Cyberbezpieczeństwo Chronimy Twoje zasoby

Specyfika sieci pracujących w środowiskach przemysłowych wymusza odmienne podejście do zagadnień bezpieczeństwa niż w przypadku zwykłych sieci. Cyberataki na zasoby przemysłowe mogą spowodować bardzo poważne straty, a nawet destabilizację sytuacji i zagrożenie bezpieczeństwa ludzi.

Czytaj więcej

Cyberbezpieczeństwo

Cyberbezpieczeństwo przemysłowych systemów transmisji danych

Artykuł autorstwa Zuzanny Wieczorek- Dyrektora Technicznego, Wiceprezes Zarządu Tekniska Polska Przemysłowe Systemy Transmisji Danych Sp. z o.o.

W całym społeczeństwie oraz w społecznościach branż przemysłowych rośnie świadomość zagrożeń atakami cybernetycznymi. Szczególnie narażone są krytyczne sektory, takie jak infrastruktura energetyczna, wodno-ściekowa, sektor finansowy czy też ochrony zdrowia i ubezpieczeń – ważne również dla bezpieczeństwa państwa.Wzrost tej świadomości ma pokrycie w tworzeniu lub modyfikacji odpowiednich regulacji prawnych, standardów technicznych oraz rozwoju technik zabezpieczeń. Również ryzyko związane z cyberbezpieczeństwem w systemach przemysłowych w końcu zostało dostrzeżone i potraktowane jako poważne. Wpisywane jest już na mapę kluczowych kwestii, istotnych do monitorowania przez zarządy firm.

Informacje związane z cyberbezpieczeństwem powinny trafiać do osób decyzyjnych, przede wszystkim odpowiedzialnych za finanse, informatykę, bezpieczeństwo, prywatność czy utrzymanie ruchu. Ważne są również szybkość i jakość reakcji na potencjalne zagrożenia i opracowanie w tym względzie odpowiedniej polityki. Porażające dane statystyczne mówią aż o kilkudziesięcioprocentowej stopie wzrostu wykrytych incydentów naruszenia bezpieczeństwa w ciągu ostatnich kilku lat! Jednocześnie ze statystyk tych wynika, że wydatki na jego zapewnienie stanowią średnio od 4 do 6% budżetów przeznaczanych na informatykę. Określenie, czy jest to poziom wystarczający, musi być uzależnione od zidentyfikowania zagrożeń i ich potencjalnych konsekwencji biznesowych, politycznych oraz bezpośrednio związanych z bezpieczeństwem i zdrowiem ludzi. Historia dość spektakularnych zdarzeń związanych z kształtowaniem świadomości cyberbezpieczeństwa w sektorze przemysłowym sięga przynajmniej 2007 r., kiedy to przeprowadzono eksperymentalny atak wykorzystujący lukę bezpieczeństwa w systemie SCADA, doprowadzając do autodestrukcji generatora energii. Kolejno następujące potem: kampania Stuxnet, NightDragon, ClearScada, ataki na sterowniki GE, Rockwell Automation, Schneider Electric, Koyo, Siemens, wirus Havex i kampania cyberespionage (cyberszpiegowska) przeprowadzona przez grupę DragonFly, która dotknęła swoim zasięgiem infrastrukturę krytyczną kilkunastu Państw Azji, Ameryki i Europy (w tym także Polskę), aż po najświeższe doniesienia dotyczące dobrze zorganizowanych i przemyślanych ataków finansowanych przez państwa, które mają charakter destrukcyjny lub wyłącznie szpiegowski (i w związku z tym często pozostają niewykrywane) – ukierunkowane były na infrastruktury krytyczne i systemy przemysłowe. W zeszłym roku miało miejsce bezprecedensowe oficjalne oskarżenie wystosowane przez amerykańskie ministerstwo sprawiedliwości (DOJ) w stosunku do chińskich hakerów, oskarżonych o cyberszpiegostwo gospodarcze. Wykryta została również kampania szpiegowska skierowana przeciwko dużym firmom z sektora energetycznego, m.in. polskim, a finansowana prawdopodobnie przez rząd rosyjski.

Zagrożenia dla przemysłu

Infrastruktura przemysłowych systemów sterowania (ICS – ang. Industrial Control Systems) praktycznie na każdym poziomie diametralnie różni się od typowych sieci teleinformatycznych i w związku z tym wymaga odmiennego podejścia do kwestii bezpieczeństwa komunikacji i samych treści danych. Inne są przede wszystkim priorytety w podejściu do zarządzania bezpieczeństwem i ryzykiem. Dla systemów przemysłowych będą to kolejno: dostępność i ciągłość działania, stabilność, integralność, poufność. Systemy przemysłowe są stosunkowo łatwym celem, ponieważ przez wiele lat funkcjonowało przekonanie, że ich względna izolacja oraz nietypowe protokoły komunikacyjne stanowią same w sobie barierę ochronną. W konsekwencji oprogramowanie i sprzęt wykorzystywane do zarządzania oraz monitorowania procesów przemysłowych, poprzez nadzór i sterowanie urządzeniami automatyki mają niski poziom zabezpieczeń. Tworzone są więc specjalne wirusy i oprogramowanie, skierowane do zainfekowania sterowników PLC i zdalnych terminali RTU, radzące sobie bez problemu ze specyfiką protokołów przemysłowych. Ze względu na wymogi biznesowe dotyczące dostępności danych z procesów przemysłowych w trybie rzeczywistym, sieci często nie są w pełni izolowane i mają połączenie z siecią korporacyjną. Zniechęcająco na ambicje wprowadzania zaawansowanych rozwiązań bezpieczeństwa działa również fakt, że bardzo trudne jest opracowanie rozwiązań, które nie będą obniżać wydajności i degradować parametrów jakościowych procesów sterowania automatyką. Stosowane dotąd protokoły były projektowane do użytku lokalnego i nie przewidywano możliwości ich zdalnego serwisowania za pośrednictwem sieci publicznych (rozległych), w związku z czym brak w nich walidacji poprawności komend czy uwierzytelnienia ich źródła. Technologicznie infrastruktura informatyczna była oparta na łączach lokalnych (np. szeregowych) lub sieciach typu SDH/PDH, które mimo swoich wad w porównaniu z sieciami adresowalnymi są znacznie trudniejsze do penetracji i przeprowadzenia ataku. Obecnie, ze względu na zalety technologiczne czy ekonomiczne, powszechne jest stosowanie sieci wykorzystujących protokoły adresowalne (np. Ethernet, IP). Sieci przemysłowe są również podatne na zagrożenia typu zero-day, takie jak np. niedawno opublikowane luki shellshock czy heartbleed. Naturalnym sposobem reagowania na informacje o takich lukach bezpieczeństwa w systemach operacyjnych jest tzw. fast patching, czyli szybka aktualizacja oprogramowania czy systemu operacyjnego urządzeń objętych zagrożeniem. Dla systemów przemysłowych jest to jednak nie dość, że nierealne, to również niepożądane, ponieważ liczy się tu przede wszystkim ich stabilność. Nie można przeprowadzać eksperymentów na żywym organizmie lub definiować nadmiarowych reguł bezpieczeństwa, ryzykując, że będą one odfiltrowywać również prawidłowy ruch danych. Do niedawna brakowało tu w dodatku regulacji prawnych i wytycznych oraz audytów bezpieczeństwa, choć ten stan rzeczy powoli ulega zmianie (np. wprowadzane narzędzia NIST framework v1.0, NERC CIP).

Strategia wielowarstwowa

W dobrym systemie bezpieczeństwa sieci przemysłowej nie może zabraknąć narzędzi do profilowania i monitorowania zachowań, wykrywania włamań, skanowania pod kątem luk, wykrywania złośliwego kodu, korelacji zdarzeń dotyczących bezpieczeństwa. Powiązanie informatycznych systemów korporacyjnych oraz przemysłowych sieci transmisji danych tworzy warstwową strukturę, w której każdy poziom ma inną specyfikę i wymagania, jak również architekturę połączeń „na zewnątrz”. Naturalne jest więc, że najlepszym podejściem staje się wielowymiarowa/wielowarstwowa strategia bezpieczeństwa określana mianem Defence in Depth. Pomysł w swoim założeniu jest prosty i opiera się na zastosowaniu dopasowanych zabezpieczeń na każdym poziomie sieci, począwszy od zabezpieczeń fizycznych obiektów, poprzez zabezpieczenia styku z siecią publiczną, aż po analizę i zabezpieczenie aplikacji przed złośliwym oprogramowaniem. Strategia bezpieczeństwa musi być zdywersyfikowana i uwzględniać:

  • monitoring bezpieczeństwa i zarządzanie zdarzeniami (do analizy ex post),
  • bezpieczeństwo fizyczne,
  • odpowiednią architekturę sieci,
  • zarządzanie dostępem do obiektów oraz powiązanie z prawami dostępu użytkowników do poszczególnych elementów systemu.

Strategia ta realizowana jest przez stosowanie systemów SIEM (Security Information and Event Management), specyfikację modelu dostępu i usług kryptograficznych, stosowanie sond monitorujących dany protokół przemysłowy (analiza historii sterowań), wykrywanie anomalii i działań  nieuprawnionych, stosowanie odpowiednio skonfigurowanych, rozproszonych tzw. ścian ogniowych (firewall)

i systemów wykrywania/zapobiegania włamaniom. Dodatkowo pożądane jest wprowadzenie możliwości uwierzytelniania poleceń, autoryzacji dostępu (APA – ang. Aplication Proxy Authentication), archiwizacji i analizy logów. Jednym ze sposobów jest zastosowanie rozproszonych, specjalnie opracowanych pod tym kątem „ścian ogniowych”, tzw. micro-firewall. Dzięki temu każde z krytycznych dla systemu urządzeń końcowych może być izolowane przez firewall z określonym zestawem reguł dostępu „uszytych na miarę”. Tego typu rozwiązania wymagają implementacji narzędzi firewall bezpośrednio w przemysłowych urządzeniach sieciowych, z których zbudowana jest infrastruktura. Oprócz możliwości uruchomienia i skonfigurowania firewalla na porcie lub dla wybranego VLAN, urządzenia te zapewniają wysoką dostępność dzięki możliwości tworzenia architektury nadmiarowej, bez pojedynczych punktów awarii (ilustr. 1), z wykorzystaniem protokołów rekonfiguracji, takich jak np. FRNT, FRNT ring coupling, RSTP, OSPF. Przykładem tego typu rozwiązań jest seria zarządzalnych, przemysłowych switchy warstwy 3: Lynx oraz RedFox firmy Westermo. Urządzenia te oparte są na systemie operacyjnym umożliwiającym przełączanie w warstwie drugiej (switching z możliwością tworzenia łatwo dostępnych topologii) oraz trzeciej (routing). Oprócz tego umożliwiają realizację procedur NAT, PAT, filtrowanie ruchu przez firewall z inspekcją stanu (SPI firewall), który można konfigurować niezależnie dla każdego interfejsu oraz wielu innych funkcji – a wszystko w jednym kompaktowym urządzeniu, przeznaczonym do pracy w trudnych warunkach środowiskowych. Kolejnym krokiem jest firewall „świadomy” aplikacji, z funkcją analizowania wybranych protokołów przemysłowych, pozwalający śledzić i wykrywać anomalie. Takie rozwiązanie określa się mianem SCADA Deep Packet Inspection Firewall lub Application Aware Firewall, z możliwością scentralizowanego logowania zdarzeń. Umożliwia ono pełną analizę pracy sieci i jej zabezpieczenie niejako „od środka”. Urządzenie tego typu jest w stanie najpierw pracować w trybie uczenia się, by potem utworzyć model normalnej pracy, wykrywać anomalie i inicjować odpowiednie reakcje.

Tryby pracy przykładowych rozwiązań tego typu marki RADiFlow to: uczenie się, blokowanie, logowanie.  Tryb logowania, praca offline, współpraca z systemami SIEM i systemami autoryzacji użytkowników jest szczególnie istotna w sieciach przemysłowych, w których zastosowanie klasycznego rozwiązania IT wiązałoby się z obniżeniem wydajności oraz zbyt dużym ryzykiem przerwania ciągłości procesu. Dodatkowym atutem jest możliwość realizacji idei Role Base Access Control, czyli powiązania praw dostępu użytkownika z przeprowadzeniem wybranych działań, np. w ramach serwisu w określonym przez administratora czasie. Konieczną funkcją dla zapewnienia dostępu zdalnego jest również możliwość tworzenia szyfrowanych tuneli IPSec VPN. Przykład rozwiązania tego typu został przedstawiony na ilustr. 4 i 5. Z punktu widzenia zarządzania bezpieczeństwem w systemach przemysłowych, kluczowe jest ciągłe monitorowanie i wykrywanie anomalii oraz możliwość szybkiej reakcji przez wprowadzanie sygnatur bezpieczeństwa w formie reguł firewall. Takie działania stanowią zabezpieczenie wewnętrzne i dają możliwość reagowania na zagrożenia zero-day oraz złośliwe oprogramowanie, którego celem może być penetracja systemu lub generowanie fałszywych komend dla systemów automatyki. Zastosowanie rozwiązań micro-firewall i SCADA firewall jest jednym z elementów wprowadzania strategii bezpieczeństwa Defence in Depth. W połączeniu z odpowiednio przygotowaną polityką cyberbezpieczeństwa oraz scenariuszami reagowania na poszczególne zagrożenia umożliwia podwyższenie poziomu zabezpieczeń systemów przemysłowych, bez ryzyka utraty bądź obniżenia ich dostępności.

Cyberataki na sieci i systemy przemysłowe

Masowa digitalizacja systemów automatyki przemysłowej i sterowania oraz wieloletnie zaniedbania w rozwoju zabezpieczeń tych systemów skutkują ich dużą podatnością na zagrożenia płynące z cyberprzestrzeni. Ataki hakerów na systemy przemysłowe stały się codziennością i wielokrotnie już skutkowały sytuacjami kryzysowym dotykającymi lokalnych społeczności. Aktualnie odnotowuje się masowe ataki prowadzone na wielką skalę na tzw. infrastrukturę krytyczną, czyli systemy zaopatrywania w energię, wodę  lub inne media oraz na systemy usługowe jak systemy bankowe, medyczne itp. gdzie liczbę ofiar odczuwających skutki wywołane atakiem można szacować na poziomie dziesiątek tysięcy osób. Pozytywnym skutkiem tak spektakularnych ataków jest natychmiastowy wzrost świadomości i szybkie wdrażanie odpowiednich działań o charakterze zarówno naprawczym jak i zapobiegawczym. Skalę i trend ataków na komputery przemysłowe w drugiej połowie roku 2016 za pomocą różnego rodzaju malware’u obrazuje poniższy wykres opracowany na podstawie badań firmy Kaspersky, jednego z wiodących producentów oprogramowania zabezpieczającego komputery.

Co motywuje cyberprzestępców

Motywy przestępstw popełnianych w przestrzeni wirtualnej nie różną się specjalnie od motywów skłaniających ludzi do popełnienia przestępstw w świecie rzeczywistym. W najbardziej ogólnym podziale można rozróżnić przyczyny ekonomiczne i pozaekonomiczne.

Motywy ekonomiczne

  • Kradzież środków pieniężnych
  • Kradzież informacji (biznes, technologie)
  • Wymuszanie okupu
  • Szpiegostwo przemysłowe

Motywy pozaekonomiczne

  • Kryminalne
  • Polityczne
  • Społeczno – kulturowe
  • Sabotaż lub odwet
  • Cyberwojna

 

Zagrożenia płynące z cyberataków na obiekty przemysłowe

Typ incydentu Potencjalny wpływ
Zmiana w konfiguracji systemu (OS, aplikacja) Uruchomienie kanału zdalnego wykonywania komend (C&C), wyłączenie alarmowania o incydentach w celu ukrycia złośliwych działań, zmiana ustawień prowadząca do awarii
Zmiana w PLC, RTU Zakłócenie sterowania, zniszczenie sprzętu, awaria procesu przemysłowego, umyślne wyłączenie produkcji,
Raportowanie operatorom nieprawdziwych danych Podjęcie przez obsługę nieadekwatnych działań do stanu rzeczywistego, ukrycie działań atakującego
Infekcja malware’em Inicjacja dalszych scenariuszy ataku, uszkodzenia systemów
Kradzież informacji Wyciek wrażliwych danych (receptur chemicznych, osobowych)
Zmiana informacji Zmiana np. receptur, instrukcji w celu dokonania sabotażu

 

Przyczyny podatności systemów przemysłowych na ataki

  • Projekt sieci przemysłowej nie uwzględnia kwestii bezpieczeństwa ponieważ:
    • powstał gdy sieci przemysłowe były izolowane i na bezpieczeństwo nie zwracało się uwagi
    • skupiał się tylko na wymaganiach dotyczących dostępności, szybkości, wydajności itp.
  • Specyfikacja protokołu przemysłowego zawiera podatności niebędące wynikiem błędów programistycznych
  • Brak szyfrowania, brak uwierzytelniania
  • Brak implementacji pełnego stosu protokołu TCP/IP
  • Włączone nadmiarowe usługi (FTP, web server, SNMP)
  • Systemy SCADA są dziś cyfrowe i podłączone do sieci
  • Systemy SCADA pracują po kontrolą systemów operacyjnych ogólnego przeznaczenia takich jak Windows obarczonych dużą podatnością na ataki
  • Hasła są słabe i przesyłane otwartym tekstem
  • Systemy SCADA pod względem informatycznym są podobne do systemów IT, ale dużo słabiej lub w ogóle nie zabezpieczone

Przykładowe podatności i zagrożenia protokołów przemysłowych

DNP3 MODBUS
  • Brak zaimplementowanych funkcji poufności – całość transmisji odbywa się otwartym tekstem,
  • Brak uwierzytelniania,
  • Łatwy do zmanipulowania przez ataki Man in the Middle
  • Wyłączenie dobrowolnego raportowania przez stacje Slave
  • Spoofing raportowania Slave w celu podmiany komunikatów
  • DoS poprzez wstrzyknięcie broadcastów do systemu DNP3
  • Manipulowanie synchronizacją czasu,
  • Manipulowanie lub eliminacja potwierdzeń wiadomości
  • Wprowadzenie nieautoryzowanych komend STOP, Restart
    i innych, które zakłócą działanie
  • Brak zaimplementowanych funkcji poufności – całość transmisji odbywa się otwartym tekstem,
  • Brak wbudowanych mechanizmów integralności
  • Brak uwierzytelniania
  • Brak struktury sesji

 

Malware – przykłady złośliwego oprogramowania używanego do ataków na sieci przemysłowe

Nazwa Działanie
Wanna Cry ransomware: szyfruje dane na dysku, żąda okupu za ich odszyfrowanie, inna nazwa: Wanna Decryptor
Pure Wipers niszczy dane, uniemożliwia poprawny rozruch systemu
Kill Disk usuwa z dysku MBR, niszczy pliki o 31 typach rozszerzeń
WhiteRose pochodna Kill Disk, niszczy pliki o 115 rozszerzeniach
DarkSeoul wymazuje MBR i Boot Record (VBR) na dysku ofiary
DestFallen nadpisuje MBR i wybrane pliki przed rebootem systemu

 

Oczywistym jest, że nie przedstawiono tu wszystkich typów zagrożeń i podatności związanych z sieciami przemysłowymi. Jest ich znacznie więcej, jednakże intencją artykułu jest naświetlenie kwestii najbardziej istotnych: pokazanie skali zagrożeń oraz uwrażliwienie osób odpowiedzialnych za eksploatację sieci przemysłowych na konieczność ich zabezpieczenia aby ograniczyć możliwość wystąpienia skutków, których oddziaływanie może być znacznie szersze niż tylko w obrębie zaatakowanej sieci.


 

„Jeden obraz wart jest więcej niż tysiąc słów” – w myśl tej znanej maksymy przygotowaliśmy krótkie animacje pokazujące najpowszechniejsze wektory ataków na sieci przemysłowe. Pod każdą z animacji zamieściliśmy kilka słów komentarza. Warto uświadomić sobie, że przedstawione sytuacje nie przebiegają w rzeczywistości w tak prosty sposób. Aby uśpić czujność administratorów i systemów monitorujących komunikację w sieci, każdy z etapów ataku – zwłaszcza etap przygotowań –  może być rozłożony na bardzo długi czas, niejednokrotnie liczony w tygodniach i miesiącach. Wielopoziomowe i skoordynowane przygotowanie ataku jest jednym z dowodów potwierdzających tezę, że ataki na kluczowe obiekty przemysłowe i infrastrukturę krytyczną są dokonywane w sposób profesjonalny, niejednokrotnie wskazujący na zaangażowanie znacznych środków finansowych i to w skali jaką mogą dysponować jedynie bardzo bogate instytucje albo agencje rządowe.


Atak na sterownik przemysłowy PLC

W ataku na sterownik przemysłowy możliwe jest wykorzystanie wielu ścieżek dostępu: od celowego zainfekowania systemu złośliwym oprogramowaniem przyniesionym z zewnątrz przez osobę współuczestniczącą w ataku do pobrania zainfekowanych plików do aktualizacji oprogramowania urządzeń przez nieświadomą obsługę. Zainfekowane pliki mogą znajdować się nawet na oficjalnych stronach www producentów urządzeń, co potwierdza profesjonalne, wieloetapowe przygotowanie do ataku.


Atak na stację inżynierską

Zainfekowanie złośliwym oprogramowaniem (malware) stacji inżynierskiej jest kolejnym z realnych scenariuszy cyberataku. Jak wynika z załączonego filmu, stacje inżynierskie są zlokalizowane w segmencie sieci zwanym Supervisory Control, który graniczy z urządzeniami bezpośrednio sterującymi procesami technologicznymi. Jednym ze sposobów zabezpieczenia się przed atakami pochodzącymi ze stacji inżynierskich jest instalowanie specjalizowanego oprogramowania monitorującego stan oraz zakres przedmiotowy i podmiotowy wszelkich zmian w konfiguracji PLC i innych urządzeń automatyki związanej z procesami technologicznymi.


Atak na serwery SCADA

Jedną z metod zapobiegania i walki z zagrożeniami malware płynącymi z serwerów oprogramowania typu SCADA jest wykorzystanie specjalizowanych urządzeń klasy SCADA Firewall, które potrafią monitorować oraz – jeżeli jest to możliwe ze względu na procesy przemysłowe – blokować transmisję danych na podstawie zaawansowanej analizy zawartości informacji transmitowanej „wewnątrz” protokołu przemysłowego. Są to algorytmy tzw Deep Packet Inspection (DPI) w które wyposażone są urządzenie zaprojektowane specjalnie do ochrony zasobów przemysłowych. Inną z metod jest wykorzystanie pasywnego oprogramowania monitorującego transmisję danych w sieci SCADA m.in. w oparciu o technologię DPI. Zadaniem takiego oprogramowania jest zaalarmowanie obsługi o nieprawidłowościach. Oprogramowanie z założenia nie podejmuje aktywnych akcji, gdyż w środowisku przemysłowym priorytetem jest utrzymanie ruchu i procesów, stąd każda akcja skutkująca wyłączeniem lub ograniczeniem toczących się procesów przemysłowych musi być wynikiem świadomego działania człowieka i związanej z tym odpowiedzialności.  Przykładami mogą tu być zmiana przebiegu procesu produkcji stali w hucie czy też zmiana sposobu sterowania ruchem w obrębie krytycznego węzła drogowego.


Atak osoby z wewnątrz, tzw. insidera

Insider to osoba znajdująca się wewnątrz organizacji i mająca z racji tego dostęp do jej zasobów i informacji niedostępnych z zewnątrz. Z założenia, osoby związane z organizacją obdarzone są pewnym kredytem zaufania i uprawnieniami, niejednokrotnie przesadnie szerokimi w stosunku do pełnionej funkcji. Zapobieganie zagrożeniom płynącym ze strony insiderów jest najtrudniejsze, ponieważ procedury systemowe obejmują jedynie pewien fragment działalności człowieka w organizacji. Kluczowymi aspektami przeciwdziałania tego rodzaju zagrożeniom są:

  • edukacja pracowników w zakresie polityki bezpieczeństwa i skutków zagrożeń
  • opracowane procedury postępowania w przypadku cyberataku
  • skuteczne wdrożenie i zarządzanie polityką bezpieczeństwa, m.in. minimalizacja ilościowa oprogramowania do minimum koniecznego do wykonywania zadań służbowych, praca z minimalnymi uprawnieniami, zarządzanie rolami użytkowników, zarządzanie dostępem do zasobów, zarządzanie ryzykiem i ciągłe doskonalenie organizacji  w dziedzinie bezpieczeństwa w myśl zasady Plan-Do-Check-Act (PDCA)

sunsetblackout

Cyberatak na stacje energetyczne i odcięcie dostaw energii elektrycznej do 80 000 odbiorców na Ukranie w grudniu 2015r.

Tekst na podstawie artykułu Yehonatana Kfira, CTO w firmie RadiFlow.


Opracowanie przedstawia jeden z ciekawszych przypadków ataku cybernetycznego jaki miał miejsce w ostatnim czasie. Blackout –  przerwa w dostawach energii elektrycznej – potwierdzony, brzemienny w skutki cyberatak, który pozostawił dziesiątki tysięcy ludzi na Ukrainie  w ciemnościach.  W artykule staramy się odkryć i wyjaśnić wszystko, co złożyło się na łańcuch zdarzeń, które doprowadziły do awarii. Poddajemy analizie informacje, które zostały oficjalnie potwierdzone oraz te, które są jeszcze w trakcie wyjaśniania.

Opis przypadku
W dniu 23 grudnia 2015 roku, około godziny 13:00  w sieci lokalnego, zachodnio-ukraińskiego dostawcy energii –  Prykarpattyaoblenergo wystąpiły przerwy w dostawach energii. Nastąpiło trwające około 6 godzin odcięcie zasilania do 80 000 odbiorców. W tym samym czasie, z powodu awarii technicznych, klientom nie udawało się również zgłosić zaistniałego problemu w call center dystrybutora energii. Ponadto wydaje się, że inne regionalne spółki energetyczne na Ukrainie także zostały w tym samym czasie zaatakowane. Po przeanalizowaniu przez naukowców uzyskanych do tej pory informacji, potwierdza się, że bezpośrednią przyczyną przerw w dostawach prądu na Ukrainie były zaawansowane, najprawdopodobniej wsparte silnym finansowaniem cyberataki.
Komunikat KyivoblenergoZ tego, co do tej pory zostało ujawnione, wydaje się, że napastnicy użyli co najmniej jednego rodzaju złośliwego oprogramowania (malware) do uszkodzenia serwerów sieci OT (sieci sterowania przemysłowego) i wykazali możliwość jego rozprzestrzeniania wewnątrz zaatakowanej sieci. Najbardziej prawdopodobnym jest, że w celu uruchomienia ataku, sprawcy byli włączeni online w sieć OT atakowanego przedsiębiorstwa. Pozwoliło im to wybrać dokładny czas dla wykonania sekwencji działań które finalnie spowodowały przerwy w zasilaniu.

Penetracja sieci
Przeprowadzenie jednoczesnego ataku na kilka regionalnych energetycznych firm dystrybucyjnych było dokładnie skoordynowane, aby zwiększyć prawdopodobieństwo osiągnięcia przez atakujących zamierzonego celu. Raporty w mediach wskazują konkretnych dostawców energii, którzy zostali zaatakowani, w tym Prykarpattyaoblenergo i Kyivoblenergo.

Dokładne kalendarium ataku i sekwencja zdarzeń są nadal niejasne i jeszcze analizowane. Kyivoblenergo upublicznił klientom informację, która mówi, że w wyniku ataku doszło do odłączenia siedmiu podstacji 110kV i dwudziestu trzech podstacji 35kV, co wywołało zanik zasilania, który dotknął 80 000 odbiorców energii. Wydaje się, że główny składnik malware’u został osadzony w oprogramowaniu urządzeń HMI (Human – Machine Interface, np. systemy typu SCADA) wykorzystywanych przez przedsiębiorstwa energetyczne. Gdy operatorzy aktualizowali ich oprogramowanie, zostały pobrane zainfekowane pliki, które zawierały złośliwe oprogramowanie pochodzące od atakującego. Kiedy malware został już pobrany, napastnicy uzyskali trwały dostęp do sieci atakowanych przedsiębiorstw.

Wewnątrz sieci OT
Po infiltracji sieci poprzez urządzenia HMI, program atakujący zaczął rozprzestrzeniać się w sieci, gdzie celem były serwery odpowiedzialne za kontrolę urządzeń stacyjnych i raportujące ich stan. Pozwoliło to atakującym – aż do zakończenia fazy realizacji ataku – na ukrycie dokładnego stanu sieci dystrybucyjnej oraz na usunięcie danych, które mogłyby posłużyć jako dowody sądowe. Obydwa działania wydłużyły czas jaki zajęła spółkom dystrybucyjnym reakcja na cyberatak. Co więcej, nawet teraz skutki tych działań wciąż utrudniają badaczom dokładne odtworzenie przebiegu ataku.

Realizacja ataku
Przeprowadzone analizy i zebrane dowody wskazują, że podczas ataku napastnicy wykonywali działania bezpośrednio z zaatakowanej sieci, prawdopodobnie za pośrednictwem portu zdalnego dostępu. Wiadomo, że atakujący użyli zmodyfikowanej wersji oprogramowania zdalnego dostępu, które zostało zainstalowane wcześniej w sieci atakowanej firmy. Będąc w sieci, atakujący byli w stanie wysłać odpowiednie polecenia do stacyjnych urządzeń wykonawczych i – koordynując te działania – wywołać zamierzone skutki.
Analiza ataku ujawnia, że z awarią było związane złośliwe oprogramowanie składające się z co najmniej dwóch elementów. Pierwszy z nich – „KillDisk” był prawdopodobnie użyty do usunięcia niektórych danych z serwerów. Ten program prawdopodobnie nie spowodował bezpośrednio odcięcia dopływu energii. Działania atakujących brały pod uwagę czas, miejsce i oddziaływanie skutków awarii, co nie jest typowym motywem użycia programu „KillDisk”. Najprawdopodobniej celem „KillDisk” było usunięcie z serwerów potencjalnych danych dowodowych i opóźnienie przywracania usług przez usuwanie danych z serwerów SCADA po tym jak awaria już została spowodowana.
Inny szkodliwy program wykorzystany przez atakujących jest związany z cyberatakami „BlackEnergy”. Szkodnik ten został użyty, aby pobrać i aktywować oprogramowanie ‚KillDisk’. Możliwe jest, że szkodnik BlackEnergy również był wykorzystywany do zbierania informacji podczas penetracji sieci lub do bezpośredniego wykonania ataku. Kolejnym oprogramowaniem, które stosowali atakujący jest backdoor SSH. Prawdopodobnie był użyty do komunikowania się pomiędzy innymi serwerami i urządzeniami wewnątrz sieci a serwerami atakujących, podczas gdy były one podłączone do zaatakowanej sieci.
Podczas trwania blackout’u, czyli „właściwej” fazy odcięcia energii, atakujący przeprowadzili dodatkowy atak „Denial of  View” który odciął dyspozytorów systemu od możliwości podglądu stanu urządzeń i spowodował przeciążenie call center w centrum obsługi klienta. Skutkiem tego call center nie przyjmowało rozmów z klientami dzwoniącymi po pomoc lub informację podczas przerwy w dostawach energii.

Wnioski
Sprawa ukraińska rzuca światło na kilka zagadnień dotyczących cyberataków na przemysłowe systemy SCADA:

  1. Osiągnięcie tak znaczącego efektu ataku wymagało dobrej koordynacji. Aby spowodować odcięcie dostaw energii w tak dużym rozmiarze, hakerzy musieli przedostać się do kilku sieci i to w różnych organizacjach. Ponadto musieli koordynować wydawanie poleceń do stacyjnych urządzeń wykonawczych.
  2. Firmy najsłabiej chronione są najbardziej podatne na atak. Istnieje wiele sposobów by spowodować przestój w dostawach energii, a zakładając, że celem atakujących było po prostu spowodowanie odczuwalnej na szeroką skalę przerwy w dostawach energii na Ukrainie, to zgodnie z logiką powinni oni atakować cele najbardziej narażone i najsłabiej chronione. Faktycznie stwierdzono, że podobne złośliwe działania były prowadzone także wobec innych ukraińskich firm, ale były one lepiej zabezpieczone i na czas udało im się zmniejszyć narażenie i nie dopuścić do ataku.
  3. Stosowanie łańcuchów dostaw jako wektorów ataku: wydaje się, że napastnicy manipulowali plikami urządzeń HMI. Gdy operator urządzenia pobierał plik aktualizacji oprogramowania urządzenia HMI ze strony internetowej dostawcy, mógł pobrać plik zainfekowany szkodliwym oprogramowaniem.
  4. Ukrywanie uszkodzeń: atakujący zazwyczaj próbują ukryć uszkodzenia. Powody tego działania wpisują się również w przypadek ukraiński: wydłużenie czasu osłabienia ochrony podmiotu atakowanego i komplikacja prac analityczno-badawczych po ataku.
  5. Duża skala anomalii zachowania się sieci: jak podano, napastnicy wykazali zdolność do przemieszczania się w sieci pomiędzy podstacjami energetycznymi, wysyłania polecenia do urządzeń stacyjnych, zmiany konfiguracji serwerów i otwarcia kanału komunikacyjnego z zewnątrz sieci. Mechanizmy bezpieczeństwa, takie jak zapory SCADA DPI lub systemy SCADA IDS mogłyby wykryć niektóre z działań w tym łańcuchu zdarzeń.
  6. Zapobieganie cyberatakom na systemy SCADA jest naprawdę możliwe! Gdy atakowane firmy dowiadywały sią o prowadzeniu wobec nich szkodliwych działań, inicjowano wewnętrzne scenariusze działań osłabiających atak. Koncentrowały się one głównie na przejściu do ręcznego sterowania w podstacjach. Krok ten okazał się skuteczny, ale niestety za późno – podejmowany był dopiero po wykryciu ataku, gdy odcięcie dostaw energii już miało miejsce. Gdyby atak został wykryty w jego pierwszej fazie, dałoby to większe szanse na zapobieganie przestojom. Wczesne rozpoznanie jest więc kluczem do całkowitego udaremnienia ataków cybernetycznych. Atakujący potrzebuje relatywnie dużo czasu do przygotowania i przeprowadzenia ataku, co stwarza znaczące i zauważalne zaburzenia w zachowania się sieci.

Ukraińskiemu blackout’owi można było zapobiec i to w wielu punktach położonych wzdłuż całego łańcucha zdarzeń składających się na strukturę ataku (tzw. „Kill-Chain”).

W fazie penetracji sieci, skuteczna segregacja sieci OT pozwoliłaby na wykrycie prób przenikania do sieci przez osoby atakujące. Ten rodzaj wewnętrznej segregacji sieci informatycznej przedsiębiorstwa był już wcześniej (w sierpniu 2014) sugerowany przez ICS-CERT. Wszystko, co było w tym celu wymagane to implementacja firewalla rozdzielającego lokalizacje (stacje energetyczne). Radiflow Secure Gateway został zaprojektowany właśnie do tego celu. Dzięki szerokim możliwościom VPN i uwierzytelniania, a także natywnemu Deep Packet Inspection(DPI), ten przemysłowy firewall jest najodpowiedniejszym środkiem do skutecznej segregacji sieci. Ponadto, Gateway ten jest zdolny do samodzielnego uczenia się zasad DPI, co pomaga w łatwym wdrożeniu wielu urządzeń Secure Gateway przy minimalnym nakładzie pracy na konfigurację. Dowodzi to, że podczas segregacji sieci taki firewall jest niezwykle ważnym środkiem, gdyż umożliwia wykrywanie i zapobieganie kolejnym fazom ataku. W przypadku blackout’u na Ukrainie,  nawet bez takich urządzeń, ukraińscy operatorzy nadal mieli możliwość wykrycia ataku.

W obszarze ruchu poprzecznego, Radiflow Industrial IDS zapewnia najwyższy poziom ochrony. Korzystając z Network Visibility Package, ukraińscy operatorzy sieci byliby w stanie zobaczyć, że hakerzy otworzyli połączenia SSH pomiędzy różnymi stacjami w sieci. Ponadto, można by wykryć kanał komunikacji z serwerami sterowania należącymi do atakujących. Innym ważnym pakietem oprogramowania zawartym w IDS Radiflow jest pakiet Cyber Attack – silnik oparty na algorytmie detekcji sygnatur malware pozwalający na wykrywanie znanego złośliwego oprogramowania komunikującego się wewnątrz sieci. Wiadomym jest, że na Ukrainie napastnicy wykorzystali malware BlackEnergy, jak również znane SSH-Backdoory. Obydwa malware’y mają znane sygnatury i mogły zostać łatwo wykryte. Wreszcie, w fazie ataku, operatorzy sieci mogli widzieli dokładnie polecenia wysłane przez atakujących. W następstwie cyberataku na Ukrainie powstał duży problem w zebraniu dowodów ze względu na brak danych. Korzystając z  Radiflow Industrial IDS operatorzy mogli przeanalizować ruch, który spowodował awarię i śledzić wszystkie działania atakujących. Byłby to dokonały materiał kryminalistyczny, zaś etap łagodzenia skutków ataku byłby znacznie łatwiejszy i krótszy.

Przykłady oprogramowania i urządzeń wspierających bezpieczeństwo przemysłowych systemów transmisji danych

Zachęcamy do zapoznania się z pochodzącymi z naszej oferty przykładowymi pozycjami, dzięki którym Tekniska Polska wyznacza nowe drogi i trendy w  kształtowaniu szeroko rozumianego bezpieczeństwa przemysłowych systemów transmisji danych.


Po pierwsze informacja!

Przedstawione wcześniej informacje o rodzajach zagrożeń i najbardziej prawdopodobnych wektorach ich rozprzestrzeniania się wskazują, że cyber – zagrożenia stały się powszechnym elementem rzeczywistości środowisk przemysłowych. Nie trzeba zbytnio wyolbrzymiać skali zagrożenia i potencjalnych jego skutków, aby kierując się głosem rozsądku i racjonalnym podejściem podjąć jedyną słuszną w tej sytuacji decyzje, czyli zabezpieczyć swoje zasoby. Ze względu na specyfikę procesów przemysłowych, zabezpieczenie musi polegać przede wszystkim na wczesnym wykrywaniu wszelkich nieprawidłowości i odpowiednim reagowaniu na nie. W ofercie Tekniska Polska znajdują się produkty zarówno hardwareowe jak i softwareowe, które wspierają szeroko pojmowane cyberbezpieczeństwo sieci przemysłowych. Nasza zawodowa uczciwość nakazuje jednak by poinformować, że z wyłączeniem bardzo nielicznych przypadków, żaden system zabezpieczający nie poinformuje wprost użytkownika, że jego sieć jest właśnie atakowana. Narzędzia które poniżej prezentujemy w istotny sposób wspierają procesy zabezpieczania się i wykrywania ataków, ale zawsze odbywa się to drogą interpretacji danych przez administratora bądź specjalistę do spraw bezpieczeństwa. Konieczność interpretacji danych, niejednokrotnie interpretacji wielowątkowej i kilkuetapowej oznacza m.in. że praca analityka ds. bezpieczeństwa sieci to proces ciągłego uczenia się i doskonalenia metodyki. W związku z tym, warto w tym miejscu przypomnieć, że Tekniska Polska wspiera m.in. specjalistów ds. bezpieczeństwa sieci przemysłowych np. poprzez organizację cyklicznych szkoleń w ramach projektu Akademia Tekniska.


Metody podstawowe

Pomimo istnienia wielu wyspecjalizowanych i bardzo dobrych narzędzi zarówno hardwareowych jak i softwareowych zabezpieczających sieci na różne sposoby, punktem wyjścia dla wszystkich innych metod jest właściwa oraz przejrzysta architektura i organizacja sieci. Aby skutecznie zastosować m.in. niżej opisane mechanizmy, sieć powinna być uprzednio podzielona funkcjonalnie.

Rys. Segmentacja funkcjonalna sieci

Podział ułatwi osobom odpowiedzialnym za bezpieczeństwo właściwe określenie stref zaufania sieci, a dalej będzie stanowić podstawę do przyjęcia i realizacji odpowiednich polityk bezpieczeństwa dostosowanych do każdego segmentu funkcjonalnego sieci odrębnie i jednocześnie stanowiących spójną, zarządzalną całość którą można opisać docelowymi i aktualnymi parametrami bezpieczeństwa. Ogólny podział, zwany także segmentacją sieci wskazuje segmenty  najmniej i najbardziej zaufane. Przez „zaufanie” należy tu przede wszystkim rozumieć ich ekspozycję na narażenia. Ekspozycja na narażenia może być z kolei wypadkową bardzo wielu czynników: od ilości użytkowników począwszy, poprzez ilość i jakość punktów styku z sieciami zewnętrznymi, na profilu społecznym i psychologicznym użytkowników kończąc. Segmenty najmniej zaufane mogą być źródłem potencjalnych zagrożeń dla segmentów o większym stopniu zaufania. Rozwinięcie powyższego podziału funkcjonalnego można bezpośrednio przełożyć na segmentację sieci pod względem bezpieczeństwa i wówczas podział taki może wyglądać jak poniżej:

Rys. Poziomy Bezpieczeństwa sieci

Mając wdrożoną segmentację funkcjonalną i podział na strefy bezpieczeństwa można wdrażać rozwiązania bardziej zaawansowane technicznie i w bardziej wyspecjalizowany sposób chroniące poszczególne zasoby. W tym artykule nakreślimy funkcjonalność dwóch typów oprogramowania pochodzącego z naszej oferty i służącego do realizacji zabezpieczeń sieci przemysłowych.


Westermo WeOS – wspierający cyberbezpieczeństwo system operacyjny aktywnych urządzeń sieciowych

WeOSWeOS (Westermo Operating System) to system operacyjny firmy Westermo będący odpowiedzią na rosnące wymagania obecnych i przyszłych aplikacji przemysłowych. Platforma ta jest docelowym standardem dla wszystkich produktów sieciowych Westermo. Aktualnie wykorzystywana jest przez przełączniki routujące serii Redfox, Viper i Lynx+ oraz modemy DDW-225, DDW-226, DDW242 i DDW-242-485 z rodziny Wolverine (G.SHDSL). System stworzony został na bazie Linux, co zapewnia mu wysoką stabilność pracy, ciągłość i przede wszystkim zgodność różnych produktów sieciowych. Co więcej, gdy pojawiają się nowe funkcjonalności, łatwo można je zaimplementować w swoich produktach, tak aby zawsze na bieżąco korzystać z najnowszych rozwiązań technologicznych. Aplikacje automatyki przemysłowej są coraz bardziej skomplikowane, zaczynają się w nich zacierać granice pomiędzy sieciami LAN i WAN, przez co krytyczne stają się zagadnienia związane z bezpieczeństwem i izolowaniem sieci. Urządzenia pracujące w systemie WeOS dzięki takim narzędziom jak zapora ogniowa (firewall) z inspekcją stanu czy statyczny routing pozwalają na segmentację sieci i kontrolę przepływu krytycznych danych.

Powiększ

Zaimplementowanie takich rozwiązań jak VLAN, IGMP Snooping, VPN czy protokoły rekonfiguracji sieci (FRNT, RSTP), pozwala urządzeniom Westermo na pracę w najbardziej złożonych i wymagających aplikacjach przemysłowych jakie są dzisiaj budowane. Nadrzędnym celem, misją firmy Westermo jest dostarczanie zaawansowanych technologicznie urządzeń do przemysłowej transmisji danych, pozwalających na realizowanie nawet bardzo złożonych aplikacji w maksymalnie prosty i łatwy sposób. Dlatego bardzo dużo wysiłku włożono w to, aby system WeOS był przyjazny i intuicyjnie prosty w obsłudze. Z poziomu przeglądarki internetowej można w kilka minut dokonać podstawowej konfiguracji urządzenia. Redundantna topologia pierścienia FRNT, wirtualne sieci VLAN czy zapora ogniowa (firewall) także są łatwe do konfiguracji. W razie potrzeby, za pomocą interfejsu CLI (Command Line Interface), który również jest intuicyjny, można bardzo precyzyjnie dostroić system do najbardziej wymagających, rygorystycznych aplikacji. Szwedzki producent dba o regularne aktualizacje systemu operacyjnego. Są one dostępne bezpłatnie i ukazują się średnio raz na kwartał. System WeOS doskonale współpracuje z oprogramowaniem Westermo do konfiguracji oraz monitorowania urządzeń: programami WeConfig oraz WeConnect tworząc spójny i bezpieczny system zarządzania siecią. WeConfig i WeConnect zostały opisane w dziale Oprogramowanie i zarządzanie siecią. W zakładkach kart produktów Westermo zawsze jest dostępna najbardziej aktualna wersja systemu WeOS.


SCADAfence
System SCADAfence to także narzędzie klasy IDS zapewniające nieprzerwany monitoring sieci przemysłowej. SCADAfence automatycznie wykrywa wszystkie zasoby sieciowe i dokonuje ich inwentaryzacji oraz wizualizacji.

W momencie uruchomienia, system wykrywa automatycznie wszystkie znane ryzyka i podatności sieci. System SCADAfence wyposażony został w ciekawy mechanizm raportowania zdarzeń w sieci, które same w sobie nie są szkodliwe, ale mogą doprowadzić do niepożądanych lub groźnych z punktu widzenia bezpieczeństwa skutków. SCADAfence dokonuje także tzw profilowania behawioralnego sieci. Oznacza to że system buduje modele normalnego zachowania sieci i w dalszym toku pracy, na ich podstawie generuje alerty w przypadku stwierdzenia ruchu wykraczającego poza profil zdefiniowany jako normalny. SCADAfence jako narzędzie dedykowane do zastosowań przemysłowych zawiera mechanizmy DPI monitorujące zawartość informacji w systemach SCADA, w popularnych protokołach przemysłowych jak PROFINET czy Modbus. Cechą charakterystyczną SCADAfence jest łatwa integracja z systemami już funkcjonującymi u użytkownika jak różnego rodzaju zapory firewall, systemy SIEM itp. Więcej na temat SCADAfence można przeczytać w karcie produktu oraz w opisie, w dziale Oprogramowanie i Zarządzanie Siecią.


iSID – przemysłowy IDS

IDS (Intrusion Detection System) to rodzaj oprogramowania, którego pracę można przyrównać do systemu alarmowego. System alarmowy, jak wiadomo nie zapobiega włamaniu, ale informując o nim – stwarza warunki pozwalające na podjęcie stosownych działań i  uruchomienie odpowiednich procedur postępowania. Zadaniem oprogramowania iSID – SCADA Intrusion Detection firmy RadiFlow jest wykrywanie nieprawidłowości w komunikacji sieciowej i generowanie komunikatów pozwalających na podjęcie reakcji przez użytkownika.

Oprogramowanie działa pasywnie w oparciu o techniki port-mirroringu, nie ingerując  w strukturę sieci. Może wykorzystywać do działania inteligentne pułapki, tzw TAPy, czyli specjalne urządzenia agregujące i przekierowujące do iSID kopię ruchu sieciowego z wydzielonych, izolowanych firewallami obszarów sieci.

Rys. Lista zdarzeń – podstawowe okna pracy w programie iSID

Administrator sieci lub specjalista ds. bezpieczeństwa jest wspomagany wieloma funkcjami, dzięki którym praca z programem jest wydajna i skuteczna. Jedną z takich funkcji jest wizualizacja zasobów sieciowych, która pozwala śledzić strukturę sieci oraz zależności pomiędzy wieloma urządzeniami składającymi się na sieć jako całość. oczywiście wizualizacja to tylko podstawowa pomoc. Zasadnicza funkcjonalność iSID’a opiera się na generowaniu listy zdarzeń oraz rozbudowanym funkcjom raportowania, które pokazują użytkownikowi stan bezpieczeństwa sieci w ujęciu graficznym i tekstowym.

W ujęciu przemysłowym, najbardziej istotnym elementem systemu iSID jest SCADA DPI (ang. Deep Packet Inspection) – wbudowana, zaawansowana analiza zawartości informacji zawartej w paczkach danych protokołów SCADA – w bezpośrednim tłumaczeniu „głęboka analiza pakietów”. Jest to cecha odróżniająca systemy przeznaczone do zastosowań przemysłowych od systemów stworzonych do użycia w sieciach IT ogólnego zastosowania.


RadiFlow 3180

Router/SCADA-Firewall RadiFlow 3180Router Radiflow 3180 został zaprojektowany w celu zapewnienia cyberbezpieczeństwa infrastruktur krytycznych i systemów SCADA. Specjalizowany SCADA Firewall czyni z routera 3180 rozwiązanie unikatowe na tle oferowanych przez naszą konkurencję. Dedykowanym obszarem zastosowań są krytyczne systemy produkcyjne, automatyka sterująca w rozwiązaniach infrastrukturalnych (energetyka, gazownictwo, wodociągi). Mnogość interfejsów komunikacyjnych routera RadiFlow 3180, w tym możliwość obsługi dwóch kart SIM różnych operatorów GSM czyni z niego potężne narzędzie sieciowe zdolne skutecznie izolować ruch w przyłączonych sieciach. Zaprojektowany w przemyślany sposób system autentykacji pozwala na tworzenie ról użytkowników i nadawanie im skorelowamych z rolą uprawnień które mogą być przyznawane np. jedynie w zadanym przedziale czasowym. Router gwarantuje bezpieczny zdalny dostęp i umożliwia wykrycie i zapobieganie skutkom nawet najbardziej złożonych zagrożeń. Oferuje rozwiązania zarówno dla połączeń M2M (Machine to Machine) oraz H2M (Human to Machine), zabezpieczając ruch dzięki DPI firewall (Deep Packet Inspection), który służy do analizy ruchu w systemie SCADA na poziomie przemysłowych protokołów warstwy aplikacyjnej. Urządzenie umożliwia stworzenie modelu prawidłowej pracy systemu. Po wykryciu nieprawidłowości 3180 automatycznie generuje alarmy, może blokować niepoprawne działania oraz izolować wszelkie podsieci, których dotyczą te nieprawidłowości. Urządzenie współpracuje z dedykowanym oprogramowaniem zarządczym i konfiguracyjnym iSIM oraz iSID tworząc jeden z najbardziej zaawansowanych na świecie systemów  cyberbezpieczeńtwa przeznaczonych do zastosowań w przemyśle. Oprogramowanie iSIM oraz iSID zostało opisane w dziale Oprogramowanie i zarządzanie siecią.

Router RadiFlow 3180 jako jedno z nielicznych na świecie rozwiązań przemysłowych spełnia wytyczne normy NERC-CIP-V5 określającej standardy raportowania związanego z cyberbezpieczeństwem sieci. Należy spodziewać się, że przytoczona norma stanie się fundamentem przyszłych uregulowań prawnych w tej dziedzinie, gdyż nasilenie ataków cybernetycznych na obiekty przemysłowe i straty jakie one przynoszą wymuszą niezbędną reakcję prawodawczą w skali globalnej.

CyberW ramach szerokiego podejścia do zagadnień cyberbezpieczeństwa oferujemy Państwu:

  • Analizę wymagań, założeń oraz studium wykonalności
  • Projekt bezpiecznej sieci
  • Konsultacje projektów sieci w aspekcie cyberbezpieczeństwa
  • Doradztwo w tworzeniu i wdrażaniu polityki bezpieczeństwa sieci przemysłowych
  • Audyt bezpieczeństwa sieci, w tym specjalistyczne audyty SCADAfence realizowane w jednym z dwóch trybów: zewnętrznym na podstawie plików próbek ruchu sieciowego PCAP (Packet Capture) i wewnętrznym wykonywanym fizycznie w infrastrukturze klienta.
  • Testy penetracyjne

Oferujemy także dobór optymalnych urządzeń i rozwiązań, doradztwo i pomoc we wdrożeniu oraz szkolenia i wsparcie techniczne podczas eksploatacji. Ze względu na wagę problematyki i konieczność indywidualnego podejścia do każdego projektu zachęcamy do skontaktowania się z nami i podjęcia  rozmów z naszymi specjalistami. Skontaktuj się z nami.

labLaboratorium Testowe Tekniska

Posiadamy w naszej siedzibie własne Laboratorium Testowe. Możemy w nim symulować i testować wiele problematycznych zagadnień z jakim mają bądź mogą mieć do czynienia nasi Klienci. Testy laboratoryjne otwierają wiele możliwości przed Państwem jako naszymi Klientami: testowanie podstawowych założeń polityki bezpieczeństwa sieci, testowanie szczegółowych funkcjonalności z zakresu zapewnienia cyberbezpieczeństwa, np. działania SCADA Firewall, raportowanie anomalii behawioralnych sieci to tylko niektóre z testów jakie mogą Państwo u nas przeprowadzić ponieważ zakres i głębokość testów zależą jedynie od Państwa potrzeb. Testy realizujemy zgodnie z obustronnie ustalonym scenariuszem testowym i wyznaczonymi celami jakie zamierzamy osiągnąć w trakcie testów. Bazą Laboratorium Testowego są urządzenia znajdujące się w naszej ofercie, profesjonalne narzędzia sieciowe oraz symulatory protokołów przemysłowych. W ramach Tekniska LabTest oferujemy:

  • Przygotowanie profesjonalnego planu testów
  • Przygotowanie i wykonanie testów funkcjonalnych na fragmencie rzeczywistej lub symulowanej infrastruktury sieci przemysłowej
  • Testy wdrożeniowe
  • Możliwość wypożyczenia urządzeń do testów w siedzibie klienta.

Laboratorium Testowe oraz jego możliwości stale rozwijają się. W przypadku gdyby mieli Państwo pytania dotyczące zakresu usług i obsługiwanych zagadnień – prosimy o kontakt mailowy pod adresem: techniczny@tekniska.pl