Bezpieczeństwo w dobie konwergencji

Efektywna ochrona wszystkich elementów infrastruktury krytycznej to konieczność. I nie chodzi jedynie tak jak w przypadku infrastruktury IT o zapewnienie bezpieczeństwa informacji czy systemów. Skutki ataków mogą mieć konsekwencje w postaci realnego zagrożenia dla ludzkiego życia. O sprawdzonych rozwiązaniach technologicznych, praktycznym podejściu na poziomie organizacyjnym i wpływie uwarunkowań prawnych na bezpieczeństwo systemów SCADA, rozwiązań ICS oraz infrastruktury OT dyskutowano podczas konferencji „InfraSEC Forum 2018”.

Jedną z cech współczesnej infrastruktury krytycznej jest coraz większe przenikanie się systemów informatycznych (IT) i automatyki przemysłowej (OT – Operational Technology). Pomimo różnic obszary OT oraz IT systematycznie się do siebie zbliżają. Czy ich konwergencja jest nieuchronna? „Stare, analogowe metody mają ograniczenia i są ostatecznie droższe. Konwergencja przynosi same korzyści: zarządzalność, rozliczalność, elastyczność, skalowalność i mobilność. Zwiększa dostęp do informacji i wiedzy, zapewnia nowe pomysły, podnosi zyski. W telekomunikacji droga przechodzenia ze świata systemów telekomunikacyjnych do świata systemów IT została zakończona. Dzisiaj mamy jeden świat” – mówił Andrzej Karpiński, dyrektor architektury i rozwoju zabezpieczeń teleinformatycznych w Orange.

Czasem uważa się, że realizacja tego celu w telekomunikacji jest łatwiejsza niż w innych sektorach. W rzeczywistości jest jednak tak, że w telekomunikacji procesy te rozpoczęły się znacznie wcześniej niż gdzie indziej. Dzięki temu operatorzy telekomunikacyjni są dzisiaj znacznie bardziej zaawansowani w procesach konwergencji niż pozostali.

Na pytanie o nieuchronność konwergencji nie ma jednak, zdaniem Andrzeja Karpińskiego, jednej, prostej odpowiedzi. Niewątpliwie istnieje wielka presja podążania w tym kierunku. Z jednej strony decydują o tym potrzeby biznesowe, wymagania rynkowe i regulacyjne – konwergencja to doskonały sposób na zwiększanie efektywności. Z drugiej strony potrzeby techniczne – przenikanie się technologii otwiera nowe, niedostępne wcześniej możliwości działania.

Ograniczenia i różnice

„W przypadku zespołu monitorowania OT można sobie łatwo wyobrazić, że jego obowiązki zostają rozszerzone o sprawdzanie, czy systemy w wyższej warstwie są dostępne lub czy nie zostało naruszone ich cyberbezpieczeństwo. Choć pewnie nie udałoby mu się przejąć zadań związanych z zarządzaniem incydentami” – mówił Józef Sulwiński, zastępca dyrektora Pionu Informatyki i Systemów Zarządzania w Gaz-System.

Jego zdaniem, istnieją istotne ograniczenia na drodze do pełnej integracji zadań. Ludzie od IT i OT mają podobne wykształcenie, podobne zainteresowania, co sprawia, że nie istnieją problemy komunikacyjne. Obie strony mogą się też od siebie uczyć. „Nie można jednak wysłać w teren informatyka z prostego powodu: nie posiada odpowiednich uprawnień. Główną barierę stanowią regulacje. Wydaje się, że w obszarze dozoru będzie to bariera nie do pokonania. Przez to konwergencja będzie miała w pewnym sensie wymiar czysto teoretyczny” – zwracał uwagę Józef Sulwiński.

Ludzie od IT i OT mają podobne wykształcenie, podobne zainteresowania, co sprawia, że nie istnieją problemy komunikacyjne między nimi. Nie można jednak wysłać w teren informatyka, gdyż nie posiada odpowiednich uprawnień. W obszarze dozoru bariera regulacyjna wydaje się być nie do pokonania. Przez to konwergencja może mieć wymiar czysto teoretyczny.

Inna, istotna różnica dotyczy standardów i relacji z dostawcami technologii. W świecie IT unika się trwałych powiązań, dba się o otwarte standardy. W OT mamy do czynienia z inwestycjami, które amortyzują się w ciągu 25 lat. Przez ten czas dostawca rozwiązania ma nad nim pełną kontrolę. Pewnych zmian można spodziewać się w związku z popularyzacją internetu rzeczy. Trudno jednak obecnie przewidzieć, jak zostaną ostatecznie rozwiązane kwestie odpowiedzialności w przypadku awarii.

Istotna różnica między IT i OT dotyczy standardów i relacji z dostawcami technologii. W świecie IT unika się trwałych powiązań, dba się o otwarte standardy. W OT mamy do czynienia z inwestycjami, które amortyzują się w ciągu 25 lat. Przez ten czas dostawca rozwiązania ma nad nim pełną kontrolę.

 

Z IT do OT

Konwergencja znajduje już odzwierciedlenie w ofercie dostawców technologii. W ostatnich latach pojawiło się wiele nowych rozwiązań bezpieczeństwa dla przemysłowych systemów sterowania i monitorowania. O oferowanych przez nie możliwościach, kluczowych różnicach oraz aspektach, na które należy zwrócić uwagę, wybierając takie rozwiązanie, mówił Leszek Mróz, OT/IoT Security Manager w EY. W jego ocenie „poważne incydenty zwiększyły świadomość użytkowników. Pojawiło się w związku z tym zapotrzebowanie na nowe narzędzia do zarządzania bezpieczeństwem. W odpowiedzi na rynku pojawiła się masa nowych producentów oferujących rozwiązania opracowane z myślą o automatyce przemysłowej. Trzeba pamiętać, że istnieją pomiędzy nimi zasadnicze różnice”.

Nowe narzędzia mają dużą wartość. Niemniej produkt jednego dostawcy to zazwyczaj za mało, aby zaspokoić wszystkie potrzeby przedsiębiorstwa. Dlatego trzeba dopasować rozwiązanie do posiadanych zasobów, tzn. dobrać je, mając na uwadze producentów urządzeń, których największa liczba jest wykorzystywana w sieci danej firmy.

Dzięki nowym technologiom można na poważnie zaopiekować się bezpieczeństwem automatyki przemysłowej. Do niedawna byliśmy ograniczeni praktycznie do ochrony polegającej na segmentacji sieci i przywracaniu działania. Dzisiaj dostępne są: automatyczne wykrywanie i identyfikowanie aktywów, monitorowanie zmian w konfiguracji, wykrywanie anomalii w ruchu sieciowym oraz głęboka inspekcja pakietów.

„Czy już czas, żeby zainwestować w rozwiązania bezpieczeństwa OT? Tak, to rzeczywiście jest istotna zmiana. Dzięki nowym technologiom można na poważnie zaopiekować się bezpieczeństwem automatyki przemysłowej. Do niedawna byliśmy ograniczeni praktycznie do ochrony polegającej na segmentacji sieci i przywracaniu działania. Co można osiągnąć dzisiaj? Dostępne są cztery podstawowe grupy funkcjonalności: automatyczne wykrywanie i identyfikowanie aktywów, monitorowanie zmian w konfiguracji, wykrywanie anomalii w ruchu sieciowym oraz głęboka inspekcja pakietów” – tłumaczył Leszek Mróz.

Obszarem, w którym rozwiązania ze świata IT sprawdzają się w OT, są projekty PAS (Priviledged Account Security). Jest wiele podobieństw i części wspólnych w projektach tego typu w środowiskach IT oraz OT. Statystyki pokazują, że konta uprzywilejowane wykorzystywane są w przypadku 80% ataków. Przejęcie konta uprzywilejowanego ma kluczowe znaczenie w zaawansowanym ataku. W ten sposób przestępcy przechodzą od ataku zewnętrznego do wewnętrznego.

„Zarówno ataki na IT, jak i OT zaczynają się od infekcji stacji roboczej oraz wykonania rekonesansu w środowisku. Często mówi się, że obydwa środowiska są izolowane, ale praktyka pokazuje, że istnieją połączenia pozwalające na przejście z sieci IT do OT. Dlatego zgodna z najlepszymi praktykami higiena PAS jest uzasadniona w obu przypadkach” – zwracał uwagę Bartosz Kryński, Regional Sales Engineer w CyberArk.

Czy do świata OT może wejść popularna w IT chmura obliczeniowa? Zdaniem Marcina Fronczaka, IT Audit Managera w OGP GAZ-System oraz Prezesa CSA Polska, na obecnym etapie rozwoju wydaje się to mało prawdopodobne. Podkreślając, że to jego osobista opinia, Marcin Fronczak mówił, że „obecnie realne byłoby wykorzystanie jedynie chmury hybrydowej, np. w modelu, w którym przy odpowiednim zabezpieczeniu komunikacji w zewnętrznej chmurze publicznej dokonuje się analizy danych”.

Z punktu widzenia praktyka

O praktycznych aspektach działania w obszarze bezpieczeństwa infrastruktury krytycznej decyduje wiele różnorodnych czynników. W realnym świecie podejmowane działania często odbiegają od najlepszych praktyk i teorii. Często o wielu kluczowych kwestiach decyduje proza życia, a nie obowiązujące standardy.

„Bezpieczeństwo jest przeważnie ostatnie w kolejce do budżetów, projektów, uwagi decydentów. Ta hierarchia gwałtownie się zmienia w przypadku awarii… ale tylko na chwilę. Przy tym kwestie bezpieczeństwa i sytuacji kryzysowych mają swój nietrywialny wymiar psychologiczny i socjologiczny. Często wyzwalają u ludzi typowe reakcje obronne, które sprowadzają się do ‘polowania na czarownice’ albo okopania się na stanowisku: u mnie działa” – tłumaczył Piotr Wieczorek, dyrektor Biura Eksploatacji – Pion IT w Neuca.

Wprowadzenie realnej zmiany w tym obszarze wymaga determinacji i uporu. Osoby odpowiedzialne za bezpieczeństwo muszą konsekwentnie domagać się wytycznych i naciskać na najwyższą kadrę zarządzającą, żeby nie odkładała decyzji. Z drugiej strony warto tworzyć inicjatywy oddolne polegające na testowaniu działań antykryzysowych w formie „zabaw” i „gier wojennych”, a do istniejących procesów i zasobów wbudowywać elementy bezpieczeństwa, które mogą się okazać zbawienne w sytuacji kryzysowej.

Kiedy dojdzie do kryzysu, konieczne jest błyskawiczne ustanowienie łańcucha dowodzenia i odpowiedzialności. Skuteczne działanie wymaga podejmowania decyzji na podstawie zweryfikowanych faktów oraz odrzucenia na bok emocji i animozji. Wszyscy powinni skupić się na ochronie miejsc pracy, klientów, dostawców i pracowników, a nie na zabezpieczeniu podległych bezpośrednio obszarów. Trzeba też zwrócić uwagę na transparentną komunikację do wszystkich zaangażowanych stron. – mówił Piotr Wieczorek.

Dla bezpieczeństwa infrastruktury krytycznej ważne stają się praktyczne aspekty bezpieczeństwa coraz powszechniej wykorzystywanej w Polsce i na świecie technologii AMI (Advanced Metering Infrastructure) do zdalnego pomiaru. Na czym polegają główne różnice pomiędzy siecią tradycyjną a AMI? W pierwszej elementy sterowania przemysłowego (OT) oraz liczniki są odseparowane od siebie. W modelu AMI są one połączone zarówno ze sobą, jak i systemami teleinformatycznymi. To rodzi nowe wyzwania w obszarze bezpieczeństwa.

Kamil Kowalczuk, menedżer w zespole Cyber Security w PwC, przedstawił projekt bezpieczeństwa AMI w pięciu krokach. Opiera się on na wykonywaniu serii czynności z obszaru bezpieczeństwa, takich jak: testy penetracyjne, testy urządzeń, analiza kodu źródłowego w odniesieniu do poszczególnych elementów systemu – liczników, systemów ich kontroli, systemu zarządzania danymi pomiarowymi oraz aplikacji mobilnych, a także stacji SN, koncentratorów i systemów komunikacji WAN. Ostatni element to przegląd procesów wsparcia i zarządzania. Dobrze zaprojektowana architektura bezpieczeństwa, podkreślał Kamil Kowalczuk, umożliwia kompleksowe zarządzanie bezpieczeństwem organizacji, a także efektywne podejmowanie decyzji w obszarze środowiska IT/OT w zgodzie z profilem ryzyka.

Regulacje, legislacje, współpraca – doświadczenia z kraju i zagranicy

Prace nad ustawą o krajowym systemie cyberbezpieczeństwa, stanowiącą implementację dyrektywy NIS, weszły w naszym kraju w ostatnią fazę. „Wkrótce ustawa trafi do Parlamentu. Trzeba jednak pamiętać, że to jedynie pierwszy krok do stworzenia systemu. Ustawa nie rozwiąże wszystkiego. Głównym jej celem jest stworzenie skutecznych mechanizmów podnoszenia bezpieczeństwa na wyższy poziom. Z chwilą jej wejścia w życie rozpocznie się proces wprowadzania zmian i doskonalenia systemu. Wymaga to zaangażowania sektorów krytycznych” – mówił podczas „Infrasec Forum 2018” Krzysztof Silicki, podsekretarz stanu w Ministerstwie Cyfryzacji.

Proponowane rozwiązania zostały oparte na istniejących, sprawdzonych mechanizmach. Przykładowo, od dawna CERT-y współpracują ze sobą, ale dotychczas nie było ram prawnych i organizacyjnych tworzących jeden system, określających obowiązki CERT-ów i operatorów kluczowych usług, czy też opisujących świadczone usługi.

Ustawa tworzy pewne minimum obligatoryjne, ale kluczowe znaczenie będą miały inicjatywy sektorowe. W niektórych sektorach podejmowane są już związane z tym działania. Nie można jednak tego nakazać wszystkim. Każdy sektor może powołać swój zespół reagowania. To pożądane rozwiązanie, bo taki zespół będzie bliżej specyfiki branży. Nie sposób powołać takiego zespołu na poziomie krajowym, który znałby jednakowo dobrze specyfikę zarówno bankowości, jak i telekomunikacji czy energetyki i innych sektorów.

Kluczowym wyzwaniem związanym z tworzeniem ustawy jest uzgodnienie i pogodzenie interesów rządu, resortów, operatorów oraz wielu innych podmiotów. Dodatkowym zadaniem jest harmonizacja rozwiązań w skali krajowej i międzynarodowej. Będą m.in. prowadzone prace dotyczące harmonizacji zapisów o obowiązku zgłaszania incydentów w RODO i NIS. Nie zostało to uregulowane na poziomie europejskim. „Nie możemy tworzyć wysp. Nawet jeśli instytucje unijne tego nie wymagają, to musimy nad tym pracować” – tłumaczył Krzysztof Silicki.

Potwierdzała to Magdalena Wrzosek, oficer łącznikowy Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA) oraz ekspert w Dziale Rozwoju Polityk i Standardów w NC Cyber w NASK: „Kwestia harmonizacji pomiędzy różnymi regulacjami na poziomie europejskim stanowi jedno z kluczowych wyzwań. Przykładowo sektor bankowy musi zmierzyć się jednocześnie z NIS, RODO oraz PSD2. Próby rozwiązania tego problemu podejmowane są na poziomie krajowym”.

O skali wyzwań i związanych z nimi problemów świadczy stan prac dotyczących NIS w innych krajach europejskich. W Niemczach prace nad regulacją dotyczącą infrastruktury krytycznej rozpoczęły się w 2015 r.  „Obecnie mamy dobry fundament prawny do wdrażania bezpieczeństwa IT w krytycznych sektorach. Nie udało się jednak rozwiązać wszystkich problemów i zmierzyć ze wszystkimi zagrożeniami. Nie istnieje chociażby gotowa lista zadań do wykonania. Każda firma musi samodzielnie wszystko wypracować i zorganizować. Przy tym przygotowana regulacja nie jest w pełni klarowna, a w niektórych sektorach, np. w szpitalach,  brakuje środków, żeby się dostosować do jej wymogów” – mówił Daniel Jedecke, Managing Consultant w firmie HiSolutions AG.

Jego zdaniem, należy założyć, że nie wszystkie podmioty będą gotowe w maju 2018 r. Wynika to chociażby z faktu, że wiele przedsiębiorstw rozpoczęło przygotowania dopiero przed kilkoma miesiącami. Z drugiej strony urząd odpowiedzialny za kontrolę stanu bezpieczeństwa nie będzie mógł skutecznie poradzić sobie z analizą wszystkich raportów, które zaczną do niego spływać masowo w maju.

Doświadczeniami podzielili się także goście z Israel Electric Corporation – Boaz Landsberger, Deputy Manager of the Cyber Security Department, oraz Moshe Hershko, Business Development Manager. Opowiadali o wyjątkowej skali zagrożeń dla izraelskich dostawców usług z sektora Utilities i możliwościach obrony, w szczególności implementacji zintegrowanych SOC (Security Operation Center) na różnych poziomach organizacji oraz administracji rządowej. Stworzenie wydzielonego SOC dla każdej niezależnej jednostki organizacyjnej umożliwia skuteczne monitorowanie i prezentowanie zwizualizowanych informacji o statusie cyberbezpieczeństwa do kadry zarządzającej na różnych poziomach, w tym również na poziomie najwyższym.