Zapewnienie cyberbezpieczeństwa w informatycznych sieciach przemysłowych

Dobry poziom cyberbezpieczeństwa wymaga zrozumienia ryzyka i zagrożeń dla sieci informatycznych oraz technicznej strony zabezpieczeń, które mogą zapobiec niepożądanym włamaniom do sieci i przechwyceniem danych z fabryk.

„Co najgorszego może się wydarzyć?” To pytanie jest głównym w wielu dyskusjach przeprowadzanych w fabrykach. Narady na temat blokad bezpieczeństwa, racjonalizacji sygnałów alarmowych, analiz zagrożeń, planów zapewnienia BHP oraz projektowania sprzętu realizującego procesy technologiczne rutynowo koncentrują się na tej przesłance. Dlaczego więc niektóre zakłady przemysłowe posiadają niefrasobliwe podejście do sprawy układu i zabezpieczenia swoich sieci informatycznych?

Można wystraszyć, aby przestrzec przed zagrożeniami.

W ostatnich latach widzieliśmy już kilka przykładów „najgorszego, co mogło sie zdarzyć”. Amerykański gigant w dziedzinie sprzedaży detalicznej, Target Corporation, został w 2014 r. zaatakowany metodą „phishing” (metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji, np. danych logowania, szczegółów karty kredytowej lub nakłonienia ofiary do określonych działań) za pomocą wielkiej ilości e-maili. W wyniku tego ataku firma poniosła straty szacowane na 1,4 – 2,2 mld USD. Także w 2014 r. hakerzy zaatakowali firmę Sony Pictures i przejęli dane dotyczące głównych filmów oraz e-maili przesyłanych przez kierownictwo tej firmy. Atak na Anthem Inc., będące drugim co do wielkości towarzystwem ubezpieczeniowym w USA i specjalizującym sie w ubezpieczeniach zdrowotnych, spowodował wykradnięcie danych dotyczących nawet 80 mln klientów firmy.

Czy uważacie, ze Wasza fabryka jest odporna na cyberataki? Nie tak szybko. Firma Semantec Corporation doniosła, że sektor energetyczny USA jest drugim w kolejności najczęściej atakowanym, przewyższa go pod tym względem tylko rząd. Tak, odnosi sie to zarówno do włamania do bazy danych IRS (Internal Revenue Service, amerykańskiego Urzędu Skarbowego), na skutek którego wykradziono dane osobiste ponad 300 000 Amerykanów, jak i do włamań do Agencji OPM (U.S. Office of Personnel Management, amerykańskie Biuro Zarządzania Personelem – będące częściowym odpowiednikiem polskich MSW, ABW i SKW), wskutek których wykradziono dane dotyczące 22 mln pracowników federalnych.

Jeśli mówimy o rządach to jednym z najlepszych przykładów cyberataków wykorzystanych do działań wojennych był amerykańsko-izraelski atak na irański zakład wzbogacania uranu, dokonany za pomocą wirusa o nazwie Stuxnet. Ten genialny mały robak stworzył elektroniczną kopię architektury sieci zakładu, a następnie zmieniał prędkość obrotową wirówek do takiej wartości, aby uległy one zużyciu, jednocześnie odtwarzając zapisane wartości prędkości operatorom tak, że wszystko wyglądało pozornie w porządku. Według artykułu zamieszczonego w New York Times, zostało zniszczonych 20% irańskich wirówek wzbogacających uran.

Reakcje zakładów na zagrożenie.

Niektóre fabryki funkcjonują dobrze z punktu widzenie cyberbezpieczeństwa. Inne zakłady zastosowały tak „ostre” środki zabezpieczeń, jak zagadkową metodę ustawienia tekstu typu „Billy”, jako hasła do sieci bezprzewodowej. Poważnie. Różne fabryki wykorzystują całą gamę zabezpieczeń, od wymagania przy wejściu okazania karty TWIC (Transportation Worker Identification Credential, karta identyfikacyjna i dostępu pracownika transportu, wprowadzona w USA) do wymagania od kierowcy opuszczenia szyby w oknie i wykrzyczenia numeru strażnikowi, który przepuszcza pojazdy z odpowiedniej listy.  A jak to wygląda w Waszej fabryce? Czy Wasze hasło dostępu do sieci jest zapisane na białej tablicy w sterowni, czy zostało wysłane e-mailem w połówkach do dwóch zaufanych informatyków nadzorujących sieć?

Zrozumienie zagrożenia.

Przed przedyskutowaniem strategii izolowania i ochrony sieci w fabryce należy przeanalizować najpopularniejsze cyberataki i najprostsze zabezpieczenia przed nimi,

Jak napisano wcześniej, oszukańcze maile typu phishing były punktem dostępu dla hakerów atakujących firmę Target. Po otwarciu takiego e-maila przez osobę posiadającą dostęp do sieci korporacyjnej haker wykradał login i hasło tej osoby. W ciągu następnych kilku tygodni ten „e-złodziej” był w stanie wyciągnąć dane kart kredytowych około 40 mln klientów firmy Target.

Istniały sposoby zabezpieczania się osób prywatnych i firm przed e-mailami typu phishing. Większość  z nich koncentrowała się na możliwości rozpoznania fałszywych linkach w emailach, lub fałszywych załączników do nich. Jeśli nadawca e-maila pochodzi z zewnątrz firmy, lub jest po prostu nieznany użytkownikowi, to powinno to natychmiast wzbudzić nasze podejrzenia. Na przykład, jeśli wiadomość pochodzi od „Jane z działu zaopatrzenia”, o której nigdy nie słyszeliśmy i zawiera wysoce uogólniony paragraf, a następnie sugestię otwarcia załącznika lub kliknięcia w podane hiperłącze, to prawdopodobnie najlepiej będzie skasować tego e-maila.

Najechanie kursorem na to hiperłącze w e-mailu powinno spowodować wyświetlenie adresu internetowego, który ono zawiera, a jeżeli coś „pachnie phishingiem”, np. zmieniona nazwa firmy lub odnośniki do reklam, to najlepiej to zignorować. Ustanowienie reguł w naszej skrzynce odbiorczej w celu oflagowania e-maili pochodzącej od nadawców spoza naszej firmy jest innym prostym sposobem na zwrócenie uwagi na podejrzane wiadomości, szczególnie na łatwe do przeoczenia naśladownictwa popularnych adresów internetowych, np. za pomocą wtrącenia myślnika czy zastąpienia cyfry „1” literą „l”, albo dużej litery „L” małą literą „l”. Dobrą prezentację oszustw typu phishing wykonał serwis PayPal.

Złośliwe oprogramowanie (ang. malware), takie jak wirus Stuxnet czy cyberatak na amerykańską sieć hipermarketów Home Depot z 2014 r. może być nieco trudniejsze do wychwycenia. Może ono przedostać się do sieci za pomocą załączników do e-maili, nieprawdziwych adresów URL, pamięci typu pendrive lub nawet być osadzone w kodzie obrazu typu jpeg. Zwykle złośliwym oprogramowaniem zostaje zainfekowany jeden komputer, który następnie zbiera dane lub informacje o jego użytkowniku lub sieci. Następnie rozpoczyna się atak malware, który powoduje różne możliwe skutki, jednak zwykle jest to zniszczenie oprogramowania lub zagrożenie dla newralgicznych informacji. Opisane wcześniej reguły bezpieczeństwa przy otwieraniu e-maili mogą pomóc w pozbyciu się niektórych rodzajów malware, jednak mogą być konieczne ostrzejsze środki, takie jak blokery stron internetowych (ang. Website blockers) oraz polityki firm, ograniczające użycie pamięci przenośnych, chociaż są one często niepopularne wśród użytkowników. Należy zauważyć taki trend: większość cyberataków skierowana jest na ludzi. Element ludzki jest zwykle najsłabszym ogniwem w „łańcuchu zabezpieczeń” każdej sieci.

Najsłabsze ogniwo w zabezpieczeniach sieci.

Ludzie są łatwiejsi do manipulacji i wykorzystywania, niż aktualnie istniejące sieci. Jak trafnie określił to jeden z autorów wirusa Stuxnet: „okazuje się, że zawsze gdzieś są idioci, którzy nie myślą za dużo o pamięci pendrive, którą trzymają w ręku”. Pracownicy lub każdy, kto posiada dostęp do sieci zakładowej, muszą posiadać odpowiednią wiedzę, aby uniknąć zagrożeń dla cyberbezpieczeństwa.

Wiedza ta obejmuje rozpoznawanie inżynierii społecznej (ang. social engineering), fałszywych e-maili (phishingu), wirusów i tak dalej. Inżynieria społeczna obejmuje zwodniczą infiltrację. Nawet coś tak prostego, jak wiarygodna historia o mającej nastąpić inspekcji dotyczącej dezynsekcji lub konserwacji dokonanej przez pracowników Zakładu Energetycznego, może ogłupić niektóre osoby do tego stopnia, że dają obcym ludziom dostęp do miejsc, w których nie powinni oni przebywać. Jeśli Wasza fabryka nie wdraża podanych poniżej środków zapewnienia cyberbezpieczeństwa, to być może powinna.

  • Polityki czystego biurka (ang. clean-desk policies), które pomagają w zapewnieniu, że newralgiczne informacje nie są łatwo dostępne do uzyskania.
  • Fizyczne niszczenie danych – niszczarki twardych dysków i papieru oraz zamykane na klucz pojemniki na zniszczone dokumenty.
  • Zarządzanie urządzeniami mobilnymi, które pomaga w zapewnieniu, że osoby posiadające dostęp do sieci za pomocą swoich smartfonów posiadają zainstalowane właściwe blokady.

A co z pamięciami typu pendrive? Doskonałym pomysłem jest upozorowanie fałszywych ataków. Przypomina to ćwiczenia przeciwpożarowe. Podrzucenie pamięci pendrive w różnych miejscach w firmie a następnie sprawdzenie, które komputery zostały użyte do sprawdzenia zawartości tych pamięci, jest doskonałym sposobem na przekonanie się, jak nasza fabryka jest podatna na wprowadzanie złośliwego oprogramowania w taki sposób. Ponadto niektóre działy informatyki w zakładach wysyłają do pracowników e-maile typu phishing, które naśladują prawdziwe wiadomości, jednak zawierają link do strony, która przechwytuje profil użytkownika i podaje informacje o oszustwach typu phishing. Każdy sposób edukacji operatorów w fabryce na temat inteligentnego przeglądania Internetu, e-mali i możliwych cyberataków przyniesie korzyści w postaci większego poziomu cyberbezpieczeństwa.

Te koncepcje cyberbezpieczeństwa mogą pomóc w zapobieżeniu niepożądanym włamaniom do sieci i uzyskaniu dostępu do kluczowych danych fabryk. Mam nadzieję, że Wasza fabryka wdrożyła juz większość z nich. Jeśli jednak żadnej, zaś za pomocą hasła „12345” można uzyskać dostęp do wszystkich urządzeń realizujących procesy technologiczne” oznacza to, że igracie z ogniem.

Ale co najgorszego może się wydarzyć?


WYWIAD: On jest hakerem, ale życzliwym

Tim Garrity jest menedżerem zabezpieczeń informatycznych (ang. security services manager) w firmie TraceSecurity LLC. Firmy przemysłowe często wynajmują firmy zajmujące się zabezpieczeniami informatycznymi, takie jak TraceSecurity, aby dokonywały ataków hakerskich na ich zakłady stosując różne metody. Ideą tego jest znalezienie ewentualnych luk w zabezpieczeniach sieci zakładowych. Oczywiście znacznie lepiej będzie, gdy taką lukę odnajdzie życzliwy konsultant, niż ktoś o złych zamiarach.

Podczas niedawnego wywiadu z Timem Garrity zapytałem go jak zapewnić, że system bezpieczeństwa sieci jest odporny na cyberataki i jak uniknąć najsłabszego ogniwa w większości sieci.

Josh Bozeman: Czym jest cyberbezpieczeństwo?

Tim Garrity: Jest to modne powiedzonko. Zasadniczo jest to ogólny obraz technicznych środków kontroli, które powinny zostać zastosowane, aby zapobiec włamaniom do wrażliwych systemów danych firmy. Cyberbezpieczeństwo techniczne i cyberbezpieczeństwo fizyczne powinny ze sobą współpracować, aby zapewnić cyberbezpieczeństwo sieci. W przypadku, gdy jedna warstwa jest zagrożona, należy zastosować wiele warstw zabezpieczeń.

JB: Jak powinien wyglądać dobrze strzeżony system?

TG: W idealnym przypadku, jako linia obrony powinien być użyty system IPS/IDS (ang. Intrusion Detection System, Intrusion Prevention System – system wykrywania i zapobiegania cyberwłamaniom). Często system IPS/IDS jest monitorowany przez firmę zewnętrzną w celu nadzorowania działań w sieci i alarmuje firmę przemysłową w przypadku wykrycia podejrzanych działań. W następnej kolejności należy zastosować firewalle, które powinny posiadać zbiór reguł, co działa, jako bariera dla nieautoryzowanego ruchu sieciowego. Reguły te obejmują dopuszczanie specyficznego ruchu sieciowego wchodzącego i wychodzącego oraz jednoczesne blokowanie każdego innego ruchu, który nie jest zgodny z tymi regułami. Poza tym technologia biometryczna jest obecnie dość droga we wdrożeniu, jednak można zastosować znacznie tańszą technologię identyfikacji radiowej RFID, taką jak elektroniczne karty kontroli dostępu. Są to typowe zabezpieczenia sprzętowe.

JB: Jakie zabezpieczenia programowe Pan sugeruje?

TG: Po pierwsze oprogramowanie antywirusowe powinno być zarządzane centralnie (t.j. centralny serwer wysyła najnowsze aktualizacje i zapewnia, że ich instalacja w urządzeniach została wykonana poprawnie). Dodatkowo ważne jest aby zapewnić, że użytkownik końcowy nie może wyłączyć tej funkcji. Podobnie do tego koniecznością jest scentralizowany system zarządzania poprawkami (ang. patch management). Nie jest ekscytujące mówienie o aktualizacjach zabezpieczeń naszego systemu operacyjnego czy oprogramowania układowego wszystkich routerów, przełączników sieciowych lub firewalli, ale może to stać sie całkiem ekscytujące dla każdego, jeśli jedno z tych urządzeń jest eksploatowane przez nieetycznego hakera. Ważne są nawet te irytujące aktualizacje oprogramowania Adobe Flash i Java.

JB: Poza architekturą systemu, którą już Pan opisał, jakie są inne komponenty dobrze zabezpieczonej sieci?

TG: Administratorzy sieci powinni zapewnić raportowanie logowania każdej osoby po stronie sieci. W ten sposób każdy, kto próbuje uzyskać dostęp do jakiegoś urządzenia czy systemu, modyfikuje pliki lub zatrzymuje podstawowe usługi systemowe na serwerze, jest zapamiętywany. Popularną najlepszą praktyką powinno być oparcie wszystkiego o zasadę najmniejszego przywileju (ang. principle of least privilege, POLP) co oznacza, że ludzie posiadają tylko taki poziom uprawnień administracyjnych w sieci, jaki im jest potrzebny do pracy. Skoro o tym mowa to administratorzy powinni zapewnić, że prowadzony jest okresowy przegląd konta pracownika w celu zapewnienia, że konto dostępowe tej osoby jest właściwe i aktualizowane. Pomoże w tym śledzenie głównej listy kontrolnej zabezpieczeń w przypadku, gdy ludzie są wynajmowani z zewnątrz, zwalniani z pracy lub zmieniają stanowisko. Ponadto, jak wie każdy znający się dobrze na e-mailach, kluczową sprawą są złożone hasła. Inna kontrolą cyberbezpieczeństwa do przeanalizowania jest sama nazwa użytkownika.

JB: A o co chodzi z tą nazwą?

TG: Jeśli nazwa użytkownika zawiera takie słowa jak „admin”, to jest to łatwa wskazówka, że prawdopodobnie konto posiada prawa administracyjne. Uzbrojony w tę informację złośliwy osobnik może dokonać całą gamę ataków mających na celu wykradzenie hasła i uzyskanie dostępu do sieci z prawami administratora. Zaleceniem do rozważenia jest tu użycie konwencji nazw ogólnych (ang. generic naming convention) dla kont użytkowników posiadających prawa administracyjne. Obejmuje to także zmianę nazwy głównego konta „Administrator”, ponieważ nazwa ta jest także dobrze znanym powodem ataków.

JB: Jakich jeszcze niebezpieczeństw powinniśmy być świadomi?

TG: Zaczynamy znajdować wirusy ukryte w obrazach typu jpeg, jednak niedawne udane włamania (np. przy wykorzystaniu błędu zabezpieczeń Heartbleed czy atak Poodle wykorzystujący luki w protokole SSL 3.0 etc.) stały się wielkim problemem. A podczas gdy aktualizacje oprogramowania są ważne, to Heartbleed i Poodle były wynikiem wykorzystywania istniejących starszych technologii. Tak więc posiadanie strategii migracji jest sprawą kluczową gdy wykorzystujemy jakiś starszy system. Przykro mi, ale użytkownicy Windows XP powinni przejść na nowszy system operacyjny. To powinno prawdopodobnie być podane w tym miejscu, ale zabezpieczenie zewnętrznej sieci fabryki (z dostępem do e-maili i Internetu) jest sprawą ważną, chociaż zawsze będzie ona w jakiś sposób wrażliwa na cyberataki. Ścisłe ograniczanie punktów kontaktu pomiędzy fabryczną siecią sterowania a siecią zewnętrzną jest równie ważne, jeśli nie ważniejsze.



Josh Bozeman jest menedżerem projektu w firmie Maverick Technologies. Firma ta jest partnerem CFE Media d/s treści, członkiem globalnego Stowarzyszenia Integratorów Systemów Sterowania (CSIA, Control System Integration Association) na Poziomie 1, Integratorem Systemów Roku 2011 wg Control Engineering, oraz została wprowadzona do Galerii Sław Integratorów Systemów Control Engineering w 2012 roku. Redakcja tekstu: Jack Smith, menedżer treści, CFE Media, Control Engineering.