Bezpieczna infrastruktura OT. Czy to możliwe?

Infrastruktura OT – kiedyś izolowana, dziś zwykle połączona z siecią IT – staje się coraz częściej celem ataków hakerskich. Z badania Stormshield z 2021 r. wynika, że 51% ankietowanych firm przemysłowych doświadczyło co najmniej jednego cyberataku na sieć operacyjną. Problem pogłębia się z roku na rok. Jak mu zapobiec?

Operational Technology, czyli technologia operacyjna, infrastruktura OT, to urządzenia i oprogramowanie do zarządzania i monitorowania fizycznych urządzeń, procesów i zdarzeń w przedsiębiorstwie. Do tych urządzeń należeć mogą maszyny produkcyjne, pompy, zawory, wyłączniki, czujniki, czyli wszelkie urządzenia pomiarowo-wykonawcze.

Historycznie rzecz biorąc, sieci tych urządzeń i systemów tworzyły zamknięte środowisko, które nie łączyło się z innymi systemami firmowymi oraz – tym bardziej – z Internetem. To zapewniało względny poziom bezpieczeństwa. Do czasu.

Rewolucja w przemyśle szansą dla cyberprzestępców

Transformacja cyfrowa i Przemysł 4.0 wyraźnie zmieniły krajobraz w firmach produkcyjnych. I w nich kluczową rolę zaczęły odgrywać dane, a zwłaszcza ich analiza i wyciąganie wniosków leżących u podstaw decyzji zarządczych i operacyjnych, pozwalających unikać awarii, przestojów czy nagromadzenia pracy na liniach produkcyjnych.

Dane te przepływały dotąd między urządzeniami wpiętymi do sieci OT. Jednak by można było je przeanalizować, przetworzyć i wykorzystać w szerszej skali, stały się częścią innych systemów firmowych (np. ERP, WMS itd.). Przekroczyły zatem granicę między sieciami OT i IT. Ten trend stał się jeszcze mocniejszy, gdy w przedsiębiorstwach pojawiły się elementy Internetu Rzeczy. Czujniki monitorujące na bieżąco pracę urządzeń i przesyłające w czasie rzeczywistym dane pomiędzy sobą i systemami IT są nieustannie podpięte do Internetu. Mogą więc stać się furtką dla cyberprzestępców – tak samo jak urządzenia w sieci przemysłowej.

– Zapewnienie bezpieczeństwa sieci OT oznaczało przez lata przede wszystkim dbanie o ciągłość działania wszystkich urządzeń i systemów i tym samym – o brak przestojów w pracy produkcyjnej. Ponieważ sieci te były izolowane, firmy nie bały się cyberataków. Zresztą – zwłaszcza starsze elementy infrastruktury – bardzo często nie były i do dziś nie są odpowiednio zaawansowane technologicznie, by zapewnić standardowy poziom bezpieczeństwa, np. szyfrowanie danych. W takich warunkach nie było mowy o cyberochronie. Dziś jednak staje się ona absolutną koniecznością – wyjaśnia Krzysztof Andrian, prezes zarządu Concept Data.

Dlaczego? 68% firm ankietowanych na potrzeby badania Smart Factories zadeklarowało, że inwestuje w systemy produkcyjne opierające się na automatycznej wymianie danych pomiędzy maszynami i urządzeniami podłączonymi do sieci. A to oznacza większe możliwości dla cyberprzestępców.

Więcej połączeń, więcej wektorów ataków

Każdy cyberatak uderzający w sieć IT przedsiębiorstwa może wpłynąć również na sieć OT. Zaszyfrowanie danych czy przejęcie kontroli nad urządzeniami oznacza z jednej strony brak możliwości działań operacyjnych (skutkujące np. brakiem w dostawach prądu na danym obszarze), a z drugiej często także niepożądaną zmianę parametrów pracy urządzeń, np. podniesienie temperatury w chłodni lub zmodyfikowanie proporcji substancji w produkcji leków. A stąd już prosta droga do poważnych i długotrwałych problemów.

Atak może zadziałać jednak także w drugą stronę. Korzystając ze słabo zabezpieczonych urządzeń OT lub IoT – podpiętych przecież do sieci zewnętrznych – cyberprzestępca może dostać się do zasobów IT przedsiębiorstwa i przejąć kontrolę nad systemami, wykraść dane lub tajemnicę handlową czy dokonać sabotażu.

– Nie można dziś sieci IT, OT i IoT traktować oddzielnie. Są systemem naczyń połączonych – to, co dzieje się w jednej, wpływa na pozostałe. Dlatego całe to środowisko wpiętych do Internetu urządzeń coraz częściej nazywamy dziś siecią xIoT, czyli extended IoT, bo zawiera w sobie urządzenia OT, sieciowe i IoT. Przedsiębiorstwo, które chce być bezpieczne, musi chronić każdy z tych elementów – mówi Michał Kudela, PAM Team Leader w Concept Data.

O cyberatakach, które wykorzystując jeden z elementów extended IoT, wpływają na działanie całego przedsiębiorca i jego klientów, często można przeczytać w mediach. Jednym z najbardziej spektakularnych był atak na sektor energetyczny w zachodniej Ukrainie w 2015 roku, który pozbawił prądu 700 tys. odbiorców. Od 2016 roku aktywny jest botnet Mirai, który do różnego rodzaju cyberataków (głównie DDoS) wykorzystuje publicznie dostępne urządzenia IoT działające na systemie Linux. W ciągu ostatnich kilkudziesięciu miesięcy jego celem stały się między innymi Google, Microsoft czy serwer Minecraft Wynncraft. W 2021 r. cyberprzestępcy zaatakowali Colonial Pipeline, firmę transportującą paliwa na wschód USA, w wyniku czego rurociąg nie działał przez kilka dni. Przykłady można mnożyć. Czy jednak da się im także zapobiegać?

Widoczność, monitoring i automatyczne usuwanie podatności

Na podatność sieci xIoT na cyberataki wpływa kilka czynników. Głównym problemem firm jest to, że zwykle w ogóle nie wiedzą, jakie urządzenia i gdzie są wpięte do sieci. W przypadku OT mamy też często do czynienia ze sprzętami wiekowymi, systemy te bowiem projektowane są na lata i ich elementy rzadziej podlegają wymianie. W przedsiębiorstwach działają więc stare urządzenia, często zapomniane z nieaktualizowanym od lat lub nawet niewspieranym przez producenta oprogramowaniem.

Natomiast elementy IoT bardzo często nie są w ogóle brane pod uwagę w strategii cyberbezpieczeństwa. W wielu firmach wciąż brakuje świadomości, że takie urządzenia także można zaatakować. Nie są więc wcale zabezpieczone lub ich jedynym zabezpieczeniem jest domyślne i nigdy niezmieniane hasło.

– Strategia cyberbezpieczeństwa musi dziś obejmować swoim zasięgiem wszystkie elementy sieci IT, OT i IoT. Także te zapomniane. Nowoczesne technologie pozwalają na automatyczne odkrywanie i identyfikowanie wszystkich urządzeń xIoT, na ocenę poziomu ich bezpieczeństwa, usuwanie luk w zabezpieczeniach, między innymi w zakresie danych uwierzytelniających, oprogramowania i certyfikatów, oraz na bieżące monitorowanie sieci xIoT, wykrywanie i eliminowanie pojawiających się zagrożeń. Tak działa na przykład Phosphorus Enterprise xIoT Security Platform – dodaje Krzysztof Andrian.

Włączając tego typu rozwiązania w swoją infrastrukturę IT, firma może wyraźnie podnieść bezpieczeństwo kluczowych zasobów.

– Technologia Phosphorus doskonale integruje się z platformą CyberArk Privileged Access Security, służącą do zarządzania dostępem uprzywilejowanym, hasłami kont uprzywilejowanych w systemach operacyjnych, aplikacjach i urządzeniach sieciowych, oraz do kontroli poziomów uprawnień użytkowników i procesów w systemach operacyjnych Windows i Linux. Łącząc możliwości obu narzędzi, przedsiębiorstwo jest w stanie zapewnić nowoczesną i w pełni zautomatyzowaną ochronę urządzeń w całej sieci xIoT – podsumowuje Michał Kudela.

Rozwój przemysłu i rozwiązań technologicznych wspierających produkcję idzie w parze ze wzrostem możliwości cyberprzestępców. Dbając całościowo o swoją infrastrukturę, przedsiębiorstwa są jednak w stanie zapewnić kluczowym zasobom bezpieczeństwo, a klientom – nieprzerwany dostęp do usług oraz produktów.

Więcej o bezpieczeństwie środowiska xIoT:

Myślisz, że Twoja firma jest bezpieczna? Sprawdź urządzenia IoT