Cyberbezpieczeństwo - jak chronić sieci przemysłowe

Coraz częściej  spotykamy się z informacjami o próbach ataków na sieci przemysłowe. Motywy tych działań mogą być różne – od zamiaru popełnienia przestępstwa, poprzez wywołanie zakłóceń operacyjnych, aż po spowodowanie zagrożenia bezpieczeństwa ludzi i środowiska.

CyberX, firma specjalizująca się w dostarczaniu rozwiązań z zakresu cyberbezpieczeństwa, zrealizowała metodyczną analizę ruchu sieciowego za pomocą autorskich, opatentowanych algorytmów. Badaniem objęte zostało 375 sieci produkcyjnych w zakładach zlokalizowanych na terenie USA, Europy oraz w regionie Azji i Pacyfiku. Prowadzone przez 18 miesięcy badanie objęło wszystkie sektory przemysłu, w tym energetykę, zakłady użyteczności publicznej, sektor farmaceutyczny, paliwowy, przemysł chemiczny oraz zakłady produkcyjne z branży FMCG. 

Eksperci branżowi od lat powtarzają, że sieci przemysłowe są podatne na ataki cyberprzestępców. Brakuje im wielu wbudowanych mechanizmów ochrony, które są oczywiste w sieciach IT, takich jak zautomatyzowane aktualizacje i kilkustopniowe mechanizmy uwierzytelniania.

Analiza zebranych danych pokazuje, że sieci przemysłowe są łatwym celem dla coraz bardziej zdeterminowanych przestępców. Wiele sieci ma wyjście do publicznego Internetu – banalnie prosto jest się do nich dostać przez takie podatności, jak np. nieszyfrowane, proste hasła. Często brakuje podstawowych zabezpieczeń takich jak program antywirusowy, co umożliwia atakującym zrealizowanie rozpoznania w niezauważalny sposób, przed podjęciem próby sabotażu instalacji produkcyjnych, takich jak linie montażowe, zbiorniki mieszające, wielkie piece itp.

Jak zapobiec cyberprzestępczej działalności? Oto najważniejsze wnioski z analizy ryzyka ICS3 i IIoT4: 

• Jedna trzecia zakładów przemysłowych jest podłączona do Internetu – co czyni je dostępnymi dla hakerów i złośliwego oprogramowania (malware) wykorzystującego luki i błędną konfigurację. Obala to mit, że sieci OT nie muszą być monitorowane i nie potrzebują uszczelniania, ponieważ są odizolowane od Internetu za pomocą fizycznej separacji pomiędzy sieciami (przemysłową i biurową). 

• W 3 na 4 zakładów przemysłowych pracują niewspierane systemy operacyjne Windows, takie XP i 2000. Ponieważ firma Microsoft nie dostarcza już aktualizacji zabezpieczeń dla starszych systemów, takie przedsiębiorstwa mogą łatwo zostać narażone na destrukcyjne złośliwe oprogramowanie, np. WannaCry / NotPetya, trojany, takie jak Black Energy i nowe formy oprogramowania ransomware5.

• Niemal 3 na 5 zakładów stosuje nieszyfrowane hasła w postaci zwykłego tekstu zezwalające na dostęp i przemieszczanie się w obrębie sieci OT. Hasła te mogą zostać łatwo przechwycone i odczytane przez intruzów na etapie rozpoznania, a następnie wykorzystane do włamania się do krytycznych urządzeń przemysłowych. • Połowa obiektów przemysłowych nie korzysta z żadnej ochrony antywirusowej, zwiększając tym samym ryzyko cichego zainfekowania złośliwym oprogramowaniem, które przez długi czas może pozostawać w uśpieniu. 

• Prawie połowa ma co najmniej jedno nieznane lub obce urządzenie, a 20% wyposażona jest w bezprzewodowe punkty dostępowe (WAP). Jedno i drugie może zostać wykorzystane przez atakujących jako punkty wejścia. Do bezprzewodowych urządzeń dostępowych często można się dostać dzięki ich niepoprawnej konfiguracji lub za pomocą luki KRACK6. 

• Średnio prawie jedna trzecia urządzeń (28%) w każdym z zakładów jest podatna. CyberX kwalifikuje urządzenie jako „podatne”, gdy jego wynik bezpieczeństwa jest mniejszy niż 70%. Jest on ustalany na podstawie oceny wszystkich odnalezionych luk w zabezpieczeniach urządzenia – takich jak przepełnienie bufora – oraz problemów z konfiguracją, takich jak otwarte porty. 

• 82% obiektów przemysłowych korzysta z protokołów służących do zdalnego połączenia: RDP, VNC i SSH. Gdy sieć OT zostanie naruszona przez hakerów, mogą oni przejąć również zdalne połączenia i zacząć nimi manipulować.

Zalecenia

Aktualizowanie systemów Windows i podatnych urządzeń jest długim i złożonym procesem. Wiele z tych systemów działa 24 godziny na dobę, 7 dni w tygodniu i ma ograniczoną ilość okien serwisowych. Ponadto, wiele starszych systemów Windows obsługuje aplikacje SCADA, które powinny zostać gruntownie przetestowane lub nawet ponownie przepisane po aktualizacji. Poznaj 4 sposoby radzenia sobie ze złożonością procesu zabezpieczania starszych środowisk OT.

Ataki wirusów pokazały, jak łatwo można przeniknąć do sieci OT i zakłócić proces produkcji – powodując setki milionów dolarów strat, z drugiej strony udowodniły, że mogą nie tylko zatrzymać infrastrukturę krytyczną, ale także wpłynąć na życie ludności cywilnej. Jak zapobiec takim sytuacjom? Niniejszy raport (patrz rozdział 6) – opisuje szereg praktycznych kroków, które organizacje mogą podjąć dzisiaj, aby zmniejszyć ryzyko, na jakie narażona jest ich sieć OT. Obejmują one inicjatywy organizacyjne, takie jak szkolenia dla personelu OT podnoszące świadomość bezpieczeństwa i przełamywanie barier między działami IT i OT.

Zapoznaj się z bezpłatnym raportem secjalnym ASTOR i dowiedz jak zabezpieczyć swoją firmę:
 Jak chronić sieci przemysłowe przed cyberatakami?


Źródło: ASTOR