Wirus wywołał też ogromne poruszenie wśród wszystkich odpowiedzialnych za bezpieczeństwo systemów informatycznych w przemyśle. Okazało się bowiem, że dotychczas stosowane zabezpieczenia są niewystarczające, przez co komputery mogą się stać najsłabszym ogniwem i furtką do ataków z zewnątrz nawet w przypadku wyspecjalizowanych i bardzo drogich systemów automatyki i sterowania. Dodatkowo przerażająca była świadomość, że zanim wirusa tego udało się zidentyfikować, pozostawał on niewykryty prawdopodobnie przez co najmniej rok.
JAK DZIAŁAŁ STUXNET
Stuxnet atakował systemy prawdopodobnie za pośrednictwem nośników
Ze względu na sposób, w jaki Stuxnet infekował komputery, najprostszą metodą ochrony jest ścisła kontrola nośników pamięci USB lub po prostu niekorzystanie z interfejsów tego typu. Skoro jednak kolejne ataki z pewnością oprócz już tych znanych będą też wykorzystywać nieznane dotąd luki w zabezpieczeniach systemów komputerowych, ochrona taka z pewnością nie wystarczy.
Ponieważ wszystkich możliwości nie da się przewidzieć, najlepszym rozwiązaniem jest wdrożenie tzw. strategii ochrony warstwowej (defense in depth), która polega na stosowaniu wielu różnych poziomów zabezpieczeń. Jeżeli jedna z blokad zostanie ominięta, pojawia się następna, co spowalnia lub powstrzymuje atak.
Najczęściej stosuje się ochronę mieszaną, która łączy metody utrudniające fizyczny dostęp do chronionych zasobów oraz metody programowe. Do tych pierwszych zalicza się kontrolę personelu oraz autoryzację dostępu, natomiast przykładem zabezpieczeń informatycznych są firewalle, szyfrowanie danych oraz programy antywirusowe.
W zakresie ochrony przed cyberatakami systemów sterowania w przemyśle na znaczeniu zyskują ostatnio także dwie inne metody. Jedną z nich jest koncepcja tzw. białych list (whitelisting), którą wykorzystuje m.in. firma Emerson Process Management w systemie Ovation Security Center przeznaczonym dla energetyki i branży wodno-kanalizacyjnej.
Jest to metoda odwrotna do tej stosowanej w oprogramowaniu antywirusowym, które bazuje na tzw. czarnych listach znanych zagrożeń. W tym wypadku tworzony jest natomiast wykaz bezpiecznych aplikacji, a każda próba uruchomienia programu spoza tej listy traktowana jest jak atak.
Dzięki temu oprogramowanie nieautoryzowane jest automatycznie blokowane. Niektórzy eksperci uważają, że gdyby metoda białych list była w przeszłości stosowana powszechnie można by zapobiec infekcji Stuxnetem, a w przyszłości skutecznie uniemożliwić także kolejne ataki typu zero day.
BIAŁE CZY CZARNE?
Główną zaletą omawianej koncepcji jest to, że nie jest wymagana wcześniejsza wiedza o zagrożeniu. Niestety występują również komplikacje hamujące jej rozpowszechnienie się, z których największa związana jest z koniecznością ciągłego aktualizowania zawartości białej listy.
Ponieważ potrzeby oraz wymagania użytkowników w zakresie oprogramowania ciągle się zmieniają, a wiele aplikacji należy systematycznie uaktualniać, zarządzanie takim wykazem z czasem staje się wyzwaniem. Na szczęście problem ten dotyczy w większym stopniu komputerów osobistych niż systemów sterowania i automatyki w przemyśle.
W tym wypadku bowiem stosuje się zupełnie inne podejście w zakresie zmian i aktualizacji oprogramowania, preferując zdecydowanie rzadsze wprowadzanie modyfikacji w raz skonfigurowanym systemie. Efektywność metody białych list można dzięki temu jeszcze zwiększyć, dzieląc dany system na segmenty, dla których tworzone są niedługie i bardzo szczegółowe wykazy.
Zaleca się również, aby zgodnie z zasadą ochrony warstwowej, nie rezygnować całkowicie z oprogramowania antywirusowego na rzecz metody białych list. Taka decyzja może bowiem mieć poważne konsekwencje, jeżeli przed stworzeniem takiego wykazu w danym komputerze będzie już zainstalowane złośliwe oprogramowanie, które następnie zostanie zakwalifikowane jako aplikacja dozwolona.
Jeśli w takim wypadku cyklicznie uruchamiany będzie skaner antywirusowy z czasem z pewnością wykryje zagrożenie. Zaletą tego podejścia jest też możliwość uniknięcia problemów znanych użytkownikom takich systemów działających w czasie rzeczywistym, w tym przykładowo nadmiernego obciążenia systemu, częstych aktualizacji baz sygnatur, przerywania pracy różnymi komunikatami.
KOMUNIKACJA JEDNOKIERUNKOWA
Drugą metodą jest komunikacja jednokierunkowa realizowana na poziomie sprzętowym. Polega ona na wykorzystaniu specjalnych urządzeń (tzw. data diodes), które pozwalają na przepływ informacji w sieci wyłącznie w jednym kierunku, tzn. bez kanału zwrotnego.
W takim układzie jedną stronę łącza stanowi nadajnik, ale bez odbiornika, a drugą urządzenie skonfigurowane odwrotnie. Metoda ta dotychczas wykorzystywana była głównie w systemach bezpieczeństwa w wojsku oraz w sieciach rządowych, ale w obliczu cyberzagrożeń zainteresowanie nią coraz częściej wykazuje też przemysł, a zwłaszcza energetyka, w tym nuklearna.
Łączność jednokierunkową najczęściej wdraża się w takim wypadku na styku system sterowania zakładem - sieć informatyczna przedsiębiorstwa. W związku z tym, że większość przemysłowych protokołów komunikacyjnych wykorzystuje łączność dwukierunkową, należy zastosować dodatkowe rozwiązania, które symuluję transmisję danych w obu kierunkach.
W tym celu wykorzystuje się najczęściej specjalistyczne oprogramowanie, które symuluje przesył lub odbiór informacji w zależności od wymagań danej konfiguracji. Dzięki takiemu zabezpieczeniu personel wciąż ma dostęp do niezbędnych informacji, ale atak z zewnątrz jest znacznie utrudniony.
Na przykład Stuxnet, chociaż byłby w stanie rozpowszechnić się w tak chronionej sieci, jednak nie mógłby aktualizować się ani wysyłać danych na zewnętrzne serwery. Największą wadą tej metody jest duży koszt realizacji.
PODSUMOWANIE
Zainfekowanie systemu sterowania i automatyki złośliwym oprogramowaniem może mieć różne skutki w zależności od specyfiki zakładu przemysłowego, w którym taka sytuacja zaistnieje. Szczególnie niebezpieczne mogą być awarie zakładów kluczowych dla bezpieczeństwa publicznego - na przykład elektrowni jądrowych, rafinerii, zakładów chemicznych, sieci energetycznych oraz systemów automatyki budynkowej.
Zależy to też niestety od pomysłowości oraz przede wszystkim intencji twórców wirusów - zwykle jednak jeżeli już ktoś się na taki krok decyduje, trudno podejrzewać go o dobre zamiary. Wszystko to sprawia, że pojawienie się Stuxnetu wywołało ogromny odzew także wśród organizacji zajmujących się opracowywaniem standardów przemysłowych.
Przykładem jest ISA (International Society of Automation), która w marcu ubiegłego roku powołała nową grupę roboczą do przeanalizowania standardu ISA99 regulującego zabezpieczenia przemysłowych systemów automatyki i sterowania przed atakami hakerów. Jej członkowie mają sprawdzić, czy w obliczu nowych zagrożeń wytyczne ISA99 wciąż są aktualne i jeżeli okaże się, że nie, mają zaproponować niezbędne poprawki.
Innym przykładem jest International Instrument Users Association (WIB), która udostępniła pod koniec 2010 roku drugą wersję dokumentu "Process control domain security requirements for vendors". Jest to międzynarodowy standard, który zawiera zestaw konkretnych wymagań w zakresie cyberbezpieczeństwa dla dostawców automatyki przemysłowej oraz systemów sterowania.
Monika Jaworowska