GAZETA BANKOWA: Wirus w fabryce

Informacje

Wzrasta liczba cyberataków na sieci przemysłowe. Zagrożone są linie produkcyjne, zwłaszcza te obsługiwane przez roboty. Nie zawsze chodzi o okup i kradzież własności intelektualnej. Celem ataku jest szpiegostwo przemysłowe, a czasem brutalny sabotaż – alarmuje Lech Piesik w „Gazecie Bankowej”

Codziennie wykrywanych jest 50 tys. włamań do wewnętrznych sieci przemysłowych. A ile nie jest wykrywanych, jaka jest tu ciemna liczba? O tym statystyki nie mówią dlatego, że ofiary nie przyznają się nawet do tego, że cokolwiek straciły. Wrażliwość wewnętrznych sieci, również sterujących procesami produkcyjnymi, wzrasta wraz z konwergencją technologii informacyjnych i operacyjnych. O tym trzeba pamiętać, budując infrastrukturę informatyczną firmy.

Większość korporacji przemysłowych uważa, że jest dobrze przygotowana na cyberataki, jednak Kaspersky Lab twierdzi na podstawie swoich badań, że ta pewność siebie jest nieuzasadniona zważywszy na to, że usunięcie skutków przeciętnego incydentu kosztuje ok. ćwierć miliona dolarów. Trend przechodzenia przemysłu na model 4.0 powoduje, że cyberbezpieczeństwo ma coraz większe znaczenie dla systemów sterowania (ICS). Badanie przeprowadzone na początku tego roku (luty-kwiecień 2017) wykazało na przykład, że 83 proc. respondentów (spośród 359 praktyków w dziedzinie bezpieczeństwa na świecie) uważało, że są dobrze przygotowani, a jednocześnie połowa z tych firm przyznała, że w ostatnim roku padła ofiarą od jednego do pięciu takich incydentów. (…)

Narzędzia przestępców

Narzędzia, jakimi posługują się przestępcy nie muszą być wyrafinowane. Zwykle jest to mieszanina standardowych narzędzi i technik, czyli phishing, exploity na znane podatności w oprogramowaniu i bardziej zaawansowane skrypty. Cała sztuka polega na zdobyciu „przyczółków” w atakowanym systemie. Prawdziwie szkodliwe działanie rozpoczyna się później, kiedy już dostęp do systemu sterowania jest otwarty. Ta faza ataku jest bardziej skomplikowana i wymaga wiedzy eksperckiej, co najmniej na poziomie odpowiadającym twórcy atakowanego oprogramowania, dlatego, że np. wprowadzenie do kodu sterowania cyfrowej obrabiarki fragmentu kodu zmieniającego parametry obróbki wymaga wiedzy nie tylko z zakresu informatyki, ale również procesu w technologii, którą steruje komputer.

Zdaniem specjalistów F-Secure praktycznie we wszystkich atakach, zarówno na systemy ICS jak i na środowiska informatyczne przedsiębiorstw stosuje się ukierunkowany phishing (spearphishing). Bierze się to z tego, że hakerzy dobrze wiedzą, że mimo komputeryzacji i robotyzacji ostatnią instancją decyzyjną pozostaje człowiek. Dlatego ciągle doskonalą socjotechnikę swoich ataków, zmieniając ją tak, aby przechytrzyć pracowników nadzoru i kontroli. Zwykle więc wysyłają sfałszowane e-maile, podszywając się pod znane pracownikowi osoby lub instytucje, a następnie próbują wyłudzić potrzebne im dane (informacje, hasła itp.). Na tego rodzaju ataki przeprowadza się też testy. Na przykład F-Secure w symulowanym ataku wysłało sfałszowany e-mail udający wiadomość z serwisu LinkedIn z prośbą o kliknięcie w podany link. Wynik był zatrważający – 52 proc. adresatów kliknęło w „zatruty” link…

Firmy zdają sobie sprawę z zagrożeń. W sektorze przemysłowym świadomość ryzyka ataku jest duża (74 proc.). Prawdopodobnie stąd też aż 86 proc. firm ma zatwierdzoną i udokumentowaną politykę cyberbezpieczeństwa, która ma zabezpieczać je przed potencjalnymi incydentami. Jednak sama świadomość i polityka (nawet udokumentowana) to za mało. Przemysł przyznaje, że najbardziej obawiają się braku umiejętności odparcia ataku. Menedżerowie podkreślają też, że o ile przed atakami z zewnątrz są dobrze zabezpieczeni, to problem stanowią zagrożenia wewnętrzne. Najsłabszym ogniwem pozostaje człowiek. Personel jest źródłem zagrożenia nieświadomego, w ostatecznym rachunku bardziej niebezpiecznego. Być może dlatego firmy rezygnują z izolowania sieci i komputerów od internetu na rzecz rozwiązań wszechstronnego zapewnienia cyberbezpieczeństwa. (…)

Kto za tym stoi?

Zdaniem ekspertów ataki na systemy przemysłowe nie są hakerskimi atakami „dla zabawy”, ponieważ są zbyt kosztowne i skomplikowane. Za takimi operacjami stoją zwykle dobrze opłacane grupy specjalistów, dla których motywem mogą być pieniądze. Scenariusze mogą być różne. Nikt nie jest w stanie przewidzieć dokładnego przebiegu incydentu, dlatego oprócz zastosowania podstawowych środków bezpieczeństwa, należy także zachować ostrożność wynikającą ze świadomości zagrożeń. Tu warto od razu zaznaczyć, że w przypadku zabezpieczeń systemów i sieci przemysłowych coraz częściej korzysta się z metody odwrotnej niż przy zabezpieczeniach sieci informatycznych. Jeszcze lepszy efekt można uzyskać, łącząc obie te metody, to jednak zdecydowanie podnosi koszty. A jeżeli mamy mówić o kosztach bezpieczeństwa, to najpierw musimy określić jego obszar i stopień zabezpieczenia, ale to już jest osobne zagadnienie.

Największym wyzwaniem i kluczowym czynnikiem bezpieczeństwa jest odseparowanie komputerów „biurowych” od maszyn sterujących ICS. Wielowarstwowe podejście jest tu standardową dobrą praktyką, jednak coraz nowsze rozwiązania kuszą elastycznością zarządzania poprzez sieć, a to otwiera furtkę dla hakerów. Dlatego kolejne akty sabotażu lub terroru z wykorzystaniem nowoczesnej technologii są tylko kwestią czasu…

Lech Piesik

Pełną wersję tekstu o cyberbezpieczeństwie przemysłowym oraz więcej informacji o polskiej gospodarce i sektorze finansowym znajdziesz w bieżącym wydaniu „Gazety Bankowej” do kupienia w kioskach i salonach prasowych