Przemysł w zagrożeniu. Systemy kontroli bezradne?

Przeczytaj także: Kolejna fala cyberataków wycelowanych w przemysł? Co doskwiera ICS?

„Odsłonięcie” komponentów ICS na internet stwarza mnóstwo możliwości, ale rodzi również wiele obaw dotyczących bezpieczeństwa. Z jednej strony systemy połączone z Siecią są elastyczniejsze jeśli chodzi o szybką reakcję na krytyczne sytuacje i instalację aktualizacji. Jednak z drugiej strony ekspansja internetu umożliwia cyberprzestępcom zdalną kontrolę krytycznych komponentów ICS, co może prowadzić do fizycznego uszkodzenia sprzętu, jak również potencjalnego zagrożenia całej infrastruktury krytycznej.

Wyrafinowane ataki na systemy ICS nie są niczym nowym. W 2015 r. zorganizowana grupa hakerów o nazwie BlackEnergy APT zaatakowała firmę energetyczną na Ukrainie. W tym samym roku w Europie miały miejsce dwa inne incydenty, prawdopodobnie związane z cyberatakami: na stalownię w Niemczech oraz na lotnisko im. Fryderyka Chopina w Warszawie.

W przyszłości będzie miało miejsce więcej tego rodzaju incydentów, ponieważ powierzchnia ataków jest duża. 13 698 systemów zlokalizowanych w 104 krajach to zaledwie niewielka część całkowitej liczby rozwiązań z komponentami ICS dostępnymi za pośrednictwem internetu.

Aby pomóc organizacjom, w których działają systemy kontroli przemysłowej, zidentyfikować potencjalne słabe punkty, eksperci z Kaspersky Lab sporządzili raport na temat zagrożeń dla ICS. Analiza opiera się na OSINT (Open Source Intelligence) oraz informacjach uzyskanych z publicznych źródeł, takich jak ICS CERT, a okres badawczy obejmował 2015 rok.

Główne wyniki raportu dot. krajobrazu zagrożeń dla systemów kontroli przemysłowej:

• W 170 krajach zidentyfikowano 188 019 systemów z komponentami ICS dostępnymi za pośrednictwem internetu.
• Większość zdalnie dostępnych systemów z zainstalowanymi komponentami ICS znajduje się w Stanach Zjednoczonych (30,5% — 57 417 systemów) oraz Europie. W Europie na pierwszym miejscu znajdują się Niemcy (13,9% — 26 142 systemy), za którymi plasuje się Hiszpania (5,9% — 11 264 systemy) oraz Francja (5,6% — 10 578 systemów). W Polsce zidentyfikowano 2 265 systemów ICS dostępnych za pośrednictwem internetu.
• 92% (172 982) zdalnie dostępnych systemów ICS posiada luki w zabezpieczeniach. 87% tych rozwiązań zawiera luki średniego ryzyka, a 7% posiada luki krytyczne.
• Liczba luk w zabezpieczeniach komponentów ICS zwiększyła się dziesięciokrotnie w ciągu ostatnich pięciu lat – z 19 luk w 2010 r. do 189 w 2015 r. Komponenty ICS najbardziej narażone na ataki obejmowały interfejsy człowiek-maszyna (HMI), urządzenia elektryczne oraz systemy SCADA.
• 91,6% (172 338 różnych systemów) wszystkich dostępnych na zewnątrz urządzeń ICS wykorzystuje słabe protokoły połączenia internetowego, co pozwala cyberprzestępcom przeprowadzać rozmaite ataki.

„Nasze badanie pokazuje, że im większa infrastruktura ICS, tym większe prawdopodobieństwo, że zawiera ona poważne luki w zabezpieczeniach. Nie jest to wina żadnego producenta oprogramowania czy sprzętu. Środowisko ICS ze swej natury stanowi mieszankę różnych wzajemnie połączonych komponentów, z których wiele jest połączonych z internetem i kryje problemy dotyczące bezpieczeństwa. Nie ma 100% gwarancji, że określona instalacja ICS nie będzie posiadała w danym czasie co najmniej jednego komponentu podatnego na ataki. Nie oznacza to jednak, że w inteligentnym mieście nie można w żaden sposób zabezpieczyć fabryki, elektrowni, czy nawet wieżowca przed cyberatakami. Zwyczajna świadomość istnienia luk w zabezpieczeniach komponentów wykorzystywanych w danym obiekcie przemysłowym to podstawowy wymóg zarządzania bezpieczeństwem tego obiektu. Taki cel, miedzy innymi, przyświecał naszemu raportowi: uświadomić zainteresowanych odbiorców” – powiedział Andriej Suworow, dyrektor ds. ochrony krytycznej infrastruktury, Kaspersky Lab.

Porady bezpieczeństwa

W celu zapewnienia ochrony środowisku ICS przed potencjalnymi cyberatakami eksperci bezpieczeństwa z Kaspersky Lab zalecają następujące działania:

• Przeprowadzenie audytu bezpieczeństwa. Zaproszenie ekspertów, którzy specjalizują się w zakresie bezpieczeństwa przemysłowego, to prawdopodobnie najszybszy sposób na zidentyfikowanie i wyeliminowanie opisywanych w raporcie luk w zabezpieczeniach.
• Zamówienie zewnętrznej analizy. Dzisiaj bezpieczeństwo IT opiera się na znajomości wektorów potencjalnych ataków. Uzyskanie takiej analizy od ekspertów pomaga przewidzieć przyszłe ataki na infrastrukturę przemysłową firmy.
• Ochrona w obrębie sieci i poza nią. Błędy się zdarzają. W odpowiedniej strategii bezpieczeństwa należy przeznaczyć zasoby na wykrywanie ataków i reagowanie na nie, tak aby można było zablokować atak, zanim dotknie obiektów o znaczeniu krytycznym.
• Zastosowanie zaawansowanych metod ochrony. Do metod takich należą m.in.: scenariusz domyślnej odmowy dla systemów SCADA, regularne sprawdzanie integralności dla kontrolerów, wyspecjalizowane monitorowanie sieci w celu zwiększenia ogólnego bezpieczeństwa firmy oraz zmniejszenia prawdopodobieństwa udanego włamania, nawet jeśli nie da się załatać ani usunąć pewnych z natury podatnych na zagrożenia węzłów.