci. Bezpieczeństwo to proces, dlatego regularne audyty, analizy podatności czy też regularne testy penetracyjne pozwolą w określonych odstępach czasu efektywnie śledzić zmiany poziomu bezpieczeństwa organizacji.
Testy penetracyjne powinny być również wykonywane po wszystkich większych zmianach w środowisku IT firmy, aby zweryfikować, czy świeżo wprowadzone zmiany nie miały negatywnego wpływu na całościowy poziom bezpieczeństwa i czy nie otworzyły nowych furtek dla napastników.
Jeśli zasoby informatyczne uznajemy za krytyczne dla funkcjonowania firmy, nie musimy poprzestawać na audytach i testach penetracyjnych. Coraz większą popularność w dużych i średnich przedsiębiorstwach zyskuje koncepcja SOC (Security Operation Center). SOC jest to komórka odpowiedzialna za ciągły monitoring zdarzeń zachodzących w naszej infrastrukturze, a mających związek z bezpieczeństwem IT. W ramach SOC można wyróżnić z jednej strony specjalistyczne urządzenia i oprogramowanie gromadzące, przetwarzające i analizujące dane z naszej infrastruktury, z drugiej strony wysoce wykwalifikowanych specjalistów, którzy w trybie ciągłym (24/7/365) analizują dane w poszukiwaniu informacji o naruszeniach bezpieczeństwa, czyli innymi słowy w sposób aktywny przeciwdziałają atakom na monitorowaną infrastrukturę IT.
Nie trzeba budować własnych kompetencji i tworzyć prywatnego SOC na własny użytek. Podobnie jak w kwestii audytów i testów penetracyjnych można skorzystać z umiejętności pracowników firm specjalizujących się w cyberbezpieczeństwie i oddelegować usługę SOC do tego typu firmy. Rozwiązanie tego typu może pozwolić znacznie zredukować koszty, z którymi trzeba się zmierzyć w przypadku budowy własnego SOC.
A jeśli firma tworzy własne rozwiązania programistyczne do obsługi lub monitoringu systemów przemysłowych, warto rozważyć regularną analizę podatności poprzez np. audyty statyczne kodu.
Ostatnim, również bardzo istotnym elementem bezpieczeństwa cybernetycznego firmy jest edukacja pracowników. Osoby aktywnie używające infrastruktury IT powinny cyklicznie przechodzić szkolenia omawiające główne zagrożenia dla bezpieczeństwa oraz przypominające o zasadach bezpiecznego korzystania z komputerów. Jeśli chodzi o kadrę IT, to zaleca się regularne podnoszenie jej kompetencji w obszarze bezpieczeństwa. Najwyższą efektywność mają praktyczne szkolenia przyjmujące formę warsztatową, pozwalającą na weryfikację umiejętności uczestników szkolenia, a przede wszystkim skuteczne podnoszenie ich kwalifikacji.
Bezpieczne całe środowisko IT
Branża przemysłowa ma charakterystyczne dla siebie problemy z bezpieczeństwem, jednak sposoby radzenia sobie z tymi wyzwaniami są takie same jak metody zabezpieczania infrastruktury IT w innych sektorach gospodarki. Zapewnienie bezpieczeństwa środowiska IT w firmie produkcyjnej jest więc celem możliwym do osiagnięcia podobnie jak w innych sektorach, o ile tylko uda się zmienić nastawienie i przestanie się postrzegać te elementy jako odrębny mikroświat w firmowej infrastrukturze IT.
Vector Synergy dostarcza firmom i organizacjom ekspertów do realizacji projektów, które wymagają posiadania certyfikatu bezpieczeństwa oraz oferuje kompleksowe usługi i zaawansowane rozwiązania w zakresie cyberbezpieczeństwa. Oferta Vector Synergy w tym zakresie obejmuje m.in. usługę SOC (Security Operations Center), CDeX (Cyber Defence eXercise platform), zarządzanie ryzykiem, konsultacje i szkolenia, a także informatykę śledczą z odzyskiwaniem danych.