Ochrona systemów PCS i SCADA przed cyberatakami (część 1.)

Analiza czynników, które sprzyjają cyberatakom na przemysłowe systemy sterowania i systemy SCADA, pomoże zaplanować strategię ochrony przed tego typu zagrożeniami. Tym bardziej, że stają się one powszechne.   

19 sierpnia 2006 r: w elektrowni jądrowej Brown’s Ferry dochodzi do nadmiernego ruchu w sieci sterowania. W rezultacie wyłączono pompy recyrkulacyjne. Operatorzy zainicjowali ręczne wyłączanie systemu i doprowadzili go do bezpiecznego stanu. Według raportu Komisji Nadzoru Energetyki Jądrowej (U.S. Nuclear Regulatory Commision, ambr. NCR) główną przyczyną awarii był nadmierny ruch w zakładowej sieci komputerowej wygenerowany przez niezidentyfikowane źródło. W celu poprawy bezpieczeństwa systemu zamontowano firewalle.

Autorzy raportu nie potraktowali jednak tego incydentu jako zdarzenia z zakresu cyberbezpieczeństwa. Pomimo tego, w komentarzach wyrażonych przez członków Kongresu podkreśla się „wysoki stopień zaniepokojenia postawą kierownictwa narodowych elektrowni jądrowych wobec bezpieczeństwa cybernetycznego”.

Troska kongresmenów wykracza poza elektrownie jądrowe i obejmuje również krytyczną infrastrukturę i cyberbezpieczeństwo dużych systemów nadzoru i akwizycji danych (SCADA) oraz systemów sterowania procesami (ang. process control systems, PCS). Instalacje o szczególnym znaczeniu dla państwa „stanowią fundamenty naszego bezpieczeństwa narodowego, rządu, ekonomi i stylu życia” – mówi amerykańska Narodowa Strategia dla Fizycznej Ochrony Instalacji o Szczególnym Znaczeniu. W dużej mierze infrastruktura ta bazuje na systemach SCADA oraz PCS jako monitorujących i sterujących pracą istotnych procesów.

Poleganie na systemach komputerowych w kontekście wzrastającego zagrożenia międzynarodowym terroryzmem, działalnością hakerów, niezadowolonych pracowników (obecnych i byłych) zwiększa ryzyko zagrożenia cybernetycznego kraju. Liczba publikacji na temat bezpieczeństwa w systemach SCADA i PCS opublikowanych po 11 września 2001 roku znacznie wzrosła. Niemniej większość firm wciąż nie poradziło sobie z kwestią zagrożenia cybernetycznego i musi wprowadzić znaczne zmiany w swoich programach rozwoju, implementacji i utrzymania cyberbezpieczeństwa. Jednym z kluczowych problemów jest fakt, że bezpieczeństwo jest jednym z wielu programów wymagających finansowania, które zarządzający muszą uwzględnić w budżetach firm. Wybór sposobu wykorzystania ograniczonych zasobów finansowych jest stałym problemem kadry zarządzającej. Szczególnie w świetle znacznego wzrostu liczby zagrożeń w systemach SCADA. 

Stała zmiana i wzrost liczby zagrożeń cybernetycznych w sieciach SCADA prowadzi operatorów, inżynierów i kadrę zarządzająca na nowe pola analizy i zapobiegania zagrożeniom. Celem niniejszego artykułu jest przybliżenie tego stale rosnącego problemu oraz dostarczenie narzędzi pomocnych przy analizie i ocenie ryzyka. Narzędzie to może okazać się pomocne w najtrudniejszym aspekcie redukcji poziomu ryzyka: ocenie ryzyka. Zanim firma stworzy, zaimplementuje i wdroży program redukcji zagrożenia cybernetycznego, musi zrozumieć zagrożenie. Jego zrozumienie pojawia się w trakcie procesu oceny ryzyka i zazwyczaj jest zadaniem trudnym i subiektywnym.  
Rozpoczynamy od systemu

Stosowanie modeli pozwala wszystkim osobom zaangażowanym w cybernetyczną ochronę aplikacji SCADA i PCS zrozumieć zakres skutków potencjalnych ataków. Połączenie oceny ryzyka i konsekwencji pozwala na ilościową ocenę zagrożenia. Bazując na tym można pójść dalej i na poszczególnych etapach programu bezpieczeństwa podejmować bardziej świadome decyzje (dla zaoszczędzenia miejsca dalsze odniesienia do systemów SCADA będą również dotyczyły systemów PCS). System SCADA jest opisywany jako układ gromadzący dane i prezentujący je za pośrednictwem interfejsu użytkownika (HMI). W ten sposób pozwala operatorom na wgląd w proces oraz zdalne sterowanie. Z czasem systemy SCADA stały się krytycznymi aplikacjami asystującymi w zdalnej obsłudze rozproszonych systemów sterowania. Pozwalają one stworzyć finalny produkt w sposób efektywny i wydajny.

Rys. 1. System SCADA podłączony bez żadnych zabezpieczeń bezpośrednio do Internetu zostanie w krótkim czasie zainfekowany przez wędrujące robaki i stanie się niezdolnym do pracy.

Prekursorem dzisiejszych, technicznie zaawansowanych systemów SCADA jest system zbudowany w 1912 r. do obsługi systemu energetycznego Chicago. Wykorzystywał on linie telefoniczne i komunikację głosową. Operatorzy ulokowanego centralnie pomieszczenia nadzoru otrzymywali informacje z odległych rozdzielni i jednocześnie kontrolowali pracę systemu. Ten wczesny system SCADA zwiększył efektywność i wydajność zarządzania siecią energetyczną. Od tych skromnych początków systemy SCADA przekształciły się w skomplikowane technologicznie aplikacje pozwalające kontrolować wszelkiego rodzaju procesy produkcyjne. Zapewniają one stałe i niezawodne zasilanie, dostawy gazu zarówno do fabryk, jak i domów, polepszają kontrolę sieci wodociągowych. Wiele procesów jest obecnie kontrolowanych z zapewnieniem przedtem nieosiągalnych poziomów bezpieczeństwa i efektywności. Postęp technologiczny uczynił możliwym wdrożenie systemów SCADA pracujących z prędkościami bliskimi czasu rzeczywistego. Dzisiejsze systemy SCADA są rezultatem ewolucji. Poczynając od ludzi przekazujących informacjetelefonicznie, poprzez specyficzne urządzenia elektroniczne pracujące w dedykowanych sieciach telekomunikacyjnych do dzisiejszych wysoce skomplikowanych i zaawansowanych środowisk sieciowych, każdy krok w przód przynosił większe możliwości kontroli nad procesem, ale i nowe zagrożenia.

Rozważane zagrożenia polegają na powszechnym wykorzystaniu systemów operacyjnych, wspólnych standardów i potrzeb firm wymieniających dane pomiędzy swoimi jednostkami biznesowymi oraz innymi firmami. Firmy jednak rutynowo używają publicznej infrastruktury telekomunikacyjnej i standardowych protokołów. Skutkuje to koniecznością zaspokojenia dwóch rodzajów potrzeb: system musi umożliwić swobodny przepływ informacji, zapewniając jednocześnie ich ochronę przed celowymi lub przypadkowymi cybernetycznymi zagrożeniami. Poziom zagrożenia jest problemem globalnym, który nasilił się w różnym stopniu po 11 września 2001 r.  

Ilościowa ocena ryzyka
Prace nad ilościową oceną ryzyka cybernetycznego systemu SCADA są skomplikowane i trudne, jednakże niezwykle istotne. Bez takiej ilościowej metody oceny ryzyka menadżerowie i kluczowi udziałowcy mają w dużym stopniu ograniczoną możliwość racjonalnej oceny stopnia ryzyka. A co za tym idzie, racjonalnego podziału środków finansowych na inwestycje. Brak odpowiednich danych liczbowych utrudnia podejmowanie decyzji i zwiększa prawdopodobieństwo tego, że program bezpieczeństwa cybernetycznego nie znajdzie właściwej pozycji w strategicznych i taktycznych planach przedsiębiorstwa.

Proces oceny ryzyka składa się z trzech następujących etapów:

  • identyfikacji ryzyka,
  • ilościowej oceny ryzyka,
  • analizy metod przeciwdziałania ryzyku.

Według Departamentu Obrony Stanów Zjednoczonych „ocena ryzyka jest etapem zarządzania, w którym dokonywana jest definicja problemu, co polega na identyfikacji i analizie (ocenie ilościowej) możliwych zdarzeń procesowych pod względem prawdopodobieństwa ich wystąpienia i możliwych konsekwencji / skutków. Prawdopodobnie to najtrudniejszy i najbardziej czasochłonny etap procesu zarządzania. Jednocześnie stanowi jedną z najistotniejszych faz procesu zarządzania ryzykiem”. Dwoma kluczowymi elementami procesu oceny ryzyka są: ocena prawdopodobieństwa wystąpienia zagrożenia cybernetycznego oraz ustalenie stopnia zagrożenia możliwych konsekwencji w przypadku zaistnienia incydentu.

Przed przystąpieniem do właściwej oceny ryzyka warto podjąć jego wstępne oszacowanie. Na tym etapie wykorzystujemy prostą i nieskomplikowaną skalę ocen, która jedynie wspomaga pracę. Przyjęta skala i – co za tym idzie – ocena zdarzeń ma jedynie zapewnić względne uszeregowanie ich ważności. Dla przykładu, jeśli użyjemy skali od jednego do pięciu, to przyjęcie dla jednego zdarzenia oceny równej jeden, a dla drugiego dwa, nie oznacza wcale, że to drugie jest dwa razy lepsze lub gorsze od pierwszego. Stworzony ranking zwyczajnie umiejscawia drugie zdarzenie ponad pierwszym. 

Rys. 2. Firewalle oraz inne strategie ochrony muszą umożliwić swobodny przepływ informacji, zabezpieczając jednocześnie przed nieautoryzowanym dostępem.

Jedną z metod służących do oceny zależności pomiędzy poziomem zagrożenia a prawdopodobieństwem jego wystąpienia, jest wykorzystanie tablicy oceny zagrożenia bezpieczeństwa cybernetycznego (patrz: strona 53). Tablica przedstawia jedną z technik jakościowego porównania oceny ryzyka. Dostarcza reprezentatywną skalę ocen potencjalnego ryzyka – od niskiego C1 (niewielki poziom zagrożenia i konsekwencje), do najwyższego A3 (duży poziom zagrożenia i poważne konsekwencje). 

Przypisanie właściwych poziomów ryzyka następuje w wielu iteracjach, w których coraz dokładniej – zgodnie ze specyfiką danego przedsiębiorstwa – dokonuje się oceny stopnia zagrożenia i prawdopodobieństwa jego wystąpienia. Choć powyższa metoda jest prosta do zrozumienia, jej wykorzystanie jest zwyczajowo skomplikowane i trudne.  

Ataki z zewnątrz i wewnątrz 

Pytanie samego siebie o prawdopodobieństwo cyberataku jest w pewnym stopniu jak pytanie: czy zostaniemy trafieni piorunem? Oczywiście w słoneczny dzień jest to mało prawdopodobne. Jeśli jednak podczas burzy znajdujemy się na polu golfowym, na którym nie ma drzew, to sami prosimy się o kłopoty. Różnica polega na tym, że o ile łatwo jest dostrzec oznaki burzy, to niemal niemożliwe jest odgadnięcie, czy i kiedy staniemy się obiektem ataku hakera. Z drugiej strony wiadomo, że wysoki metalowy obiekt na płaskim terenie przyciągnie pioruny i dlatego powinien być właściwie chroniony. Tak samo, jak pewne typy systemów, które przyciągają hakerów. Należy przy tym wziąć pod uwagę zewnętrzne i wewnętrzne czynniki, które wskazują między innymi na atrakcyjność wybranej instalacji z punktu widzenia ataku terrorystycznego w kontekście bieżącego poziomu zagrożenia.  

Do czynników wewnętrznych zaliczyć należy: niezadowolonych pracowników, ogólną filozofię zarządzania, jak również ogólne techniczne możliwości zapewnienia bezpieczeństwa cybernetycznego. Ilościowa ocena tych czynników stanowi dużą część wielu dokumentów opisujących bezpieczeństwo cybernetyczne w systemach SCADA. Ogólnie praktycy oceniający stopień bezpieczeństwa cybernetycznego dzielą ryzyko na dwie kategorie. Każda ma własne poziomy zagrożenia:

  • ryzyko występujące w prostym, niezabezpieczonym systemie sterowania działającym pod powszechnie stosowanym, standardowym systemem operacyjnym podłączonym bezpośrednio do Internetu (patrz: rys. 1.);
  • ryzyko występujące w wysoce zabezpieczonym systemie sterowania wyposażonym w wielopoziomowe zabezpieczenia (patrz: rys. 2.). 

Pierwszy z prezentowanych rysunków przedstawia sytuację, w której firma wykorzystuje system SCADA, pracujący w niezabezpieczonej ani firewallami, ani programami antywirusowymi sieci podłączonej do Internetu. Przykład grożących temu niebezpieczeństw zademonstrowany został w raporcie bezpieczeństwa komputerowego Spencer Kelly, BBC Clik Online 2005. Otóż komputer z powszechnie używanym systemem operacyjnym został podłączony do Internetu bez jakichkolwiek zabezpieczeń. W tych warunkach pierwszy wirus zaatakował system w przeciągu zaledwie kilku sekund, a po upływie pięciu minut system był już w pełni obciążony przez komputerowe robactwo. Przekaz tego eksperymentu jest jednoznaczny. Niezabezpieczony system SCADA, który został podłączony do Internetu bez jakichkolwiek zabezpieczeń, zostanie prawdopodobnie po krótkim czasie zaatakowany przez wirusy. Niewątpliwie takie rozwiązania otrzymują najwyższą możliwa ocenę ryzyka i należy ich unikać w każdych okolicznościach.
M. Henrie, P. Liddell  
Artykuł pod redakcją dra inż. Pawła Dworaka, adiunkta w Zakładzie Automatyki Instytutu Automatyki Przemysłowej Politechniki Szczecińskiej   

Wewnętrzny wróg
Dla Control Engineering Polska mówi Witold Czmich, zastępca dyrektora działu oprogramowania i komputerów przemysłowych, ASTOR:

Zagrożenia bezpieczeństwa systemów oprogramowania przemysłowego można podzielić na dwie grupy. Pierwsza to zagrożenia zewnętrzne wynikające z potencjalnej możliwości cyberataku na system produkcyjny z Internetu. Druga to zagrożenia wewnętrzne, wynikające z niedopracowania lub wręcz braku procedur aktualizacji i dostępu do systemów produkcyjnych dla pracowników
firmy. Zabezpieczenie się przed pierwszą grupą zagrożeń polega najczęściej na
całkowitym odseparowaniu kluczowych części systemu przemysłowego od Internetu. W sytuacji, gdy system ma udostępniać dane lub raporty poprzez sieć, często serwery usług WWW umieszcza się w strefie zdemilitaryzowanej. Serwery te, przykładem może być Wonderware Information Server, mają dostęp zarówno do danych produkcyjnych, jak i sieci Internet. Jednocześnie blokują przekazywanie danych (ang. routing) z Internetu do sieci produkcyjnych. Taka
organizacja infrastruktury powoduje, że ewentualny atak na system produkcyjny może w najgorszym przypadku zakończyć się awarią serwera usług WWW, natomiast wszystkie pozostałe, krytyczne elementy systemów wizualizacji i sterowania pozostaną bezpieczne. Taką właśnie metodę proponuje Wonderware. Serwer WWW Wonderware Information Server stanowi właśnie taką bezpieczną bramę na świat dla systemów produkcyjnych.

Najwięksi producenci oprogramowania z Microsoftem, jako dostawcą systemów operacyjnych na czele, na bieżąco tworzą poprawki dla swoich systemów, które pozwalają zminimalizować niebezpieczeństwo cyberataków. Z kolei solidni producenci oprogramowania przemysłowego gwarantują, dzięki wcześniejszym
testom, że wprowadzanie kolejnych zabezpieczeń i blokad w systemie operacyjnym nie wpłynie na destabilizację systemu przemysłowego. Przykładowo, Wonderware udostępnia swoim użytkownikom portal Security Central, dzięki któremu można sprawdzić, czy zastosowanie poszczególnych poprawek do systemów Microsoft nie spowoduje nieoczekiwanych problemów z oprogramowaniem przemysłowym. Z naszego doświadczenia wynika, że o wiele bardziej niebezpiecznie i częściej spotykane są wszelkie zagrożenia wewnętrzne. Wynikają one głównie z braku procedur zapewniających bezpieczeństwo oraz braku świadomości zagrożeń wśród kadry zajmującej się systemami produkcyjnymi. Takim zagrożeniem wewnętrznym może być nieświadome zawirusowanie komputerów systemu sterowania przez pracownika firmy. Przykładowo, pracownik, który chce uaktualnić wersję oprogramowania wizualizacyjnego, może użyć do tego celu dysku mobilnego (pendrive), na którym oprócz aktualizacji znajdują się także wirusy. Dokonując
aktualizacji na wszystkich komputerach w systemie doprowadzi do tego, że traci nie tylko stabilność systemu, lecz umożliwia wirusom utworzenie luk w systemie zabezpieczeń. Radą na tego typu zagrożenia są dokładne
procedury aktualizacji oprogramowania, dostępu do komputerów (zamknięte pomieszczenia lub szafy) oraz blokowanie dostępu do systemu operacyjnego operatorom poprzez stosowanie uprawnień dostępu, systemu haseł i blokadę klawiszy dostępu do systemu operacyjnego.