CyberbezpieczeństwoPolecane tematy
Droga do Przemysłu 4.0 prowadzi przez wdrożenie odpowiednich rozwiązań z zakresu cyberbezpieczeństwa
Liderzy biznesowi we wszystkich branżach stoją przed wspólnym wyzwaniem. Aby zapewnić dalsze funkcjonowanie w nowej rzeczywistości, muszą przejść transformację cyfrową. Natomiast aby zachować bezpieczeństwo, muszą zarządzać ryzykiem. Sektor przemysłowy nie należy do wyjątków, a sukces tych firm zależy od zapewnienia ciągłości działania i bezpieczeństwa. Spadek produkcji, szczególnie w przypadku nieplanowanych przestojów, ma wpływ na całą organizację – sprzedaż, zyski, reputację, relacje partnerskie i wartość firmy.
W nowoczesnym przemyśle systemy są coraz bardziej zintegrowane i połączone z internetem. Współczesna infrastruktura przemysłowa staje się coraz bardziej skomplikowana, obsługiwana przez wiele podmiotów, połączona wzajemnie i z podmiotami zewnętrznymi. Dlatego zarządzający zakładem przemysłowym powinni pozbyć się przekonania, że granica między strefą bezpieczną i niebezpieczną przebiega na fizycznym ogrodzeniu oddzielającym zakład od świata zewnętrznego, czy też na firewallu sieci firmowej. Ta granica biegnie teraz często poprzez konkretne urządzenia – także sterujące linią produkcyjną – i aplikacje.
Najważniejsze ryzyka związane z bezpieczeństwem IT w przemyśle
Praktyczne rozwiązania, mogące stosunkowo szybko poprawić bezpieczeństwo w wielu przedsiębiorstwach, to zapanowanie nad bazą zainstalowanych urządzeń i ich oprogramowania oraz nieustanne podnoszenie świadomości pracowników i menedżerów w zakresie cyberbezpieczeństwa. Trzeba jednak pamiętać, że konieczność zachowania ciągłości działania zakładów przemysłowych niejako odsuwa na dalszy plan migrację i upgrade systemów OT. Wymagałoby to bowiem od zakładu zatrzymania produkcji i przestoju parku maszynowego. Stosowana w przypadku klasycznych systemów IT metodyka polega na zatrzymaniu działania systemu i szybkiej aktualizacji oprogramowania. Dlatego też systemy IT wykazują większą odporność na potencjalne ataki w porównaniu z sieciami produkcyjnymi OT.
Wśród najważniejszych ryzyk dotyczących bezpieczeństwa IT w przemyśle – wg raportu Siemensa pt. „Od audytu do bezpiecznej infrastruktury” z roku 2020 – należą zasoby serwera związane z systemem operacyjnym (50%), połączenie z systemami sterowania SCADA (36%) oraz wbudowane sterowniki lub inne komponenty (23%). Warto również pamiętać, że koszt naruszenia danych w sektorze przemysłowym należy do jednych z najwyższych w całej gospodarce. Średnio w roku 2020 wyniósł on prawie 5 mln USD – wynika z kolei z przygotowanego przez Ponemon Institute dla IBM Security raportu pt. „Cost of a Data Breach Report 2020”. Spośród 17 przebadanych branż sektor przemysłowy znalazł się na 6. miejscu pod względem wysokości średniego kosztu naruszenia danych. Natomiast średni czas rozpoznania i powstrzymania naruszenia w tym sektorze wyniósł aż 302 dni!
Może być jednak znacznie gorzej. Kiedy w maju 2017 roku miał miejsce atak ransomware WannaCry, szczególnie mocno ucierpiało wiele zakładów produkcyjnych, a kilka firm motoryzacyjnych musiało wręcz zamknąć fabryki. Ogólne straty w tym sektorze były liczone w miliardach dolarów. Należy bowiem pamiętać, że w sektorze przemysłowym najważniejszymi kwestiami są zapewnienie ciągłości działania oraz bezpieczeństwo.
Rosnące zagrożenia przy postępującej modernizacji przemysłu
Bezpieczeństwo staje się też coraz istotniejsze w dobie Przemysłu 4.0. Czwarta rewolucja przemysłowa oparta jest bowiem na nowoczesnych technologiach wspierających automatyzację, zaawansowaną analitykę, algorytmy Machine Learning czy powszechne wykorzystanie internetu rzeczy. Te zaś wpływają na wszystkie aspekty produkcji oraz zarządzania łańcuchem dostaw. Przemysł 4.0 dokonuje rewolucji w dotychczasowych procesach, zapewniając większą szybkość, elastyczność i innowacyjność produkcji.
Większość firm produkcyjnych nie próbuje dziś odpowiedzieć na pytanie: czy przyjąć koncepcje stojące za Przemysłem 4.0, ale kiedy i jak to zrobić? Chociaż zakłady produkcyjne mogą znajdować się na różnych etapach transformacji cyfrowej, wszystkie muszą ocenić, czy zmodernizować halę produkcyjną za pomocą czujników IoT, technologii bezprzewodowych, zaawansowanej analizy danych – pozwalającej m.in. na Predictive Maintenance – i uczenia maszynowego. Zadaniem jest przedefiniowanie technologii i architektury produkcji, w celu proaktywnego wykorzystania analiz, obniżenia kosztów i ulepszenia technologii IT i OT.
Cyberbezpieczeństwo jako istotny element każdego procesu
Żaden zakład zajmujący się produkcją nie powinien jednak podejmować prób cyfrowej transformacji bez skupiania się na cyberbezpieczeństwie, jako istotnym elemencie każdego procesu i decyzji. Kilka lat temu popularne było stwierdzenie, że „każda firma jest firmą programistyczną”. Dziś nie byłoby przesadą sparafrazowanie go i stwierdzenie, że „każda firma jest firmą zajmującą się cyberbezpieczeństwem”.
W sektorze produkcyjnym oznacza to pełną świadomość luk w zabezpieczeniach odkrywanych w czasie modernizacji zgodnie z ideą Przemysłu 4.0. W coraz bardziej otwartym środowisku fabryki oraz przy rozproszonych partnerach i operacjach największym ryzykiem jest incydent, który spowoduje zakłócenie funkcjonowania zakładu przemysłowego. Wiele organizacji czuje się bezpiecznie, mając odpowiednie zabezpieczenia na brzegu swojej sieci. To niestety może być fałszywe założenie.
Firmy przemysłowe muszą przyjąć nowe modele architektoniczne związane z cyberbezpieczeństwem, które łączą technologię, ludzi, zasady i procesy. Tym bardziej że dziś firmy tego typu często mają wiele zakładów przemysłowych rozproszonych geograficznie. Te zaś muszą wymieniać pomiędzy sobą dane i współdziałać w pełni zaufanym środowisku. Obecnie jednym z zyskujących na znaczeniu modeli architektury systemów bezpieczeństwa jest Zero Trust. Przy wielu rozproszonych halach produkcyjnych i coraz bardziej skomplikowanych łańcuchach dostaw, powszechnej wymianie danych pomiędzy ich członkami, zakłady powinny posiadać szczegółowe dane i kontrolę na temat osób, które próbują połączyć się z siecią firmową. Dzięki temu mogą eliminować ryzyko nieautoryzowanych użytkowników, aplikacji i danych w sieci.
Firmy przemysłowe powinny również dysponować narzędziami pozwalającymi na szybkie wykrywanie ataków, aby móc im zapobiegać. Są to m.in. narzędzia do automatyzacji wykrywania i reagowania na zagrożenia, wykorzystujące uczenie maszynowe, przeznaczone dla rozwiązań IoT i Przemysłu 4.0. Jednocześnie muszą istnieć procesy, które pomagają zdecydować, że można stawić czoła zagrożeniu, bez konieczności obniżania produkcji.
Niebezpieczne są zarówno zagrożenia cybernetyczne, jak i fizyczne
Należy też wziąć pod uwagę aspekty związane z kulturą firmową w zakresie cyberbezpieczeństwa. Zespoły ds. bezpieczeństwa IT i OT często miały oddzielne wymagania, w zależności od zakresu ich obowiązków. Dział IT koncentrował się na zagrożeniach ze świata „wirtualnego”, a OT skupiał się na zapewnieniu fizycznego bezpieczeństwa na hali produkcyjnej. Jednak w dzisiejszym środowisku zagrożenia mogą pochodzić z dowolnego miejsca, obejmując zarówno bezpieczeństwo fizyczne, jak i cyberbezpieczeństwo.
Dlatego rozmawiać ze sobą powinny wspólnie zespoły ds. bezpieczeństwa IT i bezpieczeństwa fizycznego oraz osoby odpowiedzialne za nadzorowanie systemów przemysłowych. Trzeba też pamiętać, że tradycyjne modele kupowania produktów, w celu rozwiązania określonych problemów związanych z bezpieczeństwem systemów przemysłowych, nie będą już działać w tego typu środowisku.
Dla liderów biznesu w sektorze produkcyjnym oznacza to:
- Korzystanie z modelu wykorzystującego kompleksowe platformy dla cyberbezpieczeństwa, dzięki któremu zespoły bezpieczeństwa mogą łatwo integrować różne technologie i mieć szybszy dostęp do innowacji.
- Dążenie do architektury Zero Trust, w której tylko autoryzowani użytkownicy korzystający z autoryzowanych aplikacji na autoryzowanych urządzeniach mają dostęp do sieci – niezależnie od tego, czy są to pracownicy, partnerzy, czy ktokolwiek inny w łańcuchu dostaw.
- Zastosowanie automatyzacji, sztucznej inteligencji i uczenia maszynowego, w celu zapewnienia wykorzystania „inteligencji” na każdym poziomie procesu produkcyjnego.
- Uczynienie cyberbezpieczeństwa najwyższym priorytetem organizacji i zagwarantowanie, że cyberbezpieczeństwo jest brane pod uwagę przy wdrażaniu lub nawet omawianiu nowych technologii, procesów i procedur.
KOMENTARZ EKSPERTA
Cyberbezpieczeństwo musi być wbudowane w infrastrukturę sieciową organizacji
Urządzenia IoT dołączane dziś do sieci IP, niezależnie od tego, czy są to urządzenia konsumenckie (jak TV), czy też przemysłowe (np. kamery, sterowniki czy inteligentne systemy mierników), nie były – i nadal nie są – projektowane z myślą o cyfrowym bezpieczeństwie. Często wykorzystują stare, nieuaktualniane systemy operacyjne lub po prostu nie udostępniają żadnej praktycznej możliwości ich aktualizacji. Ponadto, praktycznie nigdy nie są objęte kontrolą zespołów IT lub działów bezpieczeństwa. Liczba takich systemów dołączanych do sieci korporacyjnych stale rośnie.
Szacujemy, że do końca 2023 roku na świecie będzie 29 miliardów urządzeń podłączonych do sieci. Ponad połowa z tych urządzeń to urządzenia IoT. Co roku dochodzi kilka miliardów nowych urządzeń. Ten lawinowy wzrost liczby podłączonych urządzeń zwiększa powierzchnię ataku, tworząc nowe i nieprzewidziane wyzwania dla organizacji i osób odpowiedzialnych za ochronę infrastruktury.
W ostatnich latach obserwujemy kilkusetprocentowy wzrost nowych wariantów złośliwego oprogramowania IoT, co dowodzi, że urządzenia IoT są bardziej niż kiedykolwiek atakowane, w celu uzyskania za ich pośrednictwem dostępu do sieci. Atakujący mogą potencjalnie wykorzystać możliwość przejęcia kontroli nad urządzeniami IoT ze słabymi lub żadnymi zabezpieczeniami i budowanie na ich bazie potężnych botnetów. Mogą także przejąć kontrolę nad systemami przemysłowymi (OT), które są często stosowane do zarządzania krytyczną infrastrukturą.
Zabezpieczenie samych tylko urządzeń końcowych nie wystarczy, tym bardziej że często nie ma możliwości instalacji w nich rozwiązań bezpieczeństwa, szczególnie na urządzeniach czy sensorach internetu rzeczy, gdyż nie mają one wystarczającej mocy obliczeniowej. W sytuacji, gdy do sieci podłączonych jest coraz więcej nowych urządzeń, cyberbezpieczeństwo musi być wbudowane w infrastrukturę sieciową organizacji, a nie być dodatkiem do niej. Sieć jest bowiem tym miejscem, w którym spotykają się wszystkie elementy cyfrowego świata. Wbudowane w nią mechanizmy bezpieczeństwa, wykorzystujące automatyzację, uczenie maszynowe i sztuczną inteligencję, pozwolą skutecznie blokować każde nowe zagrożenie.
Dlatego aby mówić o bezpiecznym Przemyśle 4.0, konieczne jest podejście Zero Trust, które pozwala na wprowadzenie jednolitych polityk bezpieczeństwa, obejmujących zarówno sieci IT, jak i IoT/OT. Administrator zyskuje narzędzia umożliwiające tworzenie spójnych zasad dla urządzeń IoT oraz ich automatyczne zaaplikowanie w sieci, co przy dużej skali działania tego typu urządzeń jest koniecznością. Dysponuje również narzędziami do śledzenia aktywności tych urządzeń i wykrywania zachowań odbiegających od normy, a w rezultacie automatycznej rekonfiguracji sieci w celu ich separacji, odizolowania czy kwarantanny.
Dzięki integracji bezpieczeństwa w ramach zautomatyzowanej architektury sieciowej, wystarczy, że zagrożenie będzie wykryte raz i automatycznie zostanie zatrzymane wszędzie. To nowy paradygmat, który polega na holistycznym podejściu do cyberbezpieczeństwa – rozwiązania punktowe stosowane do „łatania” kolejnych problemów dawno przestały się sprawdzać.
Wykorzystanie zaawansowanych technologii, takich jak uczenie maszynowe i sztuczna inteligencja, może również pomóc zespołom bezpieczeństwa w przezwyciężaniu braków w zasobach kadrowych i kompetencjach – jest to powszechny problem dla organizacji na całym świecie z powodu obecnej luki talentów w zakresie bezpieczeństwa cybernetycznego. Dzięki automatyzacji procesów, osoby odpowiedzialne za bezpieczeństwo mogą lepiej zarządzać skalą zagrożeń, która stale rośnie, ponieważ powierzchnia potencjalnych ataków zwiększa się wraz z rozwojem chmury i internetu rzeczy.
Przemysław Kania, dyrektor generalny Cisco w Polsce