Cyberbezpieczeństwo w przemyśle
Marcin Bieńkowski print
Nowoczesny przemysł to przemysł w coraz większym stopniu zautomatyzowany i scyfryzowany. Takie rozwiązania jak Przemysłowy Internet Rzeczy, zrobotyzowane gniazda produkcyjne, sztuczna inteligencja sterująca procesami produkcyjnymi, czy szerzej, systemy zgodne z założeniami Przemysłu 4.0 są obecnie standardem, ale czy zastanawiamy się nad ich cyberbezpieczeństwem?
Według raportu IBM X-Force Threat Intelligence Index 2023, przemysł jest obecnie najczęstszym celem cyberataków. Wynika to z faktu, że w zeszłym roku aż 27 % ataków było związanych z wymuszeniami. Kiedy atakujący widzą słabość, wykorzystują ją, a niska tolerancja przemysłu na przestoje sprzyja zwiększaniu się liczby ataków na firmy produkcyjne. Obecnie na firmy przemysłowe przeprowadzanych jest około 30 % wszystkich tego typu ataków związanych z wymuszeniami, a ich liczba w skali roku wrasta aż o 300 %. Te dane jasno pokazują, że w ciągu ostatnich kilku lat firmy działające w branży przemysłowej praktycznie z dnia na dzień znalazły się na celowniku cyberprzestępców.
Zagrożony Przemysł 4.0
Jeszcze do niedawna pod pojęciem cyfrowej fabryki kryła się cyfryzacja poszczególnych procesów i systemów sterowania tak, aby ułatwić i uprościć efektywne zarządzanie produkcją oraz przekazywać uzyskane w ten sposób dane do systemów zarządzania przedsiębiorstwem, takich jak systemy ERP. Obecnie mamy do czynienia z kolejnym etapem cyfrowych, przemysłowych przemian, które zaowocowały powstaniem Przemysłu 4.0. Czwarta rewolucja przemysłowa pozwoliła na stałe zintegrować systemy sterowania produkcją z firmową infrastrukturą IT, a urządzenia Przemysłowego Internetu Rzeczy na bieżąco, w czasie rzeczywistym, monitorują całe środowisko produkcyjno-logistyczne w fabryce. Systemy te stały się otwarte, komunikują się ze światem, a na obszary przemysłowe zaczęła wkraczać sztuczna inteligencja.
Cyfrowe systemy sterowania znacznie ułatwiły zarządzanie pracą maszyn czy zrobotyzowanych gniazd, a także całych linii produkcyjnych. Pozwalają nie tylko zindywidualizować produkcję pod konkretne zamówienie klienta, ale ograniczają też przestoje, analizują dane w poszukiwaniu sygnałów nadchodzących awarii, sterują cyklem przezbrajania maszyn i jeszcze skuteczniej pozwalają zautomatyzować wszelkie procesy produkcyjne w połączeniu z kontrolą jakości i efektywnym zarządzaniem zasobami, w tym z poborem energii.
Niestety, będący integralną częścią Przemysłu 4.0 całkowicie scyfryzowany sposób sterowania produkcją, obok ogromnych korzyści, przynosi również szereg zagrożeń. Połączone ściśle ze sobą systemy zbierania i kontroli danych, różnego rodzaju sterowniki i czujniki oraz rozproszone urządzenia sterujące narażone są na cyberataki, które mogą, jeśli dojdzie do przestoju, narazić firmę i powiązanych z nią partnerów biznesowych na ogromne straty finansowe, materialne (np. uszkodzenie maszyn) i wizerunkowe. Wstrzymanie produkcji, utrata kontroli nad procesami, konieczność zapłacenia nawet milionowych okupów za odzyskanie dostępu do danych, zerwanie lub destabilizacja łańcuchów dostaw, to tylko część strat z jakimi może wiązać się skutecznie przeprowadzony cyberatak na system produkcyjny.
Ataki na systemy przemysłowe są nie tylko, jak stwierdza to wspomniany wcześniej raport IBM, coraz częstsze, ale i coraz bardziej wyrafinowane. Straty generowane przez przerwy w działaniu systemów przemysłowych mogą mieć poważne konsekwencje dla prawidłowego funkcjonowania organizacji, jak również stanowić zagrożenie dla bezpieczeństwa energetycznego państwa czy ludzkiego zdrowia i życia.
Przykładem może być atak przeprowadzony w maju 2021 r. na Colonial Pipeline, największy system rurociągów transportujących ropę naftową w USA. Na kilka dni zawieszony został całkowicie transport paliw, a przyczyną był cyberatak z udziałem oprogramowania ransomware DarkSide. Colonial Pipeline jest jednym z największych operatorów rurociągów w Stanach Zjednoczonych. Firma dostarcza około 45 % paliwa dla Wschodniego Wybrzeża, w tym benzynę, olej napędowy, olej opałowy, paliwo lotnicze i paliwo wykorzystywane przez wojsko.
Kiedy odkryto, że złośliwe oprogramowanie przeniknęło do sieci informatycznej firmy, operatorzy Colonial Pipeline byli zmuszeni do wyłączenia systemów IT, aby zapobiec jego rozprzestrzenianiu się. W efekcie doprowadziło to do całkowitego zablokowania pracy rurociągu. Jak podał Bloomberg, napastnicy wykradli ponad 100 GB danych w ciągu zaledwie dwóch godzin przed rozpoczęciem aktywnej fazy ataku. Dokładnie nie wiadomo, w jaki sposób złośliwe oprogramowanie przeniknęło do sieci firmy. Wśród rozważanych możliwości są standardowe schematy dystrybucji ransomware – e-maile phishingowe, wykorzystanie podatności, wykorzystanie skradzionych wcześniej kont lub VPN pracowników. W związku z groźbą niedoboru paliw cztery stany USA - Karolina Północna, Wirginia, Georgia i Floryda - ogłosiły stan wyjątkowy. Jak widać konsekwencje cyberataku na infrastrukturę krytyczną mogą być nad wyraz poważne.
Różnice między systemami OT oraz IT
Pod pojęciem OT, czyli Operational Technology, ukrywają się wszystkie technologie operacyjne wykorzystywane w produkcji przemysłowej. Jednocześnie można stwierdzić, że cyberbezpieczeństwo OT jest w zasadzie tym samym, czym cyberbezpieczeństwo technologii informacyjnych (IT), ponieważ obie grupy środków operacyjnych bazują w większości na tych samych technologiach szkieletowych, a więc tych, które leżą u podstaw transmisji i przetwarzania danych. Główne różnice między systemami OT i IT sprowadzają się do następujących elementów:
- różnic funkcjonalnych w implementacji systemów OT i IT,
- implementacji mechanizmów bezpieczeństwa,
- długości eksploatacji sprzętu.
Jeśli chodzi o różnice funkcjonalne to system przemysłowy nigdy nie może być zatrzymany poza planowanym okresem przestoju, co oznacza, że dostępność systemu nie może być w żaden sposób zagrożona. Nie da się więc automatycznie aktualizować oprogramowania czy sterowników. Rozwiązania cyberbezpieczeństwa OT muszą zatem być skoordynowane z harmonogramem produkcji przy jednoczesnym zachowaniu optymalnego bezpieczeństwa. Kolejną, kluczową kwestią jest to, że systemy IT wykorzystują stosunkowo nowoczesne oprogramowanie działające na standardowym, również w miarę nowym sprzęcie, podczas gdy systemy OT odpowiadają za nadzór i sterowanie fizycznymi elementami systemów automatyki, w których spotkamy się z mieszanką nowych i starych technologii – często pochodzących jeszcze z lat 80. ubiegłego wieku lub starszych.
Co do implementacji mechanizmów bezpieczeństwa, to mimo tego, że narzędzia i metodologie stosowane w OT i IT są często takie same, to jednak istnieją między nimi krytyczne różnice w ich stosowaniu. Zastosowanie typowych rozwiązań cyberbezpieczeństwa IT do systemów OT bez ich odpowiedniego dostosowania i przemyślanej implementacji najprawdopodobniej doprowadzi do istotnych problemów operacyjnych. Często podawanym przykładem, dość dobrze wyjaśniającym najważniejsze różnice, jest powszechnie stosowany w systemach IT mechanizm blokowania konta użytkownika, jeśli hasło zostanie błędnie wprowadzane kilka razy. W systemach OT może się to skończyć tym, że operator, który próbował logować się np. w rękawicach roboczych, przez co źle wpisał hasło, nie będzie mógł sterować krytycznym systemem produkcyjnym, a nawet zapobiec jego awarii czy katastrofie.
W przypadku eksploatacji sprzętu, to urządzenia IT, takie jak komputery czy laptopy można łatwo wymienić co kilka lat. Podobnie jest z serwerami czy infrastrukturą sieciową, jednak komponenty systemu przemysłowego działają znacznie dłużej. Nowoczesne środki kontroli bezpieczeństwa cybernetycznego mogą być stosowane na standardowym komputerze bez większego zastanowienia ponieważ jest on stosunkowo nowy i rzadko zależy od innych urządzeń lub je wspiera. Natomiast system przemysłowy składa się z dziesiątek różnych urządzeń i czujników, które muszą ze sobą współpracować. Zastosowanie cyberbezpieczeństwa na nowoczesnym poziomie może negatywnie wpłynąć na inne funkcje systemu, które nie są w stanie obsłużyć nowych mechanizmów bezpieczeństwa ponieważ bazują na starszych technologiach. Z drugiej strony często nie można też wymienić starszych elementów systemu automatyki, gdyż wiązałoby się to z koniecznością wybudowania od nowa całej linii technologicznej – jest to kolejny, duży problem cyberbezpieczeństwa systemów OT.
Czynniki zwiększające podatność na cyberataki
Źródło: RA Controls |
Zagrożenia
W praktyce przemysłowej cyberataki podzielić można na dwa rodzaje:
- ataki, w których następstwie brak jest szkód w majątku fizycznym firmy. Celem takich ataków jest najczęściej naruszenie zaufania do danego przedsiębiorstwa, np. wyciek niekorzystnych danych do opinii publicznej, kradzież i sprzedaż cyfrowych danych, na przykład o klientach lub też czerpanie korzyści finansowych. Ogólnie są to ataki na systemy teleinformatyczne czyli biznesowe systemy IT.
- ataki, których celem jest spowodowanie szkód w majątku fizycznym firmy. Są to przede wszystkim ataki na przemysłowe systemy sterowania ICS (Industrial Control System).
W przypadku systemów OT zagrożenia, podobnie jak w wypadku systemów IT, podzielić można na zagrożenia związane ze:
- zdalnym dostępem,
- atakami na punkty końcowe,
- segmentacją sieci IoT i systemów automatyki przemysłowej,
- wymianą danych,
- malwarem i atakami na oprogramowanie sterowników,
- siecią przemysłową i magistralami przemysłowymi na styku systemów IT/OT.
Zdalny dostęp i możliwość ataku na punkty końcowe wpisane są w rozwój idei Przemysłu 4.0. oraz technologii Przemysłowego Internetu Rzeczy. Okazuje się, że wiele urządzeń możemy serwisować zdalnie, a tego typu usługi świadczone przez dostawcę cieszą się dużym zainteresowaniem. Z punktu widzenia użytkownika, rozwiązania zdalnego dostępu do parku maszynowego niosą za sobą szereg korzyści, w tym w szczególności oszczędność czasu i zmniejszenie kosztów utrzymania i serwisowania urządzeń. Niemniej, z punktu widzenia bezpieczeństwa sieci, otwiera się w ten sposób kolejną ścieżkę dostępu do naszej wewnętrznej sieci przemysłowej i przez to zwiększa ryzyko ataku.
Odpowiedzialne zarządzanie dostępem do sieci, a w tym zarówno dostępem dla użytkowników, jak i urządzeń, jest warunkiem prawidłowego funkcjonowania procedur i systemów cyberbezpieczeństwa. Podobnie jak w systemach IT, weryfikacja dostępu do sieci może odbywać się na wielu płaszczyznach, nie tylko przez przydzielanie uprawnień konkretnym użytkownikom, ale także urządzeniom i związanej z nimi lokalizacją, w której się znajdują i z jakiej żądają dostępu do wewnętrznej sieci. Specjaliści ds. cyberbezpieczeństwa zalecają, aby zarządzanie zdalnym dostępem odbywało się w sposób globalny, zakładający stosowanie bezpieczniejszych, szyfrowanych połączeń VPN, które to połączenia pozwalają na zachowanie lepszej kontroli dostępu.
Jeśli chodzi o segmentację, to pojedyncza, rozbudowana sieć z dostępem do wszystkich jej elementów nie sprzyja zapewnieniu odpowiedniego poziomu bezpieczeństwa. To dlatego zaleca się tworzenie podziału sieci na logiczne segmenty oraz jasne zdefiniowanie uprawnień dla użytkowników i urządzeń. Mechanizmy wykorzystywane w tym procesie, m.in. profilowanie urządzeń, nadawanie uprawnień na bazie tożsamości czy też zastosowanie firewalli między segmentami sieci. Podobnie ma się z atakami na styk między siecią IT/OT oraz urządzeniami brzegowymi. Tam też, wszędzie gdzie to możliwe, powinny być stosowane zabezpieczenia programowo-sprzętowe, np. Firewall lub lepiej, przemysłowe urządzenia klasy UTM (Unified Threat Management).
Audyt bezpieczeństwa
Przed przystąpieniem do działań zwiększających cyberbezpieczeństwo systemów przemysłowych konieczne jest przeprowadzenie audytu lub oceny bezpieczeństwa. Audyt implikuje formalną procedurę, często przeprowadzaną przez niezależną firmę, która oceni polityki i procesy pod kątem zgodności z wymaganiami, specyfikacjami, standardami i procesami. Często przeprowadzenie właściwego audytu poprzedza ocena bezpieczeństwa, która obejmuje architekturę sieci, przepływy danych, weryfikację systemów i procesów produkcyjnych, a także, co jest nie mniej istotne, wiedzy i podejścia do ochrony informacji przez pracowników [1].
Wykonanie oceny bezpieczeństwa i audytu wskazuje, jakie środki bezpieczeństwa powinno podjąć przedsiębiorstwo. Infrastruktura przemysłowa staje się coraz bardziej skomplikowana i często obsługiwana jest przez wiele podmiotów. Dlatego granica między strefą bezpieczną i niebezpieczną nie przebiega na fizycznym brzegu zakładowej sieci, ale bardzo często biegnie wprost przez urządzenia i aplikacje. Praktyczne rozwiązania, mogące relatywnie szybko poprawić bezpieczeństwo w wielu przedsiębiorstwach, to zapanowanie nad bazą zainstalowanych urządzeń i ich oprogramowania oraz nieustanne podnoszenie świadomości pracowników i managerów w zakresie cyberbezpieczeństwa [1].
Analiza cyberryzyka
Oprócz samego audytu bezpieczeństwa warto też przeprowadzić analizę cyberryzyka. Strategia analizy ryzyka musi ocenić charakter potencjalnego cyberzagrożenia i zakwalifikować go do jednej z trzech grup [2]:
1. Statystyczny – cyberatak przypadkowy. Obrona może mieć także cechy statystyczne, jaką zapewniają programy antywirusowe, firewalle i urządzenia klasy UTM.
2. Semi-statystyczny – cyberatak na bardzo podobne systemy lub o zbliżonej funkcjonalności, np. na ściśle określony typ kamer przemysłowych czy sterowników PLC. Rzadko jest to atak z wrogą intencją.
3. Wrogi – atak z intencją, atak celowy i zamierzony, powodując straty fizyczne na przykład w infrastrukturze zakładu.
Każda analiza ryzyka powinna zawierać w sobie odpowiedź na pytania: „co się wydarzyło w przeszłości? Dlaczego? Jakie były skutki?”. Niestety historyczne dane dotyczące cyberataków na przemysłowe systemy ICS są raczej ubogie, dlatego przy analizie ryzyka istotna jest znajomość podatności używanych w firmie systemów ICS na cyberataki, oraz częstość ataków na świecie na poszczególne elementy systemu ICS – te dane udostępni każdy liczący się producent systemów sterowania automatyki przemysłowej.
Należy też pamiętać, że aby zaistniał skuteczny cyberatak, muszą zostać spełnione warunki wstępne:
- muszą istnieć podatności lub słabości w bronionym systemie,
- atakujący musi mieć wystarczające zasoby, aby znaleźć podatności lub słabości obrony systemu, co jest określane często terminem potencjału lub zdolności ataku,
- atak musi przynieść korzyści atakującemu,
- i musi mieć motywację do prowadzenia ataku.
Najczęściej cyberatak na ICS ma przebieg według następującego schematu. Atakujący znajduje luki w systemie IT, coraz częściej wykorzystywane są w tym celu systemy mobilne, np. smartfony pracowników, i zagnieżdża tam szkodliwe oprogramowanie umożliwiające mu dalsze działania. Jego celem jest uzyskanie tzw. efektu propagacji, czyli dostania się do systemu ICS. W tym celu najczęściej wykorzystywane są techniki profilowania ofiary, na przykład pracownika przedsiębiorstwa, za pomocą profili społecznościowych lub zawodowych. Atak przeprowadzony jest przy wykorzystaniu technik o podłożu socjologicznym i inżynierii społecznej. Czasami jest stosowany efekt dezorientacji ofiary przez przesłanie spreparowanych, dedykowanych wiadomości e-mail, zawierającej złośliwy kod, media społecznościowe lub komunikatory. Po uzyskaniu dostępu do ICS, atakujący musi osiągnąć tzw. efekt dezinformacji. Polega on na takiej manipulacji danymi procesowymi, aby w sposób niezauważalny dla operatora (tzw. oślepienie operatora) spowodować katastrofę przemysłową lub zatrzymanie procesu produkcji i w efekcie spowodować szkody w majątku fizycznym firmy [2].
Czynniki zwiększające podatność na cyberataki w środowisku przemysłowym
W nowoczesnych systemach ICS atak na jeden ze ściśle ze sobą powiązanych elementów sieci połączenie między maszynami i systemami sterowania, powoduje efekt domina i w efekcie całkowity paraliż produkcji, a często również i łańcucha dostaw. Jednym z najczęstszych celów hakerów są firmowe serwery, zawierające dane na temat procesów, schematów, tajemnic handlowych, klientów czy pracowników. Wykorzystują w tym celu luki w zabezpieczeniach systemów i firmowych sieci, ale również błędy ludzkie: łatwe do złamania hasła czy złośliwe oprogramowanie, które wprowadza się do firmowej sieci za pomocą e-mailowych załączników i linków wysyłanych w mediach społecznościowych do pracowników .
Należy zaznaczyć, że systemy przemysłowe są stosunkowo łatwym celem, ponieważ przez wiele lat funkcjonowało przekonanie, że ich odizolowanie od Internetu oraz specyficzne protokoły komunikacyjne zapewniają wystarczające bezpieczeństwo i do tej pory wiele systemów automatyki przemysłowej nie ma w ogóle jakichkolwiek zabezpieczeń. Dla przykładu, chętnie wykorzystywany protokół Modbus TCP to nieszyfrowany protokół będący prostym rozszerzeniem protokołu Modbus RTU z lat 70. Podsłuchanie transmisji nie stanowi tu problemu, a wszystkie dane sterujące są w nim przesyłane w sposób jawny. Tak samo podatne na ataki są nieszyfrowane protokoły EtherNet/IP oraz popularny Profinet. W ich wypadku wykonanie ataków typu Man-in-the-midle jest wyjątkowo proste, ze względu na brak szyfrowania oraz dzięki powszechnej dostępności danych o tych protokołach.
Sieci przemysłowe są również podatne na zagrożenia typu zero-day, a więc takie, które nie zostały jeszcze zdiagnozowane, ani nie są znane przez producenta. W systemach IT, tego typu zagrożeniom zapobiega się przez szybką aktualizację oprogramowania czy systemu operacyjnego dla urządzeń objętych zagrożeniem. W wypadku systemów przemysłowych jest to nie tylko nierealne, ale również często niepożądane, ponieważ nigdy nie wiadomo, czy taka przygotowana na szybko poprawka nie doprowadzi do utraty stabilności działania linii technologicznej, a cofnięcie jej może okazać się równie kłopotliwe, co jej zastosowanie.
Przemysłowy Firewall Przemysłowy Firewall to urządzenie, podobnie jak standardowa zapora ogniowa, służące do zapewnienia bezpiecznego zdalnego dostępu do chronionych maszyn i urządzeń, w tym wypadku przemysłowego systemu automatyki lub urządzeń IIoT oraz systemów zgodnych z założeniami Przemysłu 4.0. Firewalle pozwalają również na realizację założeń polityki bezpieczeństwa przez separację i podział sieci OT na chronione strefy. Cechą charakterystyczną przemysłowej zapory ogniowej jest przystosowanie jej do montażu na szynie DIN. Urządzenia tego typu realizują zwykle również funkcje typowe dla routerów i switchy, jak filtrowanie pakietów i kierowanie ich do zdefiniowanych sieci lub podsieci przyłączonych do portów urządzenia, a jako firewall blokują, według zdefiniowanych reguł, ruch sieciowy z wykorzystaniem wszystkich popularnych protokołów przemysłowych m.in. Profinet, EtherNet/IP, EtherCAT czy Modbus TCP. Urządzenia tego typu są w stanie przeprowadzać również inspekcje pakietów pod kątem adresu urządzeń slave – takie rozwiązanie określa się mianem Firewalli SCADA lub Firewalli DPI (Deep Packet Inspection). Z kolei obsługa tuneli VPN pozwala na bezpieczny dostęp do sieci przemysłowej z dowolnego miejsca na Ziemi. Coraz częściej spotkać można przemysłowe firewalle z funkcją uczenia się ruchu sieciowego, co pozwala wychwycić wszelkie anomalie związane z cyberatakiem. |
Obrona przed cyberatakami
Obecnie, aby zabezpieczyć istniejące systemy ICS stosuje się dwie strategie. Pierwszą z nich jest wymiana urządzeń na nowe modele, wyposażone w mechanizmy bezpieczeństwa. Przykładem może być sprzęt firmy Siemens. Wymienić tu należy sterowniki z TIA Ethernet: S7-1500, 1505S, S7-300, CP343-1 i SCALANCE S. Oferują one zwiększoną dostępność, odporność na awarie i zdefiniowane zachowanie w przypadku ataku. Sterowniki S7-1500 oraz urządzenia SCALANCE XM408-8C mają certyfikat pierwszego poziomu CSPN – Certification de Sécurité de Premier Niveau. SIMATIC PCS 7 zgodny jest ze standardami IEC 62443-4-1 oraz IEC 62443-3-3 i certyfikat TÜV SÜD.
Istotne jest tu dbanie o to, by przemysłowe systemy ICS/OT, które są stosowane w fabryce, zawsze charakteryzowały się najwyższym, możliwym poziomem cyberzabezpieczeń. Takie działania obejmują m.in. zapewnienie najnowszych funkcji bezpieczeństwa, zabezpieczenie zdalnych połączeń z sieciami OT, regularną aktualizację systemów operacyjnych oraz ochronę firmowej, biznesowej sieci IT przed dostępem z zewnątrz.
Druga strategia określana jest mianem Defence in Depth. Polega na zastosowaniu odpowiednich zabezpieczeń na każdym poziomie sieci OT. Strategia Defence in Depth realizowana jest przez stosowanie systemów SIEM (Security Information and Event Management), szyfrowanie transmisji danych, monitoring protokółów przemysłowy i analizę historii sterowań, wykrywanie anomalii (Industrial Anomaly Detection) i działań nieuprawnionych – dwa ostatnie elementy stosowane są najczęściej.
Proces analizy wykrywanie anomalii rozpoczyna się od fazy automatycznej identyfikacji zasobów i inwentaryzacji, po której następuje ustalenie oczekiwanego wzorca komunikacji w sieciach przemysłowych. Następnie system monitoruje działanie sieci OT i automatycznie wykrywa nietypowe zdarzenia. Zapewnia to szybką identyfikację zmian w systemie ICS, które mogą świadczyć o zagrożeniu bezpieczeństwa lub mieć wpływ na dostępność systemów produkcyjnych. Przemysłowe wykrywanie anomalii opiera się specjalnych, dedykowanych komputerach przemysłowych takich jak Siemens SIMATIC IPC427E z odpowiednim fabrycznie zainstalowanym oprogramowaniem. Wykorzystywany jest tu system uczenia maszynowego, tak więc szybkość i dokładność wykrywania anomalii będzie się z czasem zwiększać.
Istotne jest też zastąpienie złożoności przejrzystością. W dużych, skomplikowanych systemach zarządzania produkcją trudno jest błyskawicznie namierzyć i zareagować na cyberatak. Właśnie dlatego dbanie o przejrzystość procesów i systemów oraz w miarę możliwości ich upraszczanie i nieustanne monitorowanie jest kluczem do sukcesu w walce z nowymi zagrożeniami cyberbezpieczeństwa, w tym zagrożeniami typu zero-days.
Standardowo w systemach bezpieczeństwa wykorzystuje się też przemysłowe firewalle i systemy wykrywania oraz zapobiegania włamaniom UTM, czyli wspomniane już urządzenia typu Unified Threat Management. Dodatkowo wprowadza się algorytmy uwierzytelniania, autentykacji i autoryzacji dostępu, podobnie jak ma to miejsce w standardowych systemach IT. Warto też skorzystać z innych popularnych metod, jak ograniczanie dostępu do portów czy kontrola adresów MAC i IP. Można też zastosować mechanizmy chroniące przed próbami nieuprawnionego dodania zewnętrznych urządzeń do sieci.
W tym miejscu nie wolno też zapominać o odpowiedniej polityce cyberbezpieczeństwa w odniesieniu do systemów automatyki przemysłowej, opracowaniu scenariuszy reagowania na zagrożenia i odpowiednim zabezpieczeniu firmowej infrastruktury IT, z uwzględnieniem punktów jej styku z siecią OT i wszystkich dróg transmisji i możliwości przenoszenia danych, np. na nośnikach USB. Istotne są też gruntowne szkolenia pracowników dotyczące cyberbezpieczeństwa, w tym pracowników produkcyjnych.
Szkolenia
Ostatnim i kluczowym czynnikiem dotyczącym cyberbezpieczeństwa jest czynnik ludzki. Według praktycznie wszystkich badań poświęconych cyberbezpieczeństwu, czynnik ludzki jest jednym z największych zagrożeń. Niemal w 70 % przypadków, za naruszeniem cyfrowego bezpieczeństwa firmy często stoi niczego nieświadomy pracownik, który popełnia błąd prowadzący do naruszenia cyberbezpieczeństwa.
Właśnie dlatego podstawowym narzędziem budowania strategii cyberbezpieczeństwa są cykliczne szkolenia pracowników w zakresie prawidłowego, bezpiecznego posługiwania się urządzeniami oraz systemami
IT/OT/ICS; także radzenia sobie z podstawowymi zagrożeniami. Równie ważne jest odpowiednie zarządzanie poziomami uprawnień pracowników w zakresie dostępu do danych.
Literatura:
[1] Od audytu do bezpiecznej infrastruktury, Cyberbezpieczeństwo w praktyce, Siemens.
[2] Andrzej Kozak, at all. Cyberbezpieczeństwo instalacji przemysłowych – fundament projektu „Industry 4.0” i szansa dla Polski, Instytut Kościuszki 2016.
source: Automatyka 5/2023