Scadvance XP – unikalny system chroniący sieci przemysłowe przed cyberatakami

Podczas niedawnej X edycji organizowanego przez NOT Konkursu im. Stanisława Staszica na najlepsze produkty innowacyjne, prestiżowy „Złoty Laur Innowacyjności 2020” w kategorii informatyka i oprogramowanie otrzymała firma ICsec S.A. za produkt Scadvance XP. Poznańska spółka to producent rozwiązań z zakresu cyberbezpieczeństwa, które podnoszą poziom zabezpieczeń w sieciach przemysłowych oraz środowiskach systemów SCADA, przede wszystkim tych z infrastrukturą krytyczną. Nagrodzony produkt to pierwszy polski IDS (Intrusion Detection System) – rozwiązanie nowej generacji, które wykrywa niepożądane zdarzenia w sieci, informuje o nich użytkowników, wskazuje miejsce wystąpienia, cel ataku oraz prawdopodobną przyczynę. Od systemów podobnego typu odróżnia go umiejętność wykrywania ataków typu zero-day, czyli do tej pory nieznanych.

Systemy przemysłowe, które nadzorują procesy produkcyjne, jeszcze do niedawna nie były projektowane z myślą o zabezpieczeniu przed cyberatakami. Tworzono je na długi czas przed rozwojem Internetu czy zdalnego dostępu do systemów i sieci. Te ostatnie, budowane kilkanaście czy kilkadziesiąt lat temu, nie posiadają często żadnych zabezpieczeń. Generalnie infrastruktura produkcyjna nie jest chroniona tak jak sieci korporacyjne. Dlatego też w ostatniej dekadzie obrali ją za swój cel cyberprzestępcy. Jednym z najbardziej znanych robaków użytym do szpiegowania i przeprogramowywania instalacji przemysłowych był Stuxnet, który w 2010 roku zaatakował  irański program uzdatniania uranu. Na skutek niekontrolowanego rozprzestrzenienia się robaka zainfekowanych zostało ponad 100 tys. komputerów w 155 krajach. Obecnie, podobnych robaków i wirusów znajduje się “w obiegu” kilka tysięcy. Mogą one atakować dowolne systemy, ale na szczycie listy ich celów są urządzenia OT/SCADA oraz sieciowe.

Głównym wyzwaniem przed jakim stoją obecnie zakłady przemysłowe jest więc podatność na cyberzagrożenia. Niektóre z nich (tzw. Operatorzy Usług Kluczowych) muszą wypełniać obowiązki wynikające z Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która stanowi implementację europejskiej dyrektywy NIS. Raport The State of Industrial Cybersecurity 2020 przygotowany przez ARC Advisory Group dobitnie pokazuje wzrost znaczenia kosztów reakcji na incydenty i ich łagodzenie oraz utratę zaufania klientów. W roku 2019 wynosiło ono 5%, podczas gdy w roku 2020, już 27% ankietowanych uznało je za jedne z najważniejszych wyzwań cybersecurity. Mając na uwadze powyższe kwestie specjaliści ICsec stworzyli Scadvance XP – rozwiązanie, które adresuje potrzeby związane z monitoringiem sieci automatyki przesyłowej (OT) i wykrywaniem potencjalnych zagrożeń oraz anomalii w ruchu pomiędzy podłączonymi do sieci urządzeniami.

„ICsec jest odpowiedzią na rosnące zagrożenie w sektorze automatyki przemysłowej. Jako producent z własnym działem R&D mamy ambicję tworzyć pierwszy w Polsce ekosystem cyberbezpieczeństwa dla przemysłu. Z punktu widzenia bezpieczeństwa krajowej infrastruktury krytycznej istotnym jest, aby dostawcą rozwiązań cyberbezpieczeństwa w tym monitorowania sieci przemysłowej był polski producent” – mówi Robert Juszczyk, Co-founder i CEO w ICsec. „Nasze produkty skierowane są szczególnie do firm produkcyjnych posiadających automatykę przemysłową i tych, które chcą posiadać świadomość sytuacyjną polegająca na budowaniu wiedzy na temat mapy połączeń, wielkości i rodzaju ruchu sieciowego czy monitorowania parametrów fizycznych w procesach produkcyjnych” – dodaje.

Scadvance XP – jak to działa?

System IDS dla sieci SCADA, który ICsec stworzył przy współpracy z krajowymi jednostkami naukowymi oraz centrami danych, pozwala wykryć anomalie i cyberzagrożenia w sieciach automatyki przemysłowej, zanim doprowadzą one do nieodwracalnych szkód. Przede wszystkim monitoruje on sieci przemysłowe nie na ich brzegach (jak robią to standardowe systemy informatyczne), ale zbiera informacje bezpośrednio z ich środka, analizując cały przesyłany ruch danych. Pozwala na podłączenie i monitorowanie najpopularniejszych sieci automatyki przemysłowej, dzięki czemu osoby odpowiedzialne za bezpieczeństwo mają wizualizację wszystkich istniejących połączeń oraz urządzeń w czasie rzeczywistym. Tym samym widzą wszelką niepożądaną komunikację w sieci OT. Dzięki analizie pakietów, charakterystyk i korelacjom, rozwiązanie poznańskiej spółki pozwala na wykrycie najbardziej niebezpiecznych cyberataków (np. zero day, man-in-the-middle czy black hole attack).

Scadvance XP posiada również moduł pozwalający na przechwycenie wartości zmiennych fizycznych występujących w procesach rzeczywistych i pozwala na śledzenie ich zmian niezależnie od systemu SCADA. Te przykładowe zmienne to choćby: temperatura, wilgotność, napięcie, prędkość, stężenie gazów, ciśnienie pary, stan urządzenie czy jego waga.

System składa się ze specjalizowanej sondy X1 – urządzenia wyposażonego w stosowane w automatyce przemysłowej interfejsy. Sonda X1 w żaden sposób nie ingeruje w instalację przemysłową, a jedynie „podsłuchuje” ruch sieciowy. Zebrane informacje przy pomocy szyfrowania opartego na infrastrukturze klucza publicznego (PKI) przesyła w bezpieczny sposób do serwera analitycznego, czyli drugiego elementu Scadvance XP. Dla każdej indywidualnej instalacji, system, buduje dedykowane modele predykcyjne, które pozwalają precyzyjnie analizować monitorowane sieci (nie korzysta z gotowych modeli dostarczanych przez popularnych producentów), co pozwala na wyeliminowanie błędów false-positive. Przeprowadza analizę danych, sprawdzając m.in. nowe urządzenia w sieci czy niepożądany w niej ruch i wreszcie obsługuje oraz zgłasza niepożądane zdarzenia.

Szerokie podejście do cyberbezpieczeństwa

„Nasza strategia obejmuje opracowanie kolejnych produktów cyberbezpieczeństwa realizujących zadania Identify oraz Detect. Szczególną uwagę  chcemy zwrócić na monitorowanie pod kątem cyberzagrożeń urządzeń automatyki w sieciach 5G oraz systemów, które pozwolą użytkownikom na podnoszenie swoich kwalifikacji w zakresie ochrony sieci przemysłowych” – mówi Marek Smolik, CTO w ICsec.

Działający na rynku od 2018 roku ICsec jest uczestnikiem III edycji akceleratora Krakowskiego Parku Technologicznego ScaleUP gdzie wspólnie z ES-System i z wykorzystaniem Scadvance XP, rozwija autorski system wykrywający anomalie automatyki przemysłowej w infrastrukturze budynkowej. W ramach Startup SPARK firma opracowała z Ericsson rozwiązanie do analizy jakości działania sieci mobilnych 3G/4G (docelowo 5G) na potrzeby Przemysłu 4.0 w czasie rzeczywistym. Z kolei w akceleratorze IndustryLab II, razem z PKP Energetyka stworzyła dedykowane  rozwiązanie do odsłuchu transmisji dla specjalizowanego, używanego w PKP protokołu. Jak zapewniają przedstawiciele ICsec, spółka cały czas monitoruje rynek oraz zapotrzebowanie na zaawansowane produkty z zakresu cyberbezpieczeństwa, jednocześnie dostosowując swoją ofertę do potrzeb wymagań klientów. Europejski kanał sprzedaży firma opiera na modelu Tier 2. Współpracuje także z dystrybutorami VAD i siecią parterów biznesowych.

Ponadto warto dodać, iż ICsec jest członkiem-założycielem Polskiego Klastra Cyberbezpieczeństwa przy #CyberMadeInPoland – platformy do współpracy oraz promocji polskiego przemysłu IT-Sec. A jako pierwsza firma w Polsce, uzyskała prawo do używania znaku jakości „Cybersecurity Made In Europe”.