Systemy automatyki przemysłowej są wykorzystywane m.in. w firmach produkcyjnych, przemyśle, górnictwie, energetyce, logistyce i usługach użyteczności publicznej. Składają się na nie maszyny i urządzenia (zawory, pompy, wyłączniki, czujniki) oraz oprogramowanie, które steruje procesami i dostarcza danych. Na ich podstawie można np. optymalizować procesy produkcyjne, rozliczać pracowników i szybko reagować na awarie.
Zatrzymać system
Systemy te sterują m.in. działaniem bloków energetycznych, stacji uzdatniania wody czy linii produkcyjnych. Często nie są one wyizolowane od biurowych sieci IT. To problem o tyle, że poprzez sieć biurową hakerzy mogą też zakłócić działanie systemów automatyki przemysłowej. Jak wynika z danych firmy doradczej PwC, 40% takich systemów jest narażonych na ataki tylko hakerów amatorów.
W opinii Michała Boruckiego, Prezesa Zarządu, Blue Energy, firmy bardzo różnie podchodzą do cyberbezpieczeństwa. Część je bagatelizuje, twierdząc, że skoro do tej pory nic się nie stało, to wszystko jest dobrze. Inne firmy robią analizę, wiedzą, że sytuacja jest poważna, i próbują wdrażać zabezpieczenia na miarę swoich potrzeb.
Problem nie jest błahy ani wymyślony. Zdaniem specjalistów tylko w ostatnich latach obserwujemy wyraźny wzrost cyberataków nakierowanych na sieci przemysłowe w firmach produkcyjnych. Podyktowane są one różnymi motywami zaczynając od próby wymuszenia okupu (ransomware), przez próby kradzieży własności intelektualnej, a na atakach geopolitycznych kończąc. Warto więc uwzględnić – poza profesjonalną ochroną przed nieautoryzowanym dostępem ze strony osób lub szkodliwego oprogramowania – zdalny dostęp serwisowy, który eliminuje koszty dojazdu ekipy serwisowej i skraca czas przestoju.
Stosowana w przypadku wykrycia zagrożeń dla klasycznych systemów IT metodyka obrony polega na zatrzymaniu działania systemu i szybkiej aktualizacji oprogramowania. Dlatego też systemy IT wykazują większą odporność na potencjalne ataki w porównaniu do sieci produkcyjnych OT. W przemyśle zachowanie ciągłości procesu jest kwestią kluczową, która niejako odsuwa na dalszy plan działania wymagające od zakładu zatrzymania produkcji i przestoju parku maszynowego. Ochrona sieci przemysłowych ma na celu zapobieganie sytuacjom, w którym tego typu zastoje są konieczną i jedyną dostępną opcją obrony.
Głęboka ochrona
W opinii Rafała Bienia, Szefa Działu Komunikacji Przemysłowej i Identyfikacji, Siemens, punktem wyjścia do prac związanych ze wzmocnieniem ochrony procesów i danych w przemyśle jest podejście uwzględniające koncepcję tzw. głębokiej ochrony (defense in depth), która oznacza kompleksowe podejście do bezpieczeństwa. Bierze się pod uwagę różnice w rodzajach cyberzagrożeń wobec sieci IT i OT, jak również metod obrony przed nimi. Całościowe podejście do koncepcji obrony opiera się na najnowocześniejszych technologiach oraz wynika z norm prawnych i standardów obowiązujących w obszarze bezpieczeństwa. Dzięki szczegółowej analizie podatności i zastosowaniu właściwych, kompleksowych środków bezpieczeństwa zagrożenia i złośliwe oprogramowanie wykrywane są już na wczesnym etapie. Ciągły monitoring zapewnia przedsiębiorstwom stały wgląd w stan bezpieczeństwa ich zakładów przemysłowych i optymalną ochronę inwestycji.
– Ochrona informacji i ciągłości procesów przemysłowych zaczyna się od audytu lub oceny bezpieczeństwa wykonywanych przez zewnętrznych ekspertów. Mają one dostarczać konkretnych wskazówek pozwalających poprawić zabezpieczenia systemów IT oraz OT. W wyniku wniosków z realizacji tego typu audytów w firmach są implementowane kompleksowe zmiany dotyczące ochrony procesów i informacji – wyjaśnia Rafał Bień. Jego zdaniem strategia głębokiej ochrony opiera się na 3 głównych zasadach i politykach bezpieczeństwa. Są to: po pierwsze – ochrona integralności sieci biurowej z siecią produkcyjną OT; po drugie – wprowadzenie stref szczególnej ochrony oraz zabezpieczenie fizycznego dostępu do infrastruktury i po trzecie – proces aktualizacji oprogramowania, ale także wiedzy zespołów obsługujących poszczególne działy na temat zagrożeń.
Działania Siemensa mogą być wskazówką w procesie wspierania przedsiębiorstw w ochronie przed cyberzagrożeniami. Firma stara się przejmować rolę mediatora pomiędzy światem IT/OT. Doświadczenie w zakresie systemów przemysłowych ICS/SCADA, wsparcie produktowe praktycznie wszystkich obecnie oferowanych protokołów i standardów komunikacyjnych mogą stanowić gwarancję stabilnej platformy sprzętowej. – Dajemy możliwość stworzenia infrastruktury szkieletowej i segmentację sieci, co zabezpiecza dostęp do stacji PLC. Wykorzystujemy zapory ogniowe (firewall Scalance S), które realizują zdalny dostęp niezależnie od medium komunikacyjnego. Niemniej jednak te procesy nie miałyby sensu, gdyby zostały pozbawione systemu typu SIEM (Security Information and Event Management), którego zadaniem jest ciągłe monitorowanie i wykrywanie anomalii w infrastrukturze zakładowej i natychmiastowa reakcja na niepożądane zachowanie na poziomie generowanych błędów, wystąpienia „obcych” pakietów danych. Konieczna jest także weryfikacja aktualizacji oprogramowania – kończy Rafał Bień.
Skala ataków
Wystarczy wspomnieć o wnioskach wynikających z Raportu Telcos: Protect Your SMB Customers, który został opracowany na podstawie badania zrealizowanego przez Coleman Parkes Research na zlecenie firmy Allot (w ankiecie wzięło udział 400 przedstawicieli MŚP – menadżerów, właścicieli i dyrektorów IT z Wielkiej Brytanii, Stanów USA, Szwecji i Niemiec), aby uświadomić sobie, że praktycznie nie ma sektora, który nie byłby narażony na cybernetyczne ataki. W tym przypadku chodziło o małe i średnie przedsiębiorstwa. 24% małych i średnich firm padło ofiarą cyberataków w 2021 r. – wynika z publikacji. Najczęściej przedsiębiorstwa zmagały się z malwarem (64%), oprogramowaniem żądającym okupu za odblokowanie dostępu do danych (34%), a także atakami BEC (22%). W działaniach typu Business E-mail Compromise przestępcy próbują zazwyczaj zdobyć zaufanie pracowników działów finansowych lub menadżerów. Z danych respondentów, którzy doświadczyli cyberataku, średni koszt incydentu cyberbezpieczeństwa wynosi około 216 tys. dolarów. Około jedna trzecia sumy wiąże się z badaniem problemu, przywróceniem pracy systemów, a także aktualizacją. Pozostała kwota to utracone korzyści. Według 3/4 ankietowanych, zwiększy się częstotliwość cybernapaści na małe firmy. Budżet na ochronę systemów planuje zwiększyć 34% firm. Wśród barier poprawy bezpieczeństwa, uczestnicy badania wymieniali najczęściej wysokie koszty – zarówno technologii, jak i zatrudnienia ekspertów.
Z kolei według badań PwC, rok 2022 będzie nadal się charakteryzował wzrostem ilościowym cyberataków. W raporcie podkreślono, że ponad 50% firm na całym świecie spodziewa się wzrostu liczby cyberzagrożeń. Według wszystkich dyrektorów biorących udział w badaniu, ataki, które będą się najbardziej nasilać w 2022 r., to te wymierzone w usługi w chmurze i ransomware (dla 57% respondentów), a następnie złośliwe oprogramowanie pobierane za pośrednictwem aktualizacji oprogramowania oraz ataki na oprogramowanie łańcucha dostaw i pocztę korporacyjną (56%). Autorzy raportu twierdzą, że przedsiębiorstwa stały się zbyt złożone, aby mogły być w pełni zabezpieczone w wyniku wykładniczego wzrostu łączności i przyśpieszenia transformacji cyfrowej w ostatnich latach. 75% respondentów twierdzi, że ich firmy mają zbyt wiele złożoności w modelu operacyjnym i procesach, które mogą być niepotrzebne, co prowadzi do znacznego wzrostu ryzyka związanego z bezpieczeństwem cybernetycznym i prywatnością. Do głównych czynników przyczyniających się do tej złożoności należą infrastruktury danych i architektury technologiczne przedsiębiorstw, obejmujące wiele różnych systemów, z których wiele to systemy starsze i trudne do zintegrowania. Dla respondentów przekłada się to na codzienną działalność, straty finansowe, zmniejszoną zdolność do innowacji oraz zmniejszoną zdolność do odzyskania sprawności po atakach cybernetycznych lub awariach technologicznych.
Sławomir Erkiert
Ten i inne artykuły znajdziecie w czasopiśmie Kaizen – dostępnym w naszym sklepie