Cyberbezpieczeństwo: pierwsze czy ostatnie?

Budowa silnej ochrony zintegrowanych systemów sterowania i bezpieczeństwa jest inwestycją zapewniającą stabilność firmy.
Luty 2008 r.: firma chlubiąca się systemami mającymi zagwarantować całkowite zabezpieczenie przed pożarem staje w płomieniach. Dym wydobywa się z budynków podobnych do magazynów mieszczących Atlantica Mechanical of Dartmouth – firmę nadzorującą projektowanie, instalację oraz utrzymanie systemów przeciwpożarowych. Lokalna straż pożarna zdołała ugasić pożar, ale budynek wraz z wyposażeniem spłonął.
Poproś przypadkowych ludzi, aby zdefiniowali termin „bezpieczeństwo”. Typowe odpowiedzi będą dotyczyły bezpieczeństwa finansowego, ochrony przed pożarem, ochrony przed klęskami żywiołowymi, ochrony przed niepowołanym dostępem do komputerów i danych osobowych, ochrony przed nieubezpieczonymi kierowcami i wiele podobnych stwierdzeń, które związane są z fizycznymi czynnikami.
Przeprowadź podobne ćwiczenie z osobami odpowiedzialnymi za funkcjonowanie firmy, a wśród odpowiedzi znajdzie się najprawdopodobniej cyberbezpieczeństwo, ochrona własności intelektualnej, ochrona krytycznych z punktu widzenia firmy informacji, ochrona personelu, urządzeń, własności i środowiska.
Te i inne odpowiedzi, które słyszysz, dowodzą, że dla większości ludzi synonimem bezpieczeństwa jest obrona – obrona przed niespodziewanym zakłócaniem naszych codziennych czynności.
Biznesmeni podchodzą często do bezpieczeństwa, określając po prostu zakres ochrony – chronić granicę, chronić ludzi, chronić własność intelektualną, chronić środowisko itd. Jeśli jednak zrobisz krok do tyłu i przyjrzysz się temu uważnie, ochrona ma tak naprawdę zagwarantować przetrwanie firmy i jest osiągana przez zaprojektowanie jednolitej strategii i architektury, która ochroni przed niezliczoną ilością zagrożeń jej działalności.
Firmy intensywnie starają się zapewnić ochronę przed niepowołanym dostępem do swoich systemów informatycznych od około 20 lat. Takie działanie nazywamy dzisiaj cyberbezpieczeństwem i chociaż zabezpieczenie przed atakami, które wykonywane są za pośrednictwem sieci Internet, jest bardzo ważne, cyberbezpieczeństwo reprezentuje tylko fragment odpornej strategii, która tworzy większy sens głębokiej obrony.
Diabeł tkwi w szczegółach
Marzec 2008 r.: – Pracownicy obsługujący sieci tworzące krytyczne z punktu widzenia państwa infrastruktury, takie jak telekomunikacja i transport, potrzebują przeszkolenia z zakresu wykorzystania systemów zapasowych po uszkodzeniu głównych systemów w wyniku cyberataku – powiedział wysoko postawiony przedstawiciel Departamentu Bezpieczeństwa Państwa (USA). To jest główna lekcja z akcji Cyber Storm II, przeprowadzonej przez Departament, w której symulowano skoordynowany atak na dużą skalę na narodową sieć.
Zasadnicza przesłanka ujednoliconej głębokiej strategii ochronnej jest prosta – żaden pojedynczy mechanizm nie jest w stanie zagwarantować odpowiedniej ochrony przed różnorodnymi atakami wykorzystującymi coraz nowsze metody. Dlatego też najlepiej jest stworzyć szereg warstw bezpieczeństwa zaprojektowanych tak, aby utrudnić dostęp intruzom w nadziei, że zaczną się obawiać wykrycia lub zablokowania albo po prostu poddadzą się i poszukają słabiej zabezpieczonych instalacji.
To wydaje się bardzo proste, ale jak mówi znane przysłowie: „diabeł tkwi w szczegółach”. Opracowanie ujednoliconej głębokiej strategii ochronnej nie jest proste, a żeby było efektywne, jej zaprojektowanie i utworzenie wymaga pełnego zaangażowania osób odpowiedzialnych za poszczególne obszary twojej firmy.
Najlepsze strategie głębokiej ochrony to te, które dotyczą całej firmy i stosują się do poniższych wskazówek:

  • zamykaj i blokuj drzwi: zasady, praktyki i egzekwowanie,
  • określ „skarby”, które muszą być chronione – dlaczego i przed kim,
  • wykorzystuj to, co już wiesz, kierując się oceną ryzyka, analizą warstw zabezpieczeń; rozwijaj warstwy zabezpieczeń,
  • upewnij się, że przeprowadzane są regularne testy, które sprawdzają systemy wykrywania i alarmowania o zagrożeniu, a także działania osób mających reagować na nie,
  • opracuj metody i przetestuj przywracanie działalności po wystąpieniu dużej awarii lub ataku, uwzględniając przywracanie systemu z kopii bezpieczeństwa,
  • zaakceptuj fakt, że nie istnieje pojedynczy system zabezpieczenia,
  • stwórz bardzo utrudnioną drogę dla intruzów,
  • zastanów się nad globalną architekturą tworzącą głęboką ochronę i wpłyń na infrastrukturę twojej firmy tak, aby chronić systemy sterowania i bezpieczeństwa,
  • łącz obszary systemu sterowania i bezpieczeństwa, używając dobrych praktyk inżynierskich,
  • zaakceptuj, że to nie jest jednorazowy wysiłek; powody, cele i wykorzystywane do ataku narzędzia ciągle się zmieniają i są ulepszane, wymagając od ciebie ciągłego sprawdzania i w razie potrzeby umacniania warstw ochronnych twojej firmy.

Zamykanie i blokowanie drzwi
Kwiecień 2007 r.: Lonnie Charles Denison, pracownik Science Application International Corp w San Diego w USA, pracujący jako kontraktowy administrator systemu Unix dla California Independent System Operator (ISO) Corp, sfrustrowany nierozwiązanym sporem ze swoim pracownikiem, próbował przerwać pracę oddziału ISO w Folsom, rozbijając szybkę ochronną i wciskając przycisk awaryjnego wyłączenia.
Nawet małe dziecko rozumie potrzebę zamykania i blokowania drzwi, aby powstrzymać „złych ludzi”, ale świat biznesu zwykle ignoruje tę prostą zasadę, pozostawiając drzwi otwarte.
W następstwie wydarzeń z 11 września 2001 r. przemysł wydał miliony dolarów na instalację i wzmocnienie ogrodzeń, zabezpieczenia przed przekopami, tworzenie nasypów ochronnych, wzmocnienie bram wejściowych i instalację podwójnie zabezpieczonych systemów kontroli osób wchodzących na teren przedsiębiorstwa. Osobom, które na co dzień stykają się z tymi środkami bezpieczeństwa w przemyśle chemicznym, farmaceutycznym czy rafineryjnym, takie zabezpieczenia wydają się nie do obejścia.
Jednakże pozory mylą, szczególnie jeśli przyjrzysz się „tylnym” drzwiom firmy. Odpowiednio oznaczone pojazdy – UPS, FedEx, pojazdy firm cateringowych i dostawców, są często przepuszczane przez bramę bez żadnej kontroli. A nawet gdy są zatrzymywane, kontrola, przeprowadzana zwykle przez wynajętą firmę, jest zazwyczaj bardzo powierzchowna.
Mądra strategia głębokiej ochrony musi zawierać szczegółowe wytyczne dotyczące uprawnień, dobrych praktyk i egzekwowania ich.
Jedna z jej części musi bezwzględnie określać warunki, jakie muszą spełniać goście, personel dozorujący i sprzątający oraz inne osoby odwiedzające, aby uzyskać do tego prawo. Jednocześnie powinna ona precyzować wymagania, które zewnętrze firmy będą stawiać swoim pracownikom, zanim jeszcze będą oni próbować wejść na teren zakładu – przeszkolenie w zakresie bezpieczeństwa, ewakuacji, komunikacji itd.
Sprzęt i zasady
Listopad 2006 r.: Państwowi inspektorzy potwierdzili naruszenie zasad bezpieczeństwa w elektrowni atomowej Y-12 w Oak Ridge w USA, kiedy niemający autoryzacji notebook został wniesiony na teren ściśle chroniony. Śledczy potwierdzili, że personel Y-12 odpowiedzialny za cyberbezpieczeństwo nie zareagował odpowiednio po stwierdzeniu naruszenia zasad i zgłosił ten incydent do biura Departamentu Energii (DOE) w Waszyngtonie dopiero po 6 dniach. Zasady określone przez DOE wymagają meldowania takiego faktu w ciągu 32 godzin. Uprawnienia dostępu dla zamieszanych w incydent pracowników zostały cofnięte, czekają ich także konsekwencje dyscyplinarne.
Eric Byers, dyrektor zarządzający Byers Security, mówi: Zasady i procedury tworzą szybką drogę do zwycięstwa. Krytyczne jest zarządzanie czymś tak prostym, jak laptop czy pamięć przenośna. Żadna technologia na świecie nie pomoże, jeśli nie utworzysz odpowiednich procedur.
Byers ma rację, ale nawet skarbnica zasad nie da ochrony, jeśli nie będziesz chciał ich ściśle przestrzegać. Dopóki nie określisz, jakie kary czekają na nieprzestrzegających zasad, wszystkie wysiłki pójdą na marne.
Zasady i procedury pomagają zamknąć drzwi, ale to mocne zabezpieczenia je blokują!
Określ skarby
Styczeń 2008 r.: Polski nastolatek zamienił miejski system tramwajów w Łodzi w swoją własną zabawkę. Wykorzystując zmodyfikowany pilot do telewizora, czternastolatek mógł wysyłać sygnały sterujące pracą zwrotnic torów i doprowadził w ten sposób do wykolejenia czterech tramwajów, w wyniku czego obrażenia odniosło 12 osób.
Każda firma posiada fizyczny kapitał oraz wiedzę, która musi być chroniona za wszelką cenę:

  • wiedza o klientach domu maklerskiego, wynikach badań i testów klinicznych – w laboratoriach, aromatach i receptach – u wytwórców perfum,
  • fizyczny kapitał w postaci systemów generowania i przesyłania prądu, wyspecjalizowanych urządzeń chemicznych i rafineryjnych, systemu orurowania i kompresji gazu lub ropy.

Allan Paller, kierownik badań w SANS Institute, organizacji edukacyjnej z zakresu cyberbezpieczeństwa, ujawnił ostatnio sekret CIA: – Zgodnie z analizami wykonanymi przez Toma Donahue, najlepszego człowieka analizującego cyberbezpieczeństwo w CIA, hakerzy komputerowi próbowali infiltrować i zakłócać pracę sieci energetycznej w kilku zagranicznych regionach. W niektórych krajach im się udało.
Paller mówi, że zdecydował o zerwaniu umowy poufności z Donahue i CIA, ponieważ osoby na głównych stanowiskach są okłamywane przez swoich pracowników technicznych. Pracownicy techniczni mówią „och, nikt nie jest w stanie wejść do środka! Nie jesteśmy podłączeni do Internetu”. Mieliśmy na tym samym spotkaniu ludzi, którzy przeprowadzili inwigilację systemu i każdy z nich mówił, że za każdym razem udawało mu się przedostać do środka, nawet jeśli właściciel systemu twierdził, że system nie był podłączony do Internetu. Oni po prostu nie znają wszystkich połączeń, które mają.
Z całą pewnością celem systemu bezpieczeństwa w przedsiębiorstwie jest ochrona tak wielu zasobów, jak to tylko możliwe, ale zwykłe wyczucie mówi nam, że nie można chronić wszystkiego jednakowo. Musisz określić swoje „skarby”, nadać priorytet wartości każdemu z nich i dopiero wtedy wznieść architekturę głębokiej ochrony, która zapewni najlepszą ochronę, a tym samym ciągłość działalności firmy.
Bob Huba pracuje na stanowisku Senior Product Managera w Emerson Process Management i koordynuje działalnością związaną z bezpieczeństwem i cyberbezpieczeństwem produktów DeltaV. Chuck Miller pracuje na stanowisku menedżera rozwoju systemów bezpieczeństwa w Emerson Process Management.
Artykuł pod redakcją mgr. inż. Łukasza Urbańskiego, doktoranta w Katedrze Automatyki Przemysłowej i Robotyki Wydziału Elektrycznego Zachodniopomorskiego Uniwersytetu Technologicznego w Szczecinie