Mimo rosnącej świadomości odnośnie ataków cybernetycznych na systemy przemysłowe i infrastrukturę krytyczną wiele modeli bezpieczeństwa IT nadal opiera się na przestarzałym poglądzie, zgodnie z którym wystarczy fizycznie odizolować systemy i stosować klasyczne metody bezpieczeństwa. Niestety, biorąc pod uwagę stopień zaawansowania współczesnych cyberprzestępców, takie podejście jest niewystarczające. Eksperci z Kaspersky Lab przyjrzeli się pięciu popularnym mitom dotyczącym ochrony systemów przemysłowych.
Mit 1: Nasze systemy automatyki przemysłowej nie są połączone z internetem, zatem są bezpieczne.
Rzeczywistość: Typowy system sterowania przemysłowego (ang. ICS) posiada 11 bezpośrednich połączeń z internetem. Jeżeli dana organizacja uważa, że jest wyjątkiem, może być w błędzie. Badanie przeprowadzone w dużej firmie z branży energetycznej ujawniło, że większość menedżerów oddziałów uważała, że systemy kontroli nie są połączone z siecią firmową. Audyt wykazał, że 89% systemów posiadało takie połączenie. Co więcej, ochrona sieci firmowej była nastawiona jedynie na ogólne procesy biznesowe, bez uwzględniania systemów odpowiedzialnych za funkcje krytyczne. Istniały różne rodzaje połączeń między siecią przedsiębiorstwa a internetem, takie jak intranet, bezpośrednie połączenie z Siecią, połączenie bezprzewodowe oraz za pośrednictwem modemów telefonicznych.
Taka niepełna ochrona może sprawić, że obiekt będzie podatny na ataki. Jako przykład może posłużyć robak Slammer. Szkodnik ten zainfekował niezwykle zróżnicowaną infrastrukturę krytyczną obejmującą pogotowie ratunkowe, kontrolę ruchu oraz bankomaty, osiągając pełną szkodliwą aktywność w ciągu niecałych trzech minut - dzięki internetowi. Jak na ironię, jedynym czynnikiem, który spowolnił go, był brak przepustowości w sieciach, do których przeniknął. Oto kilka przykładów incydentów z udziałem tego szkodnika:
Mit 2: Mamy zaporę sieciową, dlatego jesteśmy zabezpieczeni przed zagrożeniami z zewnątrz.
Rzeczywistość: Zapory sieciowe oferują pewien stopień ochrony, ale z pewnością nie są niemożliwe do przeniknięcia. W badaniu obejmującym 37 zapór sieciowych w firmach z branży finansowej, energetycznej, telekomunikacyjnej, mediów i motoryzacyjnej ustalono, że:
Mit 3: Hakerzy nie rozumieją systemów przemysłowych SCADA/DCS/PLC.
Rzeczywistość: Systemy SCADA i rozwiązania służące do sterowania procesami to tematyka poruszana regularnie na konferencji hakerskiej "Blackhat". Ponadto cyberprzestępczość stała się bardzo lukratywnym zajęciem - szkodliwe programy wykorzystujące luki, dla których nie ma jeszcze poprawek bezpieczeństwa (tzw. expoity zero-day), są sprzedawane zorganizowanym grupom przestępczym nawet za 80 tys. dolarów. Poniższe fakty świadczą o tym, że cyberprzestępcy posiadają motywację i możliwości, by atakować systemy sterowania przemysłowego:
Mit 4: Nasz obiekt nie stanowi celu.
Rzeczywistość: Przede wszystkim, nigdy nie można mieć pewności, że nie jest się potencjalnym celem ataków. Dodatkowo, warto wziąć pod uwagę dwa następujące fakty.
Po pierwsze, nie trzeba być celem, aby stać się ofiarą - 80% incydentów naruszenia bezpieczeństwa systemów sterowania było niezamierzonych, ale spowodowało szkody. Na przykład celem wspomnianego wcześniej robaka Slammer było unieruchomienie możliwie największej liczby systemów na świecie. Autor tego szkodnika nie wziął na celownik firm z branży energetycznej czy pogotowia ratunkowego, a mimo to organizacje te odczuły skutki ataku.
Po drugie, wiele rozwiązań przemysłowych jest narażonych i podatnych na ataki, ponieważ wykorzystuje niezabezpieczone systemy operacyjne. Szeroko zakrojone badanie przeprowadzone przez Kaspersky Lab z wykorzystaniem danych dostarczonych przez chmurę Kaspersky Security Network (KSN) pokazuje, że coraz więcej komputerów, na których działa oprogramowanie SCADA, trafia na to samo szkodliwe oprogramowaniem, które uderza w systemy biznesowe (IT).
Mit 5: Nasz system bezpieczeństwa zabezpieczy nas przed atakami.
Rzeczywistość: Należy mieć świadomość, że większość dostępnych obecnie systemów bezpieczeństwa przemysłowego zawiera błędy techniczne. Właśnie dlatego Kaspersky Lab pracuje nad stworzeniem bezpiecznego systemu operacyjnego, który od początku został zaprojektowany z myślą o ochronie IT. Główne problemy dotyczące obecnych systemów są następujące:
A zatem… co można zrobić w tej sytuacji?
Aby zapewnić skuteczną ochronę przed atakami w zorientowanym na procesy, wysoce dostępnym środowisku sterowania przemysłowego, systemy bezpieczeństwa muszą spełnić określone wymagania. O ile podejście oparte na izolowaniu komputerów od sieci zewnętrznej stanowi istotną pierwszą linię obrony, ochronę należy również zapewnić wewnątrz sieci, na najbardziej podatnych na ataki systemach i urządzeniach, które znajdują się na celowniku cyberprzestępców.
"Wraz ze wzrostem częstotliwości i stopnia zaawansowania aktywności cyberprzestępczej, w tym ataków ukierunkowanych oraz zaawansowanych długotrwałych zagrożeń (ang. APT), systemy bezpieczeństwa należy nieustannie badać i poddawać ponownej ocenie" - powiedział Andriej Nikiszin, szef działu odpowiedzialnego za nowe technologie, Kaspersky Lab. "W ten sam sposób należy postępować z wszelkimi innymi przekonaniami i mitami dotyczącymi systemów przemysłowych i infrastruktury krytycznej".