Bezpieczeństwo cybernetyczne systemów sterowania przemysłowego

Marek Sajdak
prezes Aurora Intelligence

Incydenty komputerowe i działanie hakerów kojarzą się zazwyczaj z atakami na komputery osobiste, strony internetowe i ewentualnie na systemy niektórych przedsiębiorstw: banków, sklepów internetowych czy firm medycznych. Mają one na celu przede wszystkim skompromitowanie danej instytucji (podmiana zawartości strony www lub jej wyłączenie), kradzież danych bądź wymuszenie wpłaty okupu w zamian za odzyskanie dostępu do własnych danych (ransomware).

Takie rozumienie celu działań przestępców komputerowych jest zrozumiałe, gdyż opiera się na codziennym doświadczeniu wzmacnianym bieżącymi doniesieniami medialnymi. Mówimy tu o tzw. obszarze IT, czyli technologii informacyjnej (information technology). W życiu codziennym bardzo często spotykamy się z rozwiązaniami IT, wykonując chociażby przelewy bankowe przez internet, przygotowując prezentację w PowerPoincie czy tworząc sprawozdania w arkuszu Excel.

To tylko jedna strona nowoczesnego świata technologii. Obok IT codzienne życie wspiera obszar technologii OT, czyli technologii operacyjnej (operational technology). OT obejmuje rozwiązania (systemy) przeznaczone do sterowania procesami fizycznymi. Należą do nich systemy sterowania dla elektrowni, sieci energetycznej czy infrastruktury kolejowej. Systemy OT kontrolują zwrotnice, pompy czy zawory. Bez technologii OT nie mielibyśmy w domu prądu, wody, nie funkcjonowałyby stacje benzynowe, nie jeździłyby pociągi, nie latałyby samoloty.

Ataki na systemy OT/ICS
Zagrożenie atakami hakerskimi dotyczy nie tylko obszaru IT, ale także obszaru OT. Dla przestępców motywowanych finansowo głównym celem ataku są oczywiście systemy IT, gdyż atak jest tańszy i łatwiejszy do przeprowadzenia, a przy tym można się szybko wzbogacić, kradnąc dane czy wymuszając okup. Dla przestępców motywowanych ideologicznie bądź wspieranych przez rządy celem są także systemy OT. Skuteczny atak na system sterowania przemysłowego może oznaczać wyłączenie dostaw energii elektrycznej, wody i gazu, katastrofy komunikacyjne (kolejowe i lotnicze), awarie oczyszczalni ścieków, zaburzenie procesów produkcyjnych czy katastrofy przemysłowe, np. w rafineriach. Ataki na infrastrukturę OT są istotnym elementem w tzw. wojnie hybrydowej, czyli strategii wojennej łączącej działania konwencjonalne (atak wojsk regularnych), nieregularne (tzw. zielone ludziki) oraz cybernetyczne (ataki przez internet, dezinformacja). W nowoczesnej wojnie atak cybernetyczny na sieci komputerowe przeciwnika, połączony z atakiem na infrastrukturę sterowania w przemyśle, będzie pierwszym etapem poprzedzającym atak militarny.

Dyrektywa NIS
Zagrożenia dotyczące systemów przemysłowych stanowiących istotny element infrastruktury krytycznej państw zostały dostrzeżone przez ustawodawcę europejskiego. W 2016 r. została przyjęta dyrektywa NIS (Dyrektywa Parlamentu i Rady UE dot. środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii). Zakłada ona poszerzenie współpracy państw członkowskich UE w kwestii cyberbezpieczeństwa. Dokument definiuje obowiązki, jakim będą podlegać operatorzy kluczowych usług (przedsiębiorcy z sektorów energetyki, transportu, bankowości i infrastruktury rynków finansowych, służby zdrowia, zaopatrzenia w wodę pitną, infrastruktury cyfrowej) oraz dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki, usługi przetwarzania w chmurze).

Na wybrane podmioty dostarczające kluczowe usługi będą nałożone dwa obowiązki. Pierwszy nakazuje wprowadzenie środków ochrony (technicznych i organizacyjnych) zależnych od poziomu ryzyka, drugim jest konieczność raportowania incydentów. Państwa członkowskie muszą powołać zespoły reagowania na incydenty bezpieczeństwa komputerowego (CSIRT), zespoły krajowe CSIRT natomiast będą tworzyły sieć współpracy wspieraną organizacyjnie (sekretariat) i merytorycznie przez ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji).

CSIRT, CERT oraz zespół reagowania na incydenty komputerowe oznacza grupę osób składającą się z analityków bezpieczeństwa, zorganizowaną w celu opracowywania, rekomendowania i koordynowania działań, których zadaniem jest wykrywanie, powstrzymywanie i zwalczanie skutków wynikających z incydentów, a także pozyskanie informacji na temat istoty tych incydentów.

Zespoły narodowe CSIRT zajmą się transgranicznymi problemami bezpieczeństwa i sposobami skoordynowanego reagowania na zagrożenia. Swoje zadania uzyskała także Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA), która będzie koordynować współpracę między państwami w ramach sieci CSIRT, a także wspierać państwa członkowskie i Komisję Europejską poprzez udostępnianie specjalistycznej wiedzy, doradztwo i ułatwianie wymiany najlepszych praktyk. W ramach sieci CSIRT będą wymieniane informacje o incydentach i to ten obszar można uznać za priorytetowy. Incydenty cybernetyczne bardzo często mają charakter międzynarodowy, a technologie stosowane przez przestępców są wykorzystywane bezpośrednio do ataków na infrastrukturę wielu państw. Zapewnienie wymiany informacji o incydentach między krajowymi CSIRT pozwoli na skuteczniejszą reakcję na tego typu działania.

Strategia cyberbezpieczeństwa RP
Wymiana informacji pomiędzy krajami na temat incydentów będzie możliwa, pod warunkiem że sieć wymiany zostanie utworzona w każdym kraju członkowskim. Zgodnie ze „Strategią Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022”, przyjętą w marcu 2017 r. przez Ministerstwo Cyfryzacji, konieczne jest utworzenie lub rozbudowa krajowej sieci CSIRT (CSIRT narodowy, CSIRT sektorowe, komercyjne i przedsiębiorców), które wymieniałyby kluczowe informacje o zagrożeniach bezpieczeństwa i incydentach w danym sektorze bądź dziale administracji rządowej. Idąc od poziomu międzynarodowego, poprzez poziom krajowy (CSIRT krajowy), poziom sektorowy (sektorowe zespoły CSIRT), dochodzimy do zespołów na poziomie przedsiębiorców, czyli zespoły CSIRT funkcjonujące w przedsiębiorstwach. Zespół CSIRT w przedsiębiorstwie musi być wyposażony w narzędzia zbierania i raportowania informacji o incydentach. Takim miejscem powinien być SOC, czyli Operacyjne Centrum Bezpieczeństwa (Security Operations Center). Dla podkreślenia funkcji związanej z bezpieczeństwem informacji często wykorzystuje się także określenie CSOC (Cyber Security Operations Center).

Operacyjne Centrum Bezpieczeństwa
CSOC jest wyposażony w narzędzia do zbierania informacji o zdarzeniach (logów) z urządzeń sieciowych, systemów IT (CRM, ERP, billing itd.), systemów bezpieczeństwa (firewall, IPS, IDS, antywirusy, systemów ATP), a także z systemów przemysłowych (ICS/SCADA). Tradycyjne metody ochrony infrastruktury IT polegające na rozmieszczeniu rozwiązań firewall, IPS, IDS czy antywirusy obecnie nie zapewniają skutecznej ochrony infrastruktury. Dlatego też kilka lat temu zaczęto stosować zaawansowane rozwiązania przeciwdziałania atakom APT (Advanced Persistent Threats) wyposażone w mechanizmy tzw. sandboxingu, czyli zdolność do uruchamiania w wydzielonym, kontrolowanym środowisku pobieranych z internetu załączników w poszukiwaniu malware, czy od niedawna sondy sieciowe wyposażone w mechanizmy AI (Artificial Intelligence). Takie rozwiązania nadal nie zapewnią pełnego bezpieczeństwa, gdyż każdy system może uznać dane zachowanie użytkownika czy ruch sieciowy za legalny. Dopiero korelowanie informacji o zdarzeniach pochodzących z różnych systemów i weryfikacja uzyskiwanych informacji ze źródłami zewnętrznymi, tzw. Threat Intelligence, pozwala na wykrycie skomplikowanych zaawansowanych ataków.

Kluczowym elementem takiego podejścia jest właśnie CSOC stanowiący miejsce dowodzenia cyberbezpieczeństwem w przedsiębiorstwie. Gdy przedsiębiorca w swojej infrastrukturze posiada nie tylko systemy IT, ale także OT/ICS, sprawa zaczyna się komplikować. Infrastruktura OT/ICS powinna zostać wydzielona z sieci IT, co kilkadziesiąt lat temu było normą. Dzisiaj następuje szybka konwergencja sieci IT/OT, co powoduje, że przestępca może łatwiej dostać się do sieci OT, włamując się najpierw do sieci IT z poziomu internetu. Jednym z rozwiązań problemu jest zastosowanie odpowiednich rozwiązań firewall pozwalających na wymianę ruchu między sieciami w ściśle zdefiniowanych ramach bądź zastosowanie tzw. data diode, czyli rozwiązań firewall pozwalających na przepływ danych tylko w jedną stronę, np. danych pomiarowych z sieci ICS do sieci IT. Na właściwą separację przepływu danych między sieciami IT i OT należy nałożyć wspomniane mechanizmy logowania zdarzeń, czyli CSOC. Ograniczenie się do korelacji zdarzeń jedynie z sieci IT powoduje, że nie będziemy świadomi nieautoryzowanych operacji w sieciach OT. Wybór dostawcy rozwiązań CSOC powinien uwzględniać zdolność rozwiązań CSOC do analizy zdarzeń z protokołów infrastruktury OT.

Posiadanie standardowych zabezpieczeń infrastruktury jest nadal warunkiem niezbędnym do ochrony przed atakami, niemniej Operacyjne Centrum Bezpieczeństwa Cybernetycznego CSOC pozwala na skoordynowane zarządzanie bezpieczeństwem, pozyskiwanie i wykorzystywanie informacji ze źródeł zewnętrznych (np. sieć CSIRT w ramach dyrektywy NIS). Jest też warunkiem koniecznym dla przedsiębiorców infrastruktury krytycznej przy wypełnianiu dyrektywy NIS na poziomie krajowym.