Przemysł stał się jednym z głównych celów ataków cyberprzestępców. Jak wskazują dane firmy Schneider Electric w latach 2006-2012 liczba incydentów zagrażających bezpieczeństwu przemysłu na świecie wzrosła aż o 782 %. Mimo, że w niemal 60% obiektów przemysłowych wdrożono programy do zarządzania bezpieczeństwem i ochrony przed złośliwym oprogramowaniem, to wciąż identyfikacja i eliminacja zagrożeń jest skuteczna tylko u nielicznych. Co więc sprawia, że infrastruktura przemysłowa jest niewystarczająco chroniona i jakie kroki należy podjąć, aby skutecznie chronić przemysł przed cyberprzestępcami?
Wyzwania w zakresie bezpieczeństwa w przemyśle
Skuteczna walka z cyberatakami w przemyśle związana jest z szeregiem wyzwań, którym trzeba sprostać, aby podjęte działania w zakresie obrony miały szansę powodzenia. Do takich wyzwań zalicza się coraz bardziej otwarte środowiska przemysłowe zorientowane na zdalną pracę grupową. W przeszłości większość sieci przemysłowych była odizolowana. Z czasem jednak doszło do transformacji architektury systemów przemysłowych i wprowadzono mechanizmy umożliwiające pracę grupową oraz wewnętrzną i zewnętrzną integrację. Kadra kierownicza potrzebuje dziś dostępu do danych gromadzonych w czasie rzeczywistym, wykorzystywanych do tworzenia analiz i raportów oraz w procesie decyzyjnym. W ciągu ostatnich kilkudziesięciu lat przemysłowe systemy sterowania stawały się coraz mniej odizolowane, w związku z coraz powszechniejszym wykorzystywaniem urządzeń internetowych, bezprzewodowych i mobilnych w tych środowiskach. Co więcej, tradycyjne systemy sterowania nie były tworzone z myślą o obronie przed dzisiejszymi zagrożeniami – mówi Ireneusz Martyniuk, Wiceprezes Pionu Przemysłu w Schneider Electric Polska. Jak wskazują dane Repository for Industrial Security Incidents ok. 35 % incydentów związanych z atakami na przemysłowe systemy sterowania zostało zainicjowanych zdalnie. Nie jest to zaskakujące, jeśli weźmiemy pod uwagę, że w niemal 65 % obiektów możliwe jest uzyskanie zdalnego dostępu do systemów sterowania.
Kolejnym wyzwaniem jest niska świadomość ryzyka i bierność osób odpowiedzialnych za bezpieczeństwo, szczególnie w sektorze wytwórczym i produkcyjnym. Osoby te albo są nieświadome zagrożenia cyberatakami, albo niechętnie podejmują się wdrażania strategii bezpieczeństwa, ponieważ inwestycje w tym obszarze wydają się nie przynosić wymiernego zwrotu, mierzalnego współczynnikiem ROI.
Nie bez znaczenia jest również coraz częstsze korzystanie z komercyjnych, gotowych rozwiązań IT w środowiskach przemysłowych. Stopniowy zwrot w kierunku rozwiązań IT w przemyśle miał na celu uzyskanie korzyści biznesowych oraz ułatwienie realizacji operacji
i integracji procesów Jednocześnie naraził on systemy sterowania na ataki złośliwego oprogramowania i zagrożenia wycelowane w systemy komercyjne. Na końcu wszystkich tych problemów pojawia się wyzwanie związane ze zbyt słabo wykwalifikowanym personelem. Pomimo, iż w sektorze przemysłowym pracuje wielu wysoko wykwalifikowanych pracowników operujących na systemach zautomatyzowanych, to nie przekłada się to na adekwatny poziom kompetencji w obszarze przemysłowych sieci IT. To luka, która blokuje możliwość opracowania całościowej strategii obrony i zapobiegania zagrożeniom w danej organizacji.
6 elementów skutecznej obrony
Odpowiednie zabezpieczenie przemysłu przed atakami jest jednak możliwe przy stworzeniu odpowiedniej strategii obrony. W kwestiach związanych z cyberbezpieczeństwem zaleca się przyjęcie strategii głębokiej obrony – Defense-in-Depth. Jest to hybrydowa, wielopoziomowa, strategia bezpieczeństwa oferująca holistyczną ochronę całemu przedsiębiorstwu. Uważamy, że powinna ona stać się standardem w przemysłowych obiektach przyszłości – dodaje Ireneusz Martyniuk.
Pogłębiona strategia obrony powinna więc objąć 6 kluczowych elementów.
- Pierwszym z nich jest przygotowanie planu zabezpieczeń, czyli polityki i procedur obejmujących ewaluację i ograniczanie ryzyka oraz metody przywracania funkcjonowania systemu po awarii.
- Drugim elementem jest separacja sieci, gdzie następuje oddzielanie systemów sterowania i automatyzacji przemysłowej od innych sieci przy pomocy „stref zdemilitaryzowanych” (DMZ – demilitarized zones). Strefy te mają za zadanie ochronę systemów przemysłowych przed poleceniami i informacjami napływającymi z sieci firmowej.
- Trzeci obszar to ochrona na granicach sieci – zapory firewall, weryfikacja tożsamości, autoryzacja dostępu, sieci VPN (IPsec) i oprogramowanie antywirusowe, blokujące dostęp osobom bez uprawnień.
- Czwarty element to segmentacja sieci, czyli ograniczenie zasięgu potencjalnych naruszeń bezpieczeństwa do jednego segmentu. Odbywa się to przy pomocy przełączników sieciowych i sieci VLAN, dzielących sieć na kilka podsieci i ograniczających wymianę danych pomiędzy nimi. Pomaga to ograniczyć negatywne skutki ataku złośliwego oprogramowania do jednego segmentu, redukując straty w całej sieci.
- Piątym elementem skutecznej strategii jest wzmacnianie ochrony urządzeń poprzez zarządzanie hasłami, zdefiniowane profile użytkowników i zatrzymanie zbędnych procesów w celu podniesienia poziomu bezpieczeństwa urządzeń.
- Ostatnim etapem powinien być monitoring i aktualizacje, polegające na kontroli aktywności operatora i komunikacji w obrębie sieci, jak również regularne aktualizacje oprogramowania.
Pomimo tego, że strategia zaleca stworzenie i wdrożenie całościowego planu, wiele organizacji błędnie zakłada, że oznacza to przyjęcie postawy „wszystko albo nic”. W takiej sytuacji warto odnieść się do metody działań krok po kroku, która może być pomocna w poszukiwaniach najlepszego sposobu działania dla danej organizacji – mówi Ireneusz Martyniuk, Wiceprezes Pionu Przemysłu w Schneider Electric Polska.
Bezpieczeństwo, a nie tylko cyberbezpieczeństwo
W przypadku planowania strategii cyberbezpieczeństwa, najlepsza praktyka polega na całościowym uwzględnieniu wszystkich wymogów bezpieczeństwa, bez ograniczania się do cyberbezpieczeństwa. Dlatego też, zarządcy przedsiębiorstw przemysłowych jak i specjaliści powinni uwzględnić w swojej strategii również rozwiązania z dziedziny systemów sterowania dla przemysłu, kontroli dostępu do budynków, rozwiązań dla centrów danych, urządzeń do dystrybucji energii, a także systemów bezpieczeństwa (w tym nadzoru wideo, kontroli dostępu, systemu ochrony pożarowej i ratowania życia oraz wykrywania włamań). Daje to pewność, że plan ochrony wrażliwych punktów będzie naprawdę całościowy i kompletny.