„A więc wojna!” – tak brzmiał komunikat w Polskim Radiu czytany pierwszego dnia światowego konfliktu w 1939 roku i to samo zdanie usłyszeliśmy podczas konferencji InfraSEC w kontekście zagrożenia cyberatakami polskiego przemysłu. Z każdym rokiem liczba zagrożeń i czynnych włamań do systemów rośnie, a pojęcie „wojny cyfrowej” nabiera rzeczywistego i złowieszczego  znaczenia. Bezpieczeństwo przemysłowych systemów sterowania przez lata nie znajdowało się w centrum uwagi. Dopiero wydarzenia ostatnich kilku lat pokazały, że zagrożenia są realne i poważne. To oznacza, że infrastruktura podmiotów kluczowych dla polskiej gospodarki z branży energetyki, paliw i gazu oraz firm przemysłowych także może być celem ataku i musi zostać objęta odpowiednią ochroną. Motywacja i źródła ataków

Motywacja i źródła ataków

Według raportu Mandiant najczęstszymi motywacjami do ataku są: kradzież danych, cyberprzestępczość, haktywizm i uderzenia w infrastrukturę, które były szczególnie odczuwalne w 2015 roku. Wtedy m.in. dokonano ataku na ukraińską sieć energetyczną.
Paweł Pietrzak z FireEye wymienia dwóch najważniejszych aktorów na scenie cyberkryminalnej – państw najbardziej zaangażowanych w zorganizowaną cyberprzestępczość. Pierwszym z nich jest Rosja, której grupy przestępcze finansowane są głównie po to, by osiągać cele polityczne. O tym, że Rosyjscy hakerzy dysponują sporymi możliwościami, świadczy raport z dnia 29 grudnia 2016 roku Departamentu Bezpieczeństwa i FBI mówiący o wpływie drużyn hakerskich na ostatnią elekcję prezydencką w USA. W tym przypadku szczególną rolę odegrały dwie rosyjskie grupy hakerskie Tsar Team/APT28 oraz Temp.Monkey/APT 29. Piszemy o tym, ponieważ te same grupy podejrzewane są o skuteczny atak na ukraińską sieć energetyczną w grudniu 2015 roku. Wówczas to szkodliwe oprogramowanie o nazwie BlackEnergy wykorzystane zostało do przejęcia kontroli nad systemem SCADA.
Drugą znaczącą globalnie „wylęgarnię” drużyn hakerskich stworzyła Korea Północna. Wprawdzie ta część podziemia dopiero się „kształci”, ale już ma na swoim koncie pierwsze sukcesy – ich malware nazywany Dark Seoul spowodował m.in. spore perturbacje w działaniu stacji telewizyjnych sąsiedniej Korei Południowej, przypisuje się im także sukces ataku na Sony Pictures Entertainment w 2014 roku w odpowiedzi na zrealizowany przez tę wytwórnię, szydzący z wodza Korei Północnej film „Wywiad”.

Scenariusz ataku

Jak wygląda typowy atak grupy hakerskiej? Zaczyna się od wstępnej kompromitacji bazującej zwykle na phishingu. Jeden z pracowników otrzymuje e-mail np. z żądaniem zmiany hasła do systemu; wiadomość wygląda zwykle podobnie jak komunikat stworzony przez system. Nieświadomy zagrożenia użytkownik wprowadza swoje dane do logowania niekoniecznie do systemu przemysłowego, może to być mniej istotny system. Wprowadzone przez  pracownika dane przez internet trafiają do grupy hakerskiej. Jest także możliwość, że użytkownik bezrefleksyjnie zgodzi się na instalację drobnego fragmentu oprogramowania instalowanego na jego sprzęcie – np. dodatku do przeglądarki czy aplikacji na telefon – którego celem będzie późniejsze szpiegowanie. Dzięki instalacji takiego programu możliwe jest przechwytywanie loginów i haseł do systemów, którymi posługuje się zhakowany użytkownik. Drugim etapem jest stabilizacja (Establish Foothold) i poszerzanie zakresu posiadanych informacji o atakowanym celu – sieci przedsiębiorstwa i działających w nim aplikacji. Następnie mamy do czynienia ze zdobywaniem nowych uprawnień przez atakującego oraz wyszukiwaniem nowych celów ataku. W kolejnym etapie następują już właściwe działania kończące się destrukcyjnymi operacjami na sieci i infrastrukturze albo kradzieżą danych.

Dlaczego ataki się udają?

O tym, jak skuteczni są hakerzy, świadczą statystyki przedstawione przez Izabelę Lewandowską-Wiśniewską, koordynatora, starszego inżyniera ryzyka w PZU Lab. Według danych PZU średnio na każdą firmę w Polsce przypadało aż 126 cyberataków. W stosunku do zeszłego roku liczba ataków na świecie wzrosła o 38%, a średni czas uzyskania nieautoryzowanego dostępu do systemów i danych wyniósł 4 godziny.

Często słabym ogniwem obrony przeciwko hakerom są pracownicy. Zwykle przedsiębiorstwa przemysłowe koncentrują sie na typowych aspektach obrony zapewniającej bezpieczeństwo sterowników PAC/PLC/RTU, urządzeń HMI, sieci sterowania i bezpieczeństwo stacji operatorskich.

Filip Kupiński i Artur Józefiak z Accenture stwierdzają, że klasyczne mechanizmy wyszukiwania informacji o atakach przestają działać i aby skutecznie wykrywać naruszenia bezpieczeństwa we wczesnych fazach, konieczne jest wdrożenie narzędzi pracujących na dużych wolumenach danych – Big Data. Problemem jest to, że coraz bardziej brakuje na rynku specjalistów, którzy mogliby takie narzędzia przygotowywać i na bieżąco dostosowywać do potrzeb. Szacuje się, że już wkrótce na rynku będzie brakowało tysięcy ekspertów, bo potrzeby gwałtownie rosną. Zagraniczne firmy widzą, że polską specjalnością jest cyberbezpieczeństwo i skutecznie drenują nasz rynek pracy z ekspertów. Rozwiązaniem może być tworzenie współdzielonych Security Operations Center, które będą zapleczem kompetencyjnym dla większej grupy spółek, np. posiadających tego samego właściciela. Wprawdzie stworzenie takiego centrum wymaga dużego wysiłku organizacyjnego, jednak już w krótkim czasie widać wymierne korzyści.

Jak się bronić?

„Czym innym jest intencja współpracy, a czym innym operacyjna współpraca SOC-ów. Ma to szczególne znaczenie przy wyborze dostawcy technologii, którego obdarzymy zaufaniem. Wejście w usługi cyfrowe jest dla konsumenta ściśle związane z ufnością w kompetencje dostawcy” – mówi Artur Józefiak, dyrektor Zespołu Bezpieczeństwa, Accenture.

Przykładem działającego centrum kompetencyjnego jest CERT stworzony przez Energa. W ramach kompetencji CERT świadczonych jest 12 podstawowych usług zarówno prewencyjnych, także reakcyjnych na wypadek ataku, jak i usług zarządzania jakością i bezpieczeństwem danych. „Bezpieczeństwo musi być zapewnione na trzech płaszczyznach: strategicznej dotyczącej regulacji wewnętrznych i zewnętrznych, operacyjnej służącej do koordynacji działań oraz technicznej na poziomie Security Operation Center. Jednym z najważniejszych elementów spójności procesów jest zaufanie współpracujących ze sobą ludzi” – mówi Bogusław Kowalski, Head of CERT ENERGA.

Inny przykład udanego wdrożenia procedur i systemów bezpieczeństwa zaprezentował ekspert IT Security firmy Bosch podczas sesji „Organizacja” konferencji InfraSEC Heinz-Uwe GernhardIT Manufacturing Coordination. Bosch stawia na ścisłe przestrzeganie reguł, norm i standardów bezpieczeństwa w organizacji. Właściwa ich implementacja na poziomie organizacyjnym i technicznym sprawia, że minimalizowane są ryzyka wystąpienia incydentów bezpieczeństwa. Wiadomo także, jak rozwiązać już zaistniałe problemy.

Jakie jest podejście państwa do problemu?

W Rządowym Centrum Bezpieczeństwa tworzone są standardy dotyczące ochrony przed atakami. Dotychczas Centrum wydało cztery poradniki na ten temat. Praca nad standardami trwa i nie ogranicza się do przetłumaczenia pozycji zagranicznych. Standardy te muszą być skorelowane z innymi narzędziami, takimi jak audyty czy kontrole.

„Standard przeznaczony jest przede wszystkim dla kadry zarządzającej przedsiębiorstw z sektora,  osób odpowiedzialnych za prawidłowe funkcjonowanie automatyki przemysłowej  oraz pracowników odpowiedzialnych za bezpieczeństwo w obiektach infrastruktury krytycznej. Aby zapewnić zrozumienie i przychylność tych osób, nie możemy po prostu przetłumaczyć norm obowiązujących w innych krajach, bo tworzone one były w innych warunkach prawnych i organizacyjnych” – tłumaczy Maciej Pyznar, szef wydziału w Rządowym Centrum Bezpieczeństwa.

Warto wspomnieć o konsekwencjach zaniedbań w obszarze ochrony przedsiębiorstw przed atakami z zewnątrz. Mówił o tym mec. Maciej Gawroński, partner w Kancelarii Prawnej Maruta Wachta. Mecenas zwrócił uwagę na gąszcz norm opisujących zjawisko cyberprzestępczości i brak jednolitego podejścia prawnego do tego zagadnienia. „W sprawie naszej właściwej reakcji na zagrożenie cyberatakiem głos ostateczny będzie miał prokurator, który oceni, czy postępowanie to cechowało się wystarczającą starannością” – zauważył mec. Maciej Gawroński.

Automatyka pod specjalnym nadzorem

Według ICS-CERT USA w 2009 roku zanotowano dziewięć incydentów związanych z bezpieczeństwem systemów automatyki przemysłowej. Jednak już w 2015 roku było ich aż 295. Nie ma jeszcze danych za rok ubiegły, ale wyraźnie widać niepokojącą tendencję. Systemy ICS (Industrial Control System), do których zaliczane są systemy SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control Systems) czy BPCS (Basic Process Control Systems) są atakowane praktycznie każdego dnia. Ich szczególnie wrażliwe części składowe – elementy PLC i RTU, czujniki i transmitery, elementy wykonawcze – znajdują się na celowniku nastawionych na zyski przestępców, sfrustrowanych pracowników albo wrogich państw, pośród których wymienia się głównie Rosję, Chiny i Koreę Północną. Konsekwencje udanego ataku mogą polegać nie tylko na stratach finansowych, ale także stanowić zagrożenie dla ludzkiego życia.

O konsekwencjach ataków na ukraińskie sieci energetyczne w 2015 i 2016 roku oraz działaniach zapobiegawczych podejmowanych przez Ukrainę opowiadał Oleksandr Sukhodolia, jeden z gości specjalnych InfraSEC 2017, szef departamentu odpowiedzialnego za bezpieczeństwo energetyczne w ukraińskim Narodowym Instytucie Studiów Strategicznych. „Ataki na infrastrukturę krytyczną stanowią potężny instrument nacisku politycznego. Choć spowodowane straty nie były duże, to jednak stanowiły one poważny problem. Przywracanie działania systemu w niektórych regionach było długotrwałe” – mówił Oleksandr Sukhodolia.

„Ukraińska lekcja” pokazuje, że incydenty tego typu nie stanowią jedynie potencjalnego zagrożenia. Są realne i trzeba się na nie przygotowywać. Oleksandr Sukhodolia podkreślał znaczenie ciągłego szkolenia personelu w tym zakresie. Zwracał przy tym uwagę, że można na te ataki spojrzeć jako na zbieranie doświadczeń potrzebnych do przygotowania większego, bardziej groźnego w skutkach ataku w przyszłości.

Twarda strefa

Jednym z głównych źródeł problemów jest konwergencja sieci automatyki przemysłowej i sieci teleinformatycznych. Obecnie są one ze sobą połączone, wykorzystują te same protokoły komunikacyjne, te same systemy operacyjne, taki sam sprzęt. „Dlatego do ataków dochodzi w klasyczny sposób – zwykle źródłem jest phishing lub niezadowolony użytkownik. Polegają one najczęściej nie na wykorzystaniu podatności, ale na przejmowaniu uprawnień. Przez to, że większość ataków wykorzystuje czynnik ludzki, celowane jest miejsce, w którym człowiek styka się z komputerem, sprawne systemy bezpieczeństwa czy 2-stopniowe uwierzytelnianie na niewiele mogą się przydać” – opowiadali Grzegorz Bojar, dyrektor Departamentu Teleinformatyki oraz Jeremi Gryka, zastępca dyrektora Departamentu Teleinformatyki w firmie Polskie Sieci Elektroenergetyczne SA.

Przedstawiciele PSE przedstawili przy tym historię udanych ataków cyfrowych na systemy technologiczne: pierwszy z nich, eksplozja rurociągu gazowego na Syberii, nastąpił w 1992 roku; w ciągu ostatnich miesięcy uwagę najbardziej zwracały ataki na Ukrainie. „Sektor energetyczny jest bardzo atrakcyjny dla przestępców. Dlatego ataków w tym obszarze będzie coraz więcej. Jak zatem się bronić?” – pytał Grzegorz Bojar. I od razu odpowiadał: „Istotną rolę odgrywają standardy i dobre praktyki oraz segmentacja sieci, zwłaszcza rozdzielenie IT od OT. Ważna jest również ochrona stacji roboczych i styku z internetem. Ochrona perymetryczna nadal się sprawdza, pod warunkiem że jest dostatecznie twardo stosowana”.

Bezpieczne komponenty, bezpieczne systemy

Dr. Joern Eichler, szef departamentu Secure Software Engineering we Fraunhofer Institute AISEC (Applied and Integrated Security), zwracał uwagę na konieczność współdziałania dostawców i operatorów systemów na rzecz cyberbezpieczeństwa systemów ICS. Podkreślał przy tym, że informacje zwrotne od użytkowników są niezwykle istotne dla dostawców już na wczesnych etapach projektowania bezpiecznych komponentów. Fraunhofer Institute to największa organizacja w Europie koncentrująca się na praktycznych zastosowaniach badań naukowych. Działający w jej ramach AISEC koncentruje się na wypracowywaniu technologii bezpieczeństwa, a także powiązanych metod i narzędzi.

Fraunhofer AISEC promuje koncepcję wbudowanego, domyślnego bezpieczeństwa systemów. Opiera się ona na bezpiecznych komponentach. Jak je tworzyć? Kluczowe znaczenie mają model procesu (który opisuje, co, kto, kiedy i po co oraz z jakim rezultatem robił), metoda i narzędzia (opisują kolejne kroki gwarantujące powtarzalne rezultaty i odnoszą się do tego, jak i gdzie robić) oraz miary (pozwalają ocenić, jak dobre jest to, co zrobiliśmy).

„Jakość produktów zależy od dojrzałości, jakości procesu, na które składa się zestaw celów, aktywności do wykonania i kryteriów. Mierzenie jakości procesów pozwala dowiedzieć się, jak dobry, bezpieczny będzie produkt. To istotne, ponieważ certyfikaty potwierdzają zwykle bezpieczeństwo starszych wersji produktów, których raczej nie używają operatorzy” – mówił dr. Joern Eichler. Wynika to z czasu potrzebnego do uzyskania certyfikatu. Oznacza to, że przejście procesu certyfikacji potwierdza raczej dostawca, który poważnie traktuje kwestie bezpieczeństwa, ale nie oznacza, że używany produkt jest w pełni bezpieczny.

Siła współpracy

O znaczeniu współpracy i dostępnych możliwościach opowiadał także Johan Rambi pełniący funkcję Privacy & Security advisora GRC w Alliander, holenderskiej firmie będącej operatorem sieci przesyłowych gazu i energii elektrycznej. Organizacja jest jednym ze współtwórców EE-ISAC, europejskiego forum wymiany informacji dotyczących bezpieczeństwa w sektorze utilities. Powołując się słowa Petera Molengraafa, CEO Alliander, Johan Rambi przekonywał, że międzynarodowa współpraca w gronie zaufanych partnerów to warunek przeciwdziałania atakom.

Zagadnienie współpracy w skali krajowej w obszarze cyberbezpieczeństwa oraz organizacji systemu informacji było również jednym z głównych tematów debaty, w której uczestniczyli przedstawiciele firm z sektora utilities: PGE Systemy, Grupy PGNiG, PSE, a także Ministerstwa Cyfryzacji oraz NASK. Uczestnicy byli zgodni co do konieczności tworzenia formalnych platform współpracy i wymiany informacji obejmujących przedstawicieli poszczególnych sektorów, ale także szerszych, obejmujących różne sektory. Działania zmierzające w tym kierunku prowadzi Ministerstwo Cyfryzacji m.in. przy okazji budowy krajowego systemu cyberbezpieczeństwa, a także PSE w ramach PTPiREE. Na efekty trzeba jeszcze będzie poczekać i do tego czasu wykorzystywać nieformalne fora i osobiste relacje pomiędzy osobami odpowiedzialnymi za obszar cyberbezpieczeństwa w poszczególnych firmach.

PERN stawia na Blockchain

PERN to kluczowy element rynku paliwowego w Polsce. Firma z siedzibą w Płocku jest operatorem rurociągów przemysłowych odpowiadających w praktyce za 100% dostaw ropy naftowej do Polski, a jej spółka zależna OLPP posiada 19 baz magazynowych paliw rozlokowanych na terenie całego kraju. Ze względu na rozbudowaną infrastrukturę, dużą ilość systemów automatyki przemysłowej oraz urządzeń, zagrożenia i wyzwania związane z bezpieczeństwem stanowią dla firmy biznesowy priorytet.

We współpracy z konsultantami EY, PERN poszukuje innowacyjnych rozwiązań technicznych dla tych problemów. W centrum zainteresowania znajduje się technologia blockchain znana przede wszystkim jako fundament technologiczny dla kryptowaluty bitcoin. Mechanizmy konsensusu oraz niezaprzeczalnej rejestracji w formie łańcucha bloków stwarzają możliwości podniesienia poziomu bezpieczeństwa m.in. w dwóch kluczowych dla PERN obszarach: ochrony urządzeń automatyki przemysłowej za pośrednictwem systemu zdalnego sterowania infrastrukturą IIoT (industrial Internet of Things) oraz rejestracji wszystkich operacji paliwowych na potrzeby akcyzy przy wykorzystaniu rejestrów powiązanych zdarzeń izalgorytmizowanych kontraktów blockchain.

Na razie powstała ogólna mapa drogowa wykorzystania technologii łańcucha bloków w PERN. Przedstawiciele firmy mają świadomość istniejących wyzwań związanych z brakiem standardów czy faktu, że znaczna część wykorzystywanej automatyki przemysłowej nie będzie współpracować z nowoczesnymi systemami, niemniej potencjalne korzyści są warte wysiłku koniecznego do ich przezwyciężenia. Przedstawiciele PERN i EY zapowiedzieli, że za rok, podczas kolejnej edycji InfraSEC Forum, opowiedzą o postępie prac i podzielą się wnioskami z dotychczasowych działań.