Podejście działów IT do cyberochrony sieci OT

O cyberbezpieczeństwie co do zasady można powiedzieć wiele, ale nie można powiedzieć jednego: że kiedykolwiek będzie ono zagwarantowane w naszej infrastrukturze w pełni i na zawsze. W tym osobliwym wyścigu zbrojeń z rozmaitymi cyberzagrożeniami i skutkami potencjalnych ataków najistotniejszym aspektem jest gruntowna analiza ryzyka i optymalny dobór narzędzi – co niekoniecznie oznacza kupno „wszystkiego po trochu”. Jednym z kluczowych zagadnień w obszarze bezpieczeństwa w przedsiębiorstwach produkcyjnych jest współistnienie i wzajemne przenikanie się sieci IT oraz OT – dwóch podobnych, a jednocześnie bardzo różnych infrastruktur teleinformatycznych.

Z sieciami IT mamy do czynienia na co dzień. Choć dziś już nie sposób wyobrazić sobie nawet małego przedsiębiorstwa funkcjonującego bez sieci, to temat bezpieczeństwa wciąż bywa niedoceniany. Gdyby przeanalizować rodzaj prowadzonej działalności, rodzaj przetwarzanych danych i sposób ich przetwarzania, a także potencjalny wpływ utraty i wycieku tychże, łatwo będzie dojść do wniosku, że firewall na styku sieci wewnętrznej z Internetem to zdecydowanie za mało. Na bazie rozmaitych opracowań eksperckich (na przykład brytyjskiego NCSC) łatwo przyjdzie wymienić szereg wartych rozważenia mechanizmów zabezpieczających, jak choćby uwierzytelnianie dostępu do sieci, izolacja różnego rodzaju usług i przydzielanie dostępu do nich podług roli w organizacji, kontrola dostępu uprzywilejowanego, kopie zapasowe, gromadzenie logów i wykrywanie anomalii w ruchu sieciowym, procedury reakcji na incydenty… czy wreszcie szkolenie wszystkich pracowników ze świadomego i bezpiecznego korzystania z komputera, Internetu lub nośników danych. Firmy, w których budżet i analiza ryzyka wskazują na większe możliwości „fortyfikacji”, zapewne rozważają też koncepcje takie jak IPS, SIEM oraz vulnerability assessment, względnie okresowe testy penetracyjne dla wykazania słabych punktów dotychczas stworzonej kopuły ochronnej.

Jednym z często spotykanych wyzwań w sieci IT jest brak segmentacji ruchu sieciowego poprzez uwierzytelnianie i izolację urządzeń o różnych rolach w organizacji i dalsze przydzielanie dostępu do konkretnych portów komunikacji lub zasobów sieciowych. Takie podejście pozwala z jednej strony utrudnić rekonesans potencjalnych luk bezpieczeństwa w obecnych w sieci systemach, z drugiej – w razie gdyby jednak atak się udał – zapewnia jakiś stopień „damage control”. Obrazowym przykładem skutków (lub przyczynkiem do refleksji) może być ransomware NotPetya z czerwca 2017 roku. Firmy takie jak Raben, Mondelez czy szacujący straty na setki milionów dolarów Maersk zostały „trafione” złośliwym oprogramowaniem, które rozprzestrzeniało się między maszynami przez podatną wersję protokołu SMB. Ucierpieli nawet operatorzy krytycznej infrastruktury na Ukrainie! Co ciekawe, atak ten zdarzył się miesiąc po podobnej kampanii o nazwie WannaCry. Oba ataki korzystały z podatności która została już kilka miesięcy wcześniej załatana przez Microsoft. Wskazuje to przy okazji na problem procedur związanych z aktualizacjami systemów i oprogramowania użytkowników.

Wśród metod wniknięcia atakującego do infrastruktury wciąż wysoko znajduje się phishing, pozwalający na przejęcie danych uwierzytelniania osoby z wewnątrz organizacji. Nadal potrzeba wiele pracy w obszarze edukacji pracowników każdego szczebla, którzy czasem dla własnej wygody szukają lub wręcz żądają dróg obejścia sztywnych reguł wewnętrznej polityki cyberbezpieczeństwa.

Kwestią dziś być może już banalną, ale wciąż istotną, są zagadnienia takie jak wymuszanie stosowania wygaszacza ekranu z hasłem oraz polityka samych haseł, które pracownicy używają celem dostępu do komputera lub do zasobów takich jak systemy CRM lub ERP. Zbyt luźne reguły mogą sprawić, że złamanie haseł będzie banalnie proste w oparciu o współczesne techniki i sprzęt. Zbyt ostre podejście (bardzo częsta zmiana haseł z długą „pamięcią” poprzednio używanych) może zaskutkować frustracją i notowaniem haseł np. w notesie lub na kartce leżącej na biurku. Te już mogą być wykorzystane przez ciekawskiego gościa naszego biura, tak samo jak dostęp do niezablokowanego laptopa z otwartą na wierzchu pocztą służbową.

Tego typu problemy są typowe dla sieci IT, ale także mogą występować w sieci OT, zwłaszcza kiedy te infrastruktury w sposób nieunikniony łączą się ze sobą. Przykładowo, administrator sieci OT funkcjonujący na co dzień ze swoim laptopem w sieci IT, gdzie obie te sieci nie są galwanicznie odizolowane, a raczej – ze względu na optymalizację kosztów, oferowane możliwości w zakresie bezpieczeństwa i potencjalną konieczność dostępu do sieci publicznej – korzystają ze wspólnych węzłów sieciowych (np. router, firewall lub cały obszar rdzeniowo-dystrybucyjny). Według badań niemal 75% przedsiębiorstw znajduje się w sytuacji, w której sieci IT i OT są ze sobą połączone. Są jednak istotne różnice między nimi z powodu różnego celu ich istnienia, to tworzy też potencjalnie różne czynniki ryzyka, które należy zaadresować w polityce bezpieczeństwa.

Podczas gdy jedną z charakterystycznych cech sieci IT jest zapewnienie poufności, integralności danych i dostępności, a dalej patrząc zdolność szybkiej reakcji na awarie, w OT od początku wysoka dostępność była najistotniejszym elementem. Przykładowo, kiedy pracownik biurowy przeplatający pisanie maili oglądaniem filmików w mediach społecznościowych stanie się „ofiarą” przestoju lub przerwy w komunikacji na poziomie od kilkudziesięciu milisekund do nawet kilku sekund, najprawdopodobniej nawet tego nie zauważy. Systemy automatyki przemysłowej, systemy czasu rzeczywistego nie mogą sobie pozwolić na tak długie przestoje. Mogłyby one skutkować opóźnieniami lub w skrajnym przypadku wstrzymaniem produkcji, gdzie ciągłość procesu jest na wagę złota.

Innym zjawiskiem zauważalnym w sieciach operacyjnych, który odróżnia je od reszty infrastruktury teleinformatycznej przedsiębiorstwa, jest długi czas życia stosowanych rozwiązań, potrafiący sięgać nawet dwóch dekad. W sieciach IT jest to raczej niespotykany przedział czasowy. Z tego względu możemy nierzadko zetknąć się dziś z systemami przemysłowymi i protokołami komunikacji, które powstawały bez świadomości tego, jak będą rozwijały się zagrożenia cybernetyczne i bez założenia hiperkonwergencji (podobny problem zdaje się ujawniać w nowoczesnej wizji jaką jest świat Internetu Rzeczy). Ponadto, rzadkie łatanie systemów obecnych w sieciach OT może stanowić o długo istniejącym ryzyku ich zaatakowania, wymóg ciągłej dostępności sprawia, że konieczność aktualizacji systemów SCADA i PLC nie zawsze jest przyjmowana z aprobatą.

W grudniu 2016 roku 20% obszaru Kijowa zostało odcięte od energii elektrycznej na co najmniej godzinę, a to za sprawą złośliwego oprogramowania Industroyer. Jednego z kilku publicznie znanych malware obierających za cel systemy ICS, podobnie jak Stuxnet, Havex, BlackEnergy czy Triton. Ten ostatni, zorientowany na kontrolery SIS w branży paliwowej i energetycznej, został wykorzystany w 2017 i 2019 roku. Zauważalne jest powolne skupienie uwagi atakujących na systemach ICS. W przypadku sieci produkcyjnych oraz infrastruktury krytycznej nie da się wykluczyć – poza czynnikiem losowym – działań konkurencji lub służb obcych krajów. Na przykładzie Tritona, uznawanego za  nowatorski, warto odnotować możliwą dużą ostrożność i cierpliwość atakujących, których obecność w infrastrukturze przed zadaniem ciosu może trwać długimi miesiącami. A jakimi możliwościami dysponowali atakujący? Przerwanie procesów przemysłowych fałszywym alarmem albo  przeprogramowanie logiki kontrolera SIS lub systemów DCS, przez co poważniejsza awaria mogłaby zostać niewykryta w porę lub wprost wywołana przez malware.

Historie wyżej wspomniane nie powinny jednak skłaniać nas ku izolacji infrastruktury przemysłowej od sieci IT oraz Internetu, zdaje się to być dziś niemożliwe, a także odcinałoby przedsiębiorstwa i instytucje od korzyści jakie płyną z hiperkonwergencji. Zamiast tego, rozsądnym krokiem będzie uwzględnienie tego zjawiska z analizie ryzyka i polityce bezpieczeństwa. Konieczne jest wyszczególnienie punktów styku sieci OT z „resztą świata”, protokołów które potencjalnie mogłyby obejmować swoim zasięgiem IT i OT, oraz obiektów z sieci IT które powinny mieć do obszaru OT dostęp. Należałoby też zastanowić się nad sposobem egzekwowania ustanowionych reguł. Pomocne w tym mogą być systemy kontroli dostępu do sieci, kontroli dostępu uprzywilejowanego, zapory ogniowe. Warto rozważyć implementację mechanizmów security zgodnie z paradygmatem „zero trust” blokując każdy protokół komunikacyjny między dowolnymi urządzeniami połączonymi przez sieć, który nie jest konieczny. Jednocześnie wspólnym dla sieci przemysłowych oraz IT powinna być adekwatna do ryzyka ochrona komputerów i szkolenie personelu. Regularna analiza podatności i testy penetracyjne pomogą utrzymać świadomość nowego ryzyka, a analiza ruchu wewnątrz infrastruktury OT oraz na styku z siecią IT oparta o wykrywanie anomalii i zagrożeń pozwoli z wyprzedzeniem zaobserwować potencjalnie niebezpieczne zjawiska w ruchu sieciowym.

Na koniec warto wspomnieć, że niemal 80% przedsiębiorstw wprowadza innowacje w świecie cyfrowym szybciej, niż są w stanie zapewnić odpowiedni poziom cyberbezpieczeństwa. Być może rozwiązaniem jest włączenie tego obszaru pod strategię innowacyjności?