Analizowanie i zmniejszanie ryzyka jest koniecznością dla zapobiegania nielegalnemu pozyskiwaniu danych dotyczących urządzeń przemysłowych.
Przemysłowe systemy sterowania (ang. industrial control system, ICS) są stosowane w wielu gałęziach przemysłu, od klasycznej produkcji, poprzez wytwarzanie i przesył energii elektrycznej, aż po przetwarzanie ropy naftowej i uzdatniania wody. Ostatnio do wielu z tych zwykle firmowych rozwiązań – rozproszonych systemów sterowania, programowalnych sterowników logicznych (ang. programmable logic controllers, PLC) i aplikacji SCADA – są dodawane nowe i bardziej otwarte technologie, takie jak Ethernet i protokół internetowy TCP/IP. Wraz z rosnącym zainteresowaniem rynku technologiami Przemysłowego Internetu Rzeczy (ang. Industrial Internet of Things, IIoT) i zaletami biznesowymi otrzymywania danych systemowych, przemysłowe systemy sterowania są obecnie łączone z sieciami komputerowymi i systemami IT.
Aby zrealizować i wykorzystać potencjał IIoT, grupy zajmujące się informatyką i sterowaniem przemysłowym (zwanym także technologią operacyjną – ang. operational technology, OT) dążą obecnie do ustalenia wspólnego zestawu języków komunikacyjnych, protokołów i standardów programowania. Standardy te są oparte na otwartej architekturze Internetu.
Jednak w umysłach większości inżynierów, zajmujących się przemysłowymi układami sterowania, rodzi się bardzo poważne pytanie – czy istnieje zagrożenie dla bezpieczeństwa danych w architekturach otwartych? Ponieważ istniejące obecnie i przyszłe urządzenia OT są podłączane do sieci IIoT, to koniecznością jest rozważenie zagrożeń bezpieczeństwa danych przy podłączaniu tych urządzeń przemysłowych do Internetu i ich późniejszej eksploatacji.
Analiza ryzyka dla urządzeń przemysłowych
Podstawowe równanie do wyznaczania tego ryzyka jest następujące:
Zagrożenie to każde potencjalne zdarzenie, które może spowodować niepożądany i niechciany wynik, taki jak zniszczenie, uszkodzenie lub stratę – dla organizacji, zakładu lub urządzeń przemysłowych. Zagrożenia mogą pochodzić od ludzi, innych organizacji, sprzętu, sieci komputerowych lub nawet natury.
Podatność na zagrożenie to z kolei słaby punkt urządzenia lub brak zastosowania środków zapobiegających próbom eksploracji danych. Podatności mogą obejmować: błąd w oprogramowaniu użytkowym lub układowym (ang. bug), lukę w procedurze, przeoczenie personelu lub niedociągnięcia w projekcie sprzętu. Wystąpienie zagrożenia ma miejsce, gdy podatność jest wykorzystywana przez źródło zagrożenia.
Aby przeanalizować zagrożenie dla wykorzystywanych urządzeń przemysłowych, ważne jest zrozumienie wyceny tych urządzeń. Wartością urządzeń przemysłowych są bowiem ich wartości pieniężne i niepieniężne, obejmujące zaufanie publiczne i kapitał wiedzy (wartość wiedzy, jaką zawierają dane urządzenia). W ostatecznym rozrachunku jest to poziom uszkodzeń, jakie mogą być spowodowane, gdy dane urządzenia przemysłowe zostaną poddane eksploracji.
Większość systemów przemysłowych jest zaprojektowana tak, aby zminimalizować interakcję człowieka z tymi urządzeniami. Teoretycznie, ze statycznego projektu nowoczesnego sprzętu przemysłowego wynika, że systemy te są dosyć odporne na wystąpienie zagrożeń.
Jeżeli jednak wykona się podstawowe oszacowanie ryzyka dla urządzeń przemysłowych, obejmujące poziom zagrożenia i wycenę tych urządzeń, to wszelkie podatności dramatycznie zwiększą ryzyko, jeśli bezpieczeństwo jest zagrożone. Na przykład może być niemal niemożliwe włamanie hakerów do elektrowni atomowej (niskie zagrożenie), ale konsekwencje (wycena urządzeń) skutecznego włamania hakerów do elektrowni atomowej mogłyby być katastrofalne na wielu poziomach (wysokie ryzyko).
Zmniejszanie ryzyka dla urządzeń przemysłowych
Ryzyko dla urządzeń przemysłowych może być zmniejszone za pomocą odpowiednich zabezpieczeń lub środków zaradczych. Na przykład prostym zabezpieczeniem fizycznym czy środkiem zaradczym, chroniącym urządzenia przemysłowe, mogą być proste drzwi zamykane na zamek, do którego klucz otrzymują tylko upoważnieni, zweryfikowani i podlegający kontroli operatorzy.
Zabezpieczenia i środki zaradcze przeciw zagrożeniom dla urządzeń przemysłowych przybierają wiele form, w tym aktualizacje oprogramowania układowego sterowników, naprawę błędów oprogramowania, zmiany konfiguracji systemu oraz modyfikowanie infrastruktury i topologii sieci, na przykład segmentowanie, dodawanie zapór ogniowych (ang. firewall), wdrażanie wirtualnych sieci lokalnych (ang. virtual local area network, VLAN) itd.
Wiele istniejących urządzeń przemysłowych nie zostało zaprojektowanych tak, aby były podłączane do Internetu. Jednak ponieważ są one podłączane do fabrycznych sieci komputerowych, aby tworzyć Przemysłowy Internet Rzeczy, to urządzenia te stają się znacznie bardziej podatne na te same zagrożenia i próby eksploracji, z którymi boryka się sektor technologii informatycznych od dziesiątków lat. Niestety większość urządzeń przemysłowych, wysyłanych obecnie do klientów nie zostało zaprojektowanych z uwzględnieniem kwestii cyberbezpieczeństwa.
Rozważania na temat cyberbezpieczeństwa
Ponieważ sektor technologii informatycznych już od dawna musi radzić sobie z cyberbezpieczeństwem, to koniecznością jest, aby producenci urządzeń przemysłowych nauczyli się ich od informatyków i wdrożyli technologie oraz metodologie bezpieczeństwa informacji w urządzeniach przemysłowych, jako część ich cyklu rozwoju. Przy obecnie spodziewanych długich czasach eksploatacji urządzeń przemysłowych – w niektórych przypadkach nawet 20 lub 30 lat – jest sprawą zasadniczą, aby przy ich projektowaniu uwzględniano cyberbezpieczeństwo od samego początku i stosowano zabezpieczenia przed wszelkimi obecnymi i przyszłymi zagrożeniami.
Przy zakupie nowych technologii automatyki i sterowania procesem, czy to w postaci sprzętu czy oprogramowania, sprawą zasadniczą jest, aby zmniejszyć ryzyko, poprzez nadanie oszacowaniu ryzyka i cyberbezpieczeństwu wysokiego priorytetu. Jeśli zabezpieczenia urządzeń przemysłowych i środki zaradcze przeciw zagrożeniom nie zostaną oszacowane na etapie wyboru dostawcy sprzętu czy oprogramowania, to wynikną z tego konsekwencje w postaci konieczności radzenia sobie z potencjalnymi zagrożeniami i próbami eksploracji w całym okresie wykorzystywania nabytych urządzeń czy oprogramowania.
Zabezpieczanie danych dotyczących urządzeń przemysłowych
We wczesnych latach rozwoju sieci Internetowej, komunikacja w niej często odbywała się za pomocą przesyłania zwykłego tekstu możliwego do odczytania przez człowieka. To ułatwiło złośliwym hakerom przechwyt ruchu sieciowego i wyodrębnianie z niego wrażliwych informacji, takich jak numery kont bankowych, paszportów itd. W końcu deweloperzy systemów i operatorzy w sektorze technologii informatycznych dokonali przejścia na transmisję danych przy wykorzystaniu kryptografii.
Terminy “kryptografia” (ang. cryptography) i “szyfrowanie” (ang. encryption) są często używanie wymiennie, ale oznaczają one coś innego. Kryptografia to nauka o tajnej komunikacji lub przesyłaniu danych. Natomiast szyfrowanie to część tej nauki. Dane, które mają zostać bezpiecznie przesłane pomiędzy urządzeniami przemysłowymi, muszą podczas przesyłu zostać zakodowane za pomocą szyfru, który jest trudny do złamania.
Szyfrowanie wykorzystuje proces albo algorytm (szyfr), który czyni informacje ukrytymi lub tajnymi. Aby uczynić ten proces użytecznym wymagany jest kod lub klucz do odszyfrowania tych informacji i umożliwienia dostępu do nich. Używane obecnie szyfry zasadniczo konwertują dane możliwe do odczytu przez człowieka na fałszywe dane, które mogą być skonwertowane z powrotem tylko przy użyciu poprawnego klucza lub kodu.
Aktualnie najbardziej rozpowszechnione formy szyfrowania danych w sektorze technologii informatycznych to protokoły SSL (ang. secure sockets layer) i TLS (ang. transportation layer security). TLS jest zasadniczo nowszą wersją SSL. TLS jest używany do obejmowania ruchu sieciowego ponad protokołami HTTP (ang. hypertext transfer protocol) i SMTP (ang. simple mail transfer protocol), wykorzystywanymi odpowiednio do przeglądania stron internetowych i korespondencji e-mail.
Przy rozważaniu zakupu urządzeń przemysłowych należy się upewnić, że zostało w nich uwzględnione bezpieczeństwo danych oraz że obsługują one najnowsze wersje SSL lub TLS do przesyłania danych i komunikacji.
Możliwości konfiguracji portów i usług dla urządzeń przemysłowych
Ponieważ współczesnym urządzeniom przemysłowym zostaje umożliwiona komunikacja internetowa, to ważne jest, aby ograniczyć internetowe usługi komunikacyjne tylko do tych, które są wymagane dla aplikacji. Na przykład jeśli dane urządzenie obsługuje protokół SNMP (ang. simple network management protocol – używany do zarządzania urządzeniami takimi, jak routery, przełączniki, komputery czy centrale telefoniczne za pośrednictwem sieci IP), ale operatorzy nie potrzebują tego protokołu, to należy go zablokować i wyłączyć port protokołu TCP lub UDP (user datagram protocol – protokół pakietów użytkownika), wykorzystywany przez ten protokół.
Można także dodatkowo zwiększyć poziom zabezpieczenia poprzez zablokowanie protokołów takich jak ICMP (ang. Internet Control Message Protocol, internetowy protokół komunikatów kontrolnych), używany do tzw. pingowania lub identyfikowania węzłów w sieci. Jeśli haker nie jest w stanie wykonać pingowania systemu, aby go zidentyfikować, to atak jest spowalniany i prawdopodobieństwo eksploracji jest mniejsze. To samo odnosi się również do usług uruchomionych w urządzeniu przemysłowym. Jeśli dana aplikacja nie wymaga zastosowania jakiegoś protokołu czy usługi, to należy zablokować dostęp przez Internet do tego urządzenia, poprzez wyłączenie niepotrzebnych usług sieciowych. Na etapie wyboru i kwalifikowania dostawcy sprzętu czy oprogramowania należy się upewnić, że wszystkie dostępne porty, usługi i protokoły mogą być włączane i wyłączane, zależnie od wymagań naszej aplikacji.
Kontrola dostępu do sieci
Dla celów komunikacji sieciowej nowoczesne systemy informatyczne mogą być skonfigurowane tak, aby umożliwić dostęp do nich tylko z określonych adresów IP lub zakresów tych adresów. Niektóre systemy idą jeszcze dalej – połączenia są możliwe tylko z określonych adresów IP do określonych portów lub przy wykorzystaniu określonych protokołów.
Przy rozważaniu nabycia nowych urządzeń przemysłowych należy sprawdzić, czy system posiada jakąś możliwość blokowania połączeń na podstawie adresu IP i/lub numeru portu TCP lub UDP.
W zabezpieczaniu sieci należy zachować staranną równowagę pomiędzy bezpieczeństwem a dostępnością. Celem stosowania praktyk cyberbezpieczeństwa nie jest uczynienie informacji kompletnie niedostępnymi, ale zmniejszanie ryzyka, zagrożeń i okazji dla hakerów do eksploracji aktywów przemysłowych. Dwoma innymi metodami, które mogą być użyte do zmniejszania ryzyka są uwierzytelnianie i przechowywanie logów tych użytkowników, którzy uzyskali dostęp do aktywów.
Urządzenia przemysłowe muszą zawierać pewną formę uwierzytelniania użytkowników i dostępu. Nie powinno być tylko tak, że użytkownik chcący uzyskać dostęp do urządzenia wprowadza hasło – zwykłe (ang. password) lub złożone z dłuższego ciągu znaków (ang. passphrase), które jest weryfikowane przez dane urządzenie przemysłowe. Weryfikacja ta powinna być także realizowana przez centralny serwer uwierzytelniania firmy.
Uwierzytelnianie metodą 3FA
W przypadkach, gdy wymagany jest bardzo wysoki poziom uwierzytelniania użytkowników, ich nazwy i hasła nie są wystarczające. Zamiast nich należy wdrożyć mechanizm uwierzytelniania 3FA (ang. three-factor authentication – uwierzytelnianie 3-składnikowe). Uwierzytelnianie tą metodą polega na:
- Wykorzystaniu czegoś, co posiada użytkownik, np. tokena SecurID, który automatycznie generuje kod dostępu do zasobu wymagającego uwierzytelnienia, takiego jak serwer Radius (ang. Remote Authentication Dial In User Service – usługa zdalnego uwierzytelniania użytkowników, którzy „wdzwaniają” się do systemu – poprzez usługę „połączenie wdzwaniane”).
- Wykorzystaniu jakiejś informacji, którą zna użytkownik, takiej jak hasło – proste czy złożone.
- Wykorzystaniu jakiejś indywidualnej cechy użytkownika, takiej jak odcisk palca czy skan siatkówki oka.
Jako uzupełnienie uwierzytelniania, wartościowym jest wykorzystanie logów działań użytkownika w systemie. Logi zmniejszają ryzyko kradzieży danych, ponieważ użytkownicy wiedzą, że ich działania są śledzone i to pomaga w określeniu zakresu szkód, jeśli wystąpi naruszenie tajemnicy służbowej. Jeśli ma miejsce takie naruszenie, to policyjni informatycy wykorzystają logi działań użytkowników do wykrycia poziomu narażenia danych na wykradzenie i poziomu ryzyka dla danego urządzenia przemysłowego czy organizacji, będącego skutkiem tego naruszenia. Na etapie weryfikacji i kwalifikacji dostawcy urządzeń przemysłowych należy upewnić się, że wyrób, który chcemy zakupić posiada wbudowany mechanizm uwierzytelniania, najlepiej obejmujący jakiś typ zapisu logów użytkowników.
Poza dodaniem większej ilości cech użytkowych do projektu wyrobu istnieje wiele innych najlepszych praktyk bezpiecznego wykorzystywania urządzeń przemysłowych, ale ważne jest, aby posiadać solidne fundamenty do określenia poziomu należytej staranności dostawcy wyrobu w odniesieniu do cyberbezpieczeństwa. Jest to także dobrym punktem startowym do opracowania matrycy oceny dla przyszłych inwestycji w urządzenia przemysłowe.
Autor: Matt Newton, dyrektor marketingu technicznego w firmie Opto 22. Redakcja tekstu: MSI Polska.