Cyberbezpieczeństwo systemów sterowania i automatyki przemysłowej

| Technika

Wykryty w czerwcu 2010 roku Stuxnet był pierwszym publicznie znanym wirusem, który stworzono specjalnie w celu zainfekowania oraz destabilizacji systemów sterowania w przemyśle. Stuxnet, który prawdopodobnie zaatakował tysiące komputerów na całym świecie, wzbudził sporą sensację, stając się źródłem teorii spiskowych na temat jego twórców oraz przeznaczenia.

Cyberbezpieczeństwo systemów sterowania i automatyki przemysłowej

Wirus wywołał też ogromne poruszenie wśród wszystkich odpowiedzialnych za bezpieczeństwo systemów informatycznych w przemyśle. Okazało się bowiem, że dotychczas stosowane zabezpieczenia są niewystarczające, przez co komputery mogą się stać najsłabszym ogniwem i furtką do ataków z zewnątrz nawet w przypadku wyspecjalizowanych i bardzo drogich systemów automatyki i sterowania. Dodatkowo przerażająca była świadomość, że zanim wirusa tego udało się zidentyfikować, pozostawał on niewykryty prawdopodobnie przez co najmniej rok.

JAK DZIAŁAŁ STUXNET

Stuxnet atakował systemy prawdopodobnie za pośrednictwem nośników pamięci USB. Dzięki temu mógł infekować również komputery obsługujące główny system sterowania zakładem, które zwykle właśnie ze względów bezpieczeństwa nie są podłączane do Internetu. Wykorzystując wcześniej nieznane luki bezpieczeństwa w systemie Windows (tzw. zero day exploits), wirus następnie rozprzestrzeniał się po sieci lokalnej, instalując m.in. sterowniki o nazwach mrxnet.sys oraz mrxcls.sys.

Pliki te nie były identyfikowane przez system jako potencjalnie złośliwe oprogramowanie, ponieważ miały certyfikat bezpieczeństwa podpisany prawdziwymi cyfrowymi kluczami prywatnymi, które zostały wykradzione z firm Realtek oraz JMicron. Jeżeli wirus na zainfekowanym komputerze nie wykrył instalacji systemu SCADA WinCC lub oprogramowania Step 7 firmy Siemens, nie robił nic.

W przeciwnym wypadku Stuxnet m.in. zmieniał nazwę pliku s7otbxdx.dll znajdującego się w katalogu zawierającym pliki wykorzystywane w realizacji komunikacji między Simatic Managerem i sterownikami S7 na s7otbxdsx.dll. Następnie w folderze tym umieszczany był fałszywy plik s7otbxdx.dll, dzięki któremu wirus mógł wprowadzać złośliwy kod do sterowników programowalnych.

Celem były przede wszystkim sterowniki z serii S7-417 oraz projekty określonego typu. Selektywność tę uznano za cechę wyróżniającą Stuxnet. Przeprogramowanie sterowników uniemożliwiało właściwe sterowanie przebiegiem procesów przemysłowych, prowadząc do ich rozregulowania. Jednocześnie zmiany w kodzie były ukrywane przed operatorami systemu, nie można było ich też cofnąć ani nadpisać.

W efekcie mimo całkowitej utraty kontroli obsługa nie była w stanie nic zauważyć ani też na czas interweniować. Z zainfekowanego komputera wirus próbował również przesyłać dane na zewnętrzny serwer, a także pobierać stamtąd aktualizacje i rozkazy. Oprócz możliwości sabotażu pracy zakładu Stuxnet mógł być zatem wykorzystywany także w działalności szpiegowskiej.

DUQU - NOWY STUXNET?

Ostrzeżenia przed możliwością cyberataków na systemy sterowania instalacjami przemysłowymi pojawiały się już na długo przed odkryciem Stuxnetu, jednak nikt wcześniej nie traktował takich informacji poważnie. Dopiero po fakcie zrozumiano, że zagrożenia nie można dłużej ignorować - skoro raz się komuś udało, kolejne ataki są tylko kwestią czasu.

Mimo że obecnie sam Stuxnet nie stanowi już zagrożenia, można oczekiwać, że rozwiązania w nim wykorzystane będą stanowić inspirację oraz bazę dla następnych wirusów tego typu. Jest to tym bardziej prawdopodobne, że oprogramowanie firmy Microsoft jest powszechnie używane w przemyśle.

Zdaniem ekspertów nie należy się też sugerować tym, że atak za pomocą Stuxnetu był wymierzony w produkty konkretnego producenta, w tym wypadku sterowniki i oprogramowanie Simensa. Naśladowcy twórców tego wirusa za cel mogą równie dobrze przyjąć rozwiązania oferowane także przez innych producentów podzespołów systemów sterowania.

Jeżeli dodatkowo mutacje Stuxnetu będą jeszcze bardziej wyrafinowane, mogą wyrządzić dużo więcej szkody niż ich pierwowzór. Pierwszym i jak dotychczas najpoważniejszym zagrożeniem dla cyberbezpieczeństwa systemów przemysłowych jest Duqu. To złośliwe oprogramowanie, którego nazwa pochodzi stąd, że tworzy ono pliki o nazwach z prefiksem DQ, zostało wykryte w październiku minionego roku przez firmę Symantec.

Pod względem struktury i koncepcji Duqu jest bardzo podobny do Stuxnetu, część kodu źródłowego obu wirusów jest nawet identyczna. Na razie trudno ocenić, czy oznacza to, że twórcy Duqu są też autorami Stuxnetu, czy wyłącznie uzyskali dostęp do jego kodu, ale pewne jest, że nowy wirus ma inny cel niż jego poprzednik.

Zdaniem ekspertów Duqu jest nakierowany głównie na pozyskiwanie danych, w tym przede wszystkim dokumentacji projektowej od producentów komponentów systemów automatyki przemysłowej, nie ma też zdolności do samopowielania się. Informacje pozyskane w ten sposób mogą jednak posłużyć w przyszłości do realizacji cyberataku na dużą skalę wzorowanego na tym przeprowadzonym z wykorzystaniem Stuxnetu.

JAK SIĘ BRONIĆ?

Ze względu na sposób, w jaki Stuxnet infekował komputery, najprostszą metodą ochrony jest ścisła kontrola nośników pamięci USB lub po prostu niekorzystanie z interfejsów tego typu. Skoro jednak kolejne ataki z pewnością oprócz już tych znanych będą też wykorzystywać nieznane dotąd luki w zabezpieczeniach systemów komputerowych, ochrona taka z pewnością nie wystarczy.

Ponieważ wszystkich możliwości nie da się przewidzieć, najlepszym rozwiązaniem jest wdrożenie tzw. strategii ochrony warstwowej (defense in depth), która polega na stosowaniu wielu różnych poziomów zabezpieczeń. Jeżeli jedna z blokad zostanie ominięta, pojawia się następna, co spowalnia lub powstrzymuje atak.

Najczęściej stosuje się ochronę mieszaną, która łączy metody utrudniające fizyczny dostęp do chronionych zasobów oraz metody programowe. Do tych pierwszych zalicza się kontrolę personelu oraz autoryzację dostępu, natomiast przykładem zabezpieczeń informatycznych są firewalle, szyfrowanie danych oraz programy antywirusowe.

W zakresie ochrony przed cyberatakami systemów sterowania w przemyśle na znaczeniu zyskują ostatnio także dwie inne metody. Jedną z nich jest koncepcja tzw. białych list (whitelisting), którą wykorzystuje m.in. firma Emerson Process Management w systemie Ovation Security Center przeznaczonym dla energetyki i branży wodno-kanalizacyjnej.

Jest to metoda odwrotna do tej stosowanej w oprogramowaniu antywirusowym, które bazuje na tzw. czarnych listach znanych zagrożeń. W tym wypadku tworzony jest natomiast wykaz bezpiecznych aplikacji, a każda próba uruchomienia programu spoza tej listy traktowana jest jak atak.

Dzięki temu oprogramowanie nieautoryzowane jest automatycznie blokowane. Niektórzy eksperci uważają, że gdyby metoda białych list była w przeszłości stosowana powszechnie można by zapobiec infekcji Stuxnetem, a w przyszłości skutecznie uniemożliwić także kolejne ataki typu zero day.

BIAŁE CZY CZARNE?

Główną zaletą omawianej koncepcji jest to, że nie jest wymagana wcześniejsza wiedza o zagrożeniu. Niestety występują również komplikacje hamujące jej rozpowszechnienie się, z których największa związana jest z koniecznością ciągłego aktualizowania zawartości białej listy.

Ponieważ potrzeby oraz wymagania użytkowników w zakresie oprogramowania ciągle się zmieniają, a wiele aplikacji należy systematycznie uaktualniać, zarządzanie takim wykazem z czasem staje się wyzwaniem. Na szczęście problem ten dotyczy w większym stopniu komputerów osobistych niż systemów sterowania i automatyki w przemyśle.

W tym wypadku bowiem stosuje się zupełnie inne podejście w zakresie zmian i aktualizacji oprogramowania, preferując zdecydowanie rzadsze wprowadzanie modyfikacji w raz skonfigurowanym systemie. Efektywność metody białych list można dzięki temu jeszcze zwiększyć, dzieląc dany system na segmenty, dla których tworzone są niedługie i bardzo szczegółowe wykazy.

Zaleca się również, aby zgodnie z zasadą ochrony warstwowej, nie rezygnować całkowicie z oprogramowania antywirusowego na rzecz metody białych list. Taka decyzja może bowiem mieć poważne konsekwencje, jeżeli przed stworzeniem takiego wykazu w danym komputerze będzie już zainstalowane złośliwe oprogramowanie, które następnie zostanie zakwalifikowane jako aplikacja dozwolona.

Jeśli w takim wypadku cyklicznie uruchamiany będzie skaner antywirusowy z czasem z pewnością wykryje zagrożenie. Zaletą tego podejścia jest też możliwość uniknięcia problemów znanych użytkownikom takich systemów działających w czasie rzeczywistym, w tym przykładowo nadmiernego obciążenia systemu, częstych aktualizacji baz sygnatur, przerywania pracy różnymi komunikatami.

KOMUNIKACJA JEDNOKIERUNKOWA

Drugą metodą jest komunikacja jednokierunkowa realizowana na poziomie sprzętowym. Polega ona na wykorzystaniu specjalnych urządzeń (tzw. data diodes), które pozwalają na przepływ informacji w sieci wyłącznie w jednym kierunku, tzn. bez kanału zwrotnego.

W takim układzie jedną stronę łącza stanowi nadajnik, ale bez odbiornika, a drugą urządzenie skonfigurowane odwrotnie. Metoda ta dotychczas wykorzystywana była głównie w systemach bezpieczeństwa w wojsku oraz w sieciach rządowych, ale w obliczu cyberzagrożeń zainteresowanie nią coraz częściej wykazuje też przemysł, a zwłaszcza energetyka, w tym nuklearna.

Łączność jednokierunkową najczęściej wdraża się w takim wypadku na styku system sterowania zakładem - sieć informatyczna przedsiębiorstwa. W związku z tym, że większość przemysłowych protokołów komunikacyjnych wykorzystuje łączność dwukierunkową, należy zastosować dodatkowe rozwiązania, które symuluję transmisję danych w obu kierunkach.

W tym celu wykorzystuje się najczęściej specjalistyczne oprogramowanie, które symuluje przesył lub odbiór informacji w zależności od wymagań danej konfiguracji. Dzięki takiemu zabezpieczeniu personel wciąż ma dostęp do niezbędnych informacji, ale atak z zewnątrz jest znacznie utrudniony.

Na przykład Stuxnet, chociaż byłby w stanie rozpowszechnić się w tak chronionej sieci, jednak nie mógłby aktualizować się ani wysyłać danych na zewnętrzne serwery. Największą wadą tej metody jest duży koszt realizacji.

PODSUMOWANIE

Zainfekowanie systemu sterowania i automatyki złośliwym oprogramowaniem może mieć różne skutki w zależności od specyfiki zakładu przemysłowego, w którym taka sytuacja zaistnieje. Szczególnie niebezpieczne mogą być awarie zakładów kluczowych dla bezpieczeństwa publicznego - na przykład elektrowni jądrowych, rafinerii, zakładów chemicznych, sieci energetycznych oraz systemów automatyki budynkowej.

Zależy to też niestety od pomysłowości oraz przede wszystkim intencji twórców wirusów - zwykle jednak jeżeli już ktoś się na taki krok decyduje, trudno podejrzewać go o dobre zamiary. Wszystko to sprawia, że pojawienie się Stuxnetu wywołało ogromny odzew także wśród organizacji zajmujących się opracowywaniem standardów przemysłowych.

Przykładem jest ISA (International Society of Automation), która w marcu ubiegłego roku powołała nową grupę roboczą do przeanalizowania standardu ISA99 regulującego zabezpieczenia przemysłowych systemów automatyki i sterowania przed atakami hakerów. Jej członkowie mają sprawdzić, czy w obliczu nowych zagrożeń wytyczne ISA99 wciąż są aktualne i jeżeli okaże się, że nie, mają zaproponować niezbędne poprawki.

Innym przykładem jest International Instrument Users Association (WIB), która udostępniła pod koniec 2010 roku drugą wersję dokumentu "Process control domain security requirements for vendors". Jest to międzynarodowy standard, który zawiera zestaw konkretnych wymagań w zakresie cyberbezpieczeństwa dla dostawców automatyki przemysłowej oraz systemów sterowania.

Monika Jaworowska