5 mitów na temat bezpieczeństwa infrastruktury krytycznej

Przeczytaj także: Kolejna fala cyberataków wycelowanych w przemysł? Co doskwiera ICS?

Mit 3: Hakerzy nie rozumieją systemów przemysłowych SCADA/DCS/PLC.

Rzeczywistość: Systemy SCADA i rozwiązania służące do sterowania procesami to tematyka poruszana regularnie na konferencji hakerskiej „Blackhat”. Ponadto cyberprzestępczość stała się bardzo lukratywnym zajęciem – szkodliwe programy wykorzystujące luki, dla których nie ma jeszcze poprawek bezpieczeństwa (tzw. expoity zero-day), są sprzedawane zorganizowanym grupom przestępczym nawet za 80 tys. dolarów. Poniższe fakty świadczą o tym, że cyberprzestępcy posiadają motywację i możliwości, by atakować systemy sterowania przemysłowego:

• Cyberprzestępcy mają coraz większe doświadczenie w tworzeniu szkodliwych programów ukierunkowanych na konkretne cele, systemy i aplikacje.
• Gotowe specyfikacje systemów SCADA są w sprzedaży lub są łatwo dostępne online. Stanowią one doskonałą lekturę dla wszystkich zainteresowanych, którzy dzięki nim mogą zrozumieć, jak działają te systemy.
• Wyszukiwarka Shodan ułatwia lokalizowanie niezabezpieczonych urządzeń oraz systemów przemysłowych na całym świecie. Niektóre z tych urządzeń nadal działają z ustawieniami fabrycznymi, posiadając typowe hasła oraz loginy, takie jak „admin" czy „1234".

Mit 4: Nasz obiekt nie stanowi celu.

Rzeczywistość: Przede wszystkim, nigdy nie można mieć pewności, że nie jest się potencjalnym celem ataków. Dodatkowo, warto wziąć pod uwagę dwa następujące fakty.

Po pierwsze, nie trzeba być celem, aby stać się ofiarą – 80% incydentów naruszenia bezpieczeństwa systemów sterowania było niezamierzonych, ale spowodowało szkody. Na przykład celem wspomnianego wcześniej robaka Slammer było unieruchomienie możliwie największej liczby systemów na świecie. Autor tego szkodnika nie wziął na celownik firm z branży energetycznej czy pogotowia ratunkowego, a mimo to organizacje te odczuły skutki ataku.

Po drugie, wiele rozwiązań przemysłowych jest narażonych i podatnych na ataki, ponieważ wykorzystuje niezabezpieczone systemy operacyjne. Szeroko zakrojone badanie przeprowadzone przez Kaspersky Lab z wykorzystaniem danych dostarczonych przez chmurę Kaspersky Security Network (KSN) pokazuje, że coraz więcej komputerów, na których działa oprogramowanie SCADA, trafia na to samo szkodliwe oprogramowaniem, które uderza w systemy biznesowe (IT).

Mit 5: Nasz system bezpieczeństwa zabezpieczy nas przed atakami.

Rzeczywistość: Należy mieć świadomość, że większość dostępnych obecnie systemów bezpieczeństwa przemysłowego zawiera błędy techniczne. Właśnie dlatego Kaspersky Lab pracuje nad stworzeniem bezpiecznego systemu operacyjnego, który od początku został zaprojektowany z myślą o ochronie IT. Główne problemy dotyczące obecnych systemów są następujące:

• Certyfikacja IEC 61508 (SIL) stosowana w systemach przemysłowych nie uwzględnia oceny bezpieczeństwa.
• Współczesne technologie kontroli przemysłowej to oparte na mikroprocesorach programowalne systemy, które są konfigurowane przy pomocy komputerów PC z systemem Windows (często jest to przestarzały Windows XP).
• Powszechnym zjawiskiem jest integrowanie systemów kontroli i bezpieczeństwa przy użyciu sieci ethernet z otwartymi, niezabezpieczonymi protokołami (Modbus TCP, OPC).
• Wiele modułów interfejsu komunikacji systemów przemysłowych wykorzystuje osadzone systemy operacyjne zawierające znane luki w zabezpieczeniach.

A zatem… co można zrobić w tej sytuacji?

Aby zapewnić skuteczną ochronę przed atakami w zorientowanym na procesy, wysoce dostępnym środowisku sterowania przemysłowego, systemy bezpieczeństwa muszą spełnić określone wymagania. O ile podejście oparte na izolowaniu komputerów od sieci zewnętrznej stanowi istotną pierwszą linię obrony, ochronę należy również zapewnić wewnątrz sieci, na najbardziej podatnych na ataki systemach i urządzeniach, które znajdują się na celowniku cyberprzestępców.

„Wraz ze wzrostem częstotliwości i stopnia zaawansowania aktywności cyberprzestępczej, w tym ataków ukierunkowanych oraz zaawansowanych długotrwałych zagrożeń (ang. APT), systemy bezpieczeństwa należy nieustannie badać i poddawać ponownej ocenie” – powiedział Andriej Nikiszin, szef działu odpowiedzialnego za nowe technologie, Kaspersky Lab. „W ten sam sposób należy postępować z wszelkimi innymi przekonaniami i mitami dotyczącymi systemów przemysłowych i infrastruktury krytycznej”.