Ataki na systemy automatyki przemysłowej (ICS/OT) w różnych gałęziach gospodarki stały się faktem i niemal codziennie obnażają braki w ich zabezpieczeniach. Atakowane są systemy infrastruktury krytycznej, ale celem stają się również te wykorzystywane w przemyśle farmaceutycznym oraz służące w badaniach nad nowymi lekami.

Czas pandemii jeszcze bardziej sprzyja złośliwej i przestępczej działalności w sieci. Atakujący wykorzystują m.in. źle zaimplementowane narzędzia wykorzystywane w pracy zdalnej, jak i podatność wielu pracowników na ataki socjotechniczne. W grudniu 2020 r. Europejska Agencja Leków poinformowała, że stała się celem ataku hakerów i że została im wykradziona korespondencja dotycząca szczepionki. Atakujący przed opublikowaniem zmanipulowali informacje, tak aby podważyć zaufanie do szczepionek [1]. W przytoczonym wyżej ataku chodziło o sianie dezinformacji, ale w arsenale cyberbroni w rękach atakujących znajduje się również złośliwe oprogramowanie, najczęściej dostarczane do ofiary z wykorzystaniem poczty e-mail i ataku phishingowego. W październiku 2020 r. indyjska firma Dr. Reddy’s padła ofiarą ataku z wykorzystaniem ransomware, zaraz po tym jak otrzymała zgodę na przeprowadzenie badań klinicznych szczepionki Sputnik V. W efekcie ataku firma musiała czasowo wyłączyć część swoich zakładów produkcyjnych [2].

Jak widać, atakujący mogą mieć różne motywacje, a skutki ataku dla organizacji, jak i odbiorców jej produktów, mogą być bardzo dotkliwe.

Czy w takim razie jesteśmy w stanie skutecznie chronić infrastrukturę produkcyjną?

Niestety nie ma jednego złotego środka czy pojedynczego urządzenia, które po zainstalowaniu będzie już zawsze chronić naszą sieć i systemy. Zapewnienie cyberbezpieczeństwa w organizacji wymaga uruchomienia ciągłego procesu i stosowania adekwatnych do określanego poziomu ryzyka zabezpieczeń. Ograniczenie długości tego opracowania nie pozwala na omówienie wszystkich zabezpieczeń, jakich możemy użyć do obrony. Jednak należy tu wspomnieć, że powinny być one stosowane zgodnie z ideą defence-in-depth, polegającą na stosowaniu wielu różnych środków zaradczych tworzących kolejne przeszkody dla działań hakera.

Jeśli chodzi o ochronę sieci, to niezwykle istotna jest jej architektura, która powinna być zaprojektowana w odpowiedni sposób. Mając na uwadze, że większość ataków na sieć OT obsługującą proces technologiczny ma swój początek w biurowej sieci korporacyjnej (IT), należy po pierwsze zadbać o właściwą segmentację i separację tych sieci. Wymiana danych między IT i OT musi być zorganizowana w bezpieczny sposób z wykorzystaniem strefy DMZ-ICS, zbudowanej w oparciu o firewalle egzekwujące polityki bezpieczeństwa oraz o serwery wymiany danych. Bezpośredni dostęp z sieci IT do OT nie powinien być dozwolony. Ochrona firewallem tylko brzegu sieci na styku z Internetem już dawno nie chroni przed atakami. Standard IEC-62443 rekomenduje, aby sieć OT podzielić na strefy bezpieczeństwa odpowiednio grupujące urządzenia oraz określić kanały komunikacji pomiędzy strefami. Do egzekwowania reguł bezpieczeństwa w sieci OT należy zastosować przeznaczone dla tego środowiska firewalle rozumiejące stosowane tu protokoły przemysłowe, takie jak Modbus, S7, OPC czy Profinet. Urządzenia te wyposażone w funkcję głębokiej analizy pakietów (DPI) pozwalają na tworzenie precyzyjnych reguł filtrowania, przepuszczających tylko właściwe komendy i ew. wartości ustawień do kontrolerów.

Zapobiec zagrożeniu

Wdrożenie aktywnych zabezpieczeń powinno być poprzedzone analizą i precyzyjnym rozpoznaniem, co z czym i w jaki sposób komunikuje się w sieci. Z pomocą przychodzą tu odpowiednie pasywne systemy ciągłego monitorowania, które oprócz detekcji zagrożeń zapewniają widzialność sieci i bieżącą inwentaryzację zasobów. W wyniku dostajemy informację o wszystkich urządzeniach działających w sieci, logicznych połączeniach między nimi oraz wykorzystywanych protokołach. Wiedza ta jest podstawą do analizy ryzyka i planowania adekwatnych zabezpieczeń – aby chronić sieć, musimy wiedzieć, co się w niej znajduje. Dobre rozwiązania tej klasy wygenerują gotowy zestaw reguł filtrowania dla firewalli, co pozwoli na ich bezpieczne wdrożenie bez zakłócenia procesu technologicznego. Odpowiednio dobrany system ciągłego monitorowania sieci daje olbrzymie korzyści natychmiast po wdrożeniu. Następuje ogromna zmiana jakościowa – teraz widzimy, co się dzieje w sieci i możemy zacząć reagować na różne zdarzenia i incydenty. System IDS analizuje kopię ruchu sieciowego dostarczoną z portów mirror przełączników LAN i potrafi wykryć między innymi: pojawienie się nowych urządzeń w sieci, nowe połączenia i protokoły sieciowe, próby skanowania i rekonesansu, wysłanie innych niż dozwolone komend protokołów OT. Atakujący, zanim dokona właściwego ataku skutkującego np. zatrzymaniem procesu, musi wykonać kilka następujących po sobie faz przygotowawczych. Zadaniem systemu monitorowania/wykrywania ataków (IDS) jest wykrycie działań właśnie w tych wczesnych fazach oraz dostarczenie danych potrzebnych do podjęcia odpowiednich reakcji przez zespół bezpieczeństwa (SOC).

Znaczenie systemów ciągłego monitorowania zostało również dostrzeżone w ustawie o Krajowym Systemie Cyberbezpieczeństwa, która wobec operatorów usług kluczowych nakłada obowiązek stosowania tego typu rozwiązań w celu detekcji incydentów.

Literatura

1. Cyberatak na Europejską Agencję Leków. W sieci „zmanipulowana korespondencja”, https://tvn24.pl/swiat/ szczepionka-na-koronawirusa-europejska-agencja-lekow-ofiara-cyberataku-wykradzione-dokumenty-zmanipulowano-i-udostepniono-4940331

2. Oct 22 incident involved a ransomware attack: Dr. Reddy’s, https://www.thehindu.com/business/Industry/ oct-22-data-breach-involved-a-ransomware-attack-dr- -reddys/article32962438.ece

Powyższy artykuł ukazał się również na łamach czasopisma Przemysł farmaceutyczny.