InfrastrukturaCyberbezpieczeństwoCase StudyPREZENTACJA PARTNERA
Bezpieczna separacja i monitorowanie sieci OT za pomocą firewalli Stormshield
Case Study
Przedsiębiorstwa wodociągowe są tą kategorią podmiotów użyteczności publicznej i infrastruktury krytycznej, w przypadku których ciągłość działania ma szczególne znaczenie. Nikt nie wyobraża sobie sytuacji, w której odbiorcy zostają pozbawieni możliwości korzystania z wody. Specyfiką działalności zakładów wod-kan jest rozproszenie elementów – obsługują punkty ujęcia wody i jej uzdatniania oraz przepompownie ścieków, a odseparowanie poszczególnych części składowych systemu zwiększa ryzyko ataku. Efektywne zarządzanie nimi odbywa się bowiem w coraz większym stopniu w oparciu o dostęp online.
W obliczu rosnącej skali zagrożeń cybernetycznych wymierzonych w infrastrukturę krytyczną, motywowanych zarówno pobudkami ekonomicznymi, jak i geopolitycznymi, zapewnienie maksymalnego bezpieczeństwa pozostaje przedmiotem troski zarządzających tymi podmiotami. Wpływ na to ma zbliżająca się implementacja założeń dyrektywy NIS2, która na podmioty z branży wod-kan nałoży nowe obowiązki.
Produkcja wody i odbiór ścieków to proces, w realizacji którego w coraz większym stopniu wykorzystywane są nowoczesne rozwiązania technologiczne. Internet Rzeczy, ciągła komunikacja pomiędzy poszczególnymi elementami przenikających się sieci – internetowej i przemysłowej – oraz wykorzystanie licznych urządzeń to standard w tej branży.
“Niejednokrotnie na tak funkcjonujący system niezbędne jest nałożenie odpowiednich zabezpieczeń, które zminimalizują ryzyko skutecznych wrogich działań. Z perspektywy podmiotów odpowiedzialnych za wdrożenie cyberochrony jest to wyzwanie, związane z koniecznością działania w sposób pozwalający utrzymać ciągłość procesów produkcyjnych w środowisku przemysłowym przy jednoczesnym zapewnieniu bezpieczeństwa i zgodności sieci” – mówi Aleksander Kostuch, inżynier Stormshield, europejskiego wytwórcy rozwiązań z obszaru IT.
Wodociągowe studium przypadku
W ramach wdrożonego w jednym z funkcjonujących w Polsce przedsiębiorstw wodociągowych systemu zabezpieczeń, specjaliści Stormshield ustanowili bezpieczne, monitorowane i oddzielne środowisko sieciowe IT oraz rozwiązania mające na celu ochronę operacji prowadzonych w sieciach OT (przemysłowych), działających m.in. w oparciu o sterowniki logiczne (PLC) do zarządzania krytycznymi procesami.
Klientem była firma wodociągowa w jednym z największych miast na północy Polski, specjalizująca się w gospodarce wodnej dla miasta i okolic oraz oczyszczaniu ścieków. Prowadzi ona działalność w różnych lokalizacjach miasta i okolic, w tym w przepompowniach ścieków, zakładach uzdatniania wody i ujęciach wody. Miejsca te są wyposażone w przemysłowe systemy sterowania przez programowalne sterowniki logiczne (PLC) do zarządzania krytycznymi procesami. Bezprzerwowa funkcjonalność ma tu kluczowe znaczenie. Konwergencja sieci IT i OT naraża organizację na potencjalne cyberzagrożenia i ryzyko. Dlatego głównym celem projektu było ustanowienie bezpiecznego, monitorowanego i oddzielenie środowiska sieciowego IT, w którym odbywa się praca biurowa, ale również różne działania dziedzinowe w celu ochrony specjalizowanych operacji przemysłowych w sieciach OT.
Utrzymanie nieprzerwanych procesów produkcyjnych w środowisku przemysłowym przy jednoczesnym zapewnieniu bezpieczeństwa i zgodności sieci jest trudnym przedsięwzięciem. Konieczne jest mianowicie uniknięcie przestojów pomp produkcyjnych, minimalizacja zmian w konfiguracji sieci.
Celem projektu było wdrożenie solidnego rozwiązania w zakresie bezpieczeństwa sieci, które skutecznie oddziela i zabezpiecza sieci operacyjne (OT) od sieci informatycznych (IT) w wielu lokalizacjach, takich jak przepompownie i ujęcia wody. Czas jego trwania wyniósł około miesiąca. Strategia wdrożenia obejmowała wdrożenie firewalli Stormshield SNi20 na obrzeżach każdej z sieci OT. Wybór lokalizacji tych zapór został oparty na rygorystycznej ocenie ryzyka i działających już połączeniach sieciowych. Urządzenia firewall SNi20 umieszczono jak najbliżej urządzeń automatyki przemysłowej, często na tej samej szynie DIN co sterowniki PLC. Takie podejście ułatwia szybkie wykrywanie zagrożeń i reagowanie na nie, minimalizując powierzchnię ataku i maksymalizując ochronę infrastruktury przemysłowej. Kontrola odbywa się w ramach standardowych prac konserwatorskich i nastawczych. Pierwszorzędne znaczenie ma autoryzacja pracowników z użyciem istniejących już mechanizmów Active Directory i integracji poprzez mechanizm SSO. Następnie monitorowane i zapisywane są wszystkie działania w ramach protokołów przemysłowych, które są przepuszczone na urządzeniach. Zdarzenia są rejestrowane w centralnym systemie SIEM. Całość natomiast zarządzana jest z centralnego systemu Stormshield Management Center.
Aby sprostać wyzwaniu bezprzerwowego wdrożenia w istniejącej sieci, inżynier systemowy Stormshield Aleksander Kostuch zaproponował rozwiązanie, które koncentruje się na segmentacji sieci z wykorzystaniem funkcjonalności bridge, jednocześnie minimalizując zmiany w istniejącej infrastrukturze sieciowej. Podejście to opiera się na wykorzystaniu mostu między interfejsami do segmentacji, w połączeniu z kompleksową polityką bezpieczeństwa i dogłębną analizą protokołów dostosowaną do konkretnych protokołów przemysłowych używanych w różnych segmentach sieci oraz odrzucaniem całości niepożądanego ruchu sieciowego.
Istotnym kontekstem projektu była konieczność zgodności z zasadami ochrony danych osobowych. Aby dostosować się do wytycznych ogólnego rozporządzenia o ochronie danych (RODO), dane osobowe, takie jak nazwy użytkowników, źródłowe adresy IP, adresy MAC i nazwy hostów, nie były prezentowane w dziennikach i raportach. Zamiast tego zostały one zanonimizowane w celu zachowania prywatności użytkowników. Dostęp do tych dzienników ograniczony jest do upoważnionego personelu, zapewniając zgodność z przepisami o ochronie danych.
W ramach wdrożenia zdecydowano się także na zwiększoną ochronę systemów SCADA. Oprócz fizycznych zapór brzegowych firewall SNi20, firma partnerska wdrożyła zwirtualizowaną zaporę firewall bezpośrednio przed systemem SCADA, który działa w prywatnej chmurze wykorzystującej sporą farmę serwerów. Zapora Elastic Virtual Appliance (EVA) została wdrożona na platformie serwerowej z wykorzystaniem wirtualizatora HyperV, zapewniając dodatkową warstwę ochrony dla systemów kontroli nadzorczej i akwizycji danych (SCADA). Takie podejście zapewniło, że krytyczna infrastruktura kontrolująca procesy przemysłowe pozostała chroniona przed potencjalnymi zagrożeniami cybernetycznymi, zarówno z Internetu, ale również z sieci wewnętrznej.
Autoryzowanie ruchu sieciowego następuje poprzez weryfikację dostępu do sterowników PLC. Z kolei dopasowanie sprzętu do specyfiki przemysłu wod-kan było związane z uwzględnieniem szeregu specyficznych ograniczeń fizycznych (wysoka wilgotność, szeroki zakres temperatur itp.). Zastosowanie sprzętu SNi20 umożliwiło spełnienie wielu ograniczeń środowiskowych.
Wyniki wdrożenia
Projekt wstępny, wykonawczy, realizacja, dokumentacja powykonawcza i testy funkcjonalne przeprowadzane były pod nadzorem, kontrolą i współudziale certyfikowanego inżyniera systemowego Aleksandra Kostucha, pracującego bezpośrednio u producenta rozwiązań Stormshield.
Wdrożone rozwiązanie z powodzeniem osiągnęło główne cele projektu w obszarach:
1. Separacji – skutecznie oddzielono sieci OT od sieci IT przy pomocy firewalli SNi20, minimalizujące ryzyko zagrożeń z wewnętrznej sieci IT. Zamiast wprowadzać znaczące zmiany w topologii sieci, rozwiązanie Stormshield wykorzystuje interfejsy w konfiguracji bridge do segmentacji. Technika ta pozwala na izolację różnych segmentów przy jednoczesnym zachowaniu ogólnej struktury sieci. Ogranicza to zakres wymaganych modyfikacji, zmniejszając tym samym ryzyko zakłóceń operacyjnych.
2. Centralizacji – każdy firewall SNi20 w konfiguracji bridge pomimo wspólnych cech ma niestandardową politykę bezpieczeństwa, która kontroluje dostępy do wyznaczonych zasobów w segmencie. Polityka ta zapewnia, że tylko autoryzowane urządzenia i podmioty mogą wchodzić w interakcje z krytycznymi zasobami, minimalizując potencjalną powierzchnię ataku. Dzięki wykorzystaniu SMC, zmiennych i możliwości oskryptowania łatwo zarządzać, zmieniać politykę i aktualizować centralnie wszystkie podłączone firewalle SNi20 i EVA, pomimo, że cechuje je indywidualna polityka w każdej lokalizacji.
3. Bezpieczeństwa – monitorowanie w czasie rzeczywistym przy pomocy systemu SIEM i scentralizowane zarządzanie firewallami brzegowymi przy pomocy SMC ułatwiło szybkie wykrywanie zagrożeń i reagowanie na nie oraz rekonfigurację.
4. Zgodności z przepisami – anonimizacja danych osobowych zgodnie z wytycznymi RODO zapewniła zgodność z przepisami dotyczącymi prywatności danych.
5. Ulepszonej ochrony SCADA – rozwiązania wirtualne firewall EVA dodały dodatkową warstwę zabezpieczeń do systemów SCADA.
6. Niezawodności – firewalle SNi20 mają możliwość funkcji bypass, która oznacza, że nawet w przypadku restartu urządzenia, na przykład podczas załadowywania nowego oprogramowania układowego firmware, transmisja działa bez przerwy.
W efekcie wdrożenia krytyczna infrastruktura wodociągowa jest obecnie chroniona przed potencjalnymi zagrożeniami cybernetycznymi, zapewniając nieprzerwane działanie gospodarki wodnej i procesów oczyszczania ścieków. Kompleksowe podejście do bezpieczeństwa – od fizycznych zapór sieciowych po zwirtualizowaną ochronę systemów SCADA – zapewnia solidny mechanizm obrony przed ewoluującymi zagrożeniami cybernetycznymi w środowisku przemysłowym.
Firewalle, które zarządzają bezpiecznym dostępem w sieci wod-kan wykonują głęboką analizę protokołów komunikacyjnych używanych w przemyśle, takie jak Modbus TCP, Profinet, OPC, ale również Softbus i Lacbus. To narzędzia do analizy bieżącego ruchu sieciowego pod kątem anomalii używające głębokiej analizy pakietów.
W obszarze głębokiej analizy protokołów przemysłowych OT, urządzenia Stormshield, zarówno SNi20 jak i maszyny wirtualne EVA potrafią również rozpoznać i odczytać adresacje, kody w innych protokołach charakterystycznych dla sieci OT, jak: UMAS, Siemens S7, EtherNet/IP, CIP, OPC UA, OPC (DA/HDA/AE), BACnet/IP, IEC 60870-5-104, IEC 61850-3.