Bezpieczeństwo w systemach automatyki
Marcin Bieńkowski print
Ekspansja w przemyśle nowoczesnych technologii zmienia realia, w jakich działają firmy. Głównym motorem rozwoju jest Internet Rzeczy (Internet of Things, IoT), umożliwiający wymianę informacji, zdalne sterowanie oraz możliwość skutecznej optymalizacji dzięki analizie procesów produkcyjnych. Jednak postępująca informatyzacja przemysłu wiąże się nieodzownie z podjęciem wyzwania, jakim jest zapewnienie cyberbezpieczeństwa.
W październiku ubiegłego roku doszło do masowego cyberataku skierowanego na firmę Dyn. W jego wyniku przestały działać tak popularne internetowe usługi i serwisy jak Amazon, Reddit, Netflix, Twitter, Spotify czy PlayStation Network. Nie byłoby w tym nic nadzwyczajnego, gdyby nie to, że do ataku użyto… przemysłowych kamer internetowych, a więc urządzeń zaliczanych do Internetu Rzeczy.
Atak ten wyraźnie pokazał szerokiej opinii publicznej, jakim zagrożeniem dla bezpiecznego funkcjonowania ogólnoświatowej sieci może być Internet Rzeczy – tym bardziej, że większość urządzeń wchodzących w jego skład, czy też szerzej, zaliczanych do urządzeń zgodnych z koncepcją Przemysłu 4.0 (Industry 4.0) nie jest w ogóle zabezpieczona przed działaniami cyberprzestępców.
Co gorsza, jak wynika z raportu grupy doradczej Broadband Internet Technical Advisory Group (BITAG) na temat bezpieczeństwa i prywatności Internetu Rzeczy, wiele urządzeń IoT nie tylko jest podatnych na ataki, ale również nie zapewnia podstawowego bezpieczeństwa i prywatności. Specjaliści z BITAG zwracają uwagę na fakt, że urządzenia tego typu pozwalają na szpiegowanie i monitorowanie działań właścicieli. Nad wieloma z nich można dość łatwo przejąć kontrolę, wywołać błędy, a nawet powodować celowe działania destrukcyjne lub prześladować użytkowników czy właścicieli sprzętu.
Aby uświadomić sobie z jak dużym zagrożeniem dla firm przemysłowych możemy mieć do czynienia, wystarczy przypomnieć sprawę robaka Stuxnet z 2007 roku, który zaatakował elektrownię atomową Buszehr w Iranie, a dokładniej sterowniki PLC automatycznie kontrolujące procesy dostarczania prętów paliwowych do reaktora. Żaden prezes czy dyrektor firmy nie chciałby się zapewne znaleźć w sytuacji, kiedy poufny, pilnie strzeżony projekt nowego produktu zostanie wykradziony wprost z maszyn CNC lub gdy kontrolę nad przemysłowymi robotami przejmie cyberprzestępca i zacznie za ich pomocą np. niszczyć nową linię produkcyjną. Niestety jest to możliwe, co udowodnił w zeszłym roku zespół naukowców z Grupo de Robótica, Escuela de Ingenierías Industrial e Informática pracujących pod kierunkiem Vicente Matellán z hiszpańskiego Uniwersytetu León. W tym miejscu warto też przytoczyć statystyki. Jak podaje amerykańska agencja rządowa – Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), odpowiedzialna m.in. za cyberbezpieczeństwo, w samym tylko 2012 roku zostało pozyskanych ponad 20 tys. nieautoryzowanych dostępów do przemysłowych systemów sterowania, do których włamano się za pośrednictwem Internetu.
Internet Rzeczy – co to jest?
Pod nazwą Internetu Rzeczy, Internetu Przedmiotów lub wprowadzonym przez firmę Cisco, pojęciem Internetu Wszechrzeczy (Internet of Everything, IoE) kryje się określenie wszystkich przedmiotów, które mogą gromadzić, przetwarzać lub wymieniać dane za pośrednictwem sieci komputerowej, takiej właśnie jak Internet. Do Internetu Przedmiotów zaliczają się między innymi podłączane do sieci urządzenia AGD, artykuły oświetleniowe i grzewcze (inteligentny dom), urządzenia noszone (wearables) takie jak m.in. smartwatche, czy inteligentne ubrania, a także systemy przemysłowe. Dla tych ostatnich często używa się również określenia IIoT (Industry IoT) i obejmuje ono wszelkie usieciowane systemy przemysłowe – począwszy od czujników, poprzez kamery przemysłowe, sterowniki PLC czy maszyny CNC, na całych systemach SCADA skończywszy. Do przemysłowego Internetu Rzeczy zalicza się często również systemy sterowania infrastrukturą miejską (Smart Cities), samochodami, a także transportem i logistyką.
Wiele osób z pewnością zada sobie tutaj pytanie po co w żelazku, pralce czy żarówce dostęp do Internetu. Odpowiedź jest prosta – dla wygody. Już dziś możemy sterować pralką szczoteczką do zębów czy ekspresem do kawy za pomocą smartfona. Bez problemu możemy włączyć też ogrzewanie w domu na dwie godziny przed powrotem z urlopu tak, aby od razu wejść do ciepłego mieszkania. Internet Rzeczy już dziś zmienia oblicze marketingu i usprawnia działanie służb policyjnych czy funkcjonowanie transportu miejskiego (np. systemy ITS).
W przemyśle IoT rewolucjonizuje funkcjonowanie produkcji. Firmy na bieżąco mogą nie tylko monitorować przebieg wszystkich procesów przemysłowych, sterować produkcją, zdalnie raportować zapasy magazynowe i stan prac nad realizacją poszczególnych zamówień, ale bezpośrednio optymalizować wykorzystanie maszyn czy bez udziału człowieka przesyłać wprost z systemu CAD projekty do realizacji na maszynach CNC – wszystko automatycznie. Trudno wyobrazić sobie bez udziału elementów Internetu Przedmiotów funkcjonowanie współczesnych systemów automatyki przemysłowej czy poprawnego sterowania produkcją.
Co więcej, w najbliższych latach rola Internetu Rzeczy będzie w przemyśle w znaczący sposób wzrastać, a to za sprawą wdrażania koncepcji Przemysłu 4.0. Jest ona bowiem wprost związana z bezpośrednią komunikacją pomiędzy przemysłowymi urządzeniami i systemami. Obecnie na drodze do pełnego wykorzystania możliwości Internetu Rzeczy w przemyśle stoi główna przeszkoda – jak połączyć ze sobą miliony czujników i urządzeń wykonawczych. Ale to się zmienia.
Coraz więcej czujników i systemów sterowania jest już fabrycznie przystosowanych do pracy w sieciach Ethernet lub korzysta z bezprzewodowej transmisji Wi-Fi lub Bluetooth. Co więcej na rynku dostępne są urządzenia, takie jak produkowany przez firmę Pepperl+Fuchs SmartBridge. Technologia SmartBridge wykorzystuje adapter do podłączania czujników IO-Link i specjalną aplikację na urządzenia mobilne pozwalająca nie tylko na odczyt parametrów, ale również na sterowanie nimi bezpośrednio z tabletu czy smartfona. Adapter pobiera dane i parametry z podłączonych do niego czujników, po czym przesyła je bezprzewodowo do urządzeń mobilnych wykorzystywanych np. przez operatora lub do firmowej sieci WLAN.
Michał Łopata, Specjalista ds. cyberbezpieczeństwa systemów sterowania w ASTOR IIoT zakłada powszechną możliwość komunikowania się urządzeń poprzez tzw. bramy IoT z chmurą oraz aplikacjami analitycznymi. W ostatecznym bilansie otrzymamy do zarządzania i administrowania tysiące czujników, urządzeń, bram, lokalizacji oraz użytkowników. Sam proces zbudowania modelu zarządzania bezpieczeństwem w tak rozległym środowisku łączącym wiele technologii wymaga sporego doświadczenia i wiedzy. W Polsce nie uporaliśmy się jeszcze z klasycznym bezpieczeństwem IT w przemyśle, w którym większość aplikacji i systemów automatyki jest „zamrożonych” pod kątem bezpieczeństwa od czasu uruchomienia. Tymczasem jednym z podstawowych działań zwiększających efektywność zabezpieczeń jest uaktualnianie systemów i aplikacji oraz ciągła aktualizacja polityki bezpieczeństwa. Wyobraźmy sobie procedurę uaktualnienia oprogramowania lub modelu bezpieczeństwa dla małego systemu złożonego ze 100 „smartnych” urządzeń i mikro plc, bram IoT, które tworzą fundament naszego systemu. A teraz musimy jeszcze pomyśleć o zabezpieczeniu transferu naszych danych pomiędzy bramą IoT, a chmurą oraz na poziomie zdalnego dostępu do tych danych z aplikacji analitycznych czy klientów mobilnych. Robi się tego sporo... W mojej ocenie sama koncepcja IIoT jest na etapie wzmożonego rozwoju i testowania, gdzie najważniejsze jest połączenie wszystkich składników w działającą całość. Na razie powstają pojedyncze pilotażowe wyspy IIoT w środowiskach eksperckich, które dostarczają duże korporacje technologiczne, takie jak np. GE Digital czy Honeywell. Są również prowadzone projekty w środowiskach akademickich. IIoT może być bezpieczne, tylko należy się do tego odpowiednio przygotować, a miejscem, od którego należy rozpocząć zabezpieczanie są istniejące systemy automatyki. Mówiąc o bezpieczeństwie ICS, pierwszym krokiem jest opracowanie polityki i procedur bezpieczeństwa oraz edukacja użytkowników. Z technicznego punktu widzenia pomóc może wprowadzenie segmentacji sieci przemysłowej i jej separacja od sieci biznesowej poprzez DMZ (strefy zdemilitaryzowane). Następnie należy wprowadzić centralne zarządzanie polityką bezpieczeństwa poprzez kontrolery domeny na produkcji. Ograniczy to uprawnienia użytkowników w systemach operacyjnych oraz scentralizuje patchowanie aplikacji i systemu Windows. W przypadku zdalnych dostępów zaleca się wprowadzenie MFA (Multifactor Authentication) oraz stosowanie firewalli i szczegółowo zdefiniowanych list aplikacja–urządzenie–protokół–port. Brak gotowości do takich działań oznacza, że zapewnienie bezpieczeństwa w perspektywie zmiany, jaką jest IIoT, będzie niezwykle trudne, o ile w ogóle możliwe. |
Potencjał Internetu Rzeczy
Według raportu Cyber Security Market by Solutions pt. „Global Forecast to 2021” opublikowanego przez firmę doradczą Markets and Markets, wielkość rynku związanego z cyberbezpieczeństwem wzrośnie ze 122,45 mld dolarów w 2016 r. do 202,36 mld dolarów w 2021 r. Rynek ten będzie rozwijał się w tempie liczonym wg skumulowanego wskaźnika wzrostu, czyli CAGR, o 16,6% rocznie. Niestety, w coraz większym tempie rośnie też zainteresowanie cyberprzestępców urządzeniami IoT, w tym sprzętem przemysłowego Internetu Rzeczy. Dlatego, jak przewidują w swoim raporcie analitycy ze wspomnianej firmy Markets and Markets, wydatki związane z samym tylko bezpieczeństwem dotyczącym segmentu IoT wzrosną z 6,89 mld dolarów w 2015 r. do blisko 29 mld w 2020 r. Z kolei analitycy z firmy Technavio przewidują, że rynek związany z systemami bezpieczeństwa będzie rósł w tempie ok. 55% rocznie (CAGR).
Te dane oznaczają jedno – rynek systemów IoT, w tym systemów automatyki przemysłowej, należących do rozwiązań klasy Industrial IoT, będzie bardzo szybko rósł i wymagał urządzeń bezpiecznych na cyberataki. Co więcej, urządzenia te muszą być tak skonstruowane, aby można było nimi szybko zastąpić istniejące rozwiązania. Firmy wykorzystujące zaawansowane systemy automatyki będą musiały liczyć się ze sporymi kosztami wymiany czujników, sterowników PLC czy zabezpieczeń systemów SCADA. Przedsiębiorstwa, które tego nie zrobią, mogą spodziewać się w najbliższych latach poważnych problemów z zapewnieniem bezpieczeństwa swoich procesów produkcyjnych, co może doprowadzić je nawet do bankructwa.
Bezpieczeństwo w dobie IoT
Włączanie do sieci coraz to większej liczby urządzeń sprawia, że kluczowe stają się zagadnienia zabezpieczeń urządzeń należących do rozwiązań Internetu Rzeczy. Jak przyznał chiński producent, Hanzhou Xiongmai Technology, którego to właśnie setki tysięcy systemów telewizji przemysłowej i kamer IP posłużyło do wspomnianego na wstępie ataku na serwery DNS firmy Dyn, przyczyną wykorzystania jego sprzętu do ataku były słabe loginy i hasła, które uczyniły go łatwym łupem dla cyberprzestępców. Ten sam problem dotyczy obecnie również zabezpieczeń setek milionów podłączonych do sieci sterowników PLC, czy też coraz częściej, inteligentnych czujników, falowników, start softów, rozdzielnic czy innych wykorzystywanych w systemach automatyki przemysłowej elementów wykonawczych, które wyposażone zostały w choćby najmniejszą kość SoC (System on Chip) czy układ scalony mikrokontrolera.
Urządzenia przemysłowe, takie jak kamery IP, sterowniki PLC a nawet centra obróbcze CNC nie były projektowane z myślą, że ktoś się może do nich chcieć włamać i wykorzystać w przestępczych celach. Jeszcze kilka lat temu nikomu nie przyszłoby nawet do głowy, że zwykły czujnik podłączony do sieci Ethernet może stać się celem ataku. Trzeba jednak uczciwie przyznać, że urządzenia przemysłowe nigdy nie były projektowane pod kątem obsługi dostępu z sieci zdalnych. Zapewnienie bezpieczeństwa sprowadzało się zazwyczaj do ograniczenia fizycznego dostępu do systemu. Barierę stanowiła też do niedawana niewielka wiedza cyberprzestępców na temat składników systemów przemysłowych, takich jak moduły RTU czy sterowniki PLC, a także o stosowanych w nich protokołach komunikacyjnych, takich jak np. Modbus czy Profibus.
Obecnie, coraz większe zainteresowanie cyberprzestępców urządzeniami przemysłowymi bierze się stąd, że wyposażane są one w coraz mocniejsze (często z dużym nadmiarem mocy obliczeniowej) procesory sterujące ich pracą, które bez problemu umożliwiają przeprowadzanie różnych operacji związanych z atakiem, czy innymi szkodliwymi działania – np. podsłuchem czy cybersabotażem. Najprostsze procesory stają się też coraz tańsze, często ich koszt nie przekracza nawet kilkudziesięciu centów, dlatego zaczyna się je montować dosłownie wszędzie – do każdego możliwego urządzenia wymagającego jakiegokolwiek sterowania. Wiedza o sposobach komunikacji i programowania tego typu kontrolerów staje się też coraz bardziej powszechna. Liczba potencjalnych luk związanych z bezpieczeństwem zaczęła się gwałtownie zwiększać wraz z zastępowaniem własnej infrastruktury systemów automatyki, gotowym do wdrożenia sprzętem i oprogramowaniem, wykorzystującym otwarte, powszechnie stosowane standardy takie jak TCP/IP, Ethernet, Bluetooth czy WiFi.
Warto też pamiętać, że im gęstsza jest sieć połączeń pomiędzy urządzeniami, tym łatwiej cyberprzestępcom włamać się do niej. Według badania firmy EY (dawniej Ernst & Young), aż 70% działających w ramach Internetu Rzeczy urządzeń zawiera luki, które narażają je na cyberataki. Jak wynika z 17. Światowego Badania Bezpieczeństwa Informacji, aż 56% firm przyznaje, że ma problem z identyfikacją i wczesnym wykryciem zagrożeń płynących z sieci.
Niebezpieczeństwo ataku
Obecnie najbardziej narażone na cyberataki są przemysłowe systemy sterowania ICS (Industrial Control Systems) i przede wszystkim wchodzące w ich skład systemy SCADA (Supervisory Control And Data Acquisition), DCS (Distributed Control System) oraz różnego typu wykorzystywane przez te systemy elementy wykonawcze. Należą do nich przede wszystkim sterowniki programowalne PLC, komputery przemysłowe, systemy sterowania maszyn, w tym panele sterownicze HMI (Human Machine Interface).
Dla przykładu, wspomniany wcześniej robak Stuxnet i jego późniejsze modyfikacje po zainfekowaniu zwykłego komputera PC przeszukuje sieć lokalną, w tym sieci przemysłowe czasu rzeczywistego korzystające ze standardu Profibus, w poszukiwaniu podłączonych do niej sterowników PLC. W przypadku znalezienia ściśle określonej konfiguracji sterowników SIMATIC S7-300 oraz S7-400 firmy Siemens następuje jego aktywacja. Wirus wykorzystuje działające na zainfekowanym komputerze oprogramowanie Siemens SIMATIC WinCC/Step 7, które używane jest do komunikacji z system SCADA i za jego pomocą zmienia ustawienia podłączonych w firmie sterowników PLC. Stuxnet atakował głównie konwertery częstotliwości zmieniając częstotliwość prądu sterującego pracą silników, w taki sposób, aby je fizycznie uszkodzić.
Warto też dodać, że coraz ważniejszym źródłem cyberzagrożeń stają się różnego rodzaju niezabezpieczone czujniki. Specjaliści od bezpieczeństwa Internetu Rzeczy podkreślają, że w ich przypadku atak będzie miał na celu zmanipulowanie dostarczanych przez nie danych, których celem może być doprowadzenie do problemów z działaniem całego systemu automatyki przemysłowej, a co za tym idzie, do unieruchomienia i uniemożliwienia produkcji. Co gorsza, sieci przemysłowe stosowane w zakładach produkcyjnych są bardzo rzadko dzielone, w odróżnieniu od sieci IT, na segmenty funkcjonalne, które ograniczają dostęp do danych, urządzeń i aplikacji w sieci wewnętrznej. To w znacznym stopniu ułatwia zadanie przejęcia kontroli cyberprzestępcom nad wszystkimi procesami produkcyjnymi fabryki.
Na bezpieczeństwo IoT trzeba jednak popatrzeć trochę szerzej. Kolejnym czynnikiem zmniejszającym bezpieczeństwo sieci przemysłowej i pracujących w niej urządzeń jest niewystarczająco częste przeprowadzanie aktualizacji oprogramowania oraz używanie przestarzałego sprzętu i przestarzałych, często już w ogóle niewspieranych przez producenta, systemów operacyjnych. Tego typu archaiczne rozwiązania nie mają nawet podstawowych mechanizmów zabezpieczających. Do tego dochodzą takie czynniki, jak błędy projektantów oraz instalatorów podczas konfiguracji i instalacji systemu, a także błędy operacyjne pojawiające się podczas pracy systemu, niski poziom umiejętności osób korzystających z systemu, brak szkoleń, czy niewystarczająco dokładnie prowadzone prace konserwacyjne przez służby utrzymania ruchu.
Jak widać, całościowa kultura pracy w danym przedsiębiorstwie może mieć istotny wpływ na bezpieczeństwo i uniemożliwienie cyberprzestępcom dokonania ataku. Dlatego tak istotne jest wprowadzenie kompleksowej polityki bezpieczeństwa w firmie, na wzór polityk stosowanych w działach IT, która obejmowałaby sieci przemysłowe i systemy automatyki. W tym celu prowadzone muszą być regularne audyty i skuteczne, spójne działania mające na celu egzekwowanie ustalonych procedur bezpieczeństwa.
Ataki na systemy przemysłowe
Według danych, cytowanej już amerykańskiej agencja rządowej ICS-CERT, cyberataki na przemysłowe systemy sterowania i sieci IoT mają na celu przede wszystkim spowodowanie szkód majątkowych, ograniczenie produkcji czy nawet wyłączenie instalacji. Obecnie, dość rzadko chodzi o wymuszenie okupu od firmy, ale i takie ataki się zdarzają. W ostatnich latach częściej zdarzają się ataki na infrastrukturę przemysłową, związane z tak zwanym haktywizmem. Są to ataki hakerów na nielubianą, np. powodującą zanieczyszczenie środowiska firmę, lub agencję rządową mające na celu wymuszenie zrezygnowania z jakiejś niekorzystnej dla środowiska inwestycji. Tego typu ataki, w przeciwieństwie do spektakularnych ataków na banki czy systemy informatyczne w przypadku systemów przemysłowych pozostają często niewykryte nawet przez wiele miesięcy.
Jak łatwo się domyślić, skutkami cyberataków na systemy automatyki mogą być znaczne straty finansowe związane z uszkodzeniem (nawet niezamierzonym) przez cyberprzestępców, urządzeń i infrastruktury firmy, a także opóźnienia lub zakłócenie produkcji. Typowy atak cyberprzestępców na firmową sieć ICS i wchodzące w jej skład urządzenia, takie jak np. sterowniki PLC, podzielić można na kilka etapów. W pierwszym z nich cyberprzestępca zawsze zbiera informacje na temat celu swojego ataku. W Internecie dostępne są gotowe narzędzia (np. Shodan) pozwalające spenetrować sieci ICS i systemy SCADA, które podłączone są ogólnoświatowej pajęczyny. Mało tego, w tak zwanym darknecie, czyli „podziemnej” wykorzystywanej przez hakerów, przestępców i mafie części Internetu bez problemu można kupić informacje dotyczące dowolnych systemów SCADA, ich słabych stron, łącznie z adresami IP, hasłami i danymi operatorów oraz odpowiedzialnych za nie osób.
Po rozpoznaniu, cyberprzestępca przystępuje do próby dostania się do wewnętrznej, firmowej sieci IT. Najczęściej wykorzystuje do tego firmowe strony WWW, internetowe systemy sprzedaży, serwery FTP, zawirusowane e-maile lub, tak jak w wypadku irańskiej elektrowni i Stuxneta, odpowiednio spreparowane klucze USB, które poprzez pośredników mają dotrzeć do rąk pracowników, tak aby Ci otworzyli je na swoich firmowych komputerach.
Następnie w sieci korporacyjnej cyberprzestępcy szukają informacji na temat przemysłowych systemów sterowania czy oprogramowania SCADA. Poszukują sterowników do urządzeń PLC, aplikacji do programowania systemów przemysłowych, zależności pomiędzy sterownikami i procesami, a nawet przeszukują firmowe procedury. Tak zdobyta wiedza pozwala dostać się do systemu automatyki, który nigdy nie jest w 100% oddzielony od systemu IT przedsiębiorstwa. Do dalszego ataku wykorzystywane są serwery danych procesowych, które zbierają dane z produkcji lub interfejsy odpowiedzialne za przekazywanie danych produkcyjnych do systemu ERP. Najczęściej do ataku wykorzystuje się jednak zainfekowane komputery lub tablety serwisantów bądź pracowników służb utrzymania ruchu, którzy często podłączają swoje urządzenia do firmowego systemu automatyki. Po dostaniu się do sieci przemysłowej następuje etap weryfikacji jej architektury i wcześniej pozyskanych informacji. Na tym etapie przygotowując się do głównego ataku, haker często nieznacznie modyfikuje parametry pracy lub dane wysyłane poprzez urządzenia IoT, tak aby upewnić się, że wszystko znajduje się pod jego kontrolą.
Sprawa dostania się do firmowego systemu automatyki jest znacznie łatwiejsza, jeśli czujniki, sterowniki PLC czy inne urządzenia komunikują się bezpośrednio korzystając z Ethernetu, sieci WiFi czy protokołu TCP/IP. Bardzo często dzieje się tak w wypadku stacji pomiarowych (np. w energetyce), które monitorują pracę zewnętrznych, należących do firmy maszyn czy urządzeń. Mogą to być stacje transformatorowe, liczniki prądu, a nawet flota firmowych samochodów czy maszyn budowlanych korzystających z systemu GPS. Tego typu oddalone stacje pomiarowe do wysyłania do firmy danych korzystają z publicznie dostępnych łączy internetowych, co w połączeniu z brakiem jakichkolwiek zabezpieczeń, tak jak miało to miejsce w przypadku wspominanych kilkakrotnie kamer przemysłowych, może prowadzić do całkowitego i szybkiego przejęcia nad nimi kontroli przez cyberprzestępców i łatwego dostania się do firmowej sieci przemysłowej.
Kamil Wachowicz, szef produktu – Automatyka w Phoenix Contact Dzięki możliwościom, jakie daje internet możemy przesyłać ogromne ilości danych, sterować lub diagnozować urządzenia „na odległość”, korzystać z platform sklepowych, bankowych itd. Możliwości te ograniczone są tylko naszą inwencją. Ale, jak zwykle w takich przypadkach, jest „haczyk”. Ma on postać szeroko rozumianych ataków hakerskich. Dlaczego szeroko rozumianych? Otóż okazuje się, że 58% ataków nie dość, że spowodowana jest przez byłych pracowników lub podwykonawców, to na dodatek często nieświadomie. Niestety, zarówno te świadome, jaki i te nieświadome ataki mogą powodować duże szkody – krach na giełdzie, brak prądu w miastach, uziemione na lotniskach samoloty, nieczynne bankomaty... i wiele, wiele innych. Takie przykłady można mnożyć, łączy je fakt, że wszystkie niosą za sobą negatywne skutki. Na szczęście mając „haczyk”, mamy też „światełko w tunelu”. Tym światełkiem są urządzenia, które zabezpieczają nasze sieci, połączenia, przesyłane dane. Wyglądają może niepozornie, ale są najlepszymi strażnikami. Dają użytkownikom możliwość szyfrowania, dzięki czemu są praktycznie nie do przejścia zarówno dla hakerów świadomych, jak i nieświadomych. Urządzenia te służą jako zapory sieciowe, ale też udostępniają nam tunele VPN, którymi możemy bezpiecznie przesyłać nasze dane, korzystając z odseparowanej sieci, lub diagnozować/serwisować maszyny w znacznej odległości od naszego miejsca pobytu. Pytanie tylko, czy wszyscy mamy świadomość zagrożeń wynikających z pracy w sieci oraz czy zawsze stosujemy urządzenia zabezpieczające? Czy musimy najpierw na własnej skórze odczuć skutki cyberataku aby pomyśleć o takich zabezpieczeniach? |
Kilka przykładów ataków na IIoT
Pierwszy udany atak na systemy SCADA miał miejsce w listopadzie 2011 r. Hakerzy zniszczyli wówczas system sterowania silnikami pompy w amerykańskim przedsiębiorstwie wodociągowym Water Utility Company w stanie Illinois. W kwietniu 2012 r. w Puerto Rico włamano się do systemu inteligentnych liczników, korygując pracę ich czujników w taki sposób, aby stale zaniżały pomiar zużytej energii. W ten sposób odbiorcy przez ponad rok płacili obniżone rachunki za prąd. Jak wyliczono, straty przedsiębiorstwa energetycznego sięgnęły 400 mln dolarów.
W 2015 r. Niemieckie Federalne Biuro Bezpieczeństwa Informacji (BSI) opublikowało raport, w którym opisany został bardzo poważny atak, jaki miał miejsce jesienią 2014 r. na jeden z niemieckich zakładów hutniczych. Atak spowodował fizyczne zniszczenie wielkiego pieca. Rozpoczął od klasycznego spear-phishingu, czyli ukierunkowanego, nadanego tylko do konkretnych osób w firmie maila z załącznikiem zawierającym złośliwe, przygotowane specjalne w tym celu oprogramowanie. W ten sposób atakujący dostali się do sieci przedsiębiorstwa i przedostali się do sieci produkcyjnej huty. Ich celem były sterowniki PLC kontrolujące produkcję hutniczą. Przestawiony został system sterowania temperaturą pieca, w taki sposób, że jego dolna część była chłodzona, a część górna grzana bardzo intensywnie. W następstwie anomalii temperaturowych piec pękł. Niestety, nie ujawniono więcej danych. Zachodzi podejrzenie, że odnotowane skutki nie były najważniejszym celem tego ataku. Niemieccy śledczy nie mają obecnie pewności, czy nie jest to też większa, długofalowa akcja mająca uderzyć w inne niemieckie przedsiębiorstwa.
Raport BSI wspomina również o innych atakach przeprowadzonych przez cyberprzestępców związanych z hakerską grupą Dragonfly, znaną też pod nazwą Energetic Bear, w których to w 2014 r. poszkodowane zostały też polskie przedsiębiorstwa. Dragonfly to powstała, najprawdopodobniej w 2011 r. grupa hakerska, której działania wymierzone są głównie w firmy z sektora energetycznego. Członkowie grupy specjalizują się w działaniach, pozwalających uzyskać dostęp do krytycznych segmentów systemu automatyki, odpowiedzialnych za sterowanie procesami przemysłowymi. Celami grupy Dragonfly są przede wszystkim operatorzy sieci przesyłowych, elektrownie, operatorzy gazociągów, ropociągów oraz producenci systemów
SCADA/ICS. Do głównych krajów, którymi interesuje się grupa są: Stany Zjednoczone, Hiszpania, Francja, Włochy, Niemcy, Turcja oraz Polska.
Dragonfly posługuje się specjalnie przygotowanym na swoje potrzeby złośliwym oprogramowaniem. Jej członkowie kilkukrotnie dołączyli malware do umieszczonych na stronie producentów oprogramowania ICS/SCADA aktualizacji. W ten sposób firmy energetyczne, używające tych specjalistycznych aplikacji, same zainfekowały swoje stacje robocze, które były wykorzystywane przez pracowników do dostępu do sieci ICS/SCADA, a atakujący uzyskali możliwość wprowadzania zmiany parametrów pracy urządzeń przemysłowych IoT oraz do ich wyłączenia. Innymi drogami ataku na firmy energetyczne były spersonalizowane wiadomości e-mail zawierające zainfekowane załączniki PDF oraz złośliwe kody umieszczane w źródłach stron internetowych o tematyce energetycznej. Dragonfly nosi znamiona grupy sponsorowanej przez państwo, która posiada duże zdolności techniczne nie tylko do wykonywania ataków komputerowych, ale także do działań następujących po udanym włamaniu.
Co nas czeka?
Jak widać, urządzenia Przemysłowego Internetu Rzeczy wymagają zupełnie innego podejścia do zabezpieczeń. Kwestie związane z ochroną urządzeń i przesyłanych przez nie danych muszą być uwzględniane już na etapie projektowania, zgodnie z koncepcją Security by Design. Obecnie producenci sterowników PLC czy inteligentnych czujników dopiero zaczynają zauważać problem, a eksperci od bezpieczeństwa rozpoczynają prace nad jego rozwiązaniem.
O problemach z jakimi przychodzi im się mierzyć może świadczyć fakt, że duża część dostępnych na rynku systemów SCADA i HMI jest mocno przestarzała i często działa na niewspieranych od lat systemach operacyjnych. Brak uaktualnień dla takich maszyn często sprawia, że są one bardzo podatne na wszelkie typy ataków. Podobnie jest z protokołami przemysłowymi, np. Modbus TCP to nieszyfrowany protokół będącym prostym rozszerzeniem protokołu Modbus RTU z lat 70., który bardzo łatwo śledzić. Trzeba jednak pamiętać, że wszystkie dane sterujące są w nim przesyłane w jawnej formie. Tak samo podatne na ataki są nieszyfrowane protokoły Ethernet/IP, Profinet. Wykonanie ataków typu „Man in the midle” jest w tym wypadku bardzo proste ze względu na brak szyfrowania i powszechną dostępność danych o protokole.
Wydawałoby się, że sterowniki PLC powinny być znacznie lepiej zabezpieczone. Na rynku dostępne tego typu modele są zwykle droższe. Większość tańszych urządzeń jest całkowicie bezbronna w razie ataku. Ograniczenia sprzętowe sprawiają, że np. stos TCP wbudowany w sterownikach PLC jest mocno okrojony w stosunku do jego komputerowej wersji albo mocno przestarzały, dlatego zawiera pewne błędy. Zawieszenie takiego sterownika PLC jest banalnym zadaniem. Wystarczy spreparować celowo ramkę lub pakiet z małym błędem, aby zawiesić komunikację lub przejąć kontrolę nad sterownikiem.
Na szczęście, pojawiają się już pierwsze odpowiedniki znanych ze świata komputerów programów antywirusowych, które zabezpieczają systemy przemysłowe. Na przykład firma Kaspersky Lab zaprezentowała pod koniec kwietnia ubiegłego roku wyspecjalizowane rozwiązanie służące do zabezpieczania infrastruktury krytycznej oraz obiektów przemysłowych o nazwie Kaspersky Industrial CyberSecurity. Jest to dość ciekawe rozwiązanie, a jego zadaniem jest zapewnienie ochrony ciągłości i integralności procesów technologicznych w środowiskach przemysłowych na wypadek cyberataku. Jak zapewnia producent, Kaspersky Industrial CyberSecurity pozwala na zabezpieczenie serwerów ICS/SCADA, paneli HMI, inżynierskich stacji roboczych i sterowników PLC, a więc wszystkich najważniejszych elementów automatyki i sterowania przedsiębiorstwem, które są narażone na atak.
W pakiecie Industrial CyberSecurity zestaw konwencjonalnych technologii bezpieczeństwa znanych ze świata IT, dostosowany został na potrzeby środowiska przemysłowego i obejmuje ochronę przed szkodliwym oprogramowaniem, białą listę oraz ocenę luk w zabezpieczeniach. Do tego dodano technologie zaprojektowane pod kątem środowiska przemysłowego, Wymienić tu należy funkcje obejmujące kontrolę integralności sterowników PLC, monitorowanie poleceń sterowania procesami przemysłowymi oraz analizę danych telemetrycznych. Pozwalają one wykryć cyberatak na fizyczną część infrastruktury systemu automatyki.
Wiele przemysłowych, i nie tylko, urządzeń IoT jest wyposażonych w najprostszą ochronę hasłem. W urządzeniach tego typu kompletnie się ono nie sprawdza. Sprzęt Internetu Rzeczy ma najczęściej bardzo prosty, pozbawiony klawiatury, interfejs do komunikacji z użytkownikiem. Nagminnym zjawiskiem jest rezygnacja ze zmiany hasła lub wpisanie bardzo prostego i krótkiego ciągu liter bądź cyfr. Złamanie krótkiego czterocyfrowego kodu zajmie cyberprzestępcom zaledwie kilka sekund. Dlatego zabezpieczenia urządzeń muszą być dostosowane do specyfiki IoT.
Niewątpliwie rozwój przemysłowego rynku IoT związany jest z rozwojem bezpieczeństwa urządzeń Internetu Rzeczy. Zauważając ten fakt, producenci procesorów i układów SoC, tacy jak Intel, AMD, Texas Instruments, Cisco, Samsung czy Snapdragon dokładają starań, aby w każdej kolejnej generacji układów poprawiało się ich bezpieczeństwo i odporność na cyberataki. Lepsze zabezpieczenia mogą być podstawowymi cechami wyróżniającymi ich produkty. Z pewnością przydałaby się też standaryzacja przemysłowych urządzeń IoT, ale do tego jeszcze, niestety droga dość daleka.
source: Automatyka 1-2/2017