Technologia operacyjna (OT) zagrożona zwiększoną liczbą cyberataków

18 lipca, 2022

Technologia operacyjna (OT) jest wszędzie, zwłaszcza w coraz bardziej zautomatyzowanych fabrykach. Rozwój Przemysłu 4.0 przyczynia się do wzrostu przepływu danych, którym towarzyszą liczne cyberzagrożenia. Raport firmy Honeywell wskazuje, że 79 proc. z nich może mieć krytyczny wpływ na systemy operacyjne. Skala zagrożenia dla przedsiębiorców rośnie. W badaniu Stormshield dot. cyberbezpieczeństwa przemysłowego z 2021 r. 51 proc. respondentów wskazała, że doświadczyła co najmniej jednego cyberataku na sieć operacyjną, a wg. Barometru Cyberbezpieczeństwa KPMG aż 69 proc. firm w Polsce odnotowało incydent naruszenia bezpieczeństwa.

Zdaniem specjalistów Stormshield wciąż niewystarczająca jest świadomość ryzyka na jakie w obszarze cyberbezagrożeń narażone są zasoby produkcyjne. Podmioty przemysłowe muszą zdać sobie sprawę, że taki atak może potencjalnie zatrzymać produkcję.

Potencjalnie niebezpieczne USB

Cyberbezpieczeństwo w IT towarzyszy nam od pojawienia się Internetu, a świadomość ryzyka związana z sieciami technologii operacyjnych (OT) towarzyszy nam od zaledwie dziesięciu lat. Wpłynęło na to kilka poważnych ataków, jakie miały miejsce od 2010 roku, a które dotknęły zakłady przemysłowe i elementy infrastruktury krytycznej, z których niektóre nie były nawet podłączone do Internetu. Dopiero po tym fakcie ludzie zdali sobie sprawę z zagrożenia systemów przemysłowych. Dojrzałość w tym sektorze znacznie wzrosła, choć wciąż jej poziom nie jest optymalny.

Jakie są najczęstsze wektory ataków na systemy OT?

Jednym z nich są pamięci USB. Jak wynika z badania przeprowadzonego przez Honeywell w 2021 r. 37 proc. zagrożeń zostało zaprojektowanych specjalnie do korzystania z nośników wymiennych.

Rzadszą formą ataków są APT (Advanced Threat Persistence), czyli działania, w których cyberprzestępcy wykorzystują często zaawansowane narzędzia i technologie do przełamania lub ominięcia systemów zabezpieczeń wybranego celu. Badanie KPMG pokazało, że 7 na 10 polskich firm padło w zeszłym roku ofiarą cyberprzestępców, a głównym źródłem zagrożeń były zorganizowane grupy przestępcze. Jednocześnie jak wskazuje raport to właśnie ATP budzą największe obawy firm.

Niezbędny audyt i analiza ryzyka

Ważnym etapem wdrażania rozwiązań w tym obszarze jest identyfikacja obszarów, w których brakuje ochrony oraz określenie zakresu w jakim może to wpłynąć na bezpieczeństwo sieci. Obejmuje on analizę konfiguracji komputerów, sprawdzanie używanych systemów operacyjnych, wyszukiwanie problemów z konfiguracją lub dostępnych plików zawierających hasła oraz zwracanie szczególnej uwagi na stacje robocze z uprawnieniami administratora. Obejmuje on również mapowanie sieci. Całość dopełnia identyfikacja ryzyk, ich krytyczności i prawdopodobieństwa wystąpienia.

Dobre praktyki cyberbezpieczeństwa przemysłowego

Jakie rozwiązania sugerują specjaliści? Jednym z zaleceń Stormshield jest stosowanie kompatybilnych zapór ogniowych – firewalli do kontrolowania przepływów operacyjnych, wraz z umożliwiającą identyfikowanie i blokowanie nietypowych działań ochroną stacji roboczych. Dobrym posunięciem jest wdrożenie prostych mechanizmów, takich jak segmentacji sieci, DMZ (strefy zdemilitaryzowane) dla stref IT/OT. Warto także dokonać analizy przepływu danych między poszczególnymi urządzeniami, aby określić czy ich komunikowanie się ze sobą ma uzasadnienie. Ograniczenie tej komunikacji, dodanie firewalli, wprowadzenie nadzoru nad sterownikami PLC i stacjami sieciowymi nie powinno rzutować na tryb pracy zakładu. Może to jednak mieć duże znaczenie z perspektywy zapewniania bezpieczeństwa.