Cyberbezpieczeństwo przemysłowych systemów sterowania

Przemysłowe systemy sterowania, które dotychczas pracowały jako izolowane systemy, bazują teraz na otwartych platformach, mają punkty styku z teleinformatyczną siecią przedsiębiorstwa oraz korzystają z łączności, realizowanej za pośrednictwem Internetu publicznego lub najczęściej sieci słabo chronionych. Wynika to z powstawania coraz bardziej otwartych środowisk przemysłowych, w których coraz częściej wykonywana jest zdalna praca grupowa. Wobec upowszechnienia wiedzy o tych systemach i ogólnej dostępności narzędzi do przeprowadzania kierowanych cyberataków, zagrożenie jest znaczne, a cyberprzestępstwa są poważnym wyzwaniem.

Ataki pozostają często niewykryte przez wiele miesięcy. Zostają dostrzeżone dopiero wtedy, kiedy ujawni się ich niszczący efekt. Ten rodzaj cyberataku różni się od dotychczas opisywanych, niekiedy spektakularnych cyberataków na banki czy np. telewizję TV5 Monde, w następstwie których nie ma szkód w majątku fizycznym. Celem tych ataków jest sianie zwątpienia oraz wywoływanie niepokoju społecznego. Natomiast głównym celem ataku na przemysłowe systemy sterowania jest spowodowanie szkód w majątku (angielski termin „a cyber-physical attack”).

Systemy IT i ICS w kontekście cyberataku

Podstawową różnicą między cyberatakiem na system IT a cyberatakiem na ICS (Industrial Control System) jest brak fizycznych szkód po stronie IT. Przykładowo: cyberatak na system bankowy powoduje jedynie zmiany zapisów księgowych (co jest bolesne), ale zarówno komputery, jak i sejfy bankowe pozostają nienaruszone.

Cyberatak na systemy przemysłowe, jeśli nie zostanie w porę odparty, zawsze kończy się stratami majątkowymi, np. wybuchem, pożarem, utratą produktu itp. Wynika to z różnic pomiędzy systemami informatycznymi a przemysłowymi systemami pomiarów i sterowania. Podstawowe różnice zestawiono w tabeli 1.

Cyberataki na przemysłowe systemy sterowania

Włamanie do systemu SCADA firmy Maroochy Water Services, Queensland, Australia

Od 28 lutego do 23 kwietnia 2000 r. nastąpiło 46 nieautoryzowanych wejść do systemu SCADA.

W efekcie cyberataku wystąpiło rozlewisko ścieków, które skaziły grunt w pobliskim parku, zanieczyściły trawniki hotelu Hyatt Regency i przedostały się do rzeki.

Wskutek skażenia gruntu i trawników doszło do zniszczenia fauny w rzece, a dokuczliwy zapach uniemożliwił korzystanie z okolicznej infrastruktury i parku. Zdalnego ataku dokonał pracownik firmy zewnętrznej, montującej system SCADA w firmie Maroochy. Po zakończonym kontrakcie montażu SCADA ubiegał się o pracę w firmie Maroochy i spotkał się z odmową.

To klasyczny przykład cyberdywersji w wykonaniu zawiedzionego pracownika.

Wybuch rurociągu Baku – Tbilisi – Ceyhan (BTC)

6 sierpnia 2008 r. o godzinie 23.00 w pobliżu miasta Erzincan w Turcji nastąpił wybuch ropociągu BTC. Katastrofa zdarzyła się w pobliżu stacji pomp nr 30. Fala uderzeniowa była odczuwalna w promieniu półtora kilometra. Obsługa rurociągu dowiedziała się jednak o tym fakcie dopiero po 40 minutach, poinformowana przez jednego ze strażników, który na własne oczy obserwował pożar.

Straty dzienne wyceniono na 5 mln dolarów.

Nie zadziałał żaden z systemów bezpieczeństwa. Na każdym kilometrze ropociągu znajdowały się kamery monitoringu, czujniki ciśnienia i przepływu ropy oraz alarmy przeciwpożarowe. Odczytywane przez nie parametry przekazywane były na bieżąco do centrali za pomocą sieci bezprzewodowej oraz – w razie problemów z komunikacją – przez awaryjne połączenie satelitarne. Rząd turecki oskarżył Kurdów o atak i rozpoczął z nimi regularną wojnę.

Trzy dni później rozpoczęła się wojna Rosji z Gruzją. Lotnictwo rosyjskie bombardowało również trasę ropociągu, na szczęście bez skutków dla przesyłania ropy naftowej. Odpowiedź na pytanie dlaczego centralna dyspozytornia ropociągu nie odebrała ani jednego niepokojącego odczytu z rejonu, w którym nastąpił wybuch, przyszła dopiero jesienią 2015 r.

Długotrwałe dochodzenie wykazało, że ktoś zmodyfikował komputer odpowiedzialny za zbieranie danych diagnostycznych. Najprawdopodobniej atakujący zagłuszyli też łączność satelitarną, co tłumaczyłoby, dlaczego czujniki nie przesyłały odczytanych przez siebie parametrów alternatywnym kanałem komunikacyjnym.

Jak wynika z korelacji logów pochodzących z systemów komputerowych ropociągu – ktoś zeskanował infrastrukturę teleinformatyczną ropociągu. Próbowano wykonywać ataki i jeden z nich się udał. Punktem wejścia okazało się oprogramowanie wykorzystywane do komunikacji przez kamery monitoringu. Atakujący, po uzyskaniu dostępu do sieci, w której pracowały kamery, przedostali się do sieci wewnętrznej nadzorującej pracę ropociągu, a następnie zainstalowali oprogramowanie typu backdoor na jednym z komputerów pracujących w systemie Windows. Stamtąd udało się im wejść do DCS i przejąć sterowanie poszczególnymi zaworami. Manipulując wartościami odpowiadającymi za ciśnienie na danych odcinkach ropociągu, spowodowali wyciek, zapłon i eksplozję.

Oszacowane straty wynoszą ok. 1 mld dolarów.

Zniszczenie zakładu metalurgicznego w Niemczech

Jak podaje raport Niemieckiego Urzędu ds. Bezpieczeństwa w Technice Informacji za rok 2014, jesienią 2014 r. nastąpił cyberatak na system sterowania piecem hutniczym.

Przestawiony został system sterowania temperaturą pieca – w taki sposób, że jego dolna część była chłodzona, a część górna grzana bardzo intensywnie. W następstwie anomalii temperaturowych piec pękł.

Na podstawie śledztwa wiadomo, że atakujący pozyskali niezbędną informację „z wewnątrz” firmy.

Rafineria Saudi Aramco w Arabii Saudyjskiej

15 sierpnia 2012 r. został zaatakowany system sterowania rafinerii Aramco w Arabii Saudyjskiej. Zainfekowanych zostało około 30 000 stacji operatorskich. Praca rafinerii została przerwana na około tydzień. Ataku dokonała zorganizowana grupa hakerów określająca się jako „Tnący Miecz Sprawiedliwości” – „Cutting Sword of Justice”. Po incydencie w Rafinerii Aramco ukuty został termin „hakizm”. Terminem tym określane są działania cyberprzestępców próbujących nadać swym działaniom podłoże polityczne.

Dane zawarte w Repository for Industrial Security Incidents wskazują, że około 35 % incydentów polegających na atakach na przemysłowe systemy sterowania zostało zainicjowanych zdalnie. Już pobieżna analiza cyberincydentów obnaża niską świadomość i bierność osób odpowiedzialnych za bezpieczeństwo, szczególnie w sektorze przemysłu procesowego, energetyki i gospodarki wodno-ściekowej. Dodatkową trudność stanowią rozwiązania prawne, najczęściej nieprzystające do współczesnych cyberzagrożeń.

Stan prawny regulujący cyberprzestrzeń w różnych krajach

Stany Zjednoczone

W grudniu 2014 r. wszedł w życie pakiet rozwiązań prawnych określany akronimem CFATS – The Chemical Facility Anti-Terrorism Standards Program, jako prawo federalne (6 C.F.R. Part 27).

Amerykański Instytut NIST wydał szereg norm dotyczących cyberbezpieczeństwa, np. normy z grupy NIST 800. Departament Bezpieczeństwa Wewnętrznego (Department of Homeland Security) opracował szereg przepisów, wytycznych oraz przewodników do realizacji w praktyce programu CFATS oraz utworzył specjalną komórkę inspekcyjną ds. kontroli cyberbezpieczeństwa w przedsiębiorstwach uznanych za ważne z punktu interesów USA. Inspektorzy DHS mają szereg uprawnień kontrolnych i administracyjnych, łącznie z prawem do natychmiastowego zatrzymania pracy instalacji lub przedsiębiorstwa w razie stwierdzenia poważnych uchybień lub braków w cyberbezpieczeństwie.

Unia Europejska

Parlament i Rada Europy są w trakcie przygotowywania dyrektywy o wysokim bezpieczeństwie sieci, której celem będzie ujednolicenie rozwiązań prawnych poszczególnych krajów członkowskich, tak aby nie ograniczyć swobodnego przepływu towarów i usług. Obecnie wydane są wytyczne ENISA – European Network and Information Security Agency dla krajów członkowskich. Wytyczne dotyczą ochrony przemysłowych systemów sterowania. Newralgicznym obszarem Unii Europejskiej jest łączność i telekomunikacja – w tym obszarze już od 2011 r. obowiązują wytyczne ITU (International Telecommunication Union).

Spośród innych ponadnarodowych rozwiązań, należy tu wymienić wytyczne OECD zawarte w Reducing Systematic Cybersecurity Risk, informujące o systematycznej redukcji cyberryzyka.

Nie czekając na rozwiązania wspólnotowe, szereg krajów członkowskich stworzyło własne prawo i organy do zwalczania cyberzagrożenia.

Niemcy utworzyły specjalny Urząd ds. Bezpieczeństwa Informatyki (Bundesamt für Sicherheit in der Informationstechnik). Jego zadaniem jest m.in. systematyczne zbieranie informacji o incydentach w cyberprzestrzeni. Osoby mające wiedzę o tego typu incydentach zobowiązane są do zgłoszenia tego do wspomnianego urzędu. Brak zgłoszenia zagrożony jest karą do 50 000 euro.

Generalnie problemem jest brak pełnych danych o incydentach i ich naturze. Różne bazy, takie jak np. baza RISI o incydentach przemysłowych, mają wspólną właściwość – brak kompletności.

Brak wiedzy o ilości, rodzaju i skutkach cyberincydentów uniemożliwia podejmowanie właściwych decyzji zarządczych, w tym w zakresie normalizacji.

Normalizacja dotycząca cyberbezpieczeństwa

Stany Zjednoczone są krajem o największej liczbie cyberincydentów związanych w atakami na przemysłowe systemy sterownia (ICS). Najczęściej są to, niestety, ataki pochodzące spoza granic USA.

Z tego względu różne instytucje amerykańskie opublikowały rozmaite wytyczne, przewodniki i zalecenia dotyczące obrony przed cyberatakami. Do najważniejszych należą wytyczne Departamentu Bezpieczeństwa Wew-
nętrznego, Departamentu Obrony, Departamentu Energetyki oraz Departamentu Transportu. Jest to związane ze specyfiką regulowanego obszaru.

Podejście ogólne zawierają normy Amerykańskiego Instytutu Standaryzacji – NIST Special Publication 800 xx (gdzie xx jest numerem kolejnym). Przykładowo NIST SP 800-82
ma tytuł „Guide to Supervisory Control and Data Acquisition (SCADA) and Industrial Control Systems Security”.

Najnowsza, wieloarkuszowa norma ISA/IEC 62443 przedstawia cyberbezpieczeństwo w cyklu życia obiektu. Część arkuszy tej normy jest jeszcze w opracowaniu.

Systemowa obrona przed cyberatakiem

Przed przystąpieniem do budowy obrony przed cyberatakiem na instalację przemysłową należy znać odpowiedź na pytanie: Co może być celem atakującego i w jaki sposób może ten cel osiągnąć?

Odpowiadając na powyższe pytanie, należy mieć na uwadze trójwarstwową strukturę przedsiębiorstwa.

Warstwa I to system IT: sieci, połączenia, systemy operacyjne, aplikacje. Atakujący musi w tej warstwie uzyskać jedynie „efekt propagacji” swojej aplikacji.

Warstwa II to przemysłowe systemy sterowania (ICS): konwertery, kontrolery, systemy awaryjnych zatrzymań instalacji, systemy ESD/EVD (Emergency Shut Down/Emergency Vent Down) itp.

W tej warstwie atakujący musi osiągnąć „efekt manipulacji”, który spowoduje rozdzielenie świata wirtualnego w dyspozytorni od świata rzeczywistego w instalacji przemysłowej.

Warstwa III to fizyczna warstwa obiektu interesująca dla atakującego, którą stanowią: zawory regulacyjne, zintegrowane systemy zabezpieczeń przed nadciśnieniem (tzw. HIPPs), napędy elektryczne, pomiary elektryczne (cyfrowe) wielkości fizycznych itp.

Cyberprzestępca chce wywołać „efekt szkody” w majątku, wykorzystując podatność elementów systemu automatyki i pomiarów.

Adekwatna architektura korporacyjna

Pojęcie „adekwatna architektura korporacyjna” w zakresie zarządzania informacją w korporacji oznacza taki podział przedsiębiorstwa, który zapewni jasny i czytelny dostęp do danych dla osób, odpowiadających ich uprawnieniom i kompetencjom. Przykładowo informatyk obsługujący dział płac powinien mieć dostęp do stosownych plików, zawierających dane o płacach członków zarządu, ale nie do ich zawartości.

Korporacje często są obsługiwane przez firmy zewnętrzne, np. w zakresie instalacji oprogramowania lub budowy przemysłowego systemu sterowania (ICS). Natychmiast po zakończeniu pracy przez zewnętrznych pracowników informatycy korporacyjni powinni wymienić uprawnienia dostępu do domen, hasła itp. Wówczas prawdopodobieństwo wyrządzenia cyberszkody, tego typu jak w przypadku firmy Maroochy Water Services, byłoby niewielkie.

Cyberprzestępcy bardzo starannie przygotowują się do ataku na wybraną firmę. W prawie 80 % udanych ataków pomogła im informacja zdobyta od pracowników firmy. Wykorzystują w tym celu przede wszystkim media i portale społecznościowe. Pozornie błaha informacja czy zawoalowane zapytanie o pomoc w rozwiązaniu jakiegoś problemu zawodowego może być drogą do zdobycia zaufania i wejścia w posiadanie danych umożliwiających wtargnięcie do warstwy I i uzyskanie „efektu propagacji”. W przypadku zniszczenia zakładu metalurgicznego w Niemczech informator (świadomy lub mimowolny) był wewnątrz zakładu.

Jednym z zadań właściwej architektury korporacyjnej jest ciągłe uświadamianie pracownikom o konieczności zachowania dyskrecji, zwłaszcza w kontaktach „sieciowych”, ponieważ ceną, którą może przyjdzie im później zapłacić, jest utrata miejsca pracy.

Struktura sieci odporna na atak

Struktura sieci IT w korporacji powinna być tak zaprojektowana, aby wtargnięcie intruza w jednym miejscu nie pozwalało mu na łatwe wejście w inne, bardziej newralgiczne miejsce.

Niezwykle ważne jest, aby firma miała jasne i wdrożone zasady postępowania na wypadek cyberataku, a pracownicy wiedzieli, co mają robić zaraz po zakończonym lub odpartym cyberataku – tak, aby chaos i panika wywołana cyberatakiem wśród pracowników nie były przyczyną jeszcze większych szkód niż te, które spowodował cyberatak.

System wykrywania naruszeń

Wszelkie zmiany dokonywane w przemysłowym systemie sterowania (ICS) muszą być dokładnie odnotowane w rejestrze zmian. Informacja o zmianach w programie musi być podawana do powszechnej wiadomości wśród zainteresowanych pracowników. Kompetentni pracownicy powinni znać datę i godzinę zmian, zakres zmian oraz dane osoby, która je zrobiła.

Upublicznianie wśród pracowników danych o zmianach jest jedną z najprostszych form kontroli procesów w systemie ICS. Należy również zachować należytą staranność w procesie dokonywania poprawek w oprogramowaniu (tzw. upgrade’y) oraz unikać zdalnych, samowolnych lub przypadkowych zmian w programie i w parametrach elementów pomiarowych oraz członów wykonawczych.

Operatorzy powinni mieć dużą wiedzę o technologii procesów, które nadzorują ze względnie bezpiecznego miejsca, jakim jest dyspozytornia. Wówczas będą mogli szybko wykryć początki nienormalnych stanów i zachowań instalacji lub nietypowych zjawisk w procesie technologicznym.

System zabezpieczeń socjotechnicznych

Człowiek jest najsłabszym ogniwem w łańcuchu zabezpieczeń w cyberprzestrzeni. Bardzo dużo zależy od jego postawy i zachowania w każdej z faz: na długo przed atakiem, w trakcie ataku i po jego zakończeniu.

Po stronie przyszłej ofiary cyberataku mogą wystąpić dwa niekorzystne zjawiska:

• fakt, że przemysłowe systemy sterowania nie są przystosowane do współczesnych sieciowych zagrożeń pochodzących z cyberprzestrzeni – te systemy powstawały w większości w okresie, gdy cyberzagrożenia nie były jeszcze brane pod uwagę w ocenie ryzyka,
• niska świadomość ryzyka i bierność osób odpowiedzialnych za ochronę obiektu przemysłowego, w tym za cyberbezpieczeństwo.

Według portalu PricewaterhouseCoopers Polska w 2014 r. prawie połowa członków zarządów firm na świecie podzielała obawy związane z zagrożeniami pochodzącymi z cyberprzestrzeni. Jednocześnie jednak całkowite nakłady przeznaczane na cyberbezpieczeństwo zmalały w 2014 r. o 4 % w porównaniu z 2013 r. Oznaczać to może istnienie „odwróconej piramidy” – im wyższy szczebel w zarządzie korporacji, tym mniejsze zrozumienie dla cyberzagrożeń. Co więcej, o fundusze starają się specjaliści ds. cyberbezpieczeństwa, którzy mają trudności z „przełożeniem” spraw technicznych na poziom języka zarządu, a ten nie jest przekonany o powadze zagrożenia.

Wpływ zewnętrznego regulatora na zwiększanie cyberbezpieczeństwa w przemyśle jest nadal znikomy. Rynek ubezpieczeń od skutków cyberataków na świecie dopiero raczkuje, a w Polsce praktycznie nie istnieje. Koszt polisy od skutków cyberataku nie ma wpływu na bieżące finanse korporacji. Brak także ingerencji organów państwa w sprawy cyberbezpieczeństwa w przemyśle, poza nielicznymi wyjątkami (USA, Niemcy).

Mimo rosnącej skali cybernaruszeń, około 75 % ankietowanych w USA przyznało, że rezygnuje z zaangażowania organów ścigania i wnoszenia oskarżeń w przypadku przestępstw popełnianych przez osoby z wewnątrz firmy.

Jednocześnie prawie połowa respondentów w Polsce twierdzi, że w ich firmie funkcjonuje zespół międzywydziałowy, który regularnie zbiera się, by koordynować kwestie dotyczące bezpieczeństwa informacji i komunikować się w tych sprawach.

Jak wynika z raportu PwC, spółki mające programy budowania świadomości w obszarze bezpieczeństwa, zgłaszają znacznie niższe straty finansowe z tytułu incydentów w sieci. Inwestowanie środków w kwalifikacje ludzi zmniejsza bowiem ryzyko oraz pozwala na szybkie reagowanie na incydenty i ograniczanie ich skutków.

Problem zlokalizowany jest „między krzesłem a klawiaturą” (ang. Problem Existing Between Keyboard and Chair – PEBKAC), zwłaszcza w dobie istnienia popularnych sieciowych mediów i portali społecznościowych. Cyberatak jest poprzedzany m.in. próbami penetracji „od środka”, poprzez zdobycie zaufania kogoś z pracowników, a następnie odebraniem przez tegoż pracownika e-maila i otwarcie „niewinnie” wyglądającego załącznika.

Na podstawie zgromadzonych danych US-CERT podał następujące zestawienie:

• 80 % cyberataków miało „wsparcie” z wewnątrz firmy,
• 87 % pracowników, które pomogły hakerom, miało elementarną wiedzę o IT,
• 70 % cyberataków było wykonanych w godzinach pracy firmy,
• 78 % cyberataków było zrealizowanych w oparciu o legalny dostęp do danych firmowych.

Podsumowanie

Wnioski dotyczące powagi sytuacji w zakresie cyberbezpieczeństwa przemysłowych systemów nasuwają się same.

• Szybki rozwój techniki zdaje się sprzyjać cyberprzestępcom. Zamiast „spacerowiczów” skanujących otoczenie obiektu mogą być użyte drony. Drony najczęściej nie są wykrywane przez kamery przemysłowe oraz wymagają innej formy zwalczania niż postępowanie z intruzem, który wtargnął do strefy ochrony przemysłowej.
• Coraz większej ostrożności wymaga korzystanie ze służbowych komputerów poza siecią firmową, a zwłaszcza korzystanie z usług otwartego dostępu do Wi–Fi (niezabezpieczonego) w miejscach publicznych. Taki komputer może ulec „zainfekowaniu” i wirus może z opóźnieniem łatwo wtargnąć do sieci firmowej.
• Szczególnej ostrożności wymaga postępowanie z danymi krytycznymi i ich ochrona. Jest to związane z zaufaniem partnerów biznesowych oraz z możliwością utraty reputacji.
• Umieszczając dane w chmurze (Cloud Computing) powierzamy je innym. Dostawca usług chmurowych powinien mieć certyfikat bezpieczeństwa ISO/IEC 27018. Wszystkie dane przesyłane i składowane w chmurze powinny być szyfrowane.
• Pracownicy dyspozytorni i służby ochrony powinni być przeszkoleni w postępowaniu na wypadek cyberataku, w tym z użyciem dronów oraz dobrze znać zasady postępowania po odparciu ataku.
• Wszyscy pracownicy powinni być świadomi, że sprawy bezpieczeństwa i ochrony (Safety and Security) przedsiębiorstwa wymagają ciągłego doskonalenia.
• Należy też często wykonywać analizy cyberryzyka instalacji przemysłowych i natychmiast stosownie reagować na każde podwyższenie ryzyka.
• Cyberbezpieczeństwo jest jednym z elementów holistycznej ochrony przedsiębiorstwa, toteż zaleca się przyjęcie strategii obrony głębokiej – „defence in depth”. jest to hybrydowa, wielopoziomowa strategia bezpieczeństwa, która w ocenie ekspertów, będzie w najbliższym czasie standardem przemysłowym.

source: Automatyka 1-2/2016