ICS/OT Security w czasach pandemii Covid-19

ICS/OT Security w czasach pandemii Covid-19

Bezpieczeństwo ICS/OT w czasach pandemii Covid-19

W wyniku globalnego kryzysu spowodowanego pandemią Covid-19, nasze życie codzienne oraz zawodowe przeszło niesamowitą metamorfozę. Myślę że każdy z nasz, indywidualnie znajdzie w tej sytuacji zarówno dobre jak i złe punkty.

O tym z jak wielkim wyzwaniem się spotkaliśmy świadczą na pewno wskaźniki finansowe w tym PMI oraz wspomniane zagadnienia w ramach webinarium z dnia 18.06.2020 do wysłuchania którego serdecznie zapraszam: link. Celem pokazania skali i zasadności problemu, przywołam jeden ze slajdów opisujący wskaźnik finansowy PMI pokazujący gospodarki światowe w obliczu pandemii. Dla Polski mamy dokładnie ten sam trend. Recesja

Wskaźnik PMI w obliczu pandemii Covid-19 – wpływ na wiodące gospodarki.

Z perspektywy zachowania ciągłości biznesu, dostarczania kluczowych usług i podtrzymania zdolności operacyjnej krytycznych instalacji i systemów rok 2020 również obnażył pewne słabości, niedociągnięcia czy brak wypracowanych mechanizmów. Ze wspomnianymi wyzwaniami, pewne gospodarki, sektory i branże poradziły sobie sprawniej, inne trochę gorzej. Oczywiście, poruszam się po dużym stopniu ogólności w tym momencie. Nie mniej jednak, wypracowane kompromisy w naturalny sposób wystawiły na próbę polityki i procedury związane z zarządzaniem danymi. Jeżeli odnosimy się do przetwarzania danych to tym samym bezpośrednio nawiązujemy do bezpieczeństwa, kwestii zarządzania ryzykiem, poufności i integralności danych. W przypadku ICS/OT dodatkowo musimy uwzględnić ryzyko niepożądanego dostępu do systemów produkcyjnych

Przemysłowe Security w czasach pandemii

Podtrzymanie produkcji w ramach business & operation continiuty. Supportowanie produkcji – zdalny tryb pracy Home Office. Z wszystkimi wymienionymi zagadnieniami przyszło Nam zmierzyć się całkiem nieoczekiwanie. Na taką skalę. Jak poradziliśmy sobie w aspektach bezpieczeństwa ?

Z dnia na dzień zostaliśmy zepchnięci – dosłownie do świadczenia pracy w trybie zdalnym. Osobiście zawsze byłem zwolennikiem takiej pracy i w pełni rozumiałem wyzwania, problemy oraz benefity z tego tytułu. Nie mniej jednak, świadczenie pracy zdalnej w środowisku produkcyjnym … hmm no mocno mnie zawsze zastanawiała. Zarówno od strony wykonywalności jak i bezpieczeństwa.

W przypadku świadczenia wsparcia zdalnego zakładu produkcyjnego, utrzymania i nadzoru produkcji, przetwarzania i/lub wytwarzania, trzeba uczciwie przyznać, że nie zawsze się da. Są takie działania i operacje które wymagają ciągłej obserwacji i podglądu procesu bezpośrednio na miejscu. Jest również produkcja cechująca się operacjami manualnymi, bez zaawansowanych systemów produkcji automatyzacji lub robotyzacji. W końcu mamy uwarunkowania technologiczne, które z racji na zastosowane rozwiązania uniemożliwiają zdalny nadzór i produkowanie określonych dóbr. Im bliżej naszej produkcji do założeń Industry X.0 tym w teorii powinno być łatwiej, wygodniej i sprawniej … w teorii. Upraszczając, im bardziej zautomatyzowany proces a przedsiębiorstwu bliżej w kierunku Digitalizacji, tym zdalny dostęp dla pracowników oddelegowanych do Home Office powinien być sprawniejszy i zapewnić bezpieczeństwu. Obu ze stron …

Zdalny dostęp do zasobów ICS/OT

Od strony bezpieczeństwa, integralności i poufności danych, zapewnienia niezawodności, okazuje się iż jest to czynnik bardziej złożony. Oczywiście, wpierw pytania o możliwości technologiczne – czy się w ogólne jesteśmy w stanie zarządzać zdalnym i bezpiecznym dostępem.  Przydzielenie dostępu do systemu, instalacji wytwarzania, maszyny i linii technologicznej można zrealizować w szeregu różnych rozwiązań i technologii. Z oczywistych względów (różnorodność) nie jesteśmy w stanie opisać ich wszystkim w tym miejscu. Najczęściej spotykane rozwiązania to:

  • sprzętowe – zdalny dostęp z wykorzystaniem bramek/modemów LTE routerów M2M, bramek Ewon VPN, innych. Często stosowane w przypadku firm trzecich i dostawców linii i maszyn. Niekoniecznie najlepsze rozwiązanie. Brak logowania zdarzeń, de facto obchodzenie wszystkich polityki i zaleceń Security. O tym więcej w tym poście: modem LTE vs. Security
  • infrastrukturalne – udostępnianie przez rozwiązania IT z zastosowaniem infrastruktury korporacyjnej, analizą i monitorowaniem. Szereg różnych rozwiązań bazujących na przydzieleniu dostępu, uwierzytelnieniu użytkownika i logowaniu zdarzeń. Rozwiązania bazujące VPN i szeregu technologii.
  • rozwiązania aplikacyjne – dedykowany software zapewniający zdalny dostęp, łączący zalety udostępniania połączenia przez infrastrukturę IT, bazujący na  mechanizmach i protokołach RDP, RDS, VMI, VNC i innych autorskich np.Team Viewer. 

Każda z wymienionych pokrótce i ogólnikowo technologii ma swoje wady i zalety. Nie mniej jednak, w dobie pandemii i dynamicznej sytuacji, tak jak zawsze instynkt ludzki podąża najprostszą drogą, na skróty. O ile można. A z moich obserwacji bardzo często można …. a jeżeli nie można to i tak się tak robi. Bo najważniejsze jest zachowanie ciągłości pracy.

Okres pandemii – ISC/OT Security?

Globalny lockdown w perspektywie bezpieczeństwa systemów automatyki przemysłowej ICS/OT
Globalny lockdown w perspektywie bezpieczeństwa systemów automatyki przemysłowej ICS/OT

Przeczytałem wiele materiałów i postów, blogów które w sposób jednoznaczny wskazywały na wzmożony ruch w sieci. No tak, rzecz oczywista … działamy z domu łącząc się z miejscem pracy. Z tym że, w tym wzmożonym ruchu jest też ukryty … ten zły i te działania ukierunkowane na nasze organizacja a będące jednocześnie atakami. Atakami na nasze zasoby sieciowe wystawione do internetu z zamysłem … naszej pracy zdalnej. Odniosę się tutaj do opracowania i raportu firmy Kaspersky Industrial CyberSecurity: 

  • ponad 53% respondentów przyznało konieczność przesunięcia pracowników do formy zdalnej, z domu
  • z racji na ten fakt większość firm zdecydowała o okresowej analizie zdarzeń z tego tytułu, lecz jednocześnie
  • zaledwie 5% posiadało unormowane zapisami w swojej polityce security mechanizmy, wytyczne i wskaźniki
  • wiele badanych podmiotów postanowiło zweryfikować swoje założenia i plany budżetowe i zaledwie 7% stwierdziła, iż strategia cyberbezpieczeństwa była w miarę skuteczna podczas pandemii Kaspersky Blog:

Wnioski płynące z przytoczonych punktów, bazują na fakcie wzmożonych ataków z wykorzystaniem podatności protokołu RDP z jakim organizacje mierzą się w czasach pandemii. W szczególności z okresem marzec kwiecień gdy największe gospodarki świata ogłosiły lockdown:

Wzrost ilości ataków RDP. Źródło

Wzrost liczby ataków z użyciem protokołu RDP przeszedł z poziomu 100k 150k (w styczniu i lutym), do gwałtownego wzrostu i poziomu prawie miliona (1Mln!) dziennie z początkiem marca. Czyli od czasu, kiedy zaczęła się praca zdalna spowodowana Covid19. Uważam, iż część tych wzmożonych ataków miała lub mogła mieć miejsce na infrastrukturę przemysłową, zakłady produkcyjne i przemysł.

Skutki

Uważam, iż na skutki wykazanej sytuacji musimy jeszcze chwilę poczekać. W między czasie miało miejsce parę istotnych ataków które w efekcie końcowym miały wpływ na infrastrukturę ICS/OT. Biorąc pod uwagę jednak fakt, iż często skuteczny atak poprzedzony jest okresem “hibernacji” atakującego (czas na rekonesans infrastruktury, przechwycenie/skompromitowanie systemów przed ostatecznym atakiem), to na przestrzeni kolejnych miesięcy możemy spodziewać się dodatkowych informacji … 

Działania zaradcze

Staramy się zapewnić naszym pracownikom możliwość zdalnej pracy. Takie mamy uwarunkowania wynikające z Covid-19. Musimy więc podjąć działania zmierzające do lepszego zarządzania zdalnym dostępem, logowania aktywności, przydzielania dostępów, pozwalające lepiej zarządzać ryzykiem

Większość statystyk związanych z atakami hakerskimi, wskazuje wektory ataków rozpoczynające się od przestrzeni IT. W przypadku zdalnych sesji dla inżynierów OT, automatyków i służb technicznych, większość połączeń odbywa się poprzez infrastrukturą korporacyjną – część IT. Dokładnie tak samo jak w przypadku innych pracowników danej organizacji. Różnica jest – powinna być jednak w uprawnieniach. Dalsze przydzielenie zasobów zazwyczaj odbywa się w oparciu o polityki, reguły na Firewall’u systemy przydzielające dostęp i nadzorujące autoryzację, uwierzytelnienie użytkowników. Dla systemów ICS/OT osiągalnych z poziomu internetu … ucinamy.

W obecnym uwarunkowaniu pracy zdalnej, musimy uwzględnić dodatkowo czynniki przy szacowaniu ryzyka dla danej organizacji:

  • mniejszy wpływ na otocznie z którego użytkownik nawiązuje połączenie,
  • mniejsza kontrola nad urządzeniem z którego użytkownik łączy się z naszą infrastrukturą i poszczególnymi zasobami,
  • zdecydowanie większa ilość połączeń zdalnych z wykorzystaniem zaakceptowanej technologii,
  • zwiększona ilość alarmów i incydentów – konieczny zespół zajmujący się analizą i rozwiązywaniem zdarzeń (forensic team).

Ostatecznie większość z działań dotyczy czynnika ludzkiego. Nie mniej istotne jednak pozostają aspekty technologiczne, proceduralne:

  • wdrożenie rozwiązań IDS+IPS celem analizy i logowania zdarzeń, blokowania z góry niedozwolonych scenariuszy,
  • wymuszanie połączeń VPN z autoryzacją i uwierzytelnienim MFA
  • odpowiednia polityka haseł, zmiany i kompozycji hasła,
  • cykliczne szkolenia kadry pracowniczej w aspektach bezpieczeństwa informacji, incydentów phisingowych i wyłudzeń,
  • periodyczne oceny systemów i procedur, analiza zdarzeń i incydentów,
  • współpraca miedzydziałoawa i wymiana doświadczeń, wymagań i określenia wzajemnych zależności.

Wszystkie z powyższych punktów można w sposób bezpośredni odnieść do realiów świata produkcji i systemów ICS/OT. Punkt ostatni jednak bezpośrednio kładzie nacisk na wypracowanie mechanizmów wspólnych zarówno dla działów IT jak i ICS/OT. Bez tak wspólnie określonego punktu styku, często to co jest określone przez IT jest równie znakomicie pomijane i obchodzone przez OT. Nie zrozummy się źle – intencje nie są takie by działać na złość. Często jednak to co jest implikowane przez uprzedniego dialogu, okazuje się iż zwyczajnie nie działa. Wówczas też, celem umożliwienia dalszego wsparcia, inwencja twórcza inżynierów zostaje uruchomiona, bramki M2M idą w ruch i … dzieje się.

Dodaj komentarz