Bezpieczeństwo przemysłowych systemów IT

Sebastian Stehlik, administrator IT: Zdecydowanie tak – jest to trend nasilający się. Coraz częstsze są ataki komercyjne w celach zarobkowych, czyli ciągle rozwijająca się cyberprzestępczość, podobnie obszar przemysłowy jest dla hakerów interesującym kąskiem. Należy jednak zwrócić uwagę, że celem masowych ataków są z reguły informacje dotyczące kont bankowych, natomiast w przypadku ataków przemysłowych mogą to być informacje służące do „walki” z konkurencją, a więc mające bardziej zapewnić przewagę gospodarczą, niż służyć do czerpania konkretnych zysków z ataku. Wirusów oraz rootkitów (rootkit jest oprogramowaniem, które po dostaniu się do systemu staje się jego integralną częścią, przez co może realizować swoje cele, pozostając nierozpoznawalnym) nie pisze się po to, żeby zrobić komuś „psikusa”, spowolnić system czy coś złośliwie skasować. W dzisiejszych czasach wirusy są bardziej wyrafinowane, działają tak, aby pozostać jak najdłużej niewykrywalnym elementem systemu, przy jednoczesnym zachowaniu pełnej kontroli nad nim i możliwości przesyłania informacji.

SS (IT): W przypadku instalacji przemysłowych automatyki, oprócz typowych zagrożeń ze strony wirusów ukazujących się w liczbie kilku tysięcy mutacji dziennie, obawiać się należy bardziej czegoś innego. Poważnego zagrożenia szukałbym głównie w zaawansowanych, ukierunkowanych rootkitach rozprzestrzeniających się nie tylko drogą sieciową, ale także poprzez przenośne karty pamięci, które są drugim w kolejności najpopularniejszym sposobem na rozprzestrzenianie się wirusów. Pomijam tutaj przypadki malweru zagnieżdżonego w biosach komponentów sprzętowych, które, choć dość rzadkie, bywają niesłychanie trudne do wykrycia i usunięcia.

SS (IT): Przede wszystkim jeśli chodzi o bezpieczeństwo trzeba mieć świadomość tego, że to tak naprawdę ataki wewnętrzne stanowią 80% ataków na systemy informatyczne. Analizy w obszarze systemów informatycznych i sieci mówią, że stosunek ataków wewnętrznych do zewnętrznych na jedną sieć jest jak 80 do 20. Nawet jeśli zadbamy o to, żeby nasza sieć była bardzo dobrze zabezpieczona z zewnątrz, to i tak 80% ataków, a w najlepszym wypadku pół na pół, należy się spodziewać wewnątrz organizacji. Wynika to z tego, że wewnątrz o wiele łatwiej świadomie lub nieświadomie doprowadzić do zaburzenia pracy systemu. Szczególnie że coraz częściej zachodzi konieczność integracji rozwiązań działających w warstwie automatyki (systemy monitoringu i sterowania procesem – HMI/SCADA, systemy klasy MES) z systemami biurowymi, biznesowymi, np. ERP zarządzanymi przez działy IT.

SS (IT): Kluczową rolę w tym obszarze odgrywa wewnętrzna polityka bezpieczeństwa kreowana przez dział IT w porozumieniu z personelem całej fi rmy, zgodnie z pewnymi zasadami. Do jednej z moich ulubionych należy „zasada najmniejszego uprzywilejowania” (ang. least privilege), która wymaga, aby każdy element systemu (w tym osoba czy program) miał dostęp tylko do tych informacji i zasobów, które są niezbędne do spełnienia wyznaczonego mu celu lub zadania. Przydzielanie ról osobom i określanie odpowiedzialności tych osób w ramach pracy na systemach informatycznych, niezależnie czy jest to system SCADA, ERP, raportowy itp., pozwala stworzyć politykę bezpieczeństwa. W oparciu o nią można zbudować system zarządzania użytkownikami, który jednej osobie nada pełne uprawnienia, a innej ograniczy. Dodatkowym aspektem jest stworzenie odpowiedniego zintegrowanego systemu tworzącego kopie zapasowe.

Marcin Woźniczka, konsultant ds. przemysłowych systemów SCADA/MES: Zespół inżynierów wdrażających przemysłowe systemy IT, przygotowując się do wdrożenia rozwiązań, które będą w pewnym obszarze komunikowały się z systemami biurowymi, powinien na wstępie zapoznać się ze standardami działu IT w kilku obszarach. Pierwszym z nich są systemy operacyjne, które często posiadają preinstalowane drivery, oprogramowanie i ustawienia. Potencjalne trudności mogą wynikać z tego, że producent oprogramowania SCADA zazwyczaj rozwija oprogramowanie (development, testy), opierając się na czystych, nie modyfikowanych systemach operacyjnych. Kolejnym już wspomnianym obszarem jest polityka bezpieczeństwa. Warto na etapie przygotowania do integracji sprawdzić, jakie są polisy bezpieczeństwa i czy przypadkiem nie zawierają polis restrykcyjnych, które domyślnie są ustawione w trybie odmawiaj dostępu. Kolejnym zagadnieniem jest częsta potrzeba integracji z ogólnofi rmowym systemem zabezpieczeń.

MW (SCADA): Taka integracja jest nie tyle możliwa, co niezbędna. W przypadku dodania użytkowników systemu przemysłowego do domenowego systemu zabezpieczeń zyskujemy pełną kontrolę nad zmianą haseł, uprawnieniami użytkowników w zakresie modyfikacji oprogramowania SCADA i zmiany ustawień systemu operacyjnego (np. ustawień regionalnych, daty, czasu). Producenci przemysłowych systemów SCADA i MES, tworząc oprogramowanie, często wykorzystują w nim powszechnie dostępne i sprawdzone technologie takie jak: SharePoint, SQL, IIS (Internet Information Services), .NET. Wynika to z faktu łatwości integracji takich komponentów z systemami zabezpieczeń i niechęcią przed „wyważaniem” otwartych drzwi.

SS (IT): Wdrażanie poprawek systemu operacyjnego jest ważnym elementem utrzymania bezpieczeństwa na odpowiednim poziomie. Odgrywa bardzo dużą rolę, jeśli chodzi o systemy biurowe, gdzie pracownicy mają duże, powiedzmy, „możliwości” ściągnięcia na siebie zagrożenia z zewnątrz. To, co mogą robić administratorzy systemów operacyjnych, to dbać o to, żeby tych luk, które mogą być wykorzystane do przedarcia się, było jak najmniej. No i dodatkowo ważne są aktualizacje, począwszy od systemu operacyjnego, aż po używane prze użytkownika aplikacje, w tym te przemysłowe, bo na „patchowaniu” systemu operacyjnego nie można poprzestać. Ważna jest także regularność i cykliczność takich działań, czyli instalacja poprawek przynajmniej raz w miesiącu. W przypadku gdy zachodzi konieczność instalacji poprawek na serwerach i komputerach z aplikacją przemysłową, warto ograniczyć koszty przestoju serwera poprzez uzgodnienie z działem automatyki/ produkcji, kiedy takie poprawki mogą zostać zaaplikowane oraz minimalizować ryzyko utraty stabilności pracy systemu, testując wcześniej większe pakiety poprawek.

MW (SCADA): Zdecydowanie tak, ale te aktualizacje należy wykonywać „z głową”. Warto sprawdzić, czy producent oprogramowania bierze pod uwagę aspekty aplikowania poprawek i aktualizacji systemów operacyjnych. Przykładowo firma Wonderware do celów testowych stworzyła laboratorium bezpieczeństwa systemów, w którym testuje zgodność wszystkich aktualizacji i poprawek systemów operacyjnych wypuszczanych przez Microsoft z aktualnymi wersjami swoich produktów. Każda „łatka” jest przetestowana do 15 dni od wypuszczenia. Użytkownicy oprogramowania (programiści, dział IT) mogą sprawdzić, które poprawki można bezpiecznie zaaplikować w systemie na portalu Wonderware Security Central. Dodatkowo możliwe jest stworzenie w systemie zabezpieczeń IT kontenera zawierającego wszystkie systemy przemysłowe – nazwanego np. systemy SCADA i MES – który będzie zawierał niezależne harmonogramy aktualizacji z potwierdzaniem, które „łaty” aplikujemy, a które nie. Daje to gwarancję, że instalacja przemysłowa będzie odporna na cyberataki, a z drugiej strony dostępna dla użytkowników biznesowych.

SS (IT): Zdecydowanie nie powinni, jako że te uzgodnienia leżą w interesie tych dwóch działów. W przypadku polityki bezpieczeństwa kluczowych z punktu widzenia działania fi rmy systemów IT nie może być tak, że gdy pracownik automatyki przychodzi z kwiatami, z bombonierką i o coś prosi, to mu się to robi. Jeżeli np. w trakcie rozmów na temat zabezpieczeń okaże się, że polityka bezpieczeństwa IT nie uwzględnia pewnych scenariuszy integracji, jest to bardzo dobry moment do zrobienia przeglądu tej polityki i usprawnienia jej na drodze uzgodnień. Pozwoli to na zwiększenie „szczelności” i spójności systemów IT wewnątrz fi rmy. Pamiętajmy, że podobnie jak w przypadku wydajności procesu produkcyjnego, sieć jest na tyle bezpieczna, na ile bezpieczne jest jej „najsłabsze ogniwo”. Dążmy więc do tego, aby przez otwartą komunikację te najsłabsze ogniwa eliminować.

SS (IT): Budowanie architektury sieciowej jest tematem na zupełnie odrębną rozmowę, natomiast tym, na co na wstępie należy zwrócić uwagę, są cele, jakie ma realizować sieć. Są one determinowane przez wymagania dotyczące dostępności urządzeń i systemów, szybkości przesyłu danych, odporności na warunki zewnętrzne, wymaganych zabezpieczeń w przesyle danych. Specyfikacja determinuje, czy decydujemy się na wybór sieci odseparowanych fizycznie, czy logicznie z wykorzystaniem sieci wirtualnych (VLAN). Wpływa to także na decyzję, czy stosujemy urządzenia w wykonaniu przemysłowym (odporne na wstrząsy, zanieczyszczenia, wysoką i niską temperaturę) czy urządzenia biurowe. W przypadku, gdy zachodzi konieczność ciągłej wymiany danych między systemami przemysłowymi a systemami biurowymi, warto także pamiętać o mechanizmie strefy zdemilitaryzowanej (DMZ) lub ACL (Access Control List).

MW (SCADA): Na bazie naszego doświadczenia z kilkuset wdrożeń kompleksowych systemów SCADA i MES można jednoznacznie stwierdzić, że w przemysłowych systemach informatycznych architektura sieci budowana jest zazwyczaj w sposób gwarantujący 100% dostępność danych pobieranych i wysyłanych do urządzeń sterujących, stąd warto dodatkowo wspomnieć o mechanizmie redundancji sieci, zwanym popularnie „ringiem”. Wspomniany wcześniej portal Wonderware Security Central zawiera szereg artykułów opisujących dobre praktyki budowania architektury sieciowej dla przemysłowych systemów informatycznych, uwzględniając potrzeby informatycznego bezpieczeństwa przesyłu danych (m.in. z wykorzystaniem strefy zdemilitaryzowanej, DMZ)

MW (SCADA): Rozwiązaniem zalecanym przez firmę Wonderware do udostępniania wizualizacji w sieciach biurowych są usługi terminalowe. Szczególnie w przypadku, gdy wymagany jest dostęp do funkcji sterowania (zmiany ustawień urządzeń sterujących). Wynika to z bezpieczeństwa przesyłu danych, ponieważ, o ile w wypadku utraty komunikacji w środowisku terminalowym tracimy tylko dostęp do sesji, o tyle w skrajnych przypadkach stosowania do takich celów przeglądarek internetowych, użytkownicy tracili kontrolę nad danymi wprowadzanymi do aplikacji. Ponadto dużo łatwiejsze jest zaaplikowanie zintegrowanego systemu zabezpieczeń IT w środowisku usług terminalowych.

Podsumowując, warto nadmienić, iż mimo wielu zagrożeń zewnętrznych i wewnętrznych czyhających na przemysłowe systemy informatyczne SCADA i MES realizujące funkcje monitoringu i sterowania w odpowiedzialnych technologiach w przemyśle możliwe jest ich odpowiednie zabezpieczenie. Pomocne są tutaj dobre praktyki wypracowywane przez działy IT i producentów oprogramowania, ale przede wszystkim umiejętność otwartego dialogu między działami IT a działami automatyki, produkcji i utrzymania ruchu odpowiedzialnymi za instalacje przemysłowe.