Cyberbezpieczeństwo w automatyce przemysłowej wywołuje wiele zamieszania i rodzi wiele pytań. Dowiedz się o zmieniających się trendach i najlepszych praktykach branżowych dla dostawców technologii operacyjnych (OT).
Podczas gdy cyberbezpieczeństwo jest coraz częściej poruszanym tematem, nie odnosi się ono zbyt często do bezpieczeństwa infrastruktury lub systemów sterowania automatyki przemysłowej. Czy ten trend się zmienia? Gdzie i w jaki sposób należy zająć się bezpieczeństwem cybernetycznym dla aplikacji technologii operacyjnej (OT)?
1.Jak wygląda cyberbezpieczeństwo dla automatyki przemysłowej?
Zainteresowanie takim tematem jak cyberbezpieczeństwo przemysłowe, czy też cyberbezpieczeństwo OT, rośnie wśród firm produkcyjnych na całym świecie. Odniesienie do cyberbezpieczeństwa technologii informacyjnych (IT) jest oczywiste. Pomyślmy o kryptowalutach i dużych graczach, takich jak Google i Facebook. Interesujące jest jednak to, że coraz częściej pojawiają się odniesienia do dziedziny OT (np. europejska dyrektywa NIS lub rosyjskie przepisy FSTEC). W środowisku IT problemy związane są głównie z poufnością danych. W przypadku automatyki brak bezpieczeństwa cybernetycznego ma poważny wpływ na działanie zakładów produkcyjnych.
2. Kto powinien zajmować się ryzykiem i ochroną cyberbezpieczeństwa OT?
W tej kwestii panuje duże zamieszanie. Wszyscy mówią o cyberbezpieczeństwie, ale tylko nieliczne rozwiązania dotyczą systemów automatyki. Często błędnie uważa się, że problemem OT powinien zajmować się dział IT, ale w rzeczywistości te dwa środowiska różnią się od siebie podejściem. Rozważmy przykład operatora elektrowni, który musi aktywować procedurę awaryjną, a ekran komputera jest zablokowany, czekając na kod uwierzytelniania wieloczynnikowego (MFA). W tym prostym przykładzie bezpieczeństwo cybernetyczne ma wpływ na rzeczywiste zagrożenia. Dlatego należy najpierw zapytać, kto może uzyskać dostęp do tego obszaru i jak sobie z tym poradzić. Cyberbezpieczeństwo OT nie może się obyć bez posiadania rozległej wiedzy dotyczącej automatyzacji. Dlatego też wiele firm tworzy dedykowany dział bezpieczeństwa OT.
3. Jakie są najskuteczniejsze dostępne rozwiązania w zakresie bezpieczeństwa OT?
Światowym standardem odniesienia jest ISA/IEC 62443, który definiuje podejście do problemu. Standard ten został stworzony przez grupę badawczą w ISA (International Society of Automation), a następnie rozwinięty przez IEC (International Electrotechnical Commission). Ramy regulacyjne są nadal w trakcie tworzenia, ale podejście defense-in-depth serii norm cyberbezpieczeństwa systemów automatyki i sterowania IEC 62443 jest najbardziej znaną i globalnie rozpoznawalną normą cyberbezpieczeństwa w dziedzinie OT. I tak, począwszy od oceny ryzyka, norma IEC 62443 ma na celu opracowanie systemu zarządzania bezpieczeństwem cybernetycznym (CSMS), który jest systemem procedur bezpieczeństwa cybernetycznego, obejmującym polityki bezpieczeństwa i obowiązki związane z bezpieczeństwem OT, takie jak dostęp lub zarządzanie łatami.
4. Jak firma produkcyjna może przejąć kontrolę nad problemem cyberbezpieczeństwa OT?
Podejście IEC 62443 jest systematyczne: jasne procesy prowadzą do konkretnych rezultatów. Nie ma sensu oceniać systemu bez wcześniejszej strategii. Punkt wyjścia jest zdefiniowany przez IEC jako uzasadnienie biznesowe. Użyj uzasadnienia jako narzędzia do określenia potencjalnych krytycznych problemów w systemach OT, które mają wpływ na firmę, takich jak zatrzymanie produkcji lub zanieczyszczenie produktu. Dzięki uzasadnieniu biznesowemu można określić dotkliwość konsekwencji cyberataku. Przydatne jest również przeprowadzenie wysokopoziomowej oceny ryzyka (HLRA), która jest niezbędna do segmentacji infrastruktury sieciowej i oszacowania, co by się stało, gdyby cyberatak się powiódł. W odniesieniu do parametrów powagi zdefiniowanych w poprzedniej fazie, HLRA pomaga firmom zaoszczędzić zasoby poprzez wyizolowanie pojedynczych obszarów i przeprowadzenie dogłębnej analizy potencjalnych podatności. Po HLRA następuje niskopoziomowa ocena ryzyka (LLRA), zwana również szczegółową analizą, gdzie przy pomocy oprogramowania do wykrywania informacji o sieci (architektura, oprogramowanie, protokoły i istniejące podatności) można przeprowadzić skanowanie sieci i analizę podatności.
5. Od strony technicznej, jakie są najbardziej konkretne, najlepsze praktyki bezpieczeństwa OT dla automatyki?
Zacznij od segmentacji, co oznacza, że tylko ruch, który jest absolutnie niezbędny, musi odbywać się w warstwie 6 i 5 (najniższy poziom segmentu zawierającego komponenty i sterowniki PLC). Jeśli nie jest on segmentowany za pomocą zapory bezpieczeństwa lub protokołów OPC UA (OPC Foundation Unified Architecture), ruch sieciowy może dotrzeć do najbardziej odległych zakątków zakładu produkcyjnego. Z tego powodu mapowanie sieci musi być zawsze aktualne i przejrzyste. I wreszcie, wiele urządzeń dostępnych na rynku może pomóc w zapewnieniu cyberbezpieczeństwa, w tym przełączniki sterowane, punkty dostępowe Wi-Fi nowej generacji, oprogramowanie do wykrywania anomalii, serwery VPN i chmura.
6. Kiedy możliwe jest „bycie bezpiecznym” z punktu widzenia cyberbezpieczeństwa?
Nigdy. Żadna instalacja nigdy nie jest pozbawiona ryzyka cyberataku. Może to zabrzmieć szokująco, ale chodzi o to, że aby utrzymać bezpieczną infrastrukturę, należy stale wykonywać odpowiednią dawkę czynności konserwacyjnych. Tylko poprzez okresowe audyty, powtarzanie kolejnych analiz podatności oraz dzięki ciągłemu szkoleniu personelu możliwe jest zapewnienie trwałej ochrony OT.
Massimiliano Latini, dyrektor ds. badań i projektów specjalnych oraz kierownik ds. cyberbezpieczeństwa ICS w H-ON Consulting.