Najnowsze trendy w cyberbezpieczeństwie środowiska przemysłowego

Poniżej tylko dwa wybrane przykłady ataków cybernetycznych z ostatniego czasu. Należy jednak mieć na uwadze, że tylko niewielka część informacji przedostaje się do opinii publicznej, a podmioty infrastruktury krytycznej nie mają obowiązku zgłaszania incydentów bezpieczeństwa - co ma zmienić wchodząca w październiku tego roku dyrektywa Unii Europejskiej NIS2:

• Atak na firmę naftową działająca na Bliskim Wschodzie - w jednym z największych ataków cybernetycznych w historii, wirus Shamoon zniszczył ponad 30,000 komputerów.
• Atak na zakłady chemiczne w Niemczech - Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) w Niemczech zgłosił, że hakerzy uzyskali dostęp do systemów sterowania w jednym z niemieckich zakładów chemicznych. Atak ten doprowadził do zakłóceń w ciągłości działania zakładu.

Kluczowe trendy w cyberbezpieczeństwie

Należy pamiętać, że przemysł chemiczny, podobnie jak inne sektory był, jest i będzie celem ataków ransomware. W jego wyniku złośliwe oprogramowanie blokuje dostęp do systemów komputerowych lub danych (często je szyfrując), a następnie żąda okupu za ich odblokowanie.

Środowisko przemysłowe, w szczególności systemy automatyki przemysłowej (OT), przechodzą znaczną transformację ze względu na postęp technologiczny i ewoluujące zagrożenia cybernetyczne. Ponieważ branże dążą do zwiększenia wydajności operacyjnej i odporności, cyberbezpieczeństwo stało się sprawą najwyższej wagi.

W podejmowanych działaniach należy brać pod uwagę kilka kluczowych zagadnień:

1. Baza danych zarządzania konfiguracją (CMDB ang. Configuration Management Database). Jednym z najbardziej powszechnych problemów w obszarze cyberbezpieczeństwa OT jest brak kompletnej bazy zasobów środowiska OT. Jeśli taki zbiór istnieje w danym podmiocie, najczęściej jest on utrzymywany w arkuszu kalkulacyjnym, jest niekompletny i jest niskiej jakości tzn. posiada nieaktualne dane, sporo informacji brakuje i nie jest utrzymywany z należytą starannością. Z pomocą przychodzi baza CMDB, tylko czym ona jest?

CMDB czyli Baza Danych Zarządzania Konfiguracją to centralne repozytorium, które zawiera informacje o wszystkich istotnych komponentach infrastruktury informatycznej w organizacji. Te komponenty, często nazywane elementami konfiguracji (ang. Configuration Items, CI), mogą obejmować serwery, urządzenia sieciowe, aplikacje, usługi, pamięć masową i w zasadzie każdy element, który jest ważny dla zarządzania i dostarczania usług IT.

OT CMDB służy podobnemu celowi, ale jest dostosowany do specyficznych potrzeb przemysłowych systemów sterowania tzn. uwzględnia specyficzne dla OT rozwiązania takie jak sterowniki PLC, panele HMI, sterowniki systemów DCS itd.

W obliczu incydentów związanych z cyberbezpieczeństwem OT CMDB zapewni szybki wgląd w zasoby, których dotyczy problem i ich współzależności, ułatwiając szybkie, świadome i efektywne reagowanie na incydenty. Organizacje mogą wykorzystać OT CMDB do wykazania zgodności z regulacjami, oferując przejrzystą i możliwą do skontrolowania ścieżkę konfiguracji zasobów i zmian historycznych. Dzięki szczegółowej inwentaryzacji zasobów, CMDB umożliwia bardziej precyzyjną ocenę ryzyka, pozwalając organizacjom lepiej zrozumieć ryzyko i zagrożenia, a w efekcie sprawniejszą ich mitygację.

2. Zero Trust. Podejście do bezpieczeństwa sieciowego, które zakłada, że żadne urządzenie ani użytkownik nie powinny być domyślnie uznawane za zaufane. W przeciwieństwie do starszych modeli bezpieczeństwa, które stosowały zasadę "zaufaj, ale weryfikuj" i skupiały się na ochronie granic sieci, Zero Trust wymaga ciągłej weryfikacji tożsamości i uprawnień, a także kontekstu dostępu dla każdego, kto próbuje dostać się do zasobów sieciowych. Podstawowe zasady modelu Zero Trust obejmują:

• Nigdy nie ufaj, zawsze weryfikuj: Każda próba dostępu do systemu musi być weryfikowana, niezależnie od pochodzenia. Nie ma automatycznego zaufania dla żadnego użytkownika czy systemu.
• Minimalne uprawnienia: Użytkownikom i systemom przyznaje się tylko te uprawnienia, które są absolutnie niezbędne do wykonania ich zadań (zasada najmniejszych uprawnień).
• Mikrosegmentacja: Sieć jest podzielona na mniejsze, izolowane segmenty, co ogranicza możliwość przemieszczania się atakującego wewnątrz sieci i dostępu do wrażliwych zasobów.
• Wieloskładnikowe uwierzytelnienie (ang. Multi-Factor Authentication MFA): Wymagane jest użycie więcej niż jednej metody uwierzytelniania, aby zwiększyć bezpieczeństwo dostępu do zasobów.
• Monitorowanie i analiza zachowań: Ciągłe monitorowanie sieci i analiza zachowań użytkowników oraz maszyn w celu wykrywania podejrzanych działań i potencjalnych zagrożeń.
• Automatyzacja: Wykorzystanie automatyzacji do szybkiego reagowania na zagrożenia i zdarzenia bezpieczeństwa oraz harmonizacji działań bezpieczeństwa w celu zwiększenia skuteczności i efektywności.

Model Zero Trust jest szczególnie istotny w obecnych czasach, gdzie pracownicy coraz częściej pracują zdalnie, a aplikacje są umieszczane w chmurze (również te ze środowiska OT), co sprawia, że tradycyjne granice sieciowe stają się coraz mniej wyraźne. Zero Trust pomaga organizacjom chronić swoje zasoby w obliczu rosnącej liczby zaawansowanych zagrożeń i ataków cybernetycznych.

3. Powołanie OT SOC (ang. Security Operations Center), to specjalistyczny zespół bezpieczeństwa skoncentrowany na monitorowaniu, analizie i ochronie infrastruktury OT przed zagrożeniami cybernetycznymi. OT SOC różni się od tradycyjnego SOC, który skupia się głównie na technologiach informacyjnych (IT), takich jak sieci komputerowe, serwery i bazy danych. OT SOC koncentruje się na specyficznych potrzebach i wyzwaniach związanych z ochroną przemysłowych systemów sterowania. Główne funkcje OT SOC obejmują:

• Monitorowanie systemów OT w celu wykrywania nieautoryzowanego dostępu, nieprawidłowych działań i potencjalnych zagrożeń.
• Odpowiedź na incydenty: Szybkie reagowanie na zidentyfikowane zagrożenia i incydenty bezpieczeństwa, aby zminimalizować ich wpływ na procesy przemysłowe.
• Analiza zagrożeń: Badanie i ocena zagrożeń specyficznych dla środowiska OT, w tym analiza trendów i taktyk stosowanych przez potencjalnych napastników.
• Zarządzanie łatami bezpieczeństwa i aktualizacjami: Nadzór nad procesem aktualizacji oprogramowania i łatania luk bezpieczeństwa w systemach OT.
• Szkolenie i świadomość: Prowadzenie szkoleń dla personelu operacyjnego w zakresie najlepszych praktyk bezpieczeństwa i podnoszenie świadomości na temat potencjalnych zagrożeń.

OT SOC musi również uwzględniać unikalne wyzwania związane z technologią operacyjną, takie jak konieczność utrzymania ciągłości produkcji i unikania przestojów, które mogą być kosztowne i wpływać na bezpieczeństwo. Dlatego też, podejście do bezpieczeństwa w OT SOC często wymaga ścisłej współpracy między zespołami IT i Produkcją, aby zapewnić odpowiednią ochronę, która nie zakłóca ciągłości procesów przemysłowych.

4. Sztuczna inteligencja (AI) rewolucjonizuje krajobraz cyberbezpieczeństwa technologii operacyjnej (OT) w środowiskach przemysłowych. Integracja sztucznej inteligencji z cyberbezpieczeństwem OT to nie tylko trend - to zmiana paradygmatu, która obiecuje usprawnienie procesu wykrywania, analizy i reagowania na potencjalne zagrożenia. Zdolność sztucznej inteligencji do przetwarzania i uczenia się na podstawie dużych ilości danych w czasie rzeczywistym umożliwia jej identyfikowanie złożonych wzorców i anomalii, które byłyby niemożliwe do dostrzeżenia przez operatorów. To proaktywne podejście do bezpieczeństwa jest szczególnie ważne w środowisku przemysłowym, gdzie stawką jest nie tylko integralność danych, ale także bezpieczeństwo fizyczne i ciągłość operacyjna.

Znaczenie cyberbezpieczeństwa dla branży przemysłowej

Współczesne trendy w cyberbezpieczeństwie OT (Operational Technology) mają kluczowe znaczenie dla podnoszenia poziomu ochrony infrastruktury krytycznej, w tym sektora chemicznego. Bazy danych zarządzania konfiguracją OT (OT CMDB) znacząco usprawniają procesy reagowania na incydenty, zapewniając szybką identyfikację i zarządzanie zasobami. Model Zero Trust znacznie wzmacnia bezpieczeństwo poprzez rygorystyczną kontrolę dostępu i ciągłe monitorowanie ruchu sieciowego, eliminując założenie domyślnego zaufania. Wyspecjalizowane zespoły bezpieczeństwa OT SOC zapewniają dedykowane monitorowanie i efektywne reagowanie na zagrożenia czuwając nad ciągłością procesów technologicznych. Sztuczna inteligencja (AI) znacząco usprawnia ochronę cybernetyczną OT, umożliwiając zaawansowane wykrywanie i analizę zagrożeń w czasie rzeczywistym. Aby sprostać dynamicznie zmieniającemu się krajobrazowi zagrożeń, organizacje muszą utrzymywać wysoki poziom czujności i elastyczności, nieustannie aktualizując swoje strategie cyberbezpieczeństwa a powyższe trendy z pewnością warto wziąć pod uwagę.

Statki mogą zostać zhackowane

Ostatnie głośne wydarzenia morskie takie jak blokada w 2021 roku Kanału Sueskiego przez kontenerowiec Ever Given lub niedawna katastrofa w Baltimore, gdzie inny kontenerowiec, MV Dali, uderzył w most Francis Scott Key Bridge powodując jego zniszczenie pokazują, że istnieje istotne zagrożenie, które zawsze może się zmaterializować i spowodować ogromne straty finansowe, materialne i ludzkie. 

Niezależni specjaliści, a w szczególności eksperci cyberbezpieczeństwa, obserwują działania Krajowej Rady Bezpieczeństwa Transportu USA (NSTB), której pracownicy badają zdarzenie w Baltimore. NTSB na bieżąco udostępnia zebrane materiały, co pozwala zewnętrznym ekspertom na analizę tego przypadku. Taka otwartość ze strony tej organizacji jest godna podziwu. Obecne analizy wskazują, że biorąc pod uwagę typ statku i jego budowę, wyposażenie, dostępne dane oraz nagrania katastrofa w USA nie była spowodowana cyberatakiem. A czy mogłaby być nim spowodowana w innej sytuacji? Tak, odpowiedź jest tutaj twierdząca i uzasadniona dodatkowymi analizami. Nowoczesne statki, a na nich mostki kapitańskie, coraz bardziej przypominają komputerowe centrum operacyjne wyposażone przede wszystkim w zestaw monitorów i centra danych na ich zapleczu, z wieloma serwerami, urządzeniami nawigacyjnymi i systemami połączonymi. Możliwe, że wiele dużych statków już dzisiaj nie wejdzie samodzielnie do portu lub wąskiego kanału, jeśli awarii ulegnie system, który wektoryzuje ścieżkę kursu i tym samym w dużej mierze wyręcza załogę. Statki mogą więc zostać zhackowane tak samo jak systemy portowe. 

Wyzwania i perspektywy

Pomimo postępu w dziedzinie cyfryzacji i wdrażania rozwiązań cyberbezpieczeństwa sektor morski nadal stoi w obliczu licznych wyzwań. Zmieniające się zagrożenia, a także różnorodność i rozproszenie infrastruktury, utrudniają wdrożenie jednolitych standardów. Dodatkowo, pojawiają się kwestie związane z odpowiedzialnością i jurysdykcją, gdyż sektor ten z natury jest międzynarodowy, a same ataki często są przeprowadzane z innych państw. Mimo to perspektywy są optymistyczne. Organizacje, instytucje i przedsiębiorstwa coraz częściej inwestują w nowoczesne rozwiązania bezpieczeństwa. Widoczne są także inicjatywy podnoszące konieczność zwiększenia poziomu dojrzałości cyberbezpieczeństwa sektora. Dotyczy to nie tylko wdrożenia odpowiednich regulacji lub rekomendacji, ale także zbudowanie odpowiedniej świadomości wśród pracowników i kontraktorów. Informacja dotycząca cyfrowego bezpieczeństwa musi być dostępna i zrozumiała zarówno na pokładzie, jak i na lądzie. Konieczna jest pełna gotowość na zmiany i wdrożenie stałych innowacji. Zagrożenia cybernetyczne są bardzo dynamiczne, a współpraca między organizacjami w zakresie cyberbezpieczeństwa jest ważniejsza niż konkurencja. Ogólne zasady bezpieczeństwa mają bowiem więcej sensu niż dokumentacja, która często jest przestarzała, zwłaszcza gdy część regulacji nie nadąża za pojawiającymi się zagrożeniami.