Przedsiębiorstwa przemysłowe na celowniku cyberprzestępców

Technologia operacyjna (OT) jest wszędzie, zwłaszcza w coraz bardziej zautomatyzowanych fabrykach. Rozwój Przemysłu 4.0 przyczynia się do wzrostu przepływu danych, którym towarzyszą liczne cyberzagrożenia. Raport firmy Honeywell wskazuje, że 79 proc. z nich może mieć krytyczny wpływ na systemy operacyjne. Skala zagrożenia dla przedsiębiorców rośnie. W badaniu Stormshield dot. cyberbezpieczeństwa przemysłowego z 2021 r. 51 proc. respondentów wskazała, że doświadczyła co najmniej jednego cyberataku na sieć operacyjną, a wg. Barometru Cyberbezpieczeństwa KPMG aż 69 proc. firm w Polsce odnotowało incydent naruszenia bezpieczeństwa.

Zdaniem specjalistów Stormshield wciąż niewystarczająca jest świadomość ryzyka na jakie w obszarze cyberbezagrożeń narażone są zasoby produkcyjne. Podmioty przemysłowe muszą zdać sobie sprawę, że taki atak może potencjalnie zatrzymać produkcję.

Potencjalnie niebezpieczne USB

Cyberbezpieczeństwo w IT towarzyszy nam od pojawienia się Internetu, a świadomość ryzyka związana z sieciami technologii operacyjnych (OT) towarzyszy nam od zaledwie dziesięciu lat. Wpłynęło na to kilka poważnych ataków, jakie miały miejsce od 2010 roku, a które dotknęły zakłady przemysłowe i elementy infrastruktury krytycznej, z których niektóre nie były nawet podłączone do Internetu. Dopiero po tym fakcie ludzie zdali sobie sprawę z zagrożenia systemów przemysłowych. Dojrzałość w tym sektorze znacznie wzrosła, choć wciąż jej poziom nie jest optymalny

Aleksander Kostuch

ekspert europejskiego lidera branży bezpieczeństwa IT

Jakie są najczęstsze wektory ataków na systemy OT?

Jednym z nich są pamięci USB. Jak wynika z badania przeprowadzonego przez Honeywell w 2021 r. 37 proc. zagrożeń zostało zaprojektowanych specjalnie do korzystania z nośników wymiennych.

Stanowi to prawdziwe wyzwanie ze względu na wszechobecność nośników pamięci. Stojący wobec dylematu: ryzyko korzystania z niepewnej pamięci USB lub przestój produkcji, często decydują się na to pierwsze

Aleksander Kostuch

ekspert europejskiego lidera branży bezpieczeństwa IT

Rzadszą formą ataków są APT (Advanced Threat Persistence), czyli działania, w których cyberprzestępcy wykorzystują często zaawansowane narzędzia i technologie do przełamania lub ominięcia systemów zabezpieczeń wybranego celu. Badanie KPMG pokazało, że 7 na 10 polskich firm padło w zeszłym roku ofiarą cyberprzestępców, a głównym źródłem zagrożeń były zorganizowane grupy przestępcze. Jednocześnie jak wskazuje raport to właśnie ATP budzą największe obawy firm.

Zapobiegać zamiast leczyć

Infrastruktura IT jest elastyczna i responsywna, natomiast systemy przemysłowe - w odróżnieniu - opierają się na znacznie dłuższych cyklach funkcjonowania. W przypadku linii produkcyjnych instalowanych przed 20 laty cyberzagrożenia praktycznie nie istniały, co oznaczało brak konieczności ujmowania w nich komponentów do zapobiegania zagrożeniom tego rodzaju. Komponentów o wartości nawet kilku milionów euro. Obecnie aktualizacja oprogramowania nastręcza trudności, ponieważ taki sprzęt niekoniecznie będzie zgodny z najnowszymi wersjami oprogramowania. Podczas gdy w IT konserwacja bezpieczeństwa (SM) i konserwacja operacyjna (OM) idą w parze, w sferze OT sytuacja jest odmienna.

Innym aspektem jest specyfika środowiska w jakich funkcjonuje OT. Zasoby IT (serwery) znajdują się w chronionych pomieszczeniach, podczas gdy aktywa OT mogą być umieszczone na ulicy (szafa przemysłowa) lub po prostu w szczerym polu, a fizyczny dostęp do urządzeń jest łatwiejszy. Dodatkowo te technologie często poddawane są trudnym warunkom – wysokich bądź niskich temperatur i wilgoci bądź zanieczyszczonego powietrza. To powoduje, że w OT instalacja technologii bezpieczeństwa cybernetycznego i fizyczna kontrola dostępu stwarza trudność., Obsługa również oznacza wysokie koszty.

Realia w jakich funkcjonują zakłady wytwórcze powodują, że decyzje dotyczące wydatków na cel taki jak cyberbezpieczeństwo nie są podejmowane, ponieważ nie przekładają się na bezpośrednie zyski. W takiej sytuacji jednym z największych wyzwań jest przekonanie klientów o korzyściach płynących z wdrożenia rozwiązań we własnych środowiskach przemysłowych. Jeśli zdadzą sobie sprawę, że atak może potencjalnie zatrzymać produkcję, a wedle naszego badania 27 proc. cyberataków miało na celu właśnie zatrzymanie lub zakłócenie produkcji, to zrozumieją, że rozwój zabezpieczeń systemów przemysłowych to tak naprawdę inwestycja

Aleksander Kostuch

ekspert europejskiego lidera branży bezpieczeństwa IT

Niezbędny audyt i analiza ryzyka

Ważnym etapem wdrażania rozwiązań w tym obszarze jest identyfikacja obszarów, w których brakuje ochrony oraz określenie zakresu w jakim może to wpłynąć na bezpieczeństwo sieci. Obejmuje on analizę konfiguracji komputerów, sprawdzanie używanych systemów operacyjnych, wyszukiwanie problemów z konfiguracją lub dostępnych plików zawierających hasła oraz zwracanie szczególnej uwagi na stacje robocze z uprawnieniami administratora. Obejmuje on również mapowanie sieci. Całość dopełnia identyfikacja ryzyk, ich krytyczności i prawdopodobieństwa wystąpienia.

Taki kompleksowy proces pozwala zdecydować, gdzie i jakie działania zapobiegawcze należy podjąć. Audyt i analiza są kluczowe pod tym względem, umożliwiają bowiem określenie na jakich aspektach powinniśmy się skupić w pierwszej kolejności. Czasami bywa tak, że elementy infrastruktury są niepewne, ale jednocześnie ich naruszenie nie jest w stanie spowodować znacznych szkód. Zatem niekoniecznie muszą być traktowane priorytetowo

Aleksander Kostuch

ekspert europejskiego lidera branży bezpieczeństwa IT

Dobre praktyki cyberbezpieczeństwa przemysłowego

Jakie rozwiązania sugerują specjaliści? Jednym z zaleceń Stormshield jest stosowanie kompatybilnych zapór ogniowych – firewalli do kontrolowania przepływów operacyjnych, wraz z umożliwiającą identyfikowanie i blokowanie nietypowych działań ochroną stacji roboczych. Dobrym posunięciem jest wdrożenie prostych mechanizmów, takich jak segmentacji sieci, DMZ (strefy zdemilitaryzowane) dla stref IT/OT. Warto także dokonać analizy przepływu danych między poszczególnymi urządzeniami, aby określić czy ich komunikowanie się ze sobą ma uzasadnienie. Ograniczenie tej komunikacji, dodanie firewalli, wprowadzenie nadzoru nad sterownikami PLC i stacjami sieciowymi nie powinno rzutować na tryb pracy zakładu. Może to jednak mieć duże znaczenie z perspektywy zapewniania bezpieczeństwa.

Oferowane współcześnie produkty są przygotowane z myślą o wygodzie klienta. Dlatego pozostają nieinwazyjne, aby nie utrudniać codziennej działalności produkcyjnej. Każda przerwa w produkcji oznacza straty, ale te spowodowane skutecznym atakiem ze strony cyberprzestępców będą z pewnością niewspółmiernie wysokie

Aleksander Kostuch

ekspert europejskiego lidera branży bezpieczeństwa IT