Co wie dział IT, a nie wiedzą automatycy i vice versa?

| Technika

Bezpieczeństwo przemysłowych systemów IT

Co wie dział IT, a nie wiedzą automatycy i vice versa?
  • W ostatnich kilkunastu miesiącach coraz częściej można było usłyszeć o spektakularnych atakach hakerów na przemysłowe systemy informatyczne, m.in. na odpowiadające za monitoring i sterowanie procesów w elektrowniach systemy SCADA. Czy jest to trend, który będzie się nasilał? Jaki jest cel takich ataków?

Sebastian Stehlik, administrator IT: Zdecydowanie tak - jest to trend nasilający się. Ataki, których celem jest głupi żart, to praktycznie przeszłość, dzisiaj realne zagrożenie stanowią fale ataków ukierunkowanych na kradzież dóbr takich jak dane osobowe, wyłudzenie pieniędzy, kradzież poufnych informacji urzędowych, korporacyjnych, a nawet państwowych. Wirusów oraz rootkitów (rootkit jest oprogramowaniem, które po dostaniu się do systemu staje się jego integralną częścią, przez co może realizować swoje cele, pozostając nierozpoznawalnym) nie pisze się po to, żeby zrobić komuś psikusa, spowolnić system czy coś złośliwie skasować.

W dzisiejszych czasach wirusy są bardziej wyrafinowane, działają tak, aby pozostać jak najdłużej niewykrywalnym elementem systemu, przy jednoczesnym zachowaniu pełnej kontroli nad nim i możliwością przesyłania informacji. Od co najmniej kilku lat obserwuje się rozkwit cyberprzestępczości, za którą stoją zorganizowane międzynarodowe grupy (tutaj przestrzegam przed nadużywaniem słowa "haker", które w największym skrócie określa wysokie i rozległe kompetencje informatyczne, a nie tendencje do działania poza prawem w celach zarobkowych w sferze informacji cyfrowej, lepiej w tym ostatnim przypadku mówić o cyberprzestępcach).

Sieci przemysłowe łączone z biurowymi mogą stanowić dla tych grup interesujące "poletka do zagospodarowania"; kradzież tajemnicy firmowej, wyłudzenia, kradzież numerów kart, loginów i haseł do systemów finansowych, i kończąc na najbardziej oczywistych: unieruchomieniach sieci oraz połączonych z nimi systemów automatyki, co w przypadku zakładów będzie przynosić realne straty.

  • Jakiego typu ataków zewnętrznych na instalacje przemysłowe powinniśmy obawiać się najbardziej?

SS: W przypadku instalacji przemysłowych automatyki, oprócz typowych zagrożeń ze strony wirusów ukazujących się w liczbie kilku tysięcy mutacji dziennie, obawiać się należy bardziej czegoś innego. Poważnego zagrożenia szukałbym głównie w zaawansowanych, ukierunkowanych rootkitach rozprzestrzeniających się nie tylko drogą sieciową, ale także poprzez przenośne karty pamięci, które są drugim w kolejności najpopularniejszym sposobem na rozprzestrzenianie się wirusów. Pomijam tutaj przypadki malwaru zagnieżdżonego w biosach komponentów sprzętowych, które, choć dość rzadkie, bywają niesłychanie trudne do wykrycia i usunięcia.

  • Jak zatem działy automatyki i działy IT przedsiębiorstw przemysłowych powinny się zabezpieczać? Czy zagrożenie jest powodowane czynnikami zewnętrznymi, czy wewnętrznymi?

SS: Analizy w obszarze systemów informatycznych i sieci mówią, że statystycznie stosunek ataków wewnętrznych do zewnętrznych na jedną sieć jest jak 80 do 20. A więc nawet jeśli zadbamy o to, żeby nasza sieć była bardzo dobrze zabezpieczona z zewnątrz, to i tak należy zwrócić uwagę na większą podatność na ataki wewnętrzne.

Wynika to z tego, że wewnątrz o wiele łatwiej świadomie lub nieświadomie doprowadzić do zaburzenia pracy systemu. Szczególnie że coraz częściej zachodzi konieczność integracji rozwiązań działających w warstwie automatyki (systemy monitoringu i sterowania procesem - HMI/SCADA, systemy klasy MES) z systemami biurowymi, biznesowymi, np. ERP, zarządzanymi przez działy IT.

  • Na co zatem warto zwrócić uwagę, przygotowując się do bezpiecznej z informatycznego punktu widzenia integracji "świata automatyki" ze "światem IT"?

SS: Kluczową rolę w tym obszarze odgrywa wewnętrzna polityka bezpieczeństwa kreowana przez dział IT w porozumieniu z personelem całej firmy, zgodnie z pewnymi zasadami. Do jednej z moich ulubionych należy "zasada najmniejszego uprzywilejowania" (least privilege), która wymaga, aby każdy element systemu (w tym osoba czy program) miał dostęp tylko do tych informacji i zasobów, które są niezbędne do wypełnienia wyznaczonego mu celu lub zadania.

Przydzielanie ról osobom i określanie odpowiedzialności tych osób w ramach pracy na systemach informatycznych, niezależnie czy jest to system SCADA, ERP, raportowy itp., pozwala stworzyć politykę bezpieczeństwa. W oparciu o nią można zbudować system zarządzania użytkownikami, który jednej osobie nada pełne uprawnienia, a innej ograniczy. Dodatkowym aspektem jest stworzenie odpowiedniego zintegrowanego systemu tworzącego kopie zapasowe.

Marcin Woźniczka, konsultant ds. przemysłowych systemów SCADA/MES: Zespół inżynierów wdrażających przemysłowe systemy IT, przygotowując się do wdrożenia rozwiązań, które będą w pewnym obszarze komunikowały się z systemami biurowymi, powinien na wstępie zapoznać się ze standardami działu IT w kilku obszarach. Pierwszym z nich są systemy operacyjne, które często mają preinstalowane drivery, oprogramowanie i ustawienia.

Potencjalne trudności mogą wynikać z tego, że producent oprogramowania SCADA zazwyczaj rozwija oprogramowanie (development, testy), opierając się na czystych, niemodyfikowanych systemach operacyjnych. Kolejnym, już wspomnianym obszarem jest polityka bezpieczeństwa. Warto na etapie przygotowania do integracji sprawdzić, jakie są polisy bezpieczeństwa i czy przypadkiem nie zawierają polis restrykcyjnych, które domyślnie są ustawione w trybie odmawiaj dostępu. Kolejnym zagadnieniem jest częsta potrzeba integracji z ogólnofirmowym systemem zabezpieczeń.

  • Czy jest możliwa pełna integracja użytkowników systemu SCADA z domenowym systemem uwierzytelniania użytkowników, np. domeną Active Directory?

MW: Taka integracja jest nie tyle możliwa, co niezbędna. W przypadku dodania użytkowników systemu przemysłowego do domenowego systemu zabezpieczeń zyskujemy pełną kontrolę nad zmianą haseł, uprawnieniami użytkowników w zakresie modyfikacji oprogramowania SCADA i zmiany ustawień systemu operacyjnego (np. ustawień regionalnych, daty, czasu).

Producenci przemysłowych systemów SCADA i MES, tworząc oprogramowanie, często wykorzystują w nim powszechnie dostępne i sprawdzone technologie takie jak: SharePoint, SQL, IIS (Internet Information Services), .NET. Wynika to z faktu łatwości integracji takich komponentów z systemami zabezpieczeń i niechęcią przed wyważaniem otwartych drzwi.

  • A co z aktualizacjami systemów operacyjnych? Jaką przyjąć tutaj drogę, aby pogodzić interesy "światów" automatyki, produkcji i IT?

SS: Wdrażanie poprawek systemu operacyjnego jest ważnym elementem utrzymania bezpieczeństwa na odpowiednim poziomie. Odgrywa bardzo dużą rolę, jeśli chodzi o systemy biurowe, gdzie pracownicy mają duże powiedzmy "możliwości" ściągnięcia na siebie zagrożenia z zewnątrz. To, co mogą robić administratorzy systemów operacyjnych, to dbać o to, żeby tych luk, które mogą być wykorzystane do przedarcia się, było jak najmniej.

No i dodatkowo ważne są aktualizacje, począwszy od systemu operacyjnego, aż po używane przez użytkownika aplikacje, w tym te przemysłowe, bo na "patchowaniu" systemu operacyjnego nie można poprzestać. Ważna jest także regularność i cykliczność takich działań, czyli instalacja poprawek przynajmniej raz w miesiącu.

W przypadku gdy zachodzi konieczność instalacji poprawek na serwerach i komputerach z aplikacją przemysłową, warto ograniczyć koszty przestoju serwera poprzez uzgodnienie z działem automatyki produkcji, kiedy takie poprawki mogą zostać zaaplikowane oraz minimalizować ryzyko utraty stabilności pracy systemu, testując wcześniej większe pakiety poprawek.

  • Czyli systemy operacyjne na komputerach z aplikacjami przemysłowymi SCADA i MES powinniśmy aktualizować?

MW: Zdecydowanie tak, ale te aktualizacje należy wykonywać z głową. Warto sprawdzić, czy producent oprogramowania bierze pod uwagę aspekty aplikowania poprawek i aktualizacji systemów operacyjnych. Przykładowo firma Wonderware do celów testowych stworzyła laboratorium bezpieczeństwa systemów, w którym testuje zgodność wszystkich aktualizacji i poprawek systemów operacyjnych wypuszczanych przez Microsoft z aktualnymi wersjami swoich produktów.

Każda "łatka" jest przetestowana do 15 dni od wypuszczenia. Użytkownicy oprogramowania (programiści, dział IT) mogą sprawdzić, które poprawki można bezpiecznie zaaplikować w systemie na portalu Wonderware Security Central. Dodatkowo możliwe jest stworzenie w systemie zabezpieczeń IT kontenera zawierającego wszystkie systemy przemysłowe - nazwanego np. systemy SCADA i MES - który będzie zawierał niezależne harmonogramy aktualizacji z potwierdzaniem, które "łaty" aplikujemy, a które nie. Daje to gwarancję, że instalacja przemysłowa będzie odporna na cyberataki, a z drugiej strony dostępna dla użytkowników biznesowych.

  • Czyli automatycy nie powinni bać się uzgodnień z działami IT w zakresie polityki bezpieczeństwa?

SS: Zdecydowanie nie powinni, ponieważ te uzgodnienia leżą w interesie tych dwóch działów. W przypadku polityki bezpieczeństwa kluczowych z punktu widzenia działania firmy systemów IT nie może być tak, że gdy pracownik automatyki przychodzi z kwiatami, z bombonierką i o coś prosi, to mu się to robi. Jeżeli np. w trakcie rozmów na temat zabezpieczeń okaże się, że polityka bezpieczeństwa IT nie uwzględnia pewnych scenariuszy integracji, jest to bardzo dobry moment do zrobienia przeglądu tej polityki i usprawnienia jej na drodze uzgodnień.

Pozwoli to na zwiększenie szczelności i spójności systemów IT wewnątrz firmy. Pamiętajmy, że podobnie jak w przypadku wydajności procesu produkcyjnego, sieć jest na tyle bezpieczna, na ile bezpieczne jest jej najsłabsze ogniwo. Dążmy więc do tego, aby przez otwartą komunikację te najsłabsze ogniwa eliminować.

  • Doszliśmy zatem do kolejnego obszaru istotnego z punktu widzenia bezpiecznej integracji systemów przemysłowych z systemami biurowymi - sieci. Na co tutaj warto zwrócić uwagę?

SS: Budowanie architektury sieciowej jest tematem na zupełnie odrębną rozmowę, natomiast tym, na co na wstępie należy zwrócić uwagę, są cele, jakie ma realizować sieć. Są one determinowane przez wymagania dotyczące dostępności urządzeń i systemów, szybkości przesyłu danych, odporności na warunki zewnętrzne, zabezpieczeń w przesyle danych.

Specyfikacja determinuje, czy decydujemy się na wybór sieci odseparowanych fizycznie, czy logicznie z wykorzystaniem sieci wirtualnych (VLAN). Wpływa to także na decyzję, czy stosujemy urządzenia w wykonaniu przemysłowym (odporne na wstrząsy, zanieczyszczenia, wysoką i niską temperaturę), czy urządzenia biurowe. W przypadku, gdy zachodzi konieczność ciągłej wymiany danych między systemami przemysłowymi a systemami biurowymi, warto także pamiętać o mechanizmie strefy zdemilitaryzowanej (DMZ) lub ACL (Access Control List).

MW: Na bazie naszego doświadczenia z kilkuset wdrożeń kompleksowych systemów SCADA i MES można jednoznacznie stwierdzić, że w przemysłowych systemach informatycznych architektura sieci budowana jest zazwyczaj w sposób gwarantujący 100% dostępność danych pobieranych i wysyłanych do urządzeń sterujących, stąd warto dodatkowo wspomnieć o mechanizmie redundancji sieci, zwanym popularnie "ringiem".

Wspomniany wcześniej portal Wonderware Security Central zawiera szereg artykułów opisujących dobre praktyki budowania architektury sieciowej dla przemysłowych systemów informatycznych, uwzględniając potrzeby informatycznego bezpieczeństwa przesyłu danych (m.in. z wykorzystaniem strefy zdemilitaryzowanej, DMZ)

  • A co w sytuacji, jeżeli chcemy udostępniać ekrany z aplikacji wizualizacyjnych (SCADA, MES) na komputerach w sieci biurowej lub w skrajnych przypadkach na zewnątrz firmy? Jaką technologię zastosować, aby taki dostęp był bezpieczny?

SS: Z punktu widzenia administracji systemów IT ważne jest, aby technologia dostępu zapewniała zgodność technologiczną z obecnie wykorzystywanymi systemami operacyjnymi i zabezpieczeń. Jeśli mowa o usługach działających na Windows, najpopularniejsze są 2 techniki: publikacja serwisu internetowego (dostęp z zewnątrz przez przeglądarkę internetową do strony szyfrowanej SSL) lub dostęp poprzez pulpit zdalny (RDP/RDS Terminal Services).

Zwykle jeśli pierwsza opcja jest niewystarczająca (rozbudowane ekrany wizualizacyjne), stosuje się drugą. Zalecane jest wówczas stosowanie dodatkowych środków bezpieczeństwa (tokeny, SMS-y). W każdym z nich pamiętajmy o logowaniu dostępu z zewnątrz sieci.

MW: Rozwiązaniem zalecanym przez firmę Wonderware do udostępniania wizualizacji w sieciach biurowych są usługi terminalowe. Szczególnie w przypadku, gdy wymagany jest dostęp do funkcji sterowania (zmiany ustawień urządzeń sterujących). Wynika to z bezpieczeństwa przesyłu danych, ponieważ, o ile w wypadku utraty komunikacji w środowisku terminalowym tracimy tylko dostęp do sesji, o tyle w skrajnych przypadkach stosowania do takich celów przeglądarek internetowych, użytkownicy tracili kontrolę nad danymi wprowadzanymi do aplikacji.

Ponadto dużo łatwiejsze jest zaaplikowanie zintegrowanego systemu zabezpieczeń IT w środowisku usług terminalowych. Podsumowując, warto nadmienić, że mimo wielu zagrożeń zewnętrznych i wewnętrznych czyhających na przemysłowe systemy informatyczne SCADA i MES realizujące funkcje monitoringu i sterowania w odpowiedzialnych technologiach, w przemyśle możliwe jest ich odpowiednie zabezpieczenie. Pomocne są tutaj dobre praktyki wypracowywane przez działy IT i producentów oprogramowania, ale przede wszystkim umiejętność otwartego dialogu między działami IT a działami automatyki, produkcji i utrzymania ruchu odpowiedzialnymi za instalacje przemysłowe.