CyberbezpieczeństwoArtykuł z magazynu ITwizPolecane tematy
Jak zadbać o bezpieczeństwo systemów przemysłowych SCADA
Istnieje obszar, który do tej pory uważany był za w pełni bezpieczny z powodu architektonicznego odcięcia od sieci internetowej, całkowitej separacji na poziomie okablowania. Dziś okazuje się to nowym wyzwaniem dla osób odpowiedzialnych za bezpieczeństwo w sektorze przemysłowym.
Obszar ten to tzw. fabryczne sieci przemysłowe, czyli wewnętrzne sieci, które służą do wymiany danych pomiędzy maszynami produkcyjnymi a systemami ich wizualizacji (monitorowania i sterowania). Przez wiele lat osoby zarządzające i nadzorujące produkcję nie widziały konieczności przesyłania jakichkolwiek informacji poza wydzielone sieci przemysłowe. Wraz z upływem czasu oraz zmianami modelu zarządzania przemysłem – coraz więcej przedsiębiorstw zarządzanych jest „zdalnie” przez centralne zespoły – zaistniała konieczność przesyłania danych z sieci przemysłowych do sieci ogólnodostępnych.
Systemy produkcyjne z brakiem odporności na znane zagrożenia
W takich przypadkach z reguły stosuje się standardowe mechanizmy zabezpieczenia styków takich sieci, które o ile przy innych rodzajach systemów są akceptowalne, o tyle przy systemach przemysłowych są absolutnie niewystarczające. Powód jest prosty: większość standardowych zabezpieczeń sieciowych chroni zabezpieczane zasoby przed znanymi metodami ataków na systemy powtarzalne. Sterowniki przemysłowe są systemami stworzonymi często dla jednego lub kilku rodzajów maszyn fabrycznych i funkcjonują w kilku, kilkunastu bądź kilkudziesięciu takich maszynach na świecie.
Przez lata osoby nadzorujące produkcję nie widziały konieczności przesyłania jakichkolwiek informacji poza wydzielone sieci przemysłowe. Wraz z upływem czasu oraz zmianami modelu zarządzania przemysłem, gdy coraz więcej przedsiębiorstw zarządzanych jest „zdalnie”, przez centralne zespoły, zaistniała konieczność przesyłania danych z sieci przemysłowych do sieci ogólnodostępnych.
Ponadto sieci przemysłowe nie rozwijały się w tak szybkim tempie, jak sieci biurowe. Przyczyną nierzadko było znacznie mniej elastyczne oprogramowanie (wspomniane wyżej sterowniki), niedziałające na nowoczesnych wersjach systemów operacyjnych. Stąd powszechnie spotykamy dzisiaj „na produkcji” komputery z systemem Windows NT czy Windows XP SP1, które już dawno nie są wspierane przez producenta. Powyższa sytuacja skutkuje niską odpornością komputerów sterujących produkcją nawet na dobrze znane i już dawno zaadresowane zagrożenia (malware, wirusy). Przykładem może tu być powszechnie znany wirus Conflicker, który jest całkowicie niegroźny dla komputerów z systemem operacyjnym Windows XP SP3 i wyżej, niemniej okazał się „zabójczy” dla jednej z polskich fabryk. W 2013 roku spowodował on zatrzymanie procesu produkcyjnego na 3 dni. Ta krótka przerwa w produkcji kosztowała firmę kilkadziesiąt milionów złotych!
Większość ataków jest ukrywana, niemniej bardziej spektakularnych wpadek nie da się nie zauważyć, jak np. działanie wirusa Stuxnet, który m.in. zainfekował komputery irańskiej elektrowni atomowej w Buszehr czy – jak się nieoficjalnie mówi – odpowiadał za problemy indyjskiego satelity INSAT-4B. Stuxnet po zainstalowaniu się w systemie operacyjnym Windows zaczynał poszukiwać określonego modelu sterownika PLC firmy Siemens. Atakował głównie konwertery częstotliwości, zmieniając częstotliwość prądu, jaki one wysyłały, co doprowadzało do przyspieszenia pracy wirówek gazowych. Według danych z 2011 roku, zarażonych zostało ok. 100 tys. komputerów ze 155 krajów. Najwięcej infekcji odkryto w Iranie (58%), Indonezji (18%), Indiach (10%) i Azerbejdżanie (3,4%).
Rozwiązaniem problemu: ruch jednostronny w sieci
Jednym z intuicyjnie nasuwających się sposobów na rozwiązanie problemu komunikacji pomiędzy sieciami przemysłowymi a biurowymi jest umożliwienie jedynie ruchu jednostronnego (poprzez zastosowanie jednokierunkowej bramy optycznej, tzw. diody). Jest to ruch płynący z maszyny produkcyjnej (pracującej w sieci przemysłowej) do odpowiedniego systemu w sieci nieprzemysłowej. Dzięki zastosowaniu takiej modyfikacji w obszarze komunikacji pomiędzy siecią przemysłową a siecią biurową, nawet w przypadku włamania do urządzenia odbiorczego, nie ma możliwości wysłania lub wstrzyknięcia czegokolwiek do sieci chronionej. Taka transmisja jest fizycznie niewykonalna z powodu braku w sieci niechronionej w urządzeniu Dioda nadajnika światłowodowego w stronę sieci chronionej.
Wirus Conflicker, któryjest całkowicie niegroźny dla komputerów z systemem Windows XP SP3 i wyżej, okazał się „zabójczy” dla jednej z polskich fabryk. W 2013 roku spowodował on zatrzymanie procesu produkcyjnego na 3 dni. Ta przerwa kosztowała firmę kilkadziesiąt milionów złotych!
Dla transmisji typu UDP jest to całkowicie możliwe. Tego rodzaju ruch można nazwać „nadaj i zapomnij”, czyli komputer generujący transmisję wysyła go i nie sprawdza, czy pakiety doszły. W przypadku transmisji typu TCP (zdecydowana większość ruchu przemysłowego) sytuacja ma się zgoła inaczej. Ruch ten wymaga zarówno ustalenia danych sterujących transmisją pomiędzy komputerem nadającym i komputerem odbierającym, jak i potwierdzeń otrzymania poszczególnych pakietów ze strony odbiorcy. Oznacza to, iż zamknięcie dla takiej transmisji kanału zwrotnego, czyli możliwości przesyłania potwierdzeń od odbiorcy do nadawcy. Do tej pory nie było to możliwe.
Urządzenia Dioda dostępne są na rynku od kilku lat. Wypełniły opisaną wyżej lukę bezpieczeństwa m.in. w obszarach przemysłowych (np. przesyłanie danych do wizualizacji produkcji) oraz u operatorów telekomunikacyjnych (np. realizacja konieczności przesyłania danych głosowych do różnych agencji rządowych, w celu ich dalszego przetwarzania). Zastosowanie takiego systemu łatwo sobie wyobrazić w różnych innych obszarach: energetyce (systemy akwizycji danych, przesyłanie danych billingowych z liczników), bankowości (przesyłanie danych do wyświetlaczy ściennych), reklamie (przesyłanie danych do nośników reklamowych), telewizji (przesyłanie obrazu/danych do systemów rozsiewczych), wśród operatorów VoD (przesyłanie filmów), czy na lotniskach (przesyłanie danych lotów do wyświetlaczy w halach odlotów/przylotów). W każdym z tego typu przypadków bezpośrednio chroniona jest sieć nadawcza (brak możliwości przesłania ruchu do tej sieci), a także pośrednio sieć odbiorcza (brak możliwości przesłania ruchu z tej sieci, a więc i brak możliwości interakcji z odbiornikami w przypadku próby włamania).
Zaniedbany obszar
Dziwi zatem, iż pomimo pozornie rosnącej świadomości osób zarządzających produkcją niewiele dzieje się w obszarze zabezpieczania tych sieci. Tymczasem już 2006 roku w USA spisano najlepsze praktyki w zakresie bezpieczeństwa przemysłowego dla energetyki zebrane w normę NERC. Dociekliwych zachęcam do lektury. NERC to 10 podstawowych zasad „higieny” dla zarządzających bezpieczeństwem infrastruktury krytycznej.
Tomasz Gładkowski, prezes firmy Eversys
1. Nieodpowiednia polityka, strategie, procedury i mentalność użytkowników w zakresie bezpieczeństwa systemów sterowania.
2. Niewłaściwy projekt sieci wraz z niedostatecznym szczegółowym ustaleniem poziomów ochrony.
3. Zdalny dostęp do sieci bez użycia odpowiednich procedur ochronnych.
4. Oddzielne mechanizmy audytów i administrowania.
5. Niewłaściwie zabezpieczona komunikacja bezprzewodowa.
6. Korzystanie z kanałów komunikacyjnych nieprzeznaczonych do sterowania i zarządzania siecią.
7. Brak prostych narzędzi do wykrycia/raportowania nietypowych zachowań i działań w sieci sterowania.
8. Instalowanie niewłaściwych aplikacji w komputerach nadrzędnych.
9. Niewłaściwie analizowane i nadzorowane oprogramowanie systemu sterowania.
10. Nieautoryzowane komendy i zmiany pojawiające się w systemie sterowania.
Źródło – Grupa Robocza ds. Bezpieczeństwa Systemów Sterowania działająca przy NERC