Ste pripravení na nové smery a spôsoby útokov v priemysle?

Nové obchodné príležitosti a modely, zameranie na znižovanie nákladov a unifikáciu riešení, ako aj nové požiadavky dané legislatívou a regulačnými úradmi posilňujú konvergenciu prevádzkových technológií (OT) a informačných technológií (IT). Postupné prenikanie IoT do priemyslu prináša mnohé výhody vo forme lepšej a podrobnejšej viditeľnosti procesov a kontroly v reálnom čase – zároveň však vytvára nové výzvy a riziká v oblasti kybernetickej bezpečnosti. Vo svetle týchto zmien si treba položiť otázku: Čo môžeme očakávať v nasledujúcich rokoch?
Ste pripravení na nové smery a spôsoby útokov v priemysle?

Konvergencia technológií vytvorí nové vektory útokov – prelínanie IT a OT a zavádzanie technológií internetu vecí v priemysle sa výrazným spôsobom zrýchlia. Hranice medzi nimi sa budú čím ďalej, tým viac zmenšovať. Táto nová realita vytvorí nové útočné plochy, smery a spôsoby útokov. Systémy OT, ktoré sa vyznačujú širokým spektrom pôvodných, proprietárnych a neštandardných protokolov a rozhraní, môžu otvárať nové možností útoku. Bez ohľadu na to, či priemyselné riadiace systémy izolujete, útoky smerované na OT predstavujú reálnu hrozbu. Mantra „nastaviť a zabudnúť“ alebo „systémy sú dostatočne izolované“ nie je primeraným spôsobom správy OT prostredí. Včasné odhalenie hrozieb OT bude vyžadovať nepretržité monitorovanie zohľadňujúce špecifiká priemyselných prostredí na úrovni sietí a zariadení.

Útoky v smere z OT do IT sa stanú realitou – dosiaľ boli odhalené a dobre zdokumentované útoky, ktoré smerovali z IT prostredia a následne sa šírili v sieťach OT. No očakáva sa aj nárast útokov typu OT – IT. Pôjde napríklad o útoky, ktoré úmyselne ohrozujú zariadenia v OT sieťach s cieľom získať prístup k sieťam IT a aktívam, akými sú napr. databázy zákazníkov. Útočníci už dnes upriamujú svoju pozornosť na OT prostredia, pretože tie nie sú zabezpečené na takej úrovni ako IT systémy – predstavujú cestu menšieho odporu k IT aktívam. Riešením je vytvorenie ekosystému dôvery a spolupráce medzi bezpečnosťou IT a OT, ako aj podpora výmeny informácií s cieľom čo najskôr odhaliť akékoľvek útoky, ktoré môžu potenciálne ohroziť obe prostredia. Integritu zariadení možno využiť na identifikáciu problémov na úrovni zariadenia a zamedzenie šírenia útokov, skôr než sa rozšíria po sieti.

Útoky odhalia slabé miesta bezpečnosti OT – pri hľadaní cesty najmenšieho odporu sa útočníci budú zameriavať na OT infraštruktúru, ako sú pobočky alebo vzdialené lokácie (napr. rozvodne, prečerpávacie stanice) v rámci veľkých spoločností. Tieto vzdialené/menšie lokality sa zvyčajne pripájajú k väčšej OT sieti a v prípade poskytovateľov energie k regionálnym sieťam. Spravidla sú menej chránené a to z nich robí ideálny cieľ útočníkov. Aby nedošlo k narušeniu kritickej prevádzky a invazívnym zberom IT dát, treba venovať rovnakú pozornosť monitorovaniu a ochrane OT infraštruktúry v pobočkách a vo vzdialených lokalitách ako v primárnych lokalitách. Útočníci môžu tieto vzdialené miesta využiť na spustenie spätných útokov na centrálu.

Definícia kritickej infraštruktúry sa rozšíri – tradičné vnímanie kritickej infraštruktúry sa dramaticky rozšíri aj za hranice energetických sietí a bude zahŕňať viac netradičných cieľov. Možno očakávať, že identifikácia kritickej infraštruktúry bude zahŕňať viaceré priemyselné odvetvia, ako sú systémy riadenia budov, doprava a logistika, ťažké stavebné zariadenia, dodávateľské reťazce potravín a nápojov a ďalšie. Kritická infraštruktúra sa postupne rozšíri aj o prvky infraštruktúry dosiaľ označené ako nekritické, príliš malé alebo príliš izolované, t. j. prvky nepovažované za ciele. Bezpečnosť OT by sa mala posudzovať všade, kde sa nasadzuje programovateľný logický kontrolér (PLC), distribuovaný riadiaci systém (DCS) alebo inteligentné elektronické zariadenie (IED) bez ohľadu na veľkosť, umiestnenie alebo pripojenie k vonkajšiemu svetu.

Základ bezpečnosti

Počas našej práce v oblasti kybernetickej bezpečnosti v spoločnostiach prevádzkujúcich kritickú infraštruktúru vrátane energetiky, petrochemického a plynárenského priemyslu alebo vodného hospodárstva sme identifikovali päť najdôležitejších technických problémov, ktoré treba riešiť.

1. Zastaraný a zraniteľný softvér

V mnohých prípadoch je softvér priemyselných riadiacich systémov zastaraný. Častou príčinou býva skutočnosť, že operačné systémy a samotné aplikácie nie sú aktualizované. Rovnako sa nevykonávajú nevyhnutné aktualizácie firmvéru. Útočníkom to umožňuje zneužiť známu zraniteľnosť využitím voľne dostupných softvérov. Tak to bolo i v prípade ransomwaru WannaCry. Tieto systémy treba zmodernizovať, nahradiť alebo správne izolovať.

2. Nedostatočné oddelenie sietí

Čoraz intenzívnejšie prelínanie prostredí IT a OT môže oslabiť existujúce hranice a vytvárať nové možnosti prieniku IT/OT alebo OT/IT. Útočníci, ktorí sa snažia preniknúť do OT infraštruktúry, poznajú techniky využívania zle nakonfigurovaných brán a iného vybavenia IT infraštruktúry.

3. Nedostatočná odolnosť systémov

Posilnenie odolnosti zariadení a systémov, tzv. hardening, je kľúčom k eliminácii možných útočných vektorov a zmenšovaniu útočnej plochy systémov, čo výrazným spôsobom znižuje zraniteľnosť voči útokom. Zraniteľné miesta vznikajú tam, kde sa používajú prednastavené prístupové práva, alebo ak organizácie používajú nezabezpečené protokoly alebo služby.

4. Slabá kontrola prístupu

Častým problém je nedostatočná kontrola prístupu vo fyzickom aj logickom zmysle, čo môže oslabiť zavedené bezpečnostné opatrenia. Tieto problémy možno vyriešiť zavedením a presadzovaním prísnej politiky týkajúcej sa hesiel. Kľúčovým faktorom je aj ukladanie hesiel. Silné heslo je zbytočné, ak je uložené v nezašifrovanom systéme, ktorý je prístupný iným používateľom. Ďalším opatrením je uplatňovanie zásady „najmenších privilégií“, t. j. prideľovanie povolení iba tým používateľským účtom, ktoré ich potrebujú.

5. Nedostatočné monitorovanie a zaznamenávanie

Nepretržité monitorovanie v reálnom čase umožňuje včas odhaliť akékoľvek neobvyklé správanie. Dôsledné monitorovanie tiež pomáha pri vytváraní komplexných systémových denníkov. Tie sú veľmi užitočné pri forenznom vyšetrovaní akéhokoľvek útoku. Jedným z najúčinnejších spôsobov, ako zistiť nové a vyvíjajúce sa hrozby, je monitorovanie koncových bodov založené na hostiteľovi. Pri OT systémoch, ktoré neumožňujú monitorovanie založené na hostiteľovi, existujú pasívne a aktívne monitorovacie nástroje umožňujúce monitorovať sieť.

Vzhľadom na neustále sa meniace prostredie kybernetickej bezpečnosti neexistuje jedno univerzálne riešenie na všetky hrozby, navyše časová platnosť úrovne bezpečnosti je obmedzená. To, čo sa dnes považuje za bezpečné, môže byť už o mesiac ohrozené novou zraniteľnosťou niektorého komponentu infraštruktúry.

Spoločnosť ABB Power Grids sa radí k lídrom v zavádzaní inovatívnych technológií a vo svojom portfóliu má rad produktov, riešení a služieb na podporu prevádzky digitalizovanej infraštruktúry a kybernetickej bezpečnosti. Bohaté skúsenosti v oblasti priemyselných riešení nám umožňujú ponúknuť technickú a organizačnú analýzu aktuálneho stavu a navrhnúť a implementovať opatrenia na zníženie rizík kybernetickej bezpečnosti v súlade s platnou legislatívou a najlepšími bezpečnostnými štandardmi a praxou.

Ján Lukačin