Przenikanie się światów IT i OT, czyli konieczność uwspólniania polityki cyberbezpieczeństwa

Podczas I konferencji Magenta Secure Industry 4.0, przedstawiciele T-Systems Polska zaprezentowali wyzwania związane z bezpieczeństwem automatyki przemysłowej coraz częściej – ze względu na rosnącą popularność idei Przemysłu 4.0 – komunikującej się za pośrednictwem protokołu IP ze światem zewnętrznym. Ochrona systemów OT stać się ma elementem oferty Security Operations Center (SOC) firmy T-Systems Polska.

W SOC T-Systems Polska pracuje już ok. 30 osób w pierwszej i drugiej linii wsparcia, plus kilkanaście kolejnych w tzw. 3. linii, która de facto jest działem informatyki śledczej. Globalnie T-Systems podpisał kilka partnerstw z firmami oferującymi rozwiązania do ochrony i monitoringu stanu bezpieczeństwa systemów automatyki przemysłowej. Jednym z pierwszych jest globalna umowa podpisana z izraelską spółką CyberX rozszerzana właśnie na rynek polski. W ciągu najbliższych kilku miesięcy – jak zadeklarowano w trakcie konferencji Magenta Secure Industry 4.0 – T-Systems Polska będzie rozbudowywać partnerstwa lokalne z co najmniej 4-5 kolejnymi firmami.

Dlaczego bezpieczeństwo w sektorze przemysłowym?

„T-System korzenie ma w sektorze przemysłowym. Jednym z największych przejęć – od początku istnienia naszej firmy – był zakup działu IT Volkswagen Group. Także dziś, ilościowo, najwięcej projektów realizujemy w tym właśnie sektorze. Bierzemy też udział w projektach związanych z rozwojem rozwiązań Przemysłu 4.0 bazujących na możliwościach sieci 5G. Dlatego rozbudowujemy ofertę Security Operations Center dla tego właśnie sektora” – mówi Stefan Stefaniak, Cybersecurity Advisory Team Leader w T-Systems Polska.

„Dodatkowo coraz więcej systemów Operational Technology otwiera się i komunikuje poprzez protokoły IP” – dodaje. Rośnie więc skala potencjalnych zagrożeń, a co za tym idzie konieczność wykorzystania narzędzi, które będą analizować korelację zdarzeń w sieciach IP związanych zarówno z systemami IT, jak i OT, a także pozwalających na wyszukanie odchyleń od normy. Dzięki temu firmy będą w stanie dostrzec zagrożenia dla systemów automatyki przemysłowej. „Budując platformę bezpieczeństwa dla systemów Operational Technology zwiększamy też bezpieczeństwo IT. Naszą rolą jest uwspólnienie polityki bezpieczeństwa poprzez realizację scenariuszy obejmujących zabezpieczenie zarówno rozwiązań Information Technology, jak i Operational Technology” – przekonuje Stefan Stefaniak.

Przejęcie zasobów OT lub atak za ich pośrednictwem

Dwa, najczęściej w ostatnim czasie spotykane zagrożenia w zakresie systemów przemysłowych to przejęcie kontroli nad systemami zarządzającymi środkami produkcji oraz wykorzystanie niezabezpieczonych elementów infrastruktury OT do maskowania swojej tożsamości i atakowania innych firm, np. banków. Efektem przejęcia zasobów zarządzających środkami produkcji jest natychmiastowe zatrzymanie działalności produkcyjnej, dokonanie szkody i wykorzystanie całego incydentu do wymuszenia zapłacenia okupu.

„Wiele firm płaci haracz i nawet nie informuje o tym. Jedno z amerykańskich miast straciło nagle kontrolę nad ulicznym oświetleniem. Po 2 dniach wszystko wróciło do normy. Domniemam, że nikt się tym nie pochwalił i miasto po prostu zapłaciło okup, którego zażądali cyberprzestępcy. W naszej części Europy o tego typu atakach rzadko się słyszymy” – opowiada Stefan Stefaniak. „Warto jednak pamiętać, że firmy nie przyznają się do skutecznego ataku na swoją organizację także dlatego, że może to spowodować, iż staną się one celem innych ataków” – dodaje. Rozporządzenie o Ochronie Danych Osobowych spowodowało większej otwartości poprzez narzucenie obowiązku informacyjnego w tym wąskim obszarze, oraz dyrektywa ta spowodowała ogromną ewolucję dotyczącą podejścia do cyberbezpieczeństwa ze względu na dodatkowe obowiązki nałożone na całą organizację, a nie tylko piony IT i bezpieczeństwa IT. Efektem RODO jest także powstanie współodpowiedzialności wszystkich działów firmy za ochronę jej zasobów oraz danych pracowników i klientów.

Jednocześnie brak zabezpieczeń infrastruktury IT i OT naraża nas na współodpowiedzialność za skutki – dokonanych za jej pośrednictwem – ataków. „Może to być np. stary komputer – z niespieranym już przez Microsoft systemem Windows XP – pracujący w jakiejś słabo chronionej części technologicznej przedsiębiorstwa lub w jakimś magazynie. Przestępcy wykorzystają go jako stację przesiadkową do ataku na inne firmy. Wykorzystując go maskują swoją tożsamość. Tego typu działania zwiększają poziom trudności związany z ochroną własnych zasobów, ale też powodują, że mamy właśnie do czynienia ze współodpowiedzialnością za cyberatak” – wyjaśnia Stefan Stefaniak.

W jaki sposób podejść do ochrony systemów automatyki przemysłowej

W Polsce nie ma jeszcze zbyt wielu projektów związanych z ochroną systemów przemysłowych. „Prowadzimy jednak prace laboratoryjne i testowe u kilku klientów, bazując na wydzielonym środowisku obejmującym np. system monitoringu wizyjnego, dostępu fizycznego oraz systemów OT właśnie. Jak bowiem pokazało już wiele przypadków nawet niezabezpieczone kamery podłączone do sieci IP mogą stanowić otwartą furtkę pozwalającą na przejęcie kontroli nad innymi systemami, zarówno IT, jak i OT” – wyjaśnia Stefan Stefaniak.

Jak wspomina, największa wartość w tego typu projektach pochodzi z dialogu technologicznego światów bezpieczeństwa IT i automatyki przemysłowej. W tego typu projektach dokonywany jest bowiem ogromny transfer wiedzy, zwłaszcza jeśli chodzi o różnice pomiędzy rozwiązaniami IT i OT. „Systemy automatyki przemysłowej są bardzo delikatne. Każda próba zainstalowania agenta systemu bezpieczeństwa stanowi ingerencję w kod źródłowy systemów OT. W skrajnym przypadku może mieć to wpływ na zmianę lub wręcz zatrzymanie całego procesu produkcyjnego. Tymczasem w IT godzimy się nawet na to, że odetniemy pewną część sieci. Tego typu rozwiązania w OT się nie sprawdzają” – komentuje Stefan Stefaniak. „My pokazujemy jednak, że systemy automatyki da się zabezpieczyć, że można je monitorować za pośrednictwem rozwiązań takich firm, jak CyberX czy Nozomi Networks. Choć musimy mieć świadomość, że konieczne jest działanie w modelu ‘No Touch’. Chciałbym, aby w oparciu o podobne zasady działały systemy bezpieczeństwa systemów IT. Zwykle jednak takie podejście uniemożliwia stosowanie zasady racjonalności kosztów w stosunku do wartości ochranianych zasobów” – podsumowuje.

W czasie konferencji Magenta Secure Industry 4.0 prezentacje mieli także partnerzy T-Systems Polska, w tym izraelskiej firmy CyberX, którzy opowiedzieli o zabezpieczeniach sieci przemysłowych i ich operacyjności. Z kolei przedstawiciele IBM przedstawili „holistyczne podejście do zarządzania cyberbezpieczeństwem IT i OT dzięki IBM QRadar SIEM”; specjaliści firmy RAPID7 pokazali „w jaki sposób dokonać integracji zarządzania podatnościami OT i IT”, a firmy SEQRED „czym jest obecnie i może być w przyszłości Security Operation Center”. Na koniec Paweł Dobrzański, Security Tribe Leader (CSO) w T-Mobile Polska, opisał sposoby na wykrywanie zdarzeń bezpieczeństwa na poziomie Advanced Mobile Protect 2.0, a Stefan Stefaniak pokazał przykładową architekturę konwergencyjną cyberbezpieczeństwa systemów IT i OT.

1. Publicznie dostępne systemy OT – Brak im nowoczesnych funkcji bezpieczeństwa, które chroniłyby je w przypadku nawiązywania połączeń wychodzących z internetem (m.in. uwierzytelniania wieloskładnikowego, silnego hasła, logowania i monitorowania).
2. Niezabezpieczone zdalne połączenia z sieciami OT – Hakerom wystarczy tylko jedna, zidentyfikowana podatność serwera przesiadkowego – który pozwala operatorowi zyskać dostęp do sieci OT z sieci korporacyjnej – aby uzyskać dostęp do systemów OT.
3. Brak aktualizacji w zakresie bezpieczeństwa – awarie systemów OT mogą mieć poważne konsekwencje, co prowadzi do zachowawczego podejścia w zakresie wprowadzania poprawek do oprogramowania oraz jego aktualizacji. W związku z tym, systemy OT bywają obsługiwane przez przestarzałe wersje oprogramowania ze znanymi podatnościami.
4. Złe praktyki dotyczące ustanawiania haseł – Nawet w przedsiębiorstwach posiadających wypracowane standardy dotyczące tworzenia haseł korporacyjnych nie zawsze stosuje się je do systemów OT.
5. Nieodpowiednia konfiguracja i zarządzanie zaporami systemowymi znacznie zmniejsza odporność sieci OT na ataki.
6. Lokalizacja systemów OT wewnątrz biznesowej sieci firmy – Elementy sieci OT, takie jak serwery obsługujące raporty oraz stacje kontrolne, często umieszczane są w sieci biznesowej z połączeniem do sieci OT, a nie bezpośrednio w sieci OT. W związku z coraz częstszymi cyberatakami na sieci IT punkty wzajemnego przenikania się stanowią poważne zagrożenie, ponieważ atakujący mogą wykorzystać słabość sieci, aby przedostać się do sieci OT.
7. Słabe zabezpieczenie biznesowej sieci informatycznej od strony systemów OT – Przedsiębiorcy coraz częściej skupiają się na przeciwdziałaniu atakom na sieć OT z sieci biznesowej. Wciąż jednak pomijane są ataki z urządzeń OT na sieć biznesową. Tymczasem systemy OT często korzystają ze starszych technologii zainstalowanych w odległych lokalizacjach, których słabym punktem pozostają niejednokrotnie zabezpieczenia fizyczne.
8. Brak segmentacji w obrębie sieci OT – Aby uprościć zarządzanie, wiele sieci OT zaprojektowano i skonfigurowano jako sieci płaskie. Włamanie do jednego urządzenia może więc narazić całą infrastrukturę automatyki przemysłowej firmy. Ustanowienie jasnego rozdziału pomiędzy systemami krytycznymi i niekrytycznymi nie tylko ogranicza wpływ ewentualnego włamania, ale także pomaga określić najważniejsze zasoby OT oraz zastosować odpowiednie mechanizmy ochrony.
9. Nieograniczony dostęp do internetu z sieci OT – Niezabezpieczone urządzenia hostowane w sieci OT, niepoddawane należytej aktualizacji, są szczególnie podatne na zainfekowanie złośliwym oprogramowaniem oraz jego udostępnianie przez sieć. Bezpośredni dostęp do Internetu z sieci OT zwiększa także ryzyko zewnętrznych ataków.
10. Nieodpowiednie szyfrowanie i uwierzytelnianie w bezprzewodowych sieciach OT – nierzadko bezprzewodowy sprzęt funkcjonujący w sieciach OT wykorzystuje przestarzałe protokoły lub technologie bezpieczeństwa, przez co jest on narażony na nowoczesne cyberataki, takie jak nasłuchiwanie oraz omijanie procedur uwierzytelniających.

Źródło – PwC, pwc.to/3bGhtaJ