Do Projektu iAutomatyka dołączyli:

https://iautomatyka.pl/wp-content/uploads/2020/04/bezpieczenstwo-w-automatyce-wyrozniona.jpg

Przychodzi IT do automatyka…

autor: Kamil.

Od 2010 roku systemy automatyki stają się popularnym celem cyberprzestępców. Nowoczesne PLC, HMI i inne elementy automatyki, komunikują się m.in. z wykorzystaniem protokołu TCP/IP. Niesie to za sobą szereg zagrożeń, obok których nie sposób przejść obojętnie.

Rozwiązania automatyki do niedawna były uważane za dość bezpieczne, co wynikało z ich izolowania przed zewnętrznym światem. Tradycyjne wirusy komputerowe nie były efektywne w atakach na tego typu infrastrukturę. Wszystko zmieniło się w 2010 roku wraz z pojawieniem się robaka Stuxnet. Czołowi producenci automatyki zaczęli podejmować współpracę z producentami oprogramowania antywirusowego oraz firmami zajmującymi się bezpieczeństwem. Bezpieczeństwo automatyki coraz bardziej przeplata się z ogólnie pojętym bezpieczeństwem IT.

Automatyka – nie tak bezpieczna jak myślisz…

Prawdopodobnie najbardziej znanym atakiem na systemy automatyki był incydent związany z obiektami nuklearnymi Iranu. W 2010 roku robak Stuxnet wykorzystał komputery z systemem Windows do ataku na sterowniki PLC Simatic S7-315 oraz S7-417. Atak powodował zmianę parametrów sterownika podczas przesyłania komunikatów o stanie do HMI. Zaatakowane urządzenia zmieniały parametry pracy wirówek do wzbogacania uranu, co w rezultacie powodowało ich uszkodzenie. Siemens miał dużo więcej problemów z bezpieczeństwem także później. W sierpniu 2019 roku grupa badaczy z Izraela, zademonstrowała metodę przejęcia kontroli nad sterownikiem Simatic S7. Eksperci zaprezentowali sposoby zdalnego włączenia/wyłączenia sterownika, wczytania dowolnej logiki sterowania do urządzenia, a także podmiany kodu źródłowego dla urządzeń Simatic S7-1200 oraz S7-1500.

Nie tylko Siemens stał się celem ataków. W marcu 2020 roku grupa ekspertów z Cisco Talos odkryła wiele podatności związanych z produktami WAGO, m.in. zdalne ataki na sterowniki oraz panele HMI. Opublikowano blisko 30 zagrożeń zidentyfikowanych w sterownikach PFC100 oraz PFC200, a także panelach Touch Panel 600 HMI. Urządzenia były narażone na zdalne wykonanie kodu, wstrzykiwanie komend, przejmowanie przesyłanych informacji, a także ataki DoS. Niektóre z ataków mógł wykonać tylko zalogowany użytkownik. Grupa Cisco Talos wskazała, że część problemów dotyka oprogramowania e!COCKPIT, aplikacji WBM (Web-Based Management), łączności do kontrolerów z chmury, funkcjonalności sprawdzania I/O. W wielu przypadkach atakujący mógł przejąć kompletną kontrolę nad atakowanym urządzeniem. Dobrą wiadomością jest fakt, że WAGO udostępniło informacje o alternatywnych metodach zabezpieczenia dla wszystkich odkrytych zagrożeń, a także rozpoczęło poprawę znalezionych błędów w oprogramowaniu.

Problemy z bezpieczeństwem dotykają właściwie wszystkich producentów automatyki. Błędy w oprogramowaniu będą pojawiały się zawsze. Istotne jest jednak jak dany dostawca reaguje na fakt pojawienia się problemów i w jakim czasie potencjalne problemy bezpieczeństwa są rozwiązywane.

Jak bronić się?

Większość problemów z bezpieczeństwem automatyki bazuje na słabości protokołów wykorzystywanych w komunikacji. Wpływają na to brak lub niski poziom uwierzytelnienia, a także niska poufność/integralność przesyłanych informacji, ponieważ nie są stosowane zaawansowane zabezpieczenia kryptograficzne. Z pewnością większość systemów ICS jest ukrytych przed światem zewnętrznym. Do ataku wystarczy jednak PC, który zarządza taką strukturą, a dodatkowo ma dostęp do sieci Internet.

Istnieją dobre praktyki, które pozwalają prewencyjnie chronić się przed atakami na systemy PLC. Bardzo często zostały one stworzone dla świata IT. Zdecydowanie powinniśmy używać mocnych haseł, gdzie to tylko możliwe. Nigdy nie pozostawiajmy urządzenia bez ustawionego hasła. Wszystkie domyślne konta na urządzeniach, powinny zostać wyłączone.

Całkowite odseparowanie systemu automatyki od sieci LAN firmy i połączenia z Internetem jest dobrym pomysłem, ale ogranicza nas  funkcjonalnie. Dużo lepszym pomysłem jest zapewnienie kontroli dostępu przez listy ACL na zaporze ogniowej (firewall), chroniącej taki system. Dobrze jest skontaktować się z działem IT firmy, który z pewnością pomoże nam dobrać odpowiednie urządzenie ochronne oraz udzielić wsparcia w zakresie konfiguracji. Dostęp do systemu automatyki powinien być ściśle monitorowany i nadzorowany. Najlepiej gdyby był realizowany przez szyfrowany tunel VPN. Warto też ograniczyć możliwość wykorzystania portów USB, do których można podłączyć przenośne pamięci czy dyski zewnętrzne.

Szczególnie cennym rozwiązaniem okazuje się być IDS (Intruse Detection System). IDS to system wykrywania intruzów, który coraz częściej jest przygotowany do wykrywania incydentów związanych z automatyką.

Dlaczego korzystać z systemów IDS? Stuxnet potrafił przejść przez zaporę ogniową, ale już system wykrywania intruzów (IDS) potrafiłby go wykryć i zatrzymać. Warto pomyśleć o tym, gdy wystawiamy dowolny system automatyki na świat. IDS umieszczony na brzegu sieci potrafi analizować ruch w każdym kierunku. Wykrywa ataki na podstawie porównania z istniejącymi sygnaturami ataków w systemie IDS. Analizuje cały ruch sieciowy, niezależnie od protokołu. Pracuje jednak z boku, nie ingerując w przesyłane dane. W przypadku wykrycia zagrożenia, potrafi poprzez współpracę z zaporą ogniową, zablokować dane zagrożenie. To szczególnie istotny system w przypadku zapewnienia bezpieczeństwa automatyki w infrastrukturze krytycznej np. energetyka, gaz, woda pitna.


Ważne jest rozszerzenie mechanizmów bezpieczeństwa automatyki o metody filtrowania ruchu, zapory ogniowe, systemy IDS i rozsądną implementację stref DMZ. Oczywiście nie wszystko na raz – tylko efektywny dobór tych metod pozwoli lepiej chronić systemy, a w tym automatykom z pewnością pomoże dział IT.

#BezpiecznyPrzemysł

Chciałbym zwrócić uwagę na fakt, że duża liczba zagrożeń w systemach przemysłowych, może zostać wyeliminowana dzięki dobrej współpracy działów Automatyki i IT. Jak wiele jest do zrobienia, pokazuje nowa inicjatywa #BezpiecznyPrzemysł, prowadzona przez CERT Polska. Tylko w lutym bieżącego roku CERT Polska wykrył liczne panele operatorskie (HMI), podłączone bezpośrednio do Internetu bez uwierzytelniania, które pozwalały nie tylko na monitorowanie procesów, ale również zmianę części parametrów.

Warto zastanowić się, czy przy okazji testów bezpieczeństwa przeprowadzanych przez dział IT, nie podjąć próby przetestowania bezpieczeństwa systemów automatyki.

Postscriptum

Napisałem ten artykuł z punktu widzenia informatyka/bezpiecznika, który dawno temu studiował automatykę. W mojej pracy zawodowej spotkałem się z sytuacją, gdy w dużej firmie produkującej opakowania, podłączono systemy automatyki kilku linii produkcyjnych, bezpośrednio do sieci LAN przedsiębiorstwa. Powodem była konieczność obserwacji postępów produkcji z poziomu biura.

Zaniepokojony właściciel zadzwonił do mnie, gdy awarii uległ przełącznik LAN i zarówno sieć komputerowa, jak i struktura automatyki zachowywała się nieprzewidywalnie. Wykorzystanie najprostszej zapory ogniowej separującej sieć LAN od sieci automatyki, pozwoliła zapewnić bezpieczeństwo obu struktur, a jednocześnie zrealizować bezpieczny dostęp dla wybranych użytkowników sieci LAN do wybranych elementów automatyki.

Pracując czasami w środowiskach przemysłowych, podziwiam zbudowane przez automatyków systemy. Myślę jednak, że potrzebna jest ścisła współpraca Automatyków z IT, szczególnie w zakresie bezpieczeństwa.


Artykuł został nagrodzony w Konkursie iAutomatyka – edycja Kwiecień 2020.Nagrodę Multitiger + klucz do szaf+ zestaw gadżetów dostarcza ambasador konkursu, firma MULTIPROJEKT.


Utworzono: / Kategoria: , ,

Reklama

Newsletter

Zapisz się i jako pierwszy otrzymuj nowości!



PRZECZYTAJ RÓWNIEŻ



NAJNOWSZE PUBLIKACJE OD UŻYTKOWNIKÓW I FIRM

Reklama



POLECANE FIRMY I PRODUKTY