Zabezpieczanie sieci przemysłowych systemów sterowania

Fot. Pixabay

Zagrożenia dla sieci przemysłowych systemów sterowania (ICS) są obecnie tak wysokie, jak nigdy dotąd. Przyczynami tego są: starzejąca się infrastruktura działających już sieci, brak planowania/projektowania systemów cyberbezpieczeństwa oraz minimalne zainteresowanie zabezpieczaniem zasobów ICS w zakładach przemysłowych.

Zagrożenia dla infrastruktury sieci przemysłowych systemów sterowania (industrial control system – ICS) nadal rosną, a poziom ich złożoności jest coraz większy. Większa liczba i wyrafinowanie współczesnych cyberataków sprawiają, że system ICS staje się łatwym celem dla przestępców.

Szczegółowa analiza infrastruktury ICS oraz aspektów operacyjnych firmy z branży przemysłowej może pomóc w ocenie poziomu ryzyka, a także w określeniu potencjalnych środków zaradczych do zabezpieczenia zasobów kluczowych. Właśnie taki typ całościowego podejścia powinien być zastosowany, aby zapewnić przeanalizowanie wszystkich aspektów zagrożeń i poprawy bezpieczeństwa, co pozwoli w pełni zrozumieć aktualny poziom ryzyka dla systemu produkcyjnego. Analiza ta obejmuje cyberbezpieczeństwo i zabezpieczenia fizyczne, a także status cyklu życia systemu ICS. Aby pomóc w rozpoznaniu dokładnego poziomu ryzyka, każdy element tego systemu powinien być starannie przeanalizowany – różnice w jego konstrukcji, działaniu i konserwacji.

Ewolucja systemów ICS

Dawniej producenci systemów ICS wykorzystywali pochodzący od konkretnych producentów sprzęt i/lub oprogramowanie, które były fizycznie odizolowane od świata zewnętrznego i związanych z nim sieci teleinformatycznych. Obecnie systemy ICS wykorzystują komponenty typu COTS (commercial off-the-shelf – komercyjne, ogólnodostępne dla szerokiego kręgu odbiorców), standardowe systemy operacyjne i popularne sieciowe protokoły komunikacyjne. Przejście z systemów konkretnych producentów (firmowych) na otwartą technologię pozwala na użycie komponentów sprzętu i oprogramowania pochodzących od różnych producentów, co z kolei przyczynia się do obniżenia kosztów ogólnych cyklu życia systemów ICS. Ponadto zaadaptowanie standardowych popularnych komponentów i związanych z nimi protokołów komunikacyjnych ułatwia ich podłączenie do systemów informatycznych (IT) lub firmowych zakładu przemysłowego. Takie udostępnianie danych z systemu produkcyjnego systemowi informatycznemu zakładu potencjalnie może dostarczać jego kierownictwu wartościowych informacji na temat produkcji, przy minimalnym wysiłku włożonym w zbieranie i analizowanie danych.

Jednak te same cechy, które wydłużyły cykle życia i umożliwiły szybkie połączenia sieciowe, mogą eksponować wrażliwe punkty aplikacji systemów ICS. Wrażliwe, czyli takie, które nie zostały zaprojektowane pod kątem cyberbezpieczeństwa jako cechy podstawowej. Dostawcy systemów ICS zwykle publikują zalecane praktyki cyberbezpieczeństwa, które definiują specyficzną metodologię umożliwiającą podłączenie ICS do systemów zewnętrznych, jednak w ostateczności odpowiedzialność za wdrożenie i utrzymanie bezpiecznej sieci ICS spoczywa całkowicie na jej użytkowniku końcowym. Zabezpieczanie tych sieci w celu zapewnienia dyspozycyjności produkcji i ochrony przed cyberatakami powinno być kompleksowym celem biznesowym, zdefiniowanym i wspieranym przez zarząd firmy.

Zarządzanie infrastrukturą systemów IT i ICS

Zarówno infrastruktura IT, jak i ICS wykorzystują popularne komponenty sieciowe, jednak bardzo różnią się od siebie pod względem procedur utrzymania, działania i zarządzania bezpieczeństwem. Cele zapewnienia cyberbezpieczeństwa sieci firmowej IT oraz sieci ICS są różnymi koncepcjami, ale są oparte na tych samych zasadach poufności, integralności i dostępności danych.

W przypadku sieci IT właściciele firm dbają o bezpieczeństwo własności intelektualnej – poufność danych jest tu najwyższym priorytetem. W następnej kolejności bardzo ważna jest integralność danych, a po niej dostępność sieci. Natomiast sieć ICS z powodu krytycznej natury danych systemu produkcyjnego ma inne priorytety. Zależność od interfejsów operatorskich wymaga, aby dyspozycyjność systemu produkcyjnego była najwyższym priorytetem dla sektora przemysłowego.

Integralność danych jest także bardzo istotną sprawą, ponieważ ważne jest posiadanie dokładnych informacji. Poufność danych nie jest zwykle głównym problemem dla sieci przemysłowych. Te różnice w priorytecie systemów sprawiają, że aspekty działania i bezpieczeństwa sieci różnią się diametralnie.

Oba systemy wykorzystują popularne komponenty dla infrastruktury, jednak działanie sieci IT i ICS jest znacząco różne. Zwykle operacje w sieciach IT są inicjowane przez użytkowników nieregularnie lub według potrzeby. Ilość ruchu sieciowego generowanego w sieci informatycznej zakładu może być sporadyczna i nieprzewidywalna. Komponenty sieciowe, takie jak serwery, urządzenia sieciowe i komputery, są usuwane lub dodawane do sieci według potrzeb firmy. Protokoły komunikacyjne systemu informatycznego firmy są dobrane do tego typu pracy sieci i zwykle nie zawierają żadnego typu mechanizmu deterministycznego ze względu na sporadyczne przepływy danych.

Natomiast sieci ICS wymagają bardzo wysokiego poziomu dostępności, aby wspierać wymagania systemu produkcyjnego dotyczące ciągłego i niezakłóconego funkcjonowania. Systemy te są zaprojektowane do dostarczania danych z deterministyczną prędkością, aby umożliwić przewidywalność i powtarzalność. Protokoły komunikacyjne dedykowane sieciom ICS obsługują działania deterministyczne, które przechwytują zdarzenia krytyczne czasowo. Systemy te są zaprojektowane do umożliwiania wysokiej dostępności danych kluczowych, które są krytyczne czasowo. Kontrast pomiędzy operacjami sieciowymi IT i ICS sprawia, że wdrażanie metod zapewnienia cyberbezpieczeństwa także jest znacząco różne w obydwu przypadkach.

Standardowe „poprawki” systemu IT mogą zaszkodzić systemowi ICS

W systemach IT wdraża się zwykle rozległe środki zabezpieczeń przed cyberatakami. Jednak najpopularniejsze metody zabezpieczeń systemów IT mogą mieć szkodliwy wpływ na sieci ICS, w szczególności biorąc pod uwagę ich wymagania dotyczące wysokiej dostępności danych deterministycznych. Przykładem standardowych praktyk w obszarze zabezpieczeń dla systemów IT są tzw. łatki (patche) dla systemów operacyjnych, aktualizacje aplikacji i aktualizacje systemów serwerów. Są one uważane za powszechne praktyki w świecie IT. Jednak w sieci ICS takie działania mogą mieć bardzo negatywny wpływ na realizowane operacje i związane z nimi komponenty.

Inne powszechne praktyki, takie jak zmiany domen, aktualizacje skanerów antywirusowych, aktualizacje programów typu anti-malware, zmiany konfiguracji routerów oraz strategie blokowania portów to działania, które mogą być szkodliwe dla sieci ICS z powodu krytycznej natury związanego z nimi oprogramowania, komponentów systemu i/lub dostarczania danych. Wdrażanie każdej z tych zmian w sieci ICS lub związanych z nią komponentach musi być przeanalizowane i powinno być sprawdzone w systemie testowym w celu przeanalizowania charakterystyki działania przed wdrożeniem w aktywnym systemie produkcyjnym.

Ponadto muszą być przeprowadzone specjalne rozważania na temat praktyk cyberbezpieczeństwa, aby zapewnić, że działanie sieci ICS nie jest zagrożone. Zidentyfikowanie prawidłowego podejścia i zastosowanie najbardziej opłacalnych rozwiązań ograniczenia ryzyka są sprawami kluczowymi dla wspierania infrastruktury zakładu przemysłowego, zarówno IT, jak i ICS. Dostępność wymagań sieci ICS sprawia, że są one znacznie bardziej wrażliwe na wszelkie mniejsze zmiany w systemie produkcyjnym.

Określenie dokładnego poziomu ryzyka

Niepowodzenie przy określaniu aktualnego poziomu ryzyka dla sieci ICS jest spowodowane brakiem świadomości i zrozumienia wszystkich potencjalnych słabych punktów tego systemu pod względem cyberbezpieczeństwa. Tak jak w przypadku systemów IT, praca wymagana do tego, by sieci ICS zostały przygotowane na cyberzagrożenia, musi być kompleksowym wysiłkiem, zaakceptowanym przez zarząd firmy. Biorąc pod uwagę umiejętności nowoczesnych hakerów, proste umieszczenie firewalla pomiędzy sieciami ICS i IT nie jest wystarczającym środkiem do wyeliminowania ryzyka.

„Ryzyko” jest definiowane jako możliwość uzyskania lub utraty czegoś wartościowego. Aby w pełni zrozumieć aktualny poziom ryzyka dla systemu produkcyjnego, należy przeanalizować wszystkie aspekty, które stanowią konsekwencje cyberataków, takie jak straty w produkcji, szkody dla środowiska, uszkodzenia sprzętu i/lub bezpieczeństwo ludzi. To może obejmować słabe punkty sieci, sprzętu i lokalnych interfejsów operatorskich, którym potencjalnie zagrażają incydenty wewnętrzne i zewnętrzne oraz działania złośliwe i niezamierzone. Muszą zostać zdefiniowane wszystkie aspekty cyklu życia systemu ICS w celu zapewnienia, że wszystkie potencjalne zagrożenia zostaną przeanalizowane.

Ryzyko może być wprowadzone/zwiększone przez wiele słabych punktów infrastruktury ICS, takich jak używanie starszych platform programowych, konstrukcja architektury systemowej, połączenia z sieciami zewnętrznymi, bezprzewodowe punkty dostępowe i/lub zdalne interfejsy. Ogólnie rzecz biorąc, systemy ICS są wdrażane znacznie dłużej niż standardowe systemy IT, co może być przypisane kosztom i chęci uniknięcia przerw w produkcji podczas przejścia na nowy system, a także brakowi wiedzy o ryzyku towarzyszącym wykorzystywaniu starszych systemów.

Innym czynnikiem, który zwiększa potencjalną wrażliwość na cyberzagrożenia, jest niepowodzenie projektu i/lub utrzymania bezpiecznej sieci ICS, co może być wynikiem zatrudniania w firmie inżynierów odpowiedzialnych za sieć od wielu lat oraz nieposiadania na miejscu prawidłowych planów lub procedur cyberbezpieczeństwa. Alternatywnie może to być wynikiem szybkiego wdrażania wielu projektów, modernizacji lub instalowania dodatków, które wprowadzają zagrożenia dla cyberbezpieczeństwa.

Aby skutecznie zarządzać ryzykiem, firmy przemysłowe muszą w pełni i dokładnie określić, co mają w zakładach, zrozumieć, w jakim punkcie jest obecnie cykl życia systemu ICS, i zapewnić, że dysponują planem takiego utrzymywania systemu produkcyjnego, aby nie wykazywał on żadnych słabych punktów. Takie dokumenty powinny być zatwierdzone przez zarząd firmy w celu zapewnienia, że utrzymanie zasobów systemu produkcyjnego pozostanie nienaruszone w ciągu całego cyklu życia systemu.

Unikatowe zagrożenie dla systemu ICS

Zagrożenia zarówno dla infrastruktur IT, jak i ICS cały czas ewoluują i stają się coraz trudniejsze do wykrywania, zapobiegania czy ograniczania. Trzeba też podkreślić raz jeszcze, że sieci ICS stanowią dodatkowe wyzwanie przy ich zabezpieczaniu z powodu krytycznej natury wymagań dla systemów obsługi i sterowania procesami produkcyjnymi. A zatem technicy i inżynierowie nadzorujący infrastrukturę ICS muszą wykazywać bardziej ścisłe, zaplanowane i zdyscyplinowane podejście do wdrażania metod cyberzabezpieczeń.

Rozwiązaniem nie jest również całkowite odłączenie sieci ICS od Internetu, które nadal nie eliminuje całego związanego z nią ryzyka. Zagrożenia zewnętrzne są oczywiste, jeśli sieć ta podłączona jest do Internetu, jednak zagrożenia wewnętrzne mają niekiedy nawet większy szkodliwy potencjał niż zagrożenia zewnętrzne. Zagrożenia wewnętrzne obejmują zarówno złośliwe działania pracowników, jak i niezamierzone błędy ludzkie, które mogą spowodować chaos w sieci ICS. Zagrożenia dla systemu produkcyjnego obejmują wszelkie aspekty zdolności systemu do udostępniania dokładnych danych w czasie rzeczywistym, w sposób ciągły i niezakłócony.

Dotyczy to możliwości uzyskiwania przez operatorów dostępu do systemu za pomocą komputerów typu desktop, lokalnego logowania się, portów systemowych i/lub interfejsów. Prace mające na celu fizyczne i proceduralne zabezpieczenie systemu automatyki mogą być bardzo kompleksowe i czasochłonne. Jednak jedynym sposobem na zapobieganie popularnym awariom systemu jest pozbawienie zwykłych użytkowników dostępu do tego systemu, zarówno za pomocą oprogramowania i sprzętu, jak i fizycznego.

Brak planowania i/lub procedur pełnego zarządzania cyberbezpieczeństwem i cyklem życia systemu ICS stanowi największe zagrożenie dla infrastruktury krytycznej. Cyberbezpieczeństwo może być zagrożone przez sieci cyfrowe lub aspekty fizyczne. Jednak wykorzystywanie istniejącej starszej platformy może być szkodliwe dla trwałości systemu produkcyjnego. Starszy sprzęt i oprogramowanie, a także wsparcie dla takiego systemu, mogą być drogie i trudno dostępne.

Zwykle systemy IT są modernizowane w cyklu trwającym od trzech do pięciu lat, podczas gdy systemy produkcyjne mogą działać znacznie dłużej. Z powodu wymagań dotyczących wysokiej dyspozycyjności systemów produkcyjnych przejście na nowy system może być także ryzykowne. Prawdopodobne jest, że nowy system będzie wymagał ponownego zaprogramowania, a jego układy logiczne będą musiały być rozszyfrowane i/lub skompilowane na nowy język. To wprowadza możliwość popełnienia błędu przez człowieka i może mieć potencjalnie negatywne oddziaływania na system produkcyjny.

Interfejs operatorski prawdopodobnie będzie wyglądał i działał inaczej od tego w istniejącym starszym systemie. Migracja ze starszego systemu na nowy może obejmować wiele aspektów szczegółowych specyfikacji logiki w celu zdefiniowania bezpiecznego działania, kompleksowych testów oraz organizacji szkoleń operatorów. Wymiana systemu na pełną skalę może trwać latami i obejmować wiele skomplikowanych faz. Zarządzanie cyklem życia systemu ICS powinno obejmować zatem kompleksową mapę drogową, która zawiera wszystkie szczegóły operacji przejścia na nowy system w celu zminimalizowania ryzyka dla systemu produkcyjnego.

Zmniejszanie ryzyka i zabezpieczanie zasobów

Zmniejszanie ryzyka i identyfikacja całościowego planu zabezpieczenia zasobów firmy wymaga kompleksowej analizy wszystkich ryzyk dla systemu produkcyjnego. Zabezpieczanie zasobów powinno obejmować warstwy bezpieczeństwa i nie polegać tylko na jednym oprogramowaniu czy urządzeniu. Potencjalne konsekwencje realizacji zagrożeń systemu ICS to straty w produkcji, szkody dla środowiska, uszkodzenia sprzętu realizującego procesy, a także zagrożenie bezpieczeństwa ludzi.

Zabezpieczanie zasobów rozpoczyna się od wydanego przez wyższe kierownictwo firmy polecenia identyfikacji proaktywnej inicjatywy i zapewnienia, że system ICS jest gotowy do obrony przed ewoluującymi zagrożeniami. Całościowy plan dokumentuje zadania i procedury zapewnienia cyberbezpieczeństwa oraz nakreśla warstwy zabezpieczeń, procedury zmniejszania ryzyka oraz plany migracji, aby objąć cykl życia systemu ICS. Reakcją na incydent, który zagraża systemowi produkcji, powinno być zaplanowane zdarzenie, wyraźnie zrozumiane przez cały personel, co zminimalizuje jego skutki.

Ponieważ zagrożenia wciąż ewoluują i stają się coraz bardziej złożone, zaleca się przeprowadzanie co roku audytu warstwy zabezpieczeń. Czynnik ryzyka nigdy nie zostanie usunięty całkowicie, jednak dzięki takiemu podejściu właściciele zasobów mogą wziąć odpowiedzialność za gotowość systemu produkcyjnego przez redukcję poziomu ryzyka tak daleką, jak to tylko możliwe.


Robbie Peoples jest menedżerem ds. integracji systemów w firmie Cross Company Integrated Systems Group.