Aj stroje treba chrániť pred kyberútokmi

Ochromili iránsky jadrový program, vyradili ukrajinskú energetickú sieť. Je pred nimi vaša firma v bezpečí? Stroje, zariadenia a prevádzkové technológie sú rovnakým terčom útokov ako siete a počítače. Do povedomia sa táto hrozba dostáva aj na Slovensku a firmy sa čoraz viac zaoberajú ochranou takzvaných SCADA zariadení. Prispel k tomu aj nový Zákon o kybernetickej bezpečnosti 69/2018 Z. z. a požiadavky vyhlášky 362/2018 Z. z.

 

Stavebný prvok

„Zjednodušene povedané, ochrana SCADA znamená ochranu prevádzkových technológií – operation technology, skrátene OT,“ vysvetľuje Michal Sekula, odborník spoločnosti Atos na kybernetickú bezpečnosť.

To pokrýva napríklad riadiace systémy v priemyselnom prostredí, čiže Industrial Control Systems (ICS), s ktorými sa bežne stretávame vo výrobných prevádzkach, rozvodných sieťach elektriny a plynu, ale aj pri rôznych nemocničných prístrojoch a podobných zariadeniach.

Najnižšiu úroveň zariadení v architektúre OT sveta tvoria napríklad programovateľné logické automaty (PLC), RTU terminály, či senzory. Nad nimi sa nachádza spomínaná SCADA (Supervisory control and data acquisition), ktorá tvorí jeden zo stavebných prvkov OT sveta a ktorá okrem iného zabezpečuje dohľad a sprostredkováva zber dát zo sledovaných technologických procesov.

SCADA systémy v minulosti na komunikáciu využívali špecializované priemyslové linky, tie moderné však už stále častejšie využívajú bežné počítačové siete a umožňujú tak vzdialený prístup prostredníctvom internetu. Do akej miery je to možné, závisí od architektúry IT a OT prostredia v konkrétnom podniku.

 

Rôzne úlohy a rôzne nároky

„Hlavný rozdiel medzi IT svetom a OT svetom spočíva v tom, že kým ten prvý je zameraný na prenos a spracovanie informácií, ten druhý sa sústredí na stroje a zariadenia a na riadenie technologických procesov,“ vysvetľuje odborník spoločnosti Atos. „Z rôznych úloh preto vyplývajú aj rôzne nároky. Kým základom ochrany IT sveta je bezpečnosť, dostupnosť a integrita dát, pri OT svete je to zabezpečenie kontinuity výrobného procesu.“

Priemyselný sektor v posledných 15 rokoch zažíva masívnu digitalizáciu, ktorej cieľom je zvýšenie efektívnosti a bezpečnosti. Avšak digitalizácia so sebou priniesla i nárast komplexnosti priemyselného prostredia a ruku v ruke s tým aj nárast problémov a hrozieb, špecifických pre ICS.

Priemyselné prostredie v čoraz väčšej miere začína využívať výhody spájania, konvergencie IT a OT sveta. Prínosom je potom napríklad rýchlejšia odozva výroby na požiadavky obchodu, ale aj znižovanie počtu výpadkov vďaka preventívnemu monitorovaniu, ktoré upozorní na potenciálny problém skôr, ako nastane

 

Tri druhy výziev

Výzvy, kladené na moderný OT svet možno rozdeliť do troch skupín – prevádzka, infraštruktúra a bezpečnosť.

Prevádzke zvyčajne chýba zoznam aktív v reálnom čase, má nepresné informácie o modeloch a firmvéri ICS komponentov či nedostatočný prehľad o aktivitách vendorov a technikov tretích strán v OT prostredí.

Pre infraštruktúru je často typická nie úplne presná znalosť, kde sa konkrétny komponent fyzicky nachádza, segmentácia sietí je limitovaná a možnosti monitorovania OT sieťovej komunikácie bývajú obmedzené alebo žiadne.

A bezpečnosť? Veľmi obmedzená viditeľnosť do OT sietí, neschopnosť odhaliť zraniteľnosti systémov, komplikovaná a ťažkopádna integrácia do SIEM a iných dohľadových systémov, či v neposlednom rade pomalá a nákladná detekcia hrozieb a riešenie kybernetických incidentov.

 

Prestížne ciele

Cielené kybernetické útoky na OT prostredie sú pritom stále častejšie, vzhľadom na ich veľký spoločenský, politický, ale i vojenský dopad.

Asi najznámejším z nich bol vírus Stuxnet v roku 2009. Neochytával heslá ani iné citlivé údaje, ani nešifroval disky, ale jeho cieľom bolo poškodenie fyzických zariadení. Do továrne na výrobu obohateného uránu v Iráne sa dostal na USB kľúči. Vyradil časť napadnutých centrifúg tým, že dočasne menil ich prevádzkové parametre mimo povolené hodnoty. Na dispečing však stále posielal korektné parametre, takže obsluha si nič nevšimla. Dokázal sa tak maskovať niekoľko mesiacov.

V roku 2015 sa terčom podobného útoku stali elektrické rozvodné siete na Ukrajine. Útočníci začali nenápadným phishingom a dostali sa do IT siete. „OT prostredie bolo síce oddelené a chránené firewallom, ale útočníci analýzou IT sietí identifikovali niekoľkých zamestnancov s potrebnými privilégiami a pomocou ich prihlasovacích údajov prenikli do chránenej siete,“ približuje odborník na kybernetickú bezpečnosť. Výsledkom bolo niekoľko stotisíc ľudí bez elektriny a riadiace počítače s vymazanými diskami.

 

Existuje ochrana?

Hovorí sa, že OT svet je desať rokov pozadu za IT svetom. Pri navrhovaní OT zariadení sa kládol dôraz na prevádzku a bezpečnosť bola iba okrajovou záležitosťou. Dajú sa teda takéto zariadenia vôbec chrániť?

„V dnešnej dobe už nestačí manuálny sken raz za mesiac alebo za štvrťrok. Je veľmi dôležité, aby bezpečnostné riešenie konalo automaticky a v reálnom čase,“ upozorňuje expert, na čo si pri výbere riešenia dať pozor. „Aby sme mohli niečo chrániť, musíme však v prvom rade vedieť, čo máme. Neznámy alebo zabudnutý prvok môže byť neskôr zdrojom veľkých problémov. Čoraz dôležitejší je aj okamžitý prehľad o situácii v OT prostredí. Zvolené riešenie by navyše malo pomôcť aj s naplnením požiadaviek kybernetického zákona, napríklad s inventarizáciou aktív OT so všetkými potrebnými informáciami, ako napríklad verzia, firmvér, identifikácia v sieti, fyzická lokalita, nezaplátané zraniteľnosti, či klasifikácia z pohľadu bezpečnosti,“ vymenúva ďalšie dôležité vlastnosti.

Svet prevádzkových technológií je na rozdiel od bežných IT zariadení vzhľadom na častú zastaranosť ICS komponentov veľmi citlivý na vonkajšie zásahy a aktívne skenovanie umožňuje iba vo výnimočných prípadoch. Všetky informácie treba získavať v zásade iba pasívnym monitoringom a hĺbkovou analýzou paketov.

Vhodne zvolená ochrana OT tak musí byť schopná rozpoznať štandardnú komunikáciu v sieti od škodlivej, napríklad naučením sa „baseline“ a sledovaním odchýlok. To pomôže odhaliť chybný prvok, omylom nesprávne nastavené parametre, ale i šírenie škodlivého malvéru v sieti.

Samozrejmosťou je priorizácia identifikovaných zraniteľností a hrozieb, aby sa príslušní pracovníci sústredili na to podstatné. Konfigurovateľné pravidlá a politiky zabezpečia, že riešenie automaticky vykonáva potrebné úkony v súlade s internými smernicami podniku – napríklad pošle alarm na definované miesta alebo zablokuje komunikáciu z infikovaného zariadenia, pri identifikovaní nového komponentu pošle záznam do databázy s inventárom aktív, v spolupráci s firewallmi zablokuje prístup do siete, pri odhalení zraniteľnosti dá zariadenie do karantény alebo vynúti inštaláciu bezpečnostnej záplaty a mnohé iné.

„Dôležité je uvedomiť si, že v OT sieti nie sú len naše zariadenia, ale z času na čas sa v nej ocitne napríklad i notebook externého dodávateľa alebo servisného technika,“ upozorňuje odborník.

Riešenie na mieru

Bezpečnostné riešenie musí o všetkom zachovávať záznamy, či už za účelom vyšetrovania konkrétnych kybernetických incidentov, ako podklady pre priebežné vyhodnocovanie a zlepšovanie bezpečnosti OT, ale aj pre potreby bezpečnostných auditov. Aj toto vyžaduje zákon o kybernetickej bezpečnosti.

Pokročilé bezpečnostné systémy dokážu okrem integrácie OT a IT zahrnúť aj svet IoT, čiže rôzne kamery, klimatizačné jednotky a podobné zariadenia. Je to dôležité, lebo čoraz viac takýchto zariadení je riadených a spravovaných centrálne vzdialeným prístupom a pri nesprávnej konfigurácii sa môžu stať trójskym koňom. Vhodné bezpečnostné riešenie umožní toto všetko sledovať a chrániť z jedného miesta.

„Prístupov a technológií na ochranu OT prostredia pred kybernetickými hrozbami je viacero, hoci možnosti nie sú také široké ako v prípade bezpečnostných IT riešení. V spoločnosti Atos vieme pomôcť nielen s výberom vhodného riešenia, ale i s jeho integráciou do existujúcej bezpečnostnej a monitorovacej infraštruktúry,“ dodáva odborník.