Cyberbezpieczeństwo w systemach PLC/SCADA

Marek Falkowski Bedrock Tagi: , ,

Jak zagwarantować cyberbezpieczeństwo w przemysłowych systemach kontroli PLC/SCADA?

Potrzeba systemów cyber-bezpieczeństwa

Cyberprzestępcy nieustannie rozwijają swoje narzędzia i techniki, co w efekcie powoduje, że nawet najbardziej bezpieczne systemy są podatne na ataki. Świadczą o tym wydarzenia z ubiegłych lat, takie jak:  kampania Stuxnet, ClearScada, ataki na sterowniki GE, Rockwell Automation czy Siemens, wirus Havex lub kampania cyberszpiegowska przeprowadzona przez grupę DragonFly. Incydenty te wskazują na potrzebę stosowania technik obronnych dla przemysłowych systemów kontroli (ang. ICS).

Odpowiednie zabezpieczanie ICS jest procesem, ale nie składającym się wyłącznie z jednego zadania. Co za tym idzie, należyta strategia łączy w sobie dogłębną obronę – „defense in depth” wraz z ciągłym doskonaleniem w tej dziedzinie. Intencją doskonalenia jest tu raczej analiza, ocena i dopasowywanie poszczególnych koncepcji do własnych potrzeb niż odgórne podejmowanie konkretnych działań. Jest tak dlatego, że optymalne kroki we wszystkich przypadkach są funkcją charakteru ryzyka i dostępnych zasobów.

Systemy kontroli procesów przemysłowych różnią się w zależności od ich szczegółowego zastosowania i sektora, w którym działają. Niemniej jednak, wszystkie muszą być odpowiednio zabezpieczane w dobie coraz częstszych cyberataków.

Możliwe warianty i cele cyberataków

Systemy kontroli nie są pełne zapisów z kart kredytowych lub podobnych aktywów, które zazwyczaj są przedmiotem zainteresowania cyberprzestępców. Co zatem skłania ich do przeprowadzania cyberataków oraz które z nich mogłyby być przewidywane? W jaki sposób przebiegają ataki?

Typy cyberataków

Pierwszym przykładem są tzw. ataki „Drive-by”. Można je uznać za infekcje atakujące „przy okazji”, pływające po Internecie w poszukiwaniu ofiar. Mogą one stwarzać problemy i czasowo przerywać działalność, ale poważne, długotrwałe szkody są mało prawdopodobne.

Po drugie, ataki mogą należeć do tzw. zaawansowane trwałych zagrożeń (ang. APT). Cyberataki należące do tej grupy są przeprowadzane w celu osiągnięcia pewnych ustalonych zamierzeń. Co więcej, APT są zazwyczaj dziełem grupowym. Co więcej, o atakach tego typu słyszano już wcześniej –  termin ten został pierwszy raz użyty przez amerykańskie siły powietrzne w 2006 roku.

Do operacji typu APT można zaliczyć również ataki szpiegowskie. Atak tego typu zazwyczaj rozpoczyna się od „phishing’u” w celu uzyskania początkowego dostępu. Atakujący pracują następnie w ukryciu, aby stworzyć sobie warunki do pozostania w systemie i uzyskać administracyjne uprawnienia. We wszystkich znanych przypadkach, atakujący byli zazwyczaj aktywni w systemie docelowym przez okres dłuższy niż 18 miesięcy.

Techniki obrony przed atakami

Podstawą budowy systemu cyberobrony dla przedsiębiorstwa jest współpraca działów Technologii Informacyjnych (IT) oraz Operacyjnych (OT). Co więcej, dotyczy to wszystkich faz cyklicznego procesu oceny ryzyka, jego ograniczania, reagowania na incydenty oraz odzyskiwania danych. O ile dawniej, systemy ICS tworzyły odizolowane struktury – zamknięte sieci przesyłające dane w obrębie jednej firmy, o tyle obecnie, coraz częściej są one podłączane do Internetu, np. w ramach przemysłowego IoT. W konsekwencji, fakt ten uwidacznia potrzebę stosowania fachowej wiedzy specjalistów IT z zakresu cyberbezpieczeństwa przy ochronie danych dotyczących procesów w przedsiębiorstwie.

Bezpieczeństwo sieci sprowadza się w ogólnym pojęciu do kontrolowania podstawowych dwóch aspektów:

  • po pierwsze: jakie urządzenia są obecnie podłączone
  • po drugie: czy przesyłane wiadomości/polecenia są dozwolone.

Kontrowanie podłączonych urządzeń sprowadza się do aktywnego skanowania sieci w celu znajdowania i sprawdzania współpracującego sprzętu lub pasywnego monitorowania przepływu danych. Autoryzacja wiadomości/poleceń może następować natomiast w wyniku stosowania Infrastruktury Klucza Publicznego (ang. PKI) – dołączania do komunikatów szeregu szyfrowanych podpisów cyfrowych pozwalających na rozpoznawanie bezpiecznych poleceń.

Następny czynnik, utrudniający życie cyberprzestępcom, to segmentacja sieci oraz zastosowanie tzw. „zapór ogniowych”, w szczególności przy przechodzeniu pomiędzy kolejnymi warstwami.

Przykładem jest tu wydzielenie w sieci przedsiębiorstwa części odpowiedzialnej za przesył danych na poziomie hali produkcyjnej łączącej się z poziomem sieci biurowej, która następnie łączy się z Internetem oraz zastosowanie Firewall’a na granicy każdego z segmentów. W efekcie tych działań, otrzymuje się system z wielopoziomową siecią zabezpieczeń.

Segmentacja

Ponieważ głęboka ochrona sieci rozpoczyna się od segmentacji, typowa segmentowa konfiguracja łączy sieć przemysłową przez Firewall z siecią korporacyjną, która łączy się z Internetem za pośrednictwem innego Firewall.. Podczas projektowania sieci należy przewidzieć punkt dostępu do testu sieciowego (TAP) czy dublowanie portów (SPAN), aby umożliwić monitorowanie ruchu.

Cyberobrona z poziomu kontrolera

Dotychczas kontrolery PLC, DCS i inne były projektowane do pracy w odizolowanych sieciach. Jednak nie mając wewnętrznych zabezpieczeń, warunkiem ich poprawnego funkcjonowania jest całkowicie bezpieczna i wolna od włamań sieć. Biorąc pod uwagę coraz powszechniejsze podłączanie urządzeń przemysłowych do Internetu, warunek ten może nie być możliwy do zrealizowania. Dzieje się tak dlatego, że w razie ewentualnego uzyskania dostępu do tych urządzeń przez niepowołane osoby, kontrolery te nie będą w stanie odróżnić właściwych poleceń od tych, nadawanych przez cyberprzestępców.

Infrastruktura Klucza Publicznego (ang. PKI)

Dobrym przykładem podmiotu wprowadzającego innowacje w tym aspekcie jest firma Bedrock Automation, która wyszła naprzeciw temu wyzwaniu, prezentując kontroler Bedrock. W przeciwieństwie do standardowych rozwiązań, zastosowana w nim Infrastruktura Klucza Publicznego zapewnia przepływ komunikatów wyłącznie pomiędzy zaufanymi stronami. Jednocześnie nie oznacza to, że Bedrock powinien funkcjonować w zupełnie otwartej sieci, lecz dzięki użyciu PKI wprowadza on zupełnie nowe poziomy cyberobrony do używanych już wcześniej systemów ochrony infrastruktury sieciowej. O ile doświadczeni hakerzy mogli już osiągnąć wprawę w omijaniu zapór typu Firewall, o tyle złamanie skomplikowanego oraz dobrze zaimplementowanego systemu kryptografii jest praktycznie niemożliwe. Od teraz cyberprzestępcy napotykają przez sobą zupełnie nowy zestaw barier.

Na Infrastrukturę Klucza Publicznego zastosowaną w module Bedrock składają się następujące komponenty:

  • niesymetryczne szyfrowanie – wykorzystujące dwa klucze: publiczny – dostępny dla wszystkich i prywatny – znany tylko autorowi nadawanego komunikatu,
  • podpisy cyfrowe – skróty oryginalnych wiadomości tworzone według gotowych algorytmów, zaszyfrowane za pomocą odpowiednich kluczy prywatnych,
  • certyfikaty – bloki danych zapewniające właściwe utożsamienie użytkownika z danym kluczem publicznym; wykorzystuje się je do dystrybucji kluczy publicznych oraz tworzenia bezpiecznych kanałów komunikacyjnych,
  • urząd certyfikacji  (ang. CA) – podmiot wydający, podpisujący i zarządzający certyfikatami; jego podpis potwierdza autentyczność danego certyfikatu.

Dlatego, że oprócz samego używania PKI, ważna jest jego właściwa implementacja, Bedrock Automation przykłada wagę do produkcji sterowników posiadających wiele warstw ochronnych wykorzystujących to narzędzie.

Implementacja PKI

Zacząć należy od tego, że najgłębszym poziomem ochrony są same algorytmy i standardy kryptograficzne. Idąc dalej, stosowane są bezpieczne komponenty tworzące sterownik, zapewniające sprzętowe wsparcie szyfrowania, generację Prawdziwych Liczb Losowych (niezbędnych do wysokiej klasy kryptografii), czy bezpieczne i autoryzowane uruchomienia systemu.

Co więcej, komponenty te są wyposażone w systemy antysabotażowe potrafiące wykrywać próby naruszenia ich struktury. Sterownik Bedrock używa specjalnie dostosowanego oprogramowania wykorzystującego bezpieczne systemy czasu rzeczywistego, szyfrowanie plików, bezpieczne środowiska deweloperskie i nie tylko. Poszczególne moduły sterownika komunikują się ze sobą za pomocą nowatorskiego rozwiązania – magnetycznej płyty montażowej, co eliminuje używanie złącz, podatnych na uszkodzenia mechaniczne. Całość opatrzona jest wytrzymałą metolową konstrukcją, posiadającą systemy aktywnej i pasywnej ochrony antywłamaniowej z możliwością wykrywania oraz alarmowania na wypadek prób naruszenia sterownika.

Podsumowanie

W dzisiejszych czasach, obrona cybernetyczna to złożone wyzwanie techniczne, ale takie, które firma Bedrock Automation podjęła i obecnie komercjalizuje. Bez warstwowych i głęboko osadzonych technik cyberobrony, szanse na trwałe bezpieczeństwo są niewielkie. Mimo braku dużej ilości rozwiązań podobnych do sterownika Bedrock, wydaje się, że standardy wprowadzane przez Bedrock Automation postrzegane dziś jako innowacje, mogą wkrótce stać się podstawą prawidłowo zaprojektowanych systemów ICS. W dobie dynamicznie rozwijającego się Przemysłowego Internetu Rzeczy należy ciągle monitorować stan ryzyka oraz możliwe zagrożenia płynące z powszechnego dziś dostępu do Internetu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *