Bezpieczeństwo systemów sterowania

Prawie 200 respondentów wzięło udział w ankiecie Control Engineering Industrial Control Systems Cyber Security Assessment Survey. Niektóre z wyników były do przewidzenia, inne okazały się bardzo zaskakujące.
Pierwsza niespodzianka to fakt, że 24% respondentów nie wierzy w istnienie zagrożeń dla informatycznych systemów sterowania, które mogą wpłynąć na ich działania biznesowe. To wydaje się być bardzo intrygujące, ponieważ większość przedsiębiorstw i organizacji działa, mając na uwadze to, że stuprocentowe bezpieczeństwo po prostu nie istnieje. W środowisku, w którym przemysłowe systemy sterowania stają się coraz bardziej powiązane i uzależnione, uwzględniając możliwości zdalnego wpływu na nie, spodziewaliśmy się niemal 100% odpowiedzi wskazujących takie zagrożenie. Spośród respondentów dostrzegających cyberzagrożenia 20% określiło jako najbardziej kłopotliwe wirusy i złośliwe programy.

Innym bardzo ciekawym wynikiem jest to, że tylko 53% ankietowanych uważa się za „organizację związaną z przemysłem, która zmuszona jest do zaimplementowania mechanizmów ochrony informatycznych systemów sterowania”. Pozostaje zatem aż 47%, które nie widzi takiej potrzeby. Z wcześniej wymienionych przyczyn oczekiwaliśmy znacznie większego wskaźnika konieczności stosowania mechanizmów zabezpieczeń.
Zaskoczeniem okazała się liczba organizacji, które mają wyznaczoną grupę specjalistów do wykrywania i odpierania cyberataków – to jedynie 50%. Uważamy, że jest to dziwne w środowisku, w którym liczba cyberzagrożeń dla przemysłowych systemów sterowania jest bardzo duża i rośnie dramatycznie na przestrzeni ostatnich lat. Inna niespodzianka to aż 22% odpowiedzi wskazujących na brak jakiejkolwiek oceny cyberbezpieczeństwa. Encari (firma świadcząca usługi w zakresie doradztwa związanego z cyberzagrożeniami i ochroną przed nimi) poleca przeprowadzanie takich ocen przynajmniej raz w roku. Zgadza się z tym 65% ankietowanych, którzy analizowali zagrożenie bezpieczeństwa w ciągu ostatnich lat. Przyjęto to za dobrą praktykę, ponieważ zagrożenia dla systemów ulegają ciągłym zmianom. Zmieniają się też same systemy sterowania. Główną z nich jest większa integracja z systemami informatycznymi, a co za tym idzie – przejmowanie ich zagrożeń.

Idąc tym tropem, nie byliśmy zdziwieni, że tylko 46% respondentów wynajmowało zewnętrzne firmy do oceny cyberbezpieczeństwa i potencjalnych zagrożeń. Na podstawie liczby firm działających na terenie Polski, świadczących usługi kompletnej oceny bezpieczeństwa systemów przemysłowych, można ocenić, że wskaźnik ten byłby w Polsce zdecydowanie niższy. Rzeczywistość pokazuje, że zdolność oceny ryzyka przez pracowników danej firmy bardzo rzadko dorównuje zdolnościom pracowników firm konsultingowych z zakresu bezpieczeństwa. Ocena ryzyka przeprowadzona według ścisłej procedury, oparta na planie i doświadczeniu, nie pociąga za sobą nadmiernych kosztów, a dostarcza dogłębną analizę bezpieczeństwa organizacji. Dobra analiza z kolei przyczynia się do zmniejszenia kosztów operacyjnych przedsiębiorstwa – podobnie jak w powiedzeniu „lepiej zapobiegać niż leczyć”. Organizacje posiadające własne jednostki oceny cyberzagrożeń powinny rozważać wynajęcie zewnętrznych firm konsultingowych raz na dwa lata.
Ochrona informacji
Aż 75% osób biorących udział w ankiecie wykazało, że ich firmy albo mają, albo są na etapie wprowadzania programów ochrony danych. Chociaż w wypowiedziach brak takiej informacji, mamy dużą pewność, że większość respondentów aktualnie implementuje programy ochrony danych. Co więcej – bazując na tym, co spotkaliśmy w wielu organizacjach – podejrzewamy, że wiele z implementowanych programów nie zapewnia wystarczającej ochrony danych. Sceptycyzm ten wywodzi się z trudności implementowania takich programów w środowisku przemysłowo-biznesowym. Potwierdza to statystyka Privacy Rights Clearinghouse (organizacji typu nonprofit informującej klientów o ich prawie do ochrony informacji w świecie nowoczesnej technologii i sposobach tej ochrony).

Organizacje tworzą nadmiar informacji istniejących w różnych formach – cyfrowych, werbalnych lub w postaci bezpośrednich kopii. Efektywne i pewne w działaniu narzędzie ochrony informacji musi czuwać nad ich bezpieczeństwem w każdej postaci. Dla przykładu, jak program chroni dane wrażliwe:

  • wysłane pocztą elektroniczną,
  • zapisane na zewnętrznych dyskach USB i notebookach techników,
  • przefaksowane do sprzedawcy,
  • wydrukowane przez drukarkę sieciową,
  • umieszczone w bazie danych,
  • przekazane werbalnie.

Jak jesteś w stanie zagwarantować, że wszystkie informacje przekazane do programu są odpowiednio sklasyfikowane (np.: „tajne”, „poufne”)? Pracowaliśmy z wieloma organizacjami, które opracowały wszechstronne programy ochrony, ale borykają się z ich implementacją.
Pierwsze kroki bezpieczeństwa
Zaskoczyło nas, że choć znamy wiele organizacji, które mają problemy z utrzymaniem właściwej kontroli nad systemami wymiany informacji, 70% ankietowanych po prostu zaprzeczyło temu, uznając, że takich problemów nie mają. Dalsza część artykułu wskazuje, że część ankietowanych powinna zweryfikować swoje wypowiedzi, a przede wszystkim swoją postawę dotyczącą cyberzagrożeń.

Interesujące jest, że organizacje bardzo podobnie określają najważniejsze strategie bezpieczeństwa:
27% – kontrola dostępu,
23% – _ochrona stanowiąca barierę organizacja-świat (np. firewall),
16% – zasady bezpieczeństwa,
14% – ochrona informacji,
13% – _ochrona budynków i wyposażenia (np. fizyczna),
7% – _świadomość  cyberzagrożeń i ochrony przed nimi.
Ponieważ wiele incydentów związanych z cyberbezpieczeństwem było wynikiem ludzkiego błędu, złośliwych i niezadowolonych pracowników, użytkowników z nieodpowiednimi poziomami dostępu i wreszcie brakiem świadomości, czym jest cyberbezpieczeństwo, mamy nadzieję, że wyniki następnej ankiety wskażą większą istotność świadomości pracowników w walce z cyberzagrożeniami.
Inne kluczowe wyniki
Inne godne uwagi wyniki ankiety:
31% respondentów, którym zależy na ochronie informacji, nie zaimplementowało żadnego programu ochrony danych.
29% ankietowanych,  którzy dostrzegają problem wirusów i złośliwego oprogramowania, nie posiada zdolności monitorowania prób przełamania ich systemu zabezpieczeń oraz systemów alarmowania w przypadku, gdyby próby te odniosły sukces.
Wśród organizacji mających świadomość cyberzagrożeń 48% nie posiada specjalistów do wykrywania i odpierania cyberataków, a 19% nigdy nie przeprowadzało analizy podatności na zagrożenia.
Spośród organizacji, które przeprowadziły analizę swojego systemu informatycznego współpracującego lub stanowiącego część systemu sterowania, 30% nie wprowadziło zmian, które zapobiegałyby nieautoryzowanym i potencjalnie niebezpiecznym zmianom w systemie sterowania.
70% ankietowanych posiadających system monitorowania prób cyberataków i informowania o ich ewentualnym powodzeniu ma także specjalistów do obsługi tego systemu aktywnej walki z zagrożeniami. Mniej niż 5% ma specjalistów, ale nie ma możliwości monitorowania.
Różne kombinacje odpowiedzi przedstawione powyżej wskazują na brak kompleksowego programu ochrony danych w organizacjach. Świadczy to o tym, że organizacje te traktują cyberbezpieczeństwo jako pewne działanie, zamiast dostrzec, że cyberbezpieczeństwo stanowi fragment głębokiej strategii ochrony, która dotyczy całego przedsiębiorstwa:

  • Jak tworzyć ochronę przed wirusami i złośliwym oprogramowaniem, jeśli nie posiada się systemu monitorowania prób nieautoryzowanego dostępu z zewnątrz?
  • Dlaczego mając świadomość o potencjalnych cyberzagrożeniach, nie przeprowadza się analizy bezpieczeństwa we własnej firmie? Dlaczego nie zatrudnia się specjalistów, którzy pomogą wykryć i odeprzeć ataki?
  • Skąd bierze się pewność, że wie się wszystko o swoim systemie i skąd wynika przekonanie, że system informatyczny nie jest w stanie wpłynąć na działanie systemu sterowania?

Szara rzeczywistość jest taka, że przed nami długa droga do zrozumienia istoty problemu ochrony naszych cyfrowych danych w cyfrowym świecie. Nadszedł czas, aby nadgonić zaległości i zmodernizować system sterowania tak, aby posiadał najlepsze możliwe rozwiązania z zakresu bezpieczeństwa, znane w tej chwili. Każde środowisko jest inne, ale cel pozostaje ten sam: bezpieczny i pewnie działający wydajny system sterowania. Twój indywidualny cel, naturalny dla twojej firmy i wspólny dla całego przemysłu, to znaleźć odpowiednią drogę, która to zagwarantuje. Mamy nadzieje, że seria naszych artykułów dotycząca głębokiej strategii ochrony przemysłowych systemów sterowania w tym pomoże.
Konsultanci Matt Luallen i Steve Hamburg są założycielami Encari, a także uczestnikami blogu Control Engineering Industrial Cyber Security
Artykuł pod redakcją mgr. inż. Łukasza Urbańskiego, doktoranta w Katedrze Automatyki Przemysłowej i Robotyki Wydziału Elektrycznego Zachodniopomorskiego Uniwersytetu Technologicznego w Szczecinie.