Kierunek dla przemysłu: proaktywne cyberbezpieczeństwo

Źródło: Pixabay

Po serii złośliwych cyberataków na systemy bezpieczeństwa kilku zakładów przemysłowych stało się jasne, że przemysł produkcyjny jako branża musi wzmóc czujność i zwiększyć gotowość do przeciwdziałania tego typu zdarzeniom w przyszłości, ponieważ one z pewnością nastąpią.

Gdy następuje cyberatak na konkretny zakład przemysłowy, dość łatwo wskazać palcem na użytkownika końcowego, na dostawcę systemu lub na integratora systemów. W rzeczywistości jednak należałoby ukierunkować analizy przyczyn na elementy automatyki przemysłu produkcyjnego.

Na skutek jednego z ataków na Bliskim Wschodzie pewien użytkownik infrastruktury krytycznej doświadczył konsekwencji wstrzymania pracy swojego zakładu, ponadto okazało się, że układy sterujące systemu bezpieczeństwa Triconex, który był celem hakerów, nie były bezpieczne. W początkowej fazie dochodzenia specjaliści od cyberzabezpieczeń zauważyli w systemie pewne podejrzane zachowania, a następnie odkryli zainstalowane złośliwe oprogramowanie (malware). Inżynierska stacja robocza przyrządowego systemu bezpieczeństwa (safety instrumented system – SIS) była zagrożona i okazało się, że zainstalowano w niej malware o nazwie Triton (zwane też Trisis i HatMan). Zagrożony był też rozproszony system sterowania (distributed control system – DCS) przedsiębiorstwa. W konsekwencji, przy takich obserwacjach i wnioskach, można wyobrazić sobie cyberatak, w którym haker ma możliwość manipulowania systemem DCS podczas ponownego programowania sterowników SIS.

Na podstawie lektury raportów i rozmów z dobrze poinformowanymi źródłami można stwierdzić, że temu atakowi można było łatwo zapobiec. Ponieważ złośliwe oprogramowanie znajdowało się w systemie przez długi czas, jego użytkownicy, dostawcy, integratorzy, inżynierowie, operatorzy – czyli krótko mówiąc, wszyscy – powinni wiedzieć, że zabezpieczenia to sprawa każdego z nich.

Cyberzabezpieczenia budują cyberbezpieczeństwo

Posłużmy się pewnym porównaniem: przepisy wymagają od producentów samochodów, aby ich pojazdy były wyposażone w pasy bezpieczeństwa, jednak aby uzyskać z nich najwięcej korzyści, kierowca i pasażerowie muszą je zapiąć. Zapięcie pasa zabezpiecza ich w ok. 90%. W większości przypadków jest to wystarczające, aby przeżyć wypadek.

Co się jednak zdarzy w przypadku ataku terrorystycznego? Jak bezpieczny jest samochód, gdy terrorysta zajedzie kierowcy drogę? W tym wypadku oprogramowanie i technologia mogą nie być wystarczające. Dlatego ludzie muszą być świadomi swojego otoczenia i odpowiednio działać.

Czy zatem jesteśmy świadomi swojego otoczenia? Czy rozumiemy kontekst obszaru, przez który przejeżdżamy?

Podobnie przedstawiciele branży przemysłowej korzystający z sieciowych systemów sterowania muszą zrozumieć i poradzić sobie z tym typem kontekstu, ponieważ otwarta architektura systemów i w pełni usieciowiony świat, w którym pracują, niosą ze sobą liczne korzyści, w tym zwiększenie dochodów firm, jednak w praktyce są środowiskiem bardzo niebezpiecznym.

Efekt domina

Wspomniany atak cybernetyczny miał cechy typowe dla miejscowego kataklizmu. To nie była jakaś przypadkowa operacja, tylko atak skierowany na określony system – Triconex, i jego wersję, co oznacza, że hakerzy mieli wiedzę na temat środowiska przemysłowych systemów sterowania. Wystarczy spojrzeć na skutki cyberataków, które miały miejsce w ciągu ostatnich kilku lat. Sprawa nie dotyczy współzawodnictwa, tylko zabezpieczania użytkowników przed cyberatakami.

Należy więc stawić czoła atakom. Żadna osoba, firma czy organizacja nie potrafi poradzić sobie z tym problemem w pojedynkę.

Przemysł potrzebuje pewnego forum lub konsorcjum skupiającego dostawców, użytkowników końcowych i integratorów systemów. Firmy te powinny porozumieć się ze sobą nie po to, by opracować jakiś standard, ale aby zrozumieć intensywność cyberzagrożeń, a następnie pomóc w stworzeniu kultury, w której każdy będzie wiedział, że cyberzabezpieczenia są częścią jego codziennej pracy.

Zmienić nastawienie

Niestety, niektórzy ludzie zaczynają być aktywni i zmotywowani dopiero wtedy, gdy wystąpi incydent o negatywnych skutkach. Wielokrotnie powtarzano, że branża przemysłowa stanie się bardziej świadoma potrzeby posiadania zabezpieczeń dopiero wtedy, gdy wydarzy się coś złego. Tak było aż do grudnia 1984 r., gdy na skutek katastrofy przemysłowej w Bhopalu w Indiach zginęło prawie 3,8 tys. osób, a znacznie ponad 500 tys. zostało rannych. Dopiero wtedy bezpieczeństwo zyskało najwyższy priorytet i stało się obiektem bardzo dużego zainteresowania ze strony wszystkich producentów.

Wspomniany na początku artykułu atak na użytkownika końcowego w jednym z zakładów na Bliskim Wschodzie, nieudaremniony przez system bezpieczeństwa, nie był ćwiczeniem. Był celowo przeprowadzony w złych zamiarach. W jego wyniku został zagrożony system bezpieczeństwa i rozproszony system sterowania w zakładzie.

Można by powiedzieć, że system bezpieczeństwa spełnił swoją rolę, ponieważ po ataku wznowiono produkcję w zakładzie. Był to jednak atak bezprecedensowy.

Zazwyczaj gdy następuje cyberatak, zapada ogólna cisza. Tymczasem o takich sytuacjach należy nie tylko mówić, ale wręcz krzyczeć, by każdy się o tym dowiedział. Cyberataki geopolityczne na infrastruktury systemów ICS będą bowiem kontynuowane.

Podsumowanie

Branża przemysłowa potrzebuje całościowego spojrzenia na cyberbezpieczeństwo, aby chronić wszystkich dostawców i użytkowników systemów w zakładzie przemysłowym, oraz potrzebuje otwartej konwersacji, swoistej burzy mózgów. Nie ujawniania szczegółów dotyczących firmy, ale zrozumienia znaczenia cyberzabezpieczeń i zapewnienia cyberbezpiecznego środowiska dla zakładu produkcyjnego.


Gregory Hale – redaktor i założyciel Industrial Safety and Security Source – strony internetowej, na której publikowane są m.in. informacje na temat zabezpieczeń w branży automatyki.