Czy internetowi terroryści mogą zaatakować naszą firmę?

Mniej niż 25% zdarzeń odnotowanych w bazie RISI to umyślne ataki na systemy sterowania.

Być może, ale być może to nie jest najlepsze pytanie jakie trzeba zadać. Podczas incydentów związanych z siecią, mogą zostać spowodowane przerwy w dostawach i zamknięcia zakładów przemysłowych. Czy zostały one spowodowane przez wypadek, pracowników, hacker’a lub terrorystów nie jest tak istotne. Pierwsze pytanie, które musimy sobie zadać to: "Co sprawiło, że nasz system stał się niestabilny i podatny oraz co możemy zrobić, aby zapobiec powtórzeniu takiej sytuacji?".

Jakiś czas temu w amerykańskich gazetach można było przeczytać mrożące krew w żyłach nagłówki: "Sieć elektryczna w USA spenetrowana przez szpiegów", "Chiny i Rosja włamały się do sieci elektrycznej w USA", "Rosyjscy hakerzy zniszczyli w BTC Pipeline serwery danych," a ostatnio, dyrektor CIA powiedział: „cyber atak może być następnym Pearl Harbor". Jak ktoś może w nocy spać, z takimi wiadomościami?

W rzeczywistości jednak większość wiadomości z takimi nagłówkami jest nadmiernie udramatyzowana. Chociaż scenariusze malowane w tych opowieściach mogą być ważne, są one często pozbawione szczegółowych danych na temat tak zwanych incydentów. W wyniku tego rząd, społeczeństwo, media i operatorzy systemów kontroli powinni w końcu przestać koncentrować się na niewielkim procencie udanych ataków, a bardziej skoncentrować się na bardzo realnych zagrożeniach dla współczesnych sieci systemów kontroli.

Faktem jest, że system kontroli zdarzeń odnotowuje ataki, są one prawdziwe i mają miejsce regularnie, w przemysłach na całym świecie. Skąd wiemy? Miedzy innymi poprzez usługi świadczone przez Security Incidents Organization. Utrzymuje on bazę danych o nazwie RISI (archiwum zdarzeń związanych z bezpieczeństwem przemysłowym), która śledzi incydenty o charakterze cyberbezpieczeństwa, które bezpośrednio dotyczą incydentów przemysłowych SCADA i kontroli procesów. Poprzez badanie rzeczywistych zagrożeń, RISI pomaga zapewnić realną ocenę zagrożeń i słabych punktów przemysłowych systemów sterowania.

Najważniejszym ustaleniem, wynikającym z bazy danych RISI jest to, że gdy cyberataki miały miejsce, nie było świadomości ich ogromnej liczby na systemy sterowania przemysłowego. Mniej niż 25% przypadków zarejestrowanych w bazie danych reprezentują zamierzone ataki na systemy kontroli. Pozostałe 75% przypadków były niezamierzone.

Fiu! Teraz wszyscy możemy odetchnąć z ulgą? Nie, nie. Podczas tych incydentów nawet niezamierzonych nadal w wyniku przestojów następowały straty produkcyjne, szkody w środowisku, uszkodzenia sprzętu, ciała, a nawet śmierć. Niezamierzone przypadki mogą prowadzić do tych samych skutków. Pomimo, że zagrożenia mogą być różne, szkody są takie same.
 


Te niezamierzone incydenty to np. złośliwe oprogramowanie (wirusy, robaki, itp.) lub zaburzenia sieci spowodowane błędami oprogramowania. Chodzi o to, czy wierzysz, czy nie, Twoje cyfrowe systemy kontroli mogą stać się celem cyber ataku oraz na pewno należy sądzić, że są one podatne na przypadek cyberprzestępczości.

Rozważmy na przykład 44% procent niezamierzonych zdarzeń, które zostały zgłoszone RISI. Zdarzenia te zostały przypisane komuś z zewnątrz. Zazwyczaj źródłem niezamierzonego incydentu jest złośliwe oprogramowanie działające na komputerach, niczego nieświadomych użytkowników zewnętrznych. Przedsiębiorstwo energetyczne w Australii dowiedziało się o tym na własnej skórze, gdy było zakażone wirusem W32.CF. Nawet jeżeli wirus nie "zamierzał", aby zainfekować to przedsiębiorstwo energetyczne, zakażenia zmusiły firmę do restrukturyzacji ponad 1000 pulpitów, droga propozycja. Na szczęście w tym przypadku, wirus nie zdołał dostać się do systemu kontroli. Inne firmy nie miały tyle szczęścia. Za pośrednictwem połączenia do sieci firmowej, połączenia dial-up dla zdalnego wsparcia lub nawet dysków USB VPN, wirusy dostały się do sieci systemu kontroli. Interfejsy HMI, stacje robocze maszyn, dane serwerów, historia, itp. mogą zostać uszkodzone. Istnieje wiele zdarzeń odnotowanych w RISI o takich zakażeniach, które spowodowały przestoje w pracy, przez które organizacje traciły miliony dolarów. Wirusy zostały nawet czynnikiem przyczyniającym się do bardziej poważnych zdarzeń poprzez ukrywanie przed operatorami krytycznych alarmów w odpowiednim czasie.

Kolejne 40% procent niezamierzonych incydentów, zarejestrowanych w RISI nie było nawet spowodowanych przez człowieka, lecz przez wadliwy sprzęt lub oprogramowanie. Te "przypadkowe" wypadki miały znaczny wpływ w działaniach operacyjnych, takich jak usterka w komputerze, które spowodowały poważne przerwy w zasilaniu w Phoenix w stanie Arizona. W tym przypadku, dostawca energii, Salt River Project, miał system zaprogramowany tak, aby odciąć zbyt duże obciążenia, jeżeli elektrownia nie była by w stanie sprostać zapotrzebowaniu. Niestety, podczas gdy SRP nie miał problemów z obciążeniem w dniu wypadku, komputer wykazał, że tak było i tym samym wywołał powszechne przerwy w dostawach prądu. Szacuje się, że 92.000 klientów Salt River Project było bez prądu od 20 do 30 minut.

RISI zawiera wiele innych przykładów zarówno zamierzonych jak i niezamierzonych zdarzeń w sieci. Każdy z nich stanowi cenną lekcję, którą można wykorzystać w celu uniknięcia podobnych incydentów. Ponadto, wiele z nich jest cennym źródłem informacji dla producentów urządzeń automatyki, w naprawieniu i unikaniu błędów oraz luk, które wkradły się w już istniejących produktach.

Dobrą wiadomością dla tych, którzy chcą zająć się tą kwestią jest to, że nawet niewielki wysiłek, może doprowadzić do istotnej poprawy. Liczne organizacje publikują standardy i wytyczne w celu zwiększenia cyberbezpieczeństwa ich składników oraz zainstalowanych systemów. Co można znaleźć w większości z nich? Nie najnowsze technologie, ale dobrą praktykę inżynieryjną, stworzoną przez ludzi z branży, których nauczyło „doświadczenie”. Na przykład, ISA99 zakończyła standard ANSI/ISA-99.02.01-2009, "Bezpieczeństwo przemysłowe Automatyki i Robotyki: ustanowienie przemysłowej automatyki i ochrona programów systemów kontroli." Niniejsza norma opisuje proste podejście, że przedsiębiorstwa mogą zastosować do zarządzania cykl życia bezpieczeństwa swoich systemów automatyki.
 
Najlepiej zacząć od przeprowadzenia oceny systemu kontroli cyberbezpieczeństwa na istniejących systemach. Organizacje mogą przeprowadzić samoocenę lub wynająć doświadczoną osobę trzecią do pomocy i wydawania poleceń. Zalecane jest użytkownikom ściśle współpracować ze swoimi dostawcami urządzeń automatyki, ponieważ ich produkty odgrywają kluczową rolę w realizacji i wykonaniu kontroli technicznej wymaganej w normach bezpieczeństwa.

Kluczowym punktem każdej oceny jest to by nie utknąć na mało prawdopodobnych scenariuszach zdarzeń, ale raczej przeprowadzić pełne spektrum zagadnień sieciowych i efektów, które mogłyby zaszkodzić działalności. Na przykład, co by było, gdyby powszechny wirus został wprowadzony do systemu kontroli? Jakie byłyby skutki, jeżeli wirus spowodowałby usterkę wszystkich HMI (interfejs człowiek-maszyna) w tym samym czasie? Instalacja powinna być wyłączona lub nie może być uruchomiona "w ciemno". Kto o tym zdecyduje? Jaki proces zdiagnozuje problem? Jakie procedury będą stosowane w celu naprawienia HMI tak szybko jak to możliwe? Jaki proces zastosować aby nie dopuścić do kolejnego zakażenia naprawionego HMI?

Widać, że lista może być bardzo długa, ale wszystkie te pytania (i wiele więcej) są podstawowymi, które muszą być zadawane na każdy możliwy scenariusz zdarzeń. Poprzez stworzenie dobrze przemyślanego modelu zagrożeń, nazwania wszystkich ścieżek w układzie sterowania, wszystkich możliwych skutków wypadków i wszystkich możliwych konsekwencji, systematyczna ocena jest możliwa i opłacalna.

(tł. Pawłowski Jan)
Na podstawie: controlglobal.com