Zabezpieczanie systemów automatyzacji produkcji

Rozwiązania z zakresu bezpieczeństwa stosowane są w szczególnie wrażliwych działaniach w produkcji oraz zarządzaniu łańcuchem dostaw

Pięć lat temu firma Everbrite LLC była pewna, że znalazła sposób zabezpieczenia biurowych PC przed dostępem hakerów. Dostęp do Internetu został zakazany i kropka.

– Klientami firmy są prestiżowi przedstawiciele rankingu Fortune 1000 – wyjaśnia administrator komunikacji danych, Cindi Herzog. – W związku z tym producent doszedł do wniosku, że nie może ryzykować, iż jego systemy IT zostaną zainfekowane przez wirusy, robale, będą podatne na ataki hakerów i inne zagrożenia.

Przyjęta polityka miała zapewnić bezpieczeństwo, ale jednocześnie uniemożliwiała firmie i jej pracownikom eksplorację Internetu. – Kiedy więc klienci zaczęli się domagać sieciowego dostępu do informacji dotyczących Everbrite – wspomina Herzog, nadszedł czas na mniej restrykcyjne podejście do tematu bezpieczeństwa.

Odpowiedź? Ściana ogniowa – firewall firmy Check Point Software Technologies. To zabezpieczenie do dzisiaj ochrania nie tylko serwery internetowe, ale również podłączone obecnie do Internetu komputery pracowników Everbrite, łącznie z “wojownikami szos”, którym potrzebny jest zdalny dostęp do Internetu. – Jesteśmy tak zabezpieczeni, jak to tylko możliwe – mówi Herzog. A kiedy ogłaszane są nowe zagrożenia, w ciągu kilku minut jestem w stanie przedstawić mojemu szefowi raport o atakach, których doświadczamy.

Dla menedżera produktu z Check Point, Billa Jensena, to znajoma historia. W przypadku systemów IT oraz sieci, które rozciągają się od aplikacji przedsiębiorstwa do systemów sterowania nadrzędnego na produkcji, koszt złamania zabezpieczeń w produkcji jest wysoki.

– Produkcja narażona jest na znacznie większe ryzyko niż inne rodzaje działalności – ostrzega Jensen. – Firma prawnicza może przez jakiś czas nie mieć dostępu do poczty elektronicznej, ale firma produkcyjna w przypadku awarii systemów IT może zostać zmuszona do przerwania produkcji.

^{Badanie przeprowadzone przez amerykańskie Generalne Biuro Księgowe (General Accounting Office – GAO) „Wyzwania i wysiłki mające na celu zabezpieczenie systemów sterujących”: problemy wynikają z ograniczonej liczby wyspecjalizowanych technik zabezpieczających oraz braku uzasadnienia ekonomicznego}

– Co gorsza, nie chodzi tylko o poważne konsekwencje i straty wynikające z problemów z bezpieczeństwem – dodaje Sachar Paulus, główny dyrektor do spraw bezpieczeństwa SAP AG – ale o to, że produkcja jest szczególnie wrażliwa.- Producenci stanowią część zintegrowanego łańcucha zaopatrzenia, bazują na scenariuszach handlowych opartych na współpracy oraz na technikach takich jak RFID. Następuje rozmycie pewnych barier, co nie jest dobre, ponieważ znaczna część strategii zabezpieczających bazuje na zdefiniowaniu, a potem ochranianiu tych barier.

– Wyraźna bariera pomiędzy halą produkcyjną a pozostałą częścią przedsiębiorstwa również zanika. Dziesięć lat temu każda sieć na produkcji była rozwiązaniem opatentowanym, podobnie zresztą jak każdy system automatyczny – mówi Michael Bush, menedżer działu zajmującego się bezpieczeństwem w Rockwell Software.

Jednak w przypadku systemów otwartych, które coraz częściej trafiają do działu produkcji, pojawia się podwójne zagrożenie. Nie chodzi tylko o to, że systemy są z natury bardziej podatne na zagrożenia niż systemy opatentowane – mówi Bush – ale również odpowiedzialny za nie personel IT ma mniejsze doświadczenie w kwestiach bezpieczeństwa. Ludzie zajmujący się systemami dla przedsiębiorstw od lat mają do czynienia z systemami otwartymi, ale systemy te są ciągle jeszcze nowością dla osób zajmujących się automatyzacją produkcji.

Rezultat? – Zbyt często – mówi Lance Travis, analityk AMR Research – okazuje się, że pracujące 24 godziny na dobę 7 dni w tygodniu systemy automatyzacji produkcji nie są zabezpieczane “łatami”, pracują na starszych maszynach i systemach operacyjnych takich jak Windows NT, dla których nie robi się już poprawek zabezpieczających.

Zagrożony świat

Jak realne są te zagrożenia? – Bardziej, niż można by sobie to wyobrazić – mówi Justin Lowe, konsultant PA Consulting Group z Londynu oraz współautor badania “Mity i fakty cybernetycznych zagrożeń przemysłowych systemów sterowania”, które zostało przeprowadzone wspólnie z kanadyjskim Instytutem Techniki British Columbia. Lowe uważa, że niewiele firm skutecznie blokuje połączenie systemów automatyki w hali fabrycznej z siecią informatyczną korporacji, pozostawiając niektóre z nich otwarte na ewidentne zagrożenia. – Dochodzimy do punktu, w którym ściana ogniowa – firewall [pomiędzy siecią przedsiębiorstwa a siecią na produkcji] – powinna być zainstalowana, rzadko jednak się to robi – mówi Lowe.

Niektórzy posunęliby się jeszcze dalej. Christine Adams, dyrektor organu zajmującego się ustanawianiem standardów i najlepszych praktyk wspólnych dla różnych gałęzi przemysłu w ramach Programu Cyberbezpieczeństwa Sektora Chemicznego oraz dyrektor ds. infrastruktury IT pracujący dla Dow Chemical z Midland, stan Michigan, zaleca prawie całkowite oddzielenie sieci hali fabrycznej od sieci korporacji.

– Pomimo kuszącego uroku komunikacji pomiędzy systemami sterowania produkcją a aplikacjami informatycznymi przedsiębiorstwa zbliżanie ich jeszcze bardziej jest po prostu wciąż “zbyt niebezpieczne” – mówi Adams. – Nawet jeśli przepływ danych odbywa się zazwyczaj w jednym kierunku – z systemu sterowania produkcją do aplikacji przedsiębiorstwa – bardzo ważne jest, aby połączenie pomiędzy nimi było bardzo dobrze zabezpieczone.

Chociaż nowości techniczne mogą oferować producentom nowe pożądane możliwości, otwierają również całkiem nowy zestaw problemów dotyczących bezpieczeństwa. Francis deSouza, główny dyrektor dostawcy rozwiązań komunikujących IMLogic, lubi opowiadać historię producenta PC słynącego z doskonałości swojego łańcucha zaopatrzenia i obsługi klienta, którego komputery około rok temu zostały zainfekowane przez szczególnie złośliwego wirusa.

– Dział IT był zaskoczony, ponieważ firma wydała dużo pieniędzy na zabezpieczenie się przed wirusami – mówi deSouza. – W jaki sposób wirus dostał się do systemu? Okazało się, że w firmie stosowano dużo niestandardowych komunikatorów. Kiedy zabroniono ich użytkowania, odezwała się fala protestów z takich działów firmy, jak łańcuch zaopatrzenia i obsługa klienta, które korzystały z tej szybkiej i niezawodnej komunikacji.

Obecnie można korzystać z komunikatorów, ale za pośrednictwem dozwolonej aplikacji pochodzącej od IMLogic, która nie tylko zapewnia bezpieczeństwo, ale również archiwizuje komunikaty do celów związanych z zarządzaniem wiedzą i zapewnieniem zgodności.

Kwestia RFID

Innym przykładem są “przecieki” fal radiowych (radio-frequency – RF). Producenci wykorzystują techniki RF w komunikacji sieciowej oraz w aplikacjach, takich jak etykiety RFID. Jednak to, co sprawia, że technika ta jest niezwykle atrakcyjna, czyli umożliwienie bezprzewodowego komunikowania się rozproszonych urządzeń, stanowi również jej piętę Achillesa.

– Nie da się kontrolować kierunku rozchodzenia się fal radiowych – mówi Jeff Aaron, starszy menedżer ds. produktów firmy Airespace, dostawcy rozwiązań zapewniających bezpieczeństwo systemów bezprzewodowych. – Fala radiowa może się odbijać od ścian, ludzi, może też dostać się na parking i na ulicę. Zdarza się, że nawet tam można ją odczytać.

W odniesieniu do kwestii bezpieczeństwa słowo “potencjalnie” nabiera nowego znaczenia. Łatwo wyliczyć zagrożenia – firma Airespace wymieniła ich bardzo dużo w opublikowanym ostatnio opracowaniu, które zostało przygotowane dla obecnych i przyszłych klientów. Sztuka polega na tym, by właściwie ocenić, przed którymi zagrożeniami warto się zabezpieczyć.

^{Nie istnieje zabezpieczenie doskonałe. Podejmowane wysiłki muszą być oparte na realistycznej ocenie stosunku kosztów do ryzyka}

– Zajmuję się badaniem kwestii bezpieczeństwa, a moja praca polega na znalezieniu obszarów podatnych na zagrożenia i poinformowaniu o ich istnieniu – wyjaśnia Darrin Miller, specjalista do spraw bezpieczeństwa w Cisco Systems. – Wydaje mi się jednak, że w całym zamieszaniu zapomina się o prawdopodobieństwie wykorzystania tych obszarów – może nie być tak duże, jak straszą pesymiści. Nie należy ignorować cyberaspektów zagrożeń czy ataków, ale gdyby ktoś chciał spowodować poważne uszkodzenia, istnieją prawdopodobnie lepsze sposoby na to, przy mniejszym ryzyku.

Ważne jest oszacowanie prawdziwego stopnia zagrożenia. Nie dziwi więc fakt, że bardzo drodzy konsultanci zajmujący się oceną bezpieczeństwa i zagrożeń donoszą o niesamowitych obrotach. Jednak audyty przeprowadzane przez najdroższych konsultantów to nie jedyny sposób identyfikowania i oceny zagrożeń.

Na przykład SAP uruchomił ostatnio zdalny serwis kontroli bezpieczeństwa – SAP Security Optimization, który bada systemy firmy, sprawdzając około 20 znanych słabych punktów, co trwa dwa dni.

– Od 70 do 80% wymagań bezpieczeństwa firmy może zostać spełnionych poprzez właściwe skonfigurowanie aplikacji – mówi Paulus z SAP. Podczas wykonywania testów beta, w realnych warunkach pracy klientów, okazało się, że właściwie skonfigurowanych systemów jest od 20 do 30%. – Widzimy duże zainteresowanie tą tematyka na rynku. Coraz więcej firm oferuje usługi z tego zakresu.

Jednak usługi realizowane całkowicie automatycznie siłą rzeczy są tańsze od tych, które wymagają udziału człowieka. Firma Qualys oferuje identyfikację słabych obszarów oraz zarządzanie bezpieczeństwem w postaci usług internetowych świadczonych na żądanie, z których korzystają m.in. firmy takie jak: DuPont, Hershey Foods oraz Hewlett-Packard. – Obecnie bada się około 4000 słabych punktów – wyjaśnia główny dyrektor operacyjny i wiceprezes ds. technicznych, Gerhard Eschelbeck – co tydzień dokłada się około 20 nowych.

– Dawniej tego rodzaju kontrola i audyt potencjalnych zagrożeń były wykonywane raz do roku, w ramach umowy konsultacyjnej. Obecnie proces został zautomatyzowany, mogą go wykonać sami klienci i to szybko. To ważne, ponieważ nowe zagrożenia pojawiają się przez cały czas – mówi Eschelbeck. – Skanujemy prawie wszystkie zasoby cyfrowe – począwszy od najmniej ważnych sieci znajdujących się na produkcji, po aplikacje biznesowe. Wirtualna sieć prywatna (virtual private network – VPN), protokół przesyłania głosu przez Internet (Voice-over Internet Protocol – VoIP), systemy bezprzewodowe – skanujemy wszystko.

– Nie wolno jednak przeoczyć ludzkiego aspektu zarządzania bezpieczeństwem ostrzega Bill Moore, analityk ARC Advisory Group. Wystarczy kilka podstawowych środków, narzędzi oraz bezpiecznych praktyk, żeby w znacznym stopniu zredukować ryzyko. – Jest takie stare powiedzenie, że 80% zabezpieczeń polega na powstrzymaniu ludzi przed robieniem głupich rzeczy – mówi Moore.

W zakładzie pewnego producenta wirus zainfekował sieć korporacji, ponieważ jeden inżynier był sfrustrowany czasem potrzebnym na załadowanie zabezpieczenia antywirusowego podczas załączania komputera, wyłączył więc zabezpieczenie. W innym zakładzie hakerzy zbadali sieć poprzez podłączony do Internetu modem, przez który pracownicy mogli wdzwaniać się z domu, żeby sprawdzać realizację zleceń na produkcji.

Czy jednak sieci korporacyjne mogą być całkowicie bezpieczne? Niektórzy dostawcy rozwiązań zabezpieczających, tacy jak Utimaco, uważają, że dopóki informacje będą przechowywane w sieciach w zwykłych formatach tekstowych, będzie to zachętą dla hakerów, żeby podjąć próbę dostania się do nich. Wystarczy zaszyfrować dane, żeby ta zachęta znikła. – W ciągu ośmiu do dziesięciu lat nie będzie dużych firm, które przechowywałyby informacje w formacie tekstowym – prognozuje Walter Loiselle, główny dyrektor operacyjny w firmie Utimaco.

– Departament Obrony USA szyfruje przechowywane dane stosując technikę Utimaco, zaczynają to robić również komercyjne instytucje finansowe – mówi Loiselle. – Na przykład dane przechowywane na każdym laptopie należącym do Terytorialnego Banku Oszczędnościowego Honolulu są szyfrowane za pomocą techniki Utimaco, podobnie jak poufne informacje przechowywane w sieci korporacji – wyjaśnia Gary Kahn, dyrektor ds. bezpieczeństwa informacji w banku. Wierzy, że szyfrowanie jest ostatnią linią obrony. A jeśli jest dobre dla instytucji finansowej, która musi sprostać niezliczonym wymogom zapewnienia zgodności i wymogom prawnym, to musi być wystarczająco dobre dla firmy produkcyjnej – konkluduje Kahn.

Autor: Malcolm Wheatley, MBT