Nedávný incident, kdy útočník patřící pravděpodobně do kategorie státem placeného nechtěně odstavil zařízení kritické infrastruktury na Blízkém východě při testování nového malwaru, který se rozšířil, vyvolává obavy ohledně zranitelnosti průmyslových řídicích systémů (ICS) vůči novým kybernetickým hrozbám.
Mnoho bezpečnostních expertů považuje incident za předzvěst nové vlny ničivých útoků zaměřených na ICS a chtějí, aby vlastníci kritické infrastruktury rychle aktualizovali zabezpečení svých provozních technologických (OT) sítí.
ICS a zabezpečení
ICS je jakékoli zařízení, přístrojové vybavení a související software a sítě používané k provozu nebo automatizaci průmyslových procesů. Průmyslové řídicí systémy se běžně používají ve výrobě, ale jsou také nezbytné pro kritickou infrastrukturu, jako jsou dodávka energie, komunikace a doprava.
Mnoho z těchto systémů se připojuje k senzorům a dalším zařízením přes internet – průmyslový internet věcí (IIoT), což zvyšuje potenciální prostor pro útoky vůči ICS.
„Je důležité, aby organizace využily zkušenosti získané při zabezpečování podnikových IT, ale přizpůsobily je jedinečným vlastnostem provozních technologií,“ uvádí Eddie Habibi, výkonný ředitel a zakladatel společnosti PAS Global, která se zabývá zabezpečením ICS.
Podle něj to zahrnuje posun nad rámec zabezpečení založeného na perimetru a přidávání bezpečnostních opatření pro vybavení, na kterém nejvíce záleží – proprietární řídicí systémy, jež ponesou primární odpovědnost za bezpečnost a spolehlivost.
Níže uvádíme některé základní otázky, které by měli podle některých expertů provozovatelé výrobních závodů, inženýři řízení procesů, specialisté na výrobní IT a bezpečnostní personál klást při plánování zabezpečení ICS.
1. Máme personál pro správu a udržování bezpečnosti ICS?
Plánovači organizací mají často tendenci považovat průmyslovou kybernetickou bezpečnost za převážně technologickou záležitost, zatímco je často mnohem větším problémem nedostatek kvalifikovaných pracovníků, varuje Sid Snitkin, analytik poradenské společnosti ARC Advisory Group.
V posledních letech provozovatelé kritické infrastruktury stále častěji využívají pro ochranu svých systémů doporučená technologická opatření, ale nemají dostatek personálu k jejich obsluze.
„Mnoho organizací prostě nemá k dispozici lidi pro podporu zavedené technologie,“ upozorňuje Snitkin. „Nasadí antimalware, ale nemají personál na instalaci aktualizací. Dokážou identifikovat zranitelnosti, ale nemají nikoho, kdo by je odstranil.“
Správa kybernetické bezpečnosti tak často leží na bedrech stejných inženýrů zajišťujících automatizaci a provoz, kteří systémy zavedli.
„Bezpečnost je pro ně vedlejší práce,“ prohlašuje Snitkin. Nemají čas a obvykle jsou více zaměřeni na udržování systémů v provozu, než aby je vypínali z důvodu řešení bezpečnostních záležitostí, varuje Snitkin.
Mnoho manažerů výrobních závodů pak má falešný dojem bezpečí, když si myslí, že vyřešili své problémy se zabezpečením použitím několika technologických opatření.
2. Víme, co je v provozu nainstalované?
Chcete-li řádně zajišťovat ochranu, musíte nejprve zjistit, co je v provozu nainstalované a co je s čím propojené. Pokud takovou viditelnost nemáte, jste bez šance, varuje Joe Weiss, výkonný ředitel společnosti Applied Control Solutions.
Podle něj musíte vědět, kde máte nasazená technologická opatření a kde lze technologii použít k ochraně. U systémů, které nepodporují moderní bezpečnostní opatření, musíte přemýšlet o kompenzačních opatřeních pro zmírnění rizika.
„Viděli jsme, jak hackeři dokážou obejít firewally a využít mezery a zranitelnosti zařízení ICS v důsledku nedostatku základní ochrany bezpečnosti,“ tvrdí Bill Diotte, výkonný ředitel společnosti Mocana zaměřené na průmyslové zabezpečení.
Majitelé, manažeři a provozovatelé výrobních závodů musejí nezbytně zajistit, aby samotná zařízení ICS byla důvěryhodná a podporovala nezbytnou kybernetickou bezpečnost, tvrdí Diotte.
„PLC (programovatelné logické řadiče), senzory a průmyslové gatewaye nemají bezpečné přihlašovací nástroje, jako jsou například digitální certifikáty nebo soukromý klíč uložený na čipu jako základ pro zajištění důvěryhodnosti,“ upozorňuje Diotte.
Základní kybernetická ochrana, jako jsou bezpečné spouštění, autentizace, šifrování a řetězení důvěry, podle něj nejsou implementované v zařízeních, která mají vliv na bezpečnost personálu, provozuschopnost a životní prostředí.
3. Používáme skutečně zásady kybernetické bezpečnosti pro řídicí systémy?
Jedna z největších chyb, jaké může organizace udělat, je považovat zabezpečení řídicích systémů za shodné se zabezpečením IT. Tyto dvě oblasti jsou zásadně odlišné, zdůrazňuje Weiss.
Zabezpečení IT se obvykle zaměřuje na zjišťování a řešení zranitelností v síti bez ohledu na skutečný dopad na provozní systémy. Pro provozovatele výrobních závodů jsou integrita a dostupnost systémů nejdůležitější, prohlašuje Weiss. Zaměření na ně se netýká důmyslnosti konkrétní kybernetické hrozby, ale zda tato hrozba může způsobit problém procesu.
„Používáte skutečně zásady a postupy pro kybernetickou bezpečnost řídicích systémů? Ne pro IT, ne pro nepřetržitý provoz a ne pro fyzické zabezpečení,“ říká Weiss. Přemýšlíte o tom, jak jsou vaše provozní řídicí systémy chráněny, nebo o nich slepě přemýšlíte, jako by to byly standardní IT, ptá se.
K zajištění skutečného zabezpečení musíte být schopni důvěřovat výstupu z provozních senzorů připojených k vašim řídicím jednotkám, pohonům a rozhraním mezi stroji a lidmi (HMI).
„Před 11. zářím platilo, že vlastníci IT vybavení měli vše, co se ho týkalo. Po 11. září se kybernetická sféra překlasifikovala na kritickou infrastrukturu, převzala od provozovatelů a předala do sféry IT.“ Výsledkem je pohled na zabezpečení ICS nadměrně soustředěný na IT, upozorňuje Weiss.
4. Můžeme věřit výstupu z našich zařízení?
Zajistěte, abyste měli opatření zajišťující důvěryhodnost zařízení ve vaší průmyslové řídicí síti, doporučuje Diotte. V opačném případě je riskantní důvěřovat jejich údajům.
„Mají vaše průmyslová řídicí zařízení funkce, jako jsou bezpečný proces spouštění a mechanismy pro zabránění neoprávněným změnám firmwaru? Víte, jak bezpečné jsou procesy vzdálené instalace aktualizací softwaru a bezpečnostních záplat? Podporuje vaše zařízení ICS použití autentizace PKI založené na standardech a digitální certifikáty?“ ptá se Diotte.
„Všichni se zaměřují na diagnózu. Nikdo se neptá, zda můžeme důvěřovat svým snímačům,“ dodává Weiss. „Jste-li lékař, nemůžete věřit odečtům hodnot krevního tlaku, pokud nevíte, zda je přístroj důvěryhodný.“
5. Chrání opatření zabezpečení IT naše systémy, nebo vytvářejí více problémů?
Personál IT by neměl nic dělat přímo s řídicími systémy bez dohledu personálu odpovědného za tyto systémy, varuje Weiss. V opačném případě může dojít k neočekávaným problémům.
„Když se v oblasti IT někdo pětkrát pokusí zadat nesprávné heslo, dojde k blokaci.“ Použití stejného přístupu pro řízení přístupu ke kritickému systému dodávky energie, když se někdo skutečně potřebuje do takového systému rychle dostat, může být katastrofální, varuje.
„Výrobní závod může skončit v troskách,“ konstatuje Weiss. „Hackerovi totiž stačí pětkrát zadat špatné heslo, aby vás zablokoval.“
Je nezbytné zjistit, zda jsou vaše bezpečnostní opatření navržená pro provozní technologie, připomíná Habibi.
„Agenty, blokace pingu v síti a další běžné metody pro zabezpečení firemních sítí IT není vhodné v řídicí síti procesů používat z důvodu možného vlivu na bezpečnost a spolehlivost,“ tvrdí Habibi. „Taková řešení prostě do výroby nepatří. Tečka.“
6. Máme pro své systémy správnou dokumentaci?
Ať už jde o nasazení nového řídicího nebo o ochranu původního systému, je důležité mít k dispozici veškerou dokumentaci nezbytných a volitelných služeb pro řídicí komponenty, říká Reid Wightman, hlavní analytik zranitelností ve společnosti Dragos.
Potřebujete vědět, zda dokumentace rozděluje služby podle funkcí – například protokoly řídicích systémů versus technické protokoly versus přenos souborů a protokoly konfigurace rozhraní mezi lidmi a stroji, upozorňuje.
Když nastane selhání řídicí komponenty, máte dokumentaci, která vysvětluje chování výstupů řídicího systému? „Jaké proprietární síťové protokoly jsou v systému implementované a co se udělalo pro ochranu jejich služeb?“ ptá se Wightman.
Takové informace potřebujete, abyste skutečně porozuměli rizikům, která akceptujete, a opatřením ke zmírnění, jež jsou potřeba k izolaci zranitelností, pokud by ovlivnily vaše systémy.
7. Chápeme plně naše problémy s přístupem k síti?
Připojení řídicích systémů do sítě může usnadnit jejich správu, ale potřebujete chápat bezpečnostní důsledky a používat opatření ke zmírnění rizik, upozorňuje Wightman.
Jaké záruky například máte, že někdo, kdo přistupuje k vašemu prostředí řídicích systémů prostřednictvím sítě, má přístup k datům jen pro účely čtení? Potřebuje dodavatel provozního systému vzdálený přístup k síti? Jakou kontrolu můžete mít nad takovým přístupem?
Stejně tak potřebujete vědět, zda budou technici vzdáleně přistupovat k řídicím prvkům a proč tento přístup potřebují.
Zajistěte, abyste věděli, jaká opatření existují nebo je nutné je přidat do sítě, abyste dosáhli přijatelné úrovně rizika a jistoty, že vzdálený přístup je zajištěn bezpečně, radí Wightman.
Měli byste také vědět vše potřebné o komunikačních protokolech, které budete potřebovat k podpoře tříd a typů zařízení, doporučuje Diotte ze společnosti Mocana.
Zjistěte, zda máte silnou autentizaci a šifrování veškeré komunikace s vašimi řídicími systémy, identifikujte nejzranitelnější komunikační protokoly a zjistěte, zda komunikujete bezpečně se sítěmi SCADA a IIoT, shrnuje Diotte.
8. Jsou zabezpečené správa incidentů a reakce na incidenty?
Přestože může být pravděpodobnost kybernetického útoku poměrně nízká, může být jeho dopad katastrofální. Je nutné položit základní otázku týkající se vaší schopnosti reagovat na úspěšný útok a zmírnit následky, připomíná Snitkin z ARC Advisory.
„Pokud by útočník skutečně chtěl proniknout do vaší organizace a vytvořit si základnu, nebudete ho moci zastavit,“ varuje. Musíte zajistit plán a proces pro rychlé i bezpečné zotavení z úspěšného kybernetického útoku.
Při vyhodnocování opatření pro zajištění kybernetické bezpečnosti vašeho prostředí ICS zjistěte, jak je vaše organizace schopna rozpoznat neoprávněné změny, radí Habibi.
„Máte protokoly pro reakci na incidenty založené na důležitosti zařízení, abyste reagovali adekvátně a rychle?“ ptá se. „Víte, jaký prostor pro útoky existuje pro průmyslová zařízení?“
Zkontrolujte procesy identifikace a zmírnění zranitelností jak pro zařízení založená na IT, tak i pro proprietární řídicí systémy, úroveň současné instalace oprav a zařízení, která jsou nejvíce exponovaná, doporučuje Habibi.
„Pokud nastane nejhorší scénář, otestovali jste plány pro nepřetržitý provoz včetně čerstvé zálohy rizikových systémů?“