Kako proaktivno zaščititi procesno infrastrukturo (OT) v industrijskem avtomatiziranem okolju?
Pomembno je ozaveščanje in nenehno izobraževanje zaposlenih, saj so prav neozaveščeni uporabniki tehnologij najvišje varnostno tveganje.
Povezovanje industrijskih sistemov v poslovnem okolju prinaša varnostna tveganja, še zlasti ker nekateri industrijski sistemi vključujejo starejše sisteme in naprave, ki niso posodobljene in so zaradi tega ranljive za najnovejše varnostne grožnje. Pred združitvijo industrijskih in poslovnih procesov je zato treba okrepiti varnostne mehanizme, saj posledice nedelovanja posameznih sklopov ali celotnega industrijskega okolja in s tem kritičnih sistemov za podjetje pomenijo visoko poslovno škodo.
Z ustrezno varnostno rešitvijo poskrbimo za zaščito sistemov in okolja, ki pomeni precej manjšo naložbo, kakor če pride do varnostnega incidenta. Incidenti v industrijskih in procesnih okoljih ne iščejo izjem, dogajajo se ves čas, povzročijo lahko veliko poslovne škode, ogrozijo lahko življenja, okrnijo ugled podjetja, pride lahko do motenj v delovanju kritične infrastrukture …
Kaj je okolje operativne tehnologije (OT)
Kratica OT se uporablja za procesno infrastrukturo (Operational Technology) v industrijskem avtomatiziranem okolju. Gre za specializirana informacijsko-komunikacijska okolja, ki so namenjena izvajanju procesov. Okolja, kjer se uporablja procesna tehnologija, najdemo povsod okrog nas. Gre predvsem za industrijska okolja in okolja kritične infrastrukture, kot so energetika, preskrba s pitno vodo, promet, logistika, zdravstvo in drugo.
OT-okolja so visoko specializirana, ponavadi jih najdemo v industrijskih krmilnih sistemih (Industrial Control Systems), eden izmed najbolj razširjenih in večini poznan je sistem SCADA. Poleg že omenjenih sistemov vodenja OT-okolja uporabljajo namenske naprave in specifične protokole (IEC 60870-5-104, IEC 61850 – GOOSE, Profinet, S7, Modbus, DNP3 …), ki niso bili načrtovani z mislijo na varnost in zato ne vsebujejo varnostnih mehanizmov. Ta okolja so ponavadi zelo obsežna in kompleksna, vključujejo različne elemente in so sestavljena iz več povezanih arhitektur.
Še do pred kratkim je bilo OT-okolje izolirano (angl. Air Gap) in se ni povezovalo z zunanjim svetom ali poslovnim oziroma IT-okoljem. Sisteme so večinoma ročno upravljali in spremljali. Iz tega razloga tudi niso bili privlačen cilj za kibernetske napadalce, saj ni bilo omrežnega vmesnika, prek katerega bi lahko izvedli napad. Edina možnost za vstop v te sisteme je bil fizični dostop do terminala, kar pa ni bilo preprosto. OT-in IT-okolje sta se le redko povezovala. Okolji tudi nista bili podvrženi istim varnostnim ranljivostim.
Varnostne ranljivosti OT-okolja
Danes OT-okolja vse bolj digitalizirajo in vanje vpeljujejo avtomatizacijo, dodajajo številne nove gradnike in naprave interneta stvari (IoT), ki jih v industrijska okolja vključujejo kot pomembne gradnike, s katerimi zagotovijo obratovanje proizvodnega procesa. Na varnost pa pri tem prevečkrat pozabljajo.
Z zlivanjem oziroma povezovanjem IT- in OT-okolja, ki omogoča organizacijam enoten pogled na industrijske sisteme skupaj z rešitvami za upravljanje procesov, so OT-okolja postala veliko bolj dovzetna za množico novih varnostnih tveganj, kar napadalci izkoriščajo. Vse pogosteje je tudi javnost obveščena o varnostnih incidentih. Letos je denimo zelo odmeval kibernetski napad na glavno ameriško podjetje za distribucijo naftnih derivatov Colonial Pipeline. Moramo pa se zavedati, da je veliko takih, ki niso tako odmevni in se dogajajo v naši neposredni bližini. V 2018 so hekerji odkrili varnostne pomanjkljivosti na avstrijski sedežnici, in sicer na eni izmed naprav za napenjanje jeklene vrvi in upravljanje hitrosti vrtenja žičnice. Le predstavljamo si lahko, kaj se zgodi, ko je nadzor take naprave v napačnih rokah.
Poleg tega se v industrijskih okoljih srečujemo še z drugimi izzivi. Zaradi narave procesov pogostih nadgradenj ni mogoče izvajati, saj te pomenijo prekinitev proizvodnega procesa. Prav tako obratuje še vedno veliko naprav in sistemov starejšega izvora, na primer operacijskih sistemov, za katere varnostni popravki niso več na voljo. Zelo pogost je denimo še vedno operacijski sistem Windows XP. Podpora za nameščanje protivirusne zaščite ni mogoča, sistemi so brez dostopa do interneta, tudi zato posodobitve niso mogoče. In tako varnostne vrzeli ostajajo.
Celosten pristop pri načrtovanju varnostnih mehanizmov
Z varnostnega vidika se okolja operativne tehnologije (OT) razlikujejo od okolij informacijske tehnologije (IT) po tem, da v IT-okoljih varujejo podatke, v OT-okoljih pa procese. Posledično so tudi varnostne prioritete drugačne.
Varnostni model v IT na prvo mesto postavlja zaupnost in zato največjo pozornost posvečamo preprečevanju odtujitve podatkov. V OT-okolju pa je zagotavljanje (neprekinjenega) delovanja sistema na prvem mestu, šele nato sledijo razpoložljivost, integriteta in zaupnost. Pri tem se postavi pomembno vprašanje, kako zavarovati industrijske sisteme in hkrati zagotoviti neprekinjeno delovanje.
Prvi korak je gotovo izvedba specializiranega varnostnega pregleda, ki se osredotoča na OT-okolje. S tem spoznamo sistem v globino, ugotovimo trenutno stanje povezljivosti med IT- in OT-omrežjem, trenutno stanje operacijskih sistemov, pridobimo pregled odprtosti PLC-, RTU- in SCADA-sistemov, kaj je treba spremeniti, izboljšati, vpeljati na novo. Če ne vemo, kaj je v sistemu, je nemogoče izvesti kakršnokoli zaščito ali izboljšavo.
Izzivi kibernetske varnosti v industrijskem okolju pa niso izključno tehnološke narave, ampak je treba graditi in ustrezno povezovati tri segmente: tehnologijo, vire (zaposlene) in procese. Zavedanje o pomembnosti kibernetske varnosti, sploh ob vpeljavi novih tehnologij, zmogljivosti oziroma digitalizaciji 4.0, se začne pri poslovodstvu, ki mora to podpreti – proces se mora začeti premikati od vrha navzdol.
Povezano s tem je pomembno ozaveščanje in nenehno izobraževanje zaposlenih, saj so prav neozaveščeni uporabniki tehnologij najvišje tveganje. Vlaganje v zaposlene mora biti prioriteta, saj zaposleni s svojim strokovnim znanjem podjetju zagotovijo, da doseže znižanje varnostnih tveganj.
Glavni koraki pri pripravi strategije zaščite omrežij
Prav zaradi vseh specifik OT-okolja pri zagotavljanju kibernetske varnosti ne moremo postopati enako kot v IT-okolju. Ko načrtujemo varnost v OT-okoljih, se lahko opremo na šestnivojski referenčni model IT- in OT-okolja, tako imenovani Purdue Enterprise Reference Architecture (PERA).
PERA IT-okolje razdeli na poslovno varnostno območje (nivo omrežja štiri in pet), kjer dajemo poudarek preprečevanju nepooblaščenega dostopa, zagotavljanju visoke prepustnosti omrežja z nizkimi zakasnitvami ter pridobivanju podatkov o ranljivosti sistema, da lahko pravočasno ukrepamo, preden pride do izpada ali nedelovanja.
OT-okolje je glede na model sestavljeno iz štirih nivojev. Na nivoju tri vsebuje industrijsko obratovalno in nadzorno območje, s kontrolnim centrom in procesnim LAN. Na tem nivoju moramo poskrbeti, da preprečimo neomejeno gibanje po omrežju – tako imenovano bočno premikanje – ter odkrivamo in preprečujemo omrežne grožnje.
Dodatno varnostno podobmočje pomeni celica, ki jo sestavljajo trije nivoji. Nivo dve, ki pomeni nadzor območja z lokalnim HMI- ali s SCADA-sistemom. Na nivoju ena so osnovne kontrole v obliki RTU in PLC. Nivo nič je procesni nivo, kjer so vhodno-izhodna merilna vodila, kamor se priklapljajo senzorji in aktuatorji. Tu moramo poskrbeti za segmentacijo omrežja in zavarovanje kritičnih virov.
Ko gre za strategijo zaščite omrežij v OT-okolju, sistem, kjer se izvaja nadzor OT, najprej antivirusno pregledamo in odpravimo morebitne grožnje. V fazi uvedbe zaščite končnega sistema je pomembna gradnja seznama dovoljenih aplikacij na sistemu, tako imenovani whitelisting, preden ga zaklenemo.
Generalno govorimo o dveh seznamih dovoljenih aplikacij. Prvi seznam so sistemske datoteke operacijskega sistema, tako da sistem teče varno, kljub temu da ni posodobljen. Posodobitev takšnega sistema ni mogoča ali zaradi zastarelega operacijskega sistema ali ker je sistem v izoliranem okolju. Drugi seznam so aplikacije OT-okolja. Tipično gre za eno ali dve aplikaciji na končnem sistemu, ki sta namenjeni nadzoru in upravljanju OT-sistema.
Aplikacije, ki se pojavljajo na seznamu, so različne, glede na specifiko OT-okolja. So pa to aplikacije, s katerimi nadzorujemo in upravljamo OT-sisteme. Aplikacije lahko posodabljamo na dva načina. To lahko izvedemo v načinu učenja namestitvene ali posodobitvene datoteke – kateri kontrolirano dovolimo in odobrimo spremembe na sistemu. Druga možnost je prek tako imenovanega vzdrževalnega načina, v katerem se sistem nauči sprememb v ozkem časovnem oknu, ko se izvede posodobitev nadzornega programa.
S tem preprečimo nepooblaščene spremembe, nameščanje novih programov ali spremembo starih. Z dovoljevanjem specifičnih OT-protokolov, z zgodnjim odkrivanjem napadov in prepuščanjem glavnih kontrolnih ukazov sistem zagotavlja obrambo pred grožnjami, s čimer omejimo površino napada in poskrbimo za hiter odziv na incidente.
Omejitev površine napada
Ko govorimo o površini napada, si prizadevamo, da je ta čim manjša. To dosežemo tako, da z različnimi varnostnimi pristopi zmanjšamo vektorje napada. Pomembno vlogo tukaj odigrajo varnostni sistemi, ki poznavajo protokole v OT-okolju in znotraj protokolov ščitijo komunikacijo, preprečujejo kršitve in zlorabe. Zelo pomembna je tudi zaščita sistemov Windows pred nepooblaščenimi spremembami, kjer so nameščeni OT-nadzorni sistemi. V OT-okolja se dostopa iz IT-sveta in prek oddaljenega dostopa, prav zato so nujna segmentacija omrežja in ustrezna varnostna pravila, ki določajo, kako in po katerih protokolih je omogočen dostop. Vse te varnostne sisteme je treba povezati v enoten sistem za obveščanje, tako da se lahko pravočasno odzovemo na incidente.
Pomembna je tudi uvedba varnega oddaljenega dostopa do OT-okolja, kjer je pomembna raba dvostopenjske avtentikacije, končevanje dostopa na posebnem varnostnem območju (DMZ), kjer prek namenskega strežnika nadzorujemo in posredno dostopamo do OT-okolja.
Za vse to imamo na voljo namenske rešitve, ki poznajo specifike OT-okolja oziroma znajo komunicirati z napravami in protokoli v njem. Ker se OT-okolja drugače vedejo, upravljajo in tudi odzivajo na kibernetske grožnje, klasične omrežne naprave ne zagotavljajo ustrezne in učinkovite zaščite.
Članek je bil objavljen 6. decembra 2021 v časniku Finance, v prilogi Tovarna leta in na portalu Tovarna leta.