5 mitów na temat bezpieczeństwa infrastruktury krytycznej

Przeczytaj także: Kolejna fala cyberataków wycelowanych w przemysł? Co doskwiera ICS?

Mit 1: Nasze systemy automatyki przemysłowej nie są połączone z internetem, zatem są bezpieczne.

Rzeczywistość: Typowy system sterowania przemysłowego (ang. ICS) posiada 11 bezpośrednich połączeń z internetem. Jeżeli dana organizacja uważa, że jest wyjątkiem, może być w błędzie. Badanie przeprowadzone w dużej firmie z branży energetycznej ujawniło, że większość menedżerów oddziałów uważała, że systemy kontroli nie są połączone z siecią firmową. Audyt wykazał, że 89% systemów posiadało takie połączenie.

Co więcej, ochrona sieci firmowej była nastawiona jedynie na ogólne procesy biznesowe, bez uwzględniania systemów odpowiedzialnych za funkcje krytyczne. Istniały różne rodzaje połączeń między siecią przedsiębiorstwa a internetem, takie jak intranet, bezpośrednie połączenie z Siecią, połączenie bezprzewodowe oraz za pośrednictwem modemów telefonicznych.

Taka niepełna ochrona może sprawić, że obiekt będzie podatny na ataki. Jako przykład może posłużyć robak Slammer. Szkodnik ten zainfekował niezwykle zróżnicowaną infrastrukturę krytyczną obejmującą pogotowie ratunkowe, kontrolę ruchu oraz bankomaty, osiągając pełną szkodliwą aktywność w ciągu niecałych trzech minut – dzięki internetowi. Jak na ironię, jedynym czynnikiem, który spowolnił go, był brak przepustowości w sieciach, do których przeniknął. Oto kilka przykładów incydentów z udziałem tego szkodnika:

• Komputery odpowiedzialne za kontrolowanie procesów i systemy wyświetlania informacji dotyczących bezpieczeństwa w elektrowni nuklearnej Davis-Besse w Ohio zostały zainfekowane za pośrednictwem połączenia internetowego podwykonawcy, w wyniku czego monitoring bezpieczeństwa był niedostępny przez pięć godzin.
• Rada North American Electric Reliability Council odkryła, że wśród firm z branży energetycznej zaatakowanych przez Slammera znalazł się jeden przypadek infekcji za pośrednictwem połączenia VPN ze zdalnym komputerem. W jaki sposób został zainfekowany ten komputer? Poprzez sieć firmową. Robak rozprzestrzeniał się, blokując ruch wewnątrz sieci odpowiedzialnej za sterowniki przemysłowe SCADA.
• Do Harrisburg Water Systems w Stanach Zjednoczonych robak przedostał się za pośrednictwem zainfekowanego laptopa pracownika. Cyberprzestępca wykorzystał zdalny dostęp pracownika do infiltracji interfejsu systemu SCADA i zainstalowania szkodliwego kodu oraz oprogramowania szpiegującego.

Mit 2: Mamy zaporę sieciową, dlatego jesteśmy zabezpieczeni przed zagrożeniami z zewnątrz.

Rzeczywistość: Zapory sieciowe oferują pewien stopień ochrony, ale z pewnością nie są niemożliwe do przeniknięcia. W badaniu obejmującym 37 zapór sieciowych w firmach z branży finansowej, energetycznej, telekomunikacyjnej, mediów i motoryzacyjnej ustalono, że:

• Niemal 80% systemów zabezpieczeń zezwalało dowolnym usługom na wejście do sieci oraz na niezabezpieczony dostęp do zapory sieciowej i strefy zdemilitaryzowanej.
• Niemal 70% systemów zabezpieczeń zezwalało maszynom spoza sieci na dostęp do zapory sieciowej i zarządzanie nią.