Cyberbezpieczeństwo przemysłowych systemów sterowania

Ochrona przemysłowych systemów sterowania (ICS) przed cyberatakami i zapewnienie cyberbezpieczeństwa wymaga wdrożenia kompleksowych i zaawansowanych planów ochrony. Należy zidentyfikować zagrożenia, słabe punkty systemów, a zastosować odpowiednie normy i standardy, wraz z obiegiem dokumentów.

Przemysłowy system sterowania (industrial control system – ICS) to ogólny termin stosowany do określania każdego rozproszonego systemu sterowania (DCS), programowalnego sterownika logicznego (PLC), komputerowego systemu sterowania procesami technologicznymi i produkcji (SCADA) lub dowolnego innego systemu automatyki, wykorzystywanego w środowiskach przemysłowych, które zawierają też infrastrukturę krytyczną. Celem zabezpieczenia systemu ICS jest jego ochrona przed każdą ingerencją, zamierzoną lub niezamierzoną, która może prowadzić do niezamierzonego funkcjonowania tego systemu.

Bezpieczeństwo przemysłowego systemu sterowania

Bezpieczeństwo systemu ICS może być bardzo szeroko kategoryzowane jako cyberbezpieczeństwo. Chociaż ze słowa „cyberbezpieczeństwo” wynika, że dotyczy ono przede wszystkim połączenia z Internetem, to w przypadku środowisk ICS chodzi jednak o coś innego.

Obecnie istnieje coraz większa konieczność zapewnienia zwiększonego bezpieczeństwa systemów ICS. Wynika to z faktu, że wzrosła liczba zagrożeń dla tych systemów, a w związku z tym wprowadzane w życie są odpowiednie regulacje i firmy przemysłowe mają zobowiązania prawne, moralne i finansowe, aby ograniczać te zagrożenia. Norma PN-EN IEC 61511: 2016 „Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego” („Functional Safety – Safety instrumented systems for the process industry sector”) wymaga także wykonywania analiz cyberbezpieczeństwa projektowanego przyrządowego systemu bezpieczeństwa (safety instrumented system – SIS) w systemach sterowania.

Z powodu niedawnych głosów protestu na temat cyberataków zapewnienie bezpieczeństwa systemów ICS postrzegane jest coraz bardziej jako konieczność ochrony przed hakerami zewnętrznymi. Jednak cyberbezpieczeństwo jest tylko jedną stroną bezpieczeństwa systemów ICS, ponieważ zagrożenia dla nowoczesnych systemów sterowania realizowane są w wielu formach.

Identyfikacja zagrożeń

Zagrożenia mogą być zewnętrzne lub wewnętrzne i mogą być kategoryzowane jako umyślne, zamierzone, przypadkowe lub niezamierzone. Typowymi zagrożeniami zewnętrznymi są ataki hakerów (profesjonalistów, amatorów, niedoświadczonych crackerów – ang. script kiddies), firm konkurencyjnych, rywalizujących organizacji czy państw. Typowymi zagrożeniami wewnętrznymi są natomiast błędne działania personelu, nieodpowiednie zachowania, niezadowoleni pracownicy itd.

Aby chronić systemy przed zagrożeniami zewnętrznymi, należy zrealizować więcej działań, niż tylko zwiększenie zabezpieczeń sieci. Z kolei nie wszystkich zagrożeń wewnętrznych można uniknąć przez wzmocnienie procedur czy polityk wewnętrznych w firmie. Dlatego optymalne bezpieczeństwo systemu ICS osiągane jest poprzez zwiększenie zabezpieczeń sieci oraz wdrożenie prawidłowych polityk i procedur.

 

 

Rys. 1. Zagrożenia dla bezpieczeństwa systemów sterowania mogą pochodzić z różnych źródeł. Ponadto mogą się zdarzyć niezamierzone pomyłki z powodu błędów proceduralnych w sieci sterowania.

 

Identyfikacja słabych punktów bezpieczeństwa systemów ICS

Systemy ISC zwykle były wykorzystywane jako samodzielne, ale obecnie wiele się zmieniło. Współczesne systemy ICS są wrażliwe na zagrożenia zewnętrzne głównie z powodu wykorzystywania technologii COTS (commercial off-the-shelf, dostępnej „z półki”) oraz dużej i rosnącej ilości podłączeń w sieci Internet z wielu powodów (np. firmy oferujące zdalny dostęp dla pracowników). Zagrożenia wewnętrzne występują głównie z powodu błędnych działań osób.

Podstawowymi słabymi punktami systemu sterowania są nieadekwatne polityki/procedury, brak realizacji obrony w głąb (defense-in-depth), nieodpowiednia kontrola zdalnego dostępu, nieprawidłowa konserwacja oprogramowania, nieadekwatna komunikacja bezprzewodowa w sterowaniu, wykorzystywanie przepustowości sieci sterowania do celów niezwiązanych ze sterowaniem, nieprzestrzeganie konieczności wychwytywania nieodpowiednich działań w systemie, brak uwierzytelniania danych w sieci sterowania, nieodpowiednie wsparcie krytycznych komponentów i systemów. Zagrożenie dla sieci sterowania może pochodzić z różnych źródeł (rys. 1).

Popularne firewalle mogą pomóc w przerwaniu drogi dostępu zagrożenia do systemu. Zainstalowanie firewalla jest łatwe, natomiast jego odpowiednie zaprogramowanie trudne. Tymczasem nieprawidłowo skonfigurowany firewall oznacza brak firewalla w ogóle.

System SIS (bezpieczeństwa) jest podatny na zagrożenia, jeśli wykorzystuje się technologie COTS. Szczególnie wtedy, gdy są one zintegrowane jako część sieci sterowania i komunikują się za pomocą niezabezpieczonego, otwartego protokołu. Zagrożenie dla systemu SIS może prowadzić do awarii lub strat.

Dostępność systemu jest podstawowym celem, ponieważ systemy ICS realizują operacje ciągłe i krytyczne czasowo. Jednak sprawą najważniejszą jest bezpieczeństwo personelu. W środowiskach IT znaczenie ma poufność danych, zaś dostępność systemu nie jest priorytetem. Nie wydarzy się nic strasznego, jeśli przez kilka godzin nie będzie dostępu do Internetu. W środowiskach ICS firmy nie mogą pozwolić sobie na utratę kontroli nad systemem nawet na kilka sekund.

Standardy i normy bezpieczeństwa dla systemów ICS

Organy państwowe oraz organizacje przemysłowe opracowują standardy i normy bezpieczeństwa, w których podają wytyczne i sugerują najlepsze praktyki wzmacniania zabezpieczeń systemów przed potencjalnymi zagrożeniami.

Niektóre z tych standardów i norm to:

→ Komitetu ISA99 – Bezpieczeństwo w systemach sterowania i automatyki przemysłowej (Industrial Automation and Control Systems Security)/seria standardów PN-EN IEC 62443;

→ Narodowego Instytutu Standaryzacji i Technologii USA (National Institute of Standards and Technology – NIST) – SP 800-82 – Przewodnik po Bezpieczeństwie Przemysłowych Systemów Sterowania (Guide to Industrial Control Systems
Security
);

→ Północnoamerykańskiej Korporacji ds. Niezawodności Elektrycznej (North American Electric Reliability Corporation – NERC) – seria standardów CIP (critical infrastructure protection, ochrona infrastruktury krytycznej).

Podobnie jak cykl życia bezpieczeństwa funkcjonalnego, cykl życia cyberbezpieczeństwa zależy także od trzech podstawowych komponentów: analizy, wdrożenia i utrzymania. Cykl życia jest procesem ciągłym, gdzie niebagatelną rolę odgrywa sprzężenie zwrotne. Proces ten może być wizualizowany jako funkcja regulacji proporcjonalno-różniczkująco-całkującej (PID), tam gdzie sposób reagowania na zagrożenia (regulowana zmienna) jest dostosowywany na podstawie danych ze sprzężenia zwrotnego tak, aby osiągnąć akceptowalny poziom ryzyka/cel zabezpieczenia (punkt nastawy) i jest procesem ciągłym (rys. 2).

 

 

 

Rys. 2. Obrona w głąb może być zrealizowana przez wzmocnienie środków zabezpieczeń. Jeśli zabezpieczenia sieci zostaną złamane, to można temu przeciwdziałać za pomocą prawidłowych polityk i procedur.

 

 

Dla części firm utrzymanie budżetu na wdrażanie i obsługę cyklu życia cyberbezpieczeństwa jest trudne. Bez wsparcia kierownictwa i zarządu w takich firmach cykl życia cyberbezpieczeństwa najprawdopodobniej się zakończy. W takich przypadkach warto przedstawić zarządowi analizę przypadku biznesowego (business case), w której w skrócie zaprezentowane są potencjalne zagrożenia, ich konsekwencje (fizyczne, ekonomiczne, wpływy społeczne) oraz możliwe zyski dla firmy.

W firmie powinna zostać przeprowadzona ocena ryzyka, aby dopasować działania do potrzeb danej organizacji. Może on obejmować plan, środowisko testowe oraz dane techniczne i dokumentację.

Do wykonania takiej oceny ryzyka dostępne są różne narzędzia. Można wybrać ocenę jakościową lub ilościową, na podstawie wymagań organizacji, aby oszacować wpływ cyklu życia bezpieczeństwa. W ocenie ilościowej wykorzystywane są zebrane uprzednio dane. W ocenie jakościowej wymagane jest prawidłowe zdefiniowanie parametrów oceny konsekwencji.

W odpowiednich środowiskach testowych ocenę wrażliwości na zagrożenia może wykonać skaner. Wyniki otrzymane z takiego skanera, jak pokazano na rys.1, nie są wystarczające. Same zabezpieczenia systemu ICS nie chronią przed cyberatakami, ale skuteczna ochrona wymaga również zaangażowania personelu zakładu oraz zastosowania odpowiednich zabezpieczeń fizycznych i środowiskowych.

Wymagania dotyczące bezpieczeństwa fizycznego mogą obejmować kontrolowanie dostępu do obszarów o ograniczonym dostępie, monitoring (CCTV), czujniki ruchu, systemy kamer termowizyjnych oraz inne środki. Ochrona środowiskowa przed pyłem, temperaturą oraz toksycznymi gazami może być zrealizowana za pomocą prawidłowego systemu ogrzewania, wentylacji i klimatyzacji (HVAC) oraz odpowiednich systemów alarmowych do identyfikacji awarii.

Świadomość, odpowiednie polityki i procedury są bardzo ważne dla przeciwdziałania przypadkowym i wewnętrznym zagrożeniom. Odnosząc się znów do rys. 1 – np. zainfekowane pamięci typu pendrive mogą bezpośrednio zagrażać sieci sterowania/fabrycznej. Dostęp i kontrola uwierzytelniania przy uzyskiwaniu dostępu oraz wykonywaniu poszczególnych działań muszą być realizowane za pomocą odpowiednich polityk i procedur, ustalonych wcześniej dla danego zakładu. Można także wykorzystywać logi, aby śledzić poziomy dostępu.

Plany bezpieczeństwa muszą także być ustalone podczas pisania oprogramowania do zapewnienia bezpieczeństwa oprogramowania. W systemie sterowania powinny być wykorzystywane komponenty mające certyfikat cyberbezpieczeństwa. Technika obrony w głąb jest konieczna, aby zabezpieczyć system ICS i zminimalizować ryzyko.

Ponieważ cyberzagrożenia zmieniają się szybko, zarządzanie zagrożeniami dla bezpieczeństwa powinno być procesem ciągłym. Konieczne jest wykonywanie okresowych przeglądów i audytów cyklu życia cyberbezpieczeństwa, aby utrzymać ciągłość realizacji operacji w zakładzie. Obejmuje to zarządzanie łatkami programowymi, aktualizację programów antywirusowych oraz utrzymanie świadomości trendów i zagrożeń w przemyśle.


Sunil Doddi jest inżynierem ds. systemów sterowania w firmie Hydro-Chem, należącej do firmy Linde Engineering North America.