Zbudowaliśmy modelowe rozwiązanie ochrony sieci 5G i systemów przemysłowych oraz IoT

Z dr. inż. Krzysztofem Kosmowskim, kierownikiem Zakładu Systemów C4I w Wojskowym Instytucie Łączności oraz Mateuszem Buczkowskim, R&D Team Leaderem w firmie Grandmetric, rozmawiamy o:

• wyzwaniach z obszaru cyberbezpieczeństwa,
• konieczności zapewnienia ochrony specyficznych systemów, takich jak SCADA, IoT, czy sieci 5G,
• założeniach i efektach prac badawczych realizowanych w ramach projektu 5GSTAR.

W jaki sposób w ostatnich latach zmieniły się realia cyberbezpieczeństwa?

dr inż. Krzysztof Kosmowski (K.K.): W Polsce, ale też w ujęciu globalnym, mamy do czynienia z naprawdę ogromną liczbą incydentów bezpieczeństwa. Radykalny wzrost skali zagrożeń powoduje wiele nowych problemów z zabezpieczeniem infrastruktury firm, instytucji, a nawet całych gospodarek.

Większość dzisiejszych zagrożeń to efekt skoordynowanej, zaplanowanej i ukierunkowanej na konkretne cele działalności zorganizowanych grup cyberprzestępców. Co więcej, obserwujemy dziś często ataki realizowane w sposób wieloetapowy – w tym ujęciu, że poszczególne grupy hakerskie lub konkretne osoby realizują pewne wycinki bardziej złożonego ataku, który ma na celu, przykładowo, przejęcie danych lub przynajmniej chwilowe wyłączenie naszych zasobów cyfrowych.

Mateusz Buczkowski (M.B.): Z perspektywy zespołu, który na co dzień wdraża systemy cyberochrony, obserwujemy dwa zjawiska. Po pierwsze, zarówno po stronie cyberprzestępców, jak i w działaniach obronnych stawia się na masowe wykorzystanie automatyzacji oraz technik opartych na sztucznej inteligencji. Dlatego standardowe rozwiązania ochronne stają się niewystarczające.

Przesuwa się też ciężar ataków z poziomu aplikacji czy użytkownika końcowego na warstwę protokołów i architektury sieciowej. Widzimy coraz więcej prób nadużyć w miejscach, które dotąd uchodziły za „nieme” operacyjnie – jak choćby warstwa sygnalizacyjna. Co więcej, ataki nie są już jednorazowe – mamy do czynienia z ciągłym, dyskretnym testowaniem odporności systemu. Powyższe czynniki zmieniają również sposób projektowania zabezpieczeń, które muszą być nie tylko reaktywne, lecz także predykcyjne.

Jak można ocenić przygotowanie polskich firm do takich zagrożeń?

K.K.: Trudno generalizować, ale z pewnością duże organizacje są znacznie lepiej przygotowane do radzenia sobie z dzisiejszymi wyzwaniami świata cyfrowego niż ich mniejsi konkurenci. Wynika to z dość prozaicznych powodów – większe firmy zwykle mają wyodrębnione zespoły IT i kompetencje z obszaru cybersecurity. Często są też objęte regulacjami wymuszającymi konkretne działania.

Sytuacja mniejszych organizacji jest bardziej skomplikowana, ponieważ nie dysponują one zazwyczaj środkami wystarczającymi na zatrudnienie wysokiej klasy specjalistów oraz systematyczną modernizację zabezpieczeń. Tymczasem nawet kilkuletni, dobrej klasy firewall, niekoniecznie będzie skuteczny wobec dzisiejszych metod działania cyberprzestępców.

Analogiczne problemy dotyczą też oprogramowania. W mniejszych firmach często wykorzystywane są starsze aplikacje, dla których wygasł już podstawowy okres opieki producenta lub nie są już w ogóle wspierane. Tu znów konieczne staje się wydatkowanie określonych środków na zakup nowych licencji, usług wsparcia lub modernizację oprogramowania. Mówimy tu o wydatkach, na które w wielu mniejszych organizacjach nie ma środków lub – w najlepszym razie – nie są traktowane priorytetowo.

M.B.: Częstym problemem nie jest nawet brak rozwiązań, ale ich niedopasowanie do specyfiki działania firmy. Mam tu na myśli, przykładowo, próbę zabezpieczania sieci przemysłowej tymi samymi narzędziami, które sprawdzają się w klasycznym środowisku biurowym. Są to tymczasem zupełnie inne światy, z inną dynamiką ryzyka, inną tolerancją na opóźnienia i innymi typami podatności.

Oceniając przygotowanie przedsiębiorstw, warto przede wszystkim zapytać, czy wiedzą, co powinny chronić, w jaki sposób i przed jakimi zagrożeniami. Bez takiej mapy ryzyk nawet najbardziej zaawansowane technologie nie będą skuteczne. Praktyka pokazuje, że wiele firm przemysłowych dysponuje narzędziami klasy firewall, antywirusami czy backupem, ale nie monitoruje tego, co dzieje się między ich siecią przemysłową (OT) a systemami IT. To właśnie tam często pojawia się tzw. szara strefa – zbyt złożona dla działu IT i zbyt techniczna dla zespołów operacyjnych. Warto więc sięgać po narzędzia, które potrafią wychwycić anomalie tam, gdzie nikt ich nie szuka: w nietypowych wzorcach ruchu sterującego, w czasie odpowiedzi urządzeń czy synchronizacji między segmentami sieci.

Jakie znaczenie dla rynku cybersec ma szybki rozwój sztucznej inteligencji?

K.K.: W przypadku cyberbezpieczeństwa powszechne dziś narzędzia sztucznej inteligencji, w tym generatywnej AI, stanowią miecz obosieczny. Dużo zależy od tego, czy zdążymy wykorzystać AI w naszych systemach, zanim zrobią to cyberprzestępcy. Wiara, że rozwiązania sprzed kilku lat okażą się skuteczne wobec zagrożeń opartych na AI to błąd, który może być bardzo brzemienny w skutkach. Problem polega na tym, że dzisiejsze środowiska IT generują ogromne ilości logów. Przy tej skali niezbędna staje się automatyzacja w zakresie analizy działania infrastruktury, zachowania użytkowników i blokowania potencjalnych incydentów. Sztuczna inteligencja ma tę przewagę nad człowiekiem, że jest w stanie błyskawicznie reagować i szybko wykrywać zdarzenia, które mogą świadczyć o ataku. Ludziom takie informacje mogą zwyczajnie umknąć.

Z drugiej strony, za sprawą AI zwiększa się skuteczność działania cyberprzestępców. Sztuczna inteligencja umożliwia m.in. zautomatyzowanie działań towarzyszących początkowym etapom ataku, tzw. rekonesansu i poszukiwania podatności, ale też – działań późniejszych, wymierzonych w konkretnych użytkowników.

Na jakie kwestie w obszarze cyberbezpieczeństwa trzeba zatem zwrócić szczególną uwagę?

K.K.: Z technicznego punktu widzenia kluczowe jest zapewnienie spójnej i skutecznej ochrony wszystkich elementów środowiska IT, które mogą być narażone na atak. Poza rozwiązaniami do wykrywania i blokowania ataków nieodzowne jest wdrożenie rozwiązań ochrony na poziomie użytkowników końcowych. To ludzie są dziś często najsłabszym ogniwem całego systemu zabezpieczeń. Bardzo ważne jest też edukowanie pracowników, a także zapewnienie m.in. dwuskładnikowego uwierzytelniania do wszystkich systemów, szyfrowania danych i bezpiecznego dostępu zdalnego. Kluczowe jest też posiadanie aktualnych i możliwych do przywrócenia kopii zapasowych danych na wypadek, gdyby cyberprzestępcom udało się przełamać zabezpieczenia.

Jednocześnie, w dzisiejszych czasach kwestie bezpieczeństwa, procedur i rozwiązań obronnych nie powinny być wyłącznie domeną zespołu IT czy działu cyberbezpieczeństwa. Wszyscy pracownicy muszą mieć świadomość zagrożeń i postępować zgodnie z przyjętą strategią bezpieczeństwa. Muszą również wiedzieć, przykładowo, co należy zrobić, jeśli już otworzyło się sfabrykowaną wiadomość i potencjalnie niebezpieczny załącznik.

Skuteczne wykrywanie i przeciwdziałanie zagrożeniom wymaga jednak centralizacji, przede wszystkim w kontekście monitoringu…

K.K.: Faktycznie. W całym spektrum działań, które należy podejmować w kontekście cyberbezpieczeństwa, coraz istotniejszą rolę pełni monitoring. Powinien on jednak obejmować nie tylko punkty styku naszej infrastruktury ze światem zewnętrznym, lecz także wszystkie podstawowe systemy i urządzenia końcowe, z których korzystają pracownicy. Generalnie, monitoring w zakresie bezpieczeństwa IT powinien dotyczyć zarówno podstawowych parametrów działania infrastruktury, jak i charakteru realizowanych operacji czy obciążeń. Oczywiście fakt, że zainstalujemy dziesiątki agentów monitorujących środowisko niczego nie zmienia. Dostarczane przez nie informacje należy na bieżąco analizować i interpretować za pomocą wyspecjalizowanych narzędzi.

M.B.: Należy precyzyjnie zdefiniować, co oznacza dziś hasło „centralizacja”. W nowoczesnym ujęciu nie chodzi o fizyczne scentralizowanie wszystkich danych, lecz o spójność analityki i koordynacji decyzji. Dzisiejsze środowiska – zwłaszcza przemysłowe i telekomunikacyjne – są z definicji rozproszone. Sensowna centralizacja polega więc na zapewnieniu jednolitych standardów zbierania, korelowania i wizualizacji danych z różnych źródeł. Dzięki temu możliwe jest nie tylko szybsze wykrycie anomalii, lecz także wyeliminowanie rozbieżności w interpretacji tych samych zdarzeń przez różne działy organizacji.

Bez takiego podejścia, nawet najlepsze lokalne systemy bezpieczeństwa stają się fragmentaryczne, a reakcja – opóźniona i nieskoordynowana. Centralizacja w tym kontekście to bardziej strategia operacyjna niż infrastrukturalna. Trzeba również pamiętać, że skuteczny monitoring to nie tylko zbieranie danych, ale też zapewnienie im właściwego kontekstu – bez rozumienia, co oznacza „norma” dla danego systemu, trudno mówić o realnym wykrywaniu zagrożeń. Tu właśnie centralne reguły, polityki i modele uczenia maszynowego mogą odegrać ważną rolę – nawet jeśli dane fizycznie pozostają lokalnie.

Na czym polega istota projektu 5GSTAR?

K.K.: Projekt 5GSTAR ma na celu opracowanie zaawansowanych technik wykrywania i przeciwdziałania atakom na infrastrukturę dostępową 5G oraz wyspecjalizowane systemy wykorzystywane m.in. w przemyśle. Mówimy o modelowym i modułowym rozwiązaniu bezpieczeństwa dla środowisk, w których mamy do czynienia z rozproszoną infrastrukturą IT oraz zastosowaniem wyspecjalizowanych standardów i rozwiązań, jak choćby systemy SCADA czy internet rzeczy. Jedną ze składowych naszego projektu badawczego jest zatem opracowanie metod zabezpieczenia protokołów i systemów, które powinny być chronione – choć niekoniecznie zostały zaprojektowane do działania w obliczu dzisiejszych realiów cyberbezpieczeństwa.

M.B.: Z punktu widzenia naszego zespołu projekt 5GSTAR to próba zaprojektowania bezpieczeństwa w miejscach, które dotąd nie były chronione lub była to ochrona jedynie iluzoryczna. Weźmy np. systemy SCADA – ich bezpieczeństwo przez lata opierało się na odseparowaniu od internetu. Obecnie te systemy komunikują się z chmurą, zdalnymi operatorami, automatycznymi platformami analitycznymi. Musimy więc bronić takich rozwiązań w sposób analogiczny jak środowiska IT, i to pomimo że nie były stworzone do działania w dzisiejszych realiach. W ramach projektu 5GSTAR, dzięki integracji autorskich detektorów (np. jamming w warstwie radiowej, anomalie w MQTT, DoS w IIoT) z inteligentną warstwą mitygacji, udało się zbudować rozwiązanie modularne, adaptowalne i gotowe do pracy w środowiskach krytycznych, gdzie każda sekunda reakcji ma znaczenie.

Jakie instytucje zaangażowały się w prace nad takim systemem?

K.K.: Projekt 5GSTAR jest realizowany przez konsorcjum, w skład którego wchodzą Wojskowy Instytut Łączności, Politechnika Poznańska, a także firmy Grandmetric i Rimedo Labs. Każdy uczestnik naszego konsorcjum odpowiadał za konkretny obszar projektu. I tak, Politechnika Poznańska i firma Rimedo Labs koncentrowały się głównie na funkcjach związanych z sieciami 5G. Z kolei Wojskowy Instytut Łączności skupiał się głównie na kwestiach związanych z komunikacją w ramach systemów przemysłowych, między sterownikami SCADA i innymi urządzeniami IoT. Ze względu na charakter naszej działalności przeanalizowaliśmy też charakterystykę sieci 5G w świetle wymagań wojskowych. Natomiast zespół firmy Grandmetric skupił się na zapewnieniu stosu technologii informatycznych niezbędnych do realizacji naszych prac. Odpowiadał zatem m.in. za aspekty techniczne związane z systemem gromadzenia i korelacji danych, włącznie z platformą sprzętową, rozwojem środowiska i opracowaniem aplikacji eksperckiej pozwalającej na operacjonalizację naszego rozwiązania. W ramach konsorcjum nadal ściśle współpracujemy, na bieżąco wymieniamy się wiedzą i obserwacjami.

Jak istotny jest tu aspekt sieci 5G?

K.K.: Kwestie wydajności i dostępności sieci 5G są szczególnie ważne w przypadku sterowania systemami produkcyjnymi, gdzie nawet najmniejsze opóźnienia w transmisji mogą oznaczać wymierne straty. Nasze rozwiązanie monitoringu sieci 5G pozwala na raportowanie informacji o stanie niemal dowolnego interfejsu radiowego. Dzięki temu umożliwia m.in. wykrywanie przypadków celowego zakłócania łączności bezprzewodowej, skutkujących pogorszeniem wydajności lub całkowitym zerwaniem transmisji. Możemy jednak obserwować bardziej wyrafinowane działania, a także odróżniać incydentalne przypadki degradacji łączności od tych będących efektem celowych działań. Wykorzystujemy tu m.in. algorytmy sztucznej inteligencji do monitorowania pasma radiowego w otoczeniu monitorowanego środowiska. Idąc dalej, możemy też korelować informacje o funkcjonowaniu interfejsu radiowego z funkcjonowaniem systemów przemysłowych lub IoT. Jesteśmy również w stanie przewidzieć wpływ ewentualnych spadków wydajności sieci radiowej na działanie pozostałych elementów środowiska.

Zbudowaliśmy zatem modelowe rozwiązanie uniwersalnego zastosowania, które może być dostosowane i wykorzystane praktycznie w dowolnej branży oraz lokalizacji. Ze względu jednak na istotę naszych prac naukowych, na tym etapie dysponujemy systemem ukierunkowanym na zastosowania przemysłowe.

Jak przebiegały prace projektowe?

K.K.: Prace badawcze podzieliliśmy na dwa obszary. Pierwszy zakładał stworzenie algorytmów, które pozwolą na identyfikację ataków, a konkretnie zakłóceń wymierzonych w interfejs radiowy – i pozwolą na ograniczenie ich skutków. Drugi aspekt badawczy koncentrował się na wykrywaniu i mitygacji zagrożeń wymierzonych w specyficzne rozwiązania. Skupiliśmy się przede wszystkim na stworzeniu algorytmów pozwalających efektywnie chronić systemy SCADA oraz IoT. W kontekście infrastruktury IoT szczególną uwagę skupiliśmy na zapewnieniu ochrony dla jednego z najpopularniejszych protokołów transmisji danych w sieciach przemysłowych, a więc MQTT. Zależało nam też na zapewnieniu możliwości praktycznego wykorzystania efektów naszych badań, więc nie miałyby one większego sensu, gdyby nie możliwość korelacji zgromadzonych informacji, alertowania i zapobiegania potencjalnym zagrożeniom.

Taką rolę pełnią zwykle systemy SIEM…

K.K.: Tak, ale zapewnienie obsługi danych dotyczących działania wyspecjalizowanych protokołów i rozwiązań wymaga odpowiedniego oprogramowania, czy też dostarczenia danych dla systemu SIEM. Stworzyliśmy zatem autorski system ekspercki, który – dzięki połączeniu z publiczną bazą MITRE ATT&CK – analizuje zjawiska wykrywane w warstwie sieci bezprzewodowej i systemów specjalizowanych, wskazując potencjalne korelacje i zagrożenia. Ponadto, nasze rozwiązanie pozwala na zautomatyzowanie niektórych działań zaradczych.

M.B.: Klasyczne rozwiązania typu SIEM mają jedną podstawową wadę – są „ślepe” na specyfikę środowisk przemysłowych i sieci 5G. Nie wiedzą, jak powinien wyglądać poprawny cykl komunikacji sterownika PLC z systemem HMI. Nie rozumieją też mechaniki procedury attach w sieci 5G. W ramach projektu 5GSTAR poszliśmy o krok dalej: wzbogaciliśmy zbierane dane w kontekst domenowy – np. identyfikujemy nie tylko anomalne pakiety, lecz także nietypowe stany systemowe, sekwencje zdarzeń, a nawet niewidoczne wcześniej zmiany w czasie reakcji urządzeń końcowych. Jest to coś, czego nie da się zrobić standardowym systemem klasy SIEM, dlatego musieliśmy zbudować własne rozwiązanie.

Nasza architektura bazuje na otwartym Elastic Stack, który umożliwia zbieranie logów z wielu komponentów, korelację zdarzeń i wizualizację anomalii. Wszystko to z możliwością adaptacji do specyfiki danej organizacji. Ważnym elementem rozwiązania jest też sprzętowa platforma testowa, zbudowana na bazie OpenAirInterface, srsRAN i Open5GS, co pozwala na łatwe wdrażanie i testowanie systemu w środowisku klienta.

Jak dużym wyzwaniem jest zapewnienie zautomatyzowanego systemu ochrony dla systemów przemysłowych lub IoT, biorąc pod uwagę ich ograniczenia?

K.K.: Niewątpliwie jest to duże wyzwanie. Obecne wyzwania w obszarze cybersec uwydatniają słabości rozwiązań przemysłowych czy sprzętu IoT. Widać to, przykładowo, w kontekście możliwości wykorzystania algorytmów szyfrowania transmisji. Procesory stosowane choćby w inteligentnych żarówkach są mocno wyspecjalizowane i dostosowane do roli, jaką mają pełnić. W efekcie mają bardzo niską moc obliczeniową, więc w tego typu urządzeniach zastosowanie zaawansowanych zabezpieczeń jest po prostu niemożliwe. Trudno też oczekiwać, że firmy przemysłowe będą w stanie całościowo wymienić urządzenia wykorzystywane na liniach produkcyjnych z powodu ich ograniczeń w kontekście cyberbezpieczeństwa. Potrzebne są zatem rozwiązania zewnętrzne, jak system, który zbudowaliśmy
w ramach projektu 5GSTAR.

Dla jakiego środowiska stworzono prototyp systemu 5GSTAR?

K.K.: W naszym laboratorium zastosowaliśmy model stacji elektroenergetycznej średniego napięcia wraz ze wszystkimi sterownikami SCADA, które wykorzystuje się w takich obiektach. W kolejnym kroku symulowaliśmy wieloetapowe ataki cybernetyczne, wymierzone w nasz węzeł infrastruktury elektroenergetycznej. Bardzo mocno uwydatniły się tu słabości takich systemów.

Nasi koledzy, którzy się zajmowali tym elementem projektu, byli w stanie dokonywać zmian wartości pakietów przesyłanych pomiędzy sterownikami, przykładowo, wysyłając polecenie zamknięcia określonego stycznika elektrycznego – podczas gdy moduł sterujący stale otrzymywał informację, że jest on otwarty. Przykład ten pokazuje, że tego typu ataki, wymierzone m.in. w protokoły komunikacyjne sterowników przemysłowych, mogą pozostawać niezauważone przez systemy sterowania i osoby zajmujące się nadzorem. Z drugiej strony, mogą być to zagrożenia bardzo brzemienne w skutkach. Wyobraźmy sobie jakie skutki może przynieść niewielka zmiana – przesterowanie, czyli mówiąc wprost, oszukanie elementu sterującego infrastrukturą zasilania czy systemem produkcyjnym. W najlepszym przypadku mówimy o zatrzymaniu takiego systemu.

Czy rozwiązanie stworzone w ramach projektu 5GSTAR będzie dostępne komercyjnie?

K.K.: Tak, planujemy komercjalizację naszego systemu. Wyniki naszych badań, a także rozwiązanie zbudowane w ramach projektu 5GSTAR prezentujemy na targach i konferencjach naukowych. Widać, że na rynku istnieje zainteresowanie rozwiązaniem pomocnym w zapewnieniu bezpieczeństwa rozwiązań, które nie były projektowane z myślą o dzisiejszych wyzwaniach. Prowadzimy już rozmowy o potencjalnych wdrożeniach.

Nasze rozwiązanie zbudowaliśmy w sposób, który zapewnia szerokie możliwości dopasowania sposobu działania całego systemu do charakteru działalności oraz infrastruktury różnego rodzaju organizacji. Co istotne, nie musimy wszystkich rozwiązań stworzonych w ramach projektu 5GSTAR stosować łącznie – jesteśmy w stanie wdrożyć, przykładowo, rozwiązania służące do wykrywania zagrożeń w sieciach IoT czy systemach SCADA, z pominięciem modułu monitorowania radiowej sieci transmisyjnej. Lista potencjalnych zastosowań efektów projektu 5GSTAR jest zatem bardzo szeroka.

M.B.: Wykorzystamy wnioski z projektu 5GSTAR do stworzenia komercyjnego rozwiązania, choć z pewnością nie będzie to produkt „pudełkowy”. Chcemy oferować 5GSTAR w modelu dostosowanym do dojrzałości klienta. Dla zakładów przemysłowych – jako usługę monitoringu i reagowania na incydenty w środowiskach SCADA/IIoT. Dla integratorów – jako zestaw narzędzi i komponentów do budowy cyberbezpiecznych wdrożeń 5G (np. w modelu prywatnej sieci kampusowej). I wreszcie – jako platformę ekspercką do badań i testów odporności nowych środowisk IoT i 5G. Każdy z tych modeli testujemy już z partnerami z działów przemysłu, edukacji i sektora obronnego.