Liczba koncernów przemysłowych dotkniętych cyberatakami gwałtownie wzrosła pod koniec 2020 roku. Wcześniej ataki tego rodzaju dotyczyły głównie firm gazowych, energetycznych, nuklearnych czy wodnych i wydawały się mieć więcej wspólnego z geopolityką. W ostatnich latach cele przestępców ulegały stopniowej dywersyfikacji i obecnie są nimi również przedsiębiorstwa innych branż – produkcyjnej, dystrybucyjnej, rolno-spożywczej, a nawet transportu i mobilności.
W erze postępującej cyfryzacji przemysłu, powszechnego stosowania rozwiązań bazujących na Internecie Rzeczy (IoT) i zdalnego dostępu do urządzeń sieciowych, a także ewolucji wykorzystywanych przez przestępców ataków typu ransomware, eksperci Stormshield wskazują kilka kluczowych zagadnień w obszarze cyberbezpieczeństwa, wymagających szczególnej uwagi zarządzających funkcjonowaniem zakładów przemysłowych.
Ataki na przemysł motywowane nie tylko geopolityką
Dzięki Przemysłowi 4.0, wzmocnionemu przez technologię 5G i rozwiązaniach bazujących na Internecie Rzeczy, zakład przemysłowy – historycznie zaprojektowany jako odosobniona „cytadela” – przekształca się w cyfrowy system połączony ze światem zewnętrznym i wypełniony różnego rodzaju czujnikami. W miarę jak fabryki w coraz większym stopniu dążą do pełnej automatyzacji procesów i pracują w trybie permanentnej łączności ze środowiskiem zewnętrznym, w większym stopniu są narażone na ataki cyberprzestępców, szczególnie typu ransomware.
W lutym 2021 r. Trigano, producent samochodów kempingowych i przyczep kempingowych, padł ofiarą złośliwego oprogramowania ransomware. Podczas ataku zostały uszkodzone serwery grupy i wstrzymana produkcja w zakładach we Francji, Włoszech, Hiszpanii i Niemczech. W czerwcu 2020 roku podobnej sytuacji, ale na większą skalę, doświadczył koncern Honda. Japoński producent samochodów został zmuszony do zawieszenia niektórych operacji produkcyjnych. Ucierpiało jedenaście fabryk w USA, Brazylii, Turcji i Indiach. Problem tego typu ataków dotyczy również Polski – 64 proc. firm uczestniczących w badaniu KPMG* odnotowało przynajmniej jeden cyberincydent.
Powyższe przykłady jasno wskazują, że nikt nie może czuć się w pełni bezpieczny, a postępująca cyfrowa transformacja gospodarki nie może odbywać się bez uwzględnienia kwestii cyberbezpieczeństwa – mówi Piotr Zielaskiewicz product manager Stormshield. Wdrożenie 5G i Internetu Rzeczy, bez solidnych podstaw w zakresie optymalizacji bezpieczeństwa cyfrowego, wiąże się z większą możliwością znalezienia przez przestępców luk. Wykorzystując je mogą oni infekować system i paraliżować pracę przedsiębiorstwa.
Przemysłowy ransomware coraz bardziej wyrafinowany
Szczególnym zagrożeniem jest nowy rodzaj oprogramowania ransomware, wyposażony w zdolność do atakowania oprogramowania i protokołów komunikacyjnych dedykowanych przemysłowi.
Jednym z nich jest malware EKANS, relatywnie prosty w porównaniu do innych znanych w branży przemysłowej – choćby liczącego blisko 10 lat robaka Stuxnet czy mającego na koncie ataki na systemy sterowania ukraińskimi sieciami elektroenergetycznymi BlackEnergy. Jednakże nowością jest tu fakt, że szyfruje on pliki systemów służących do kontroli pracy maszyn i instalacji technologicznych, w efekcie powodując wyłączenia oraz straty producentów – wyjaśnia Piotr Zielaskiewicz.
Ataki ransomware są także dostosowywane do konkretnych branż. Jednak chociaż forma złośliwego oprogramowania, z którego korzystają cyberprzestępcy, może się zmieniać, to podstawowa zasada jego działania pozostaje niezmienna: infiltrować i wykorzystywać połączenia między technologią operacyjną i informatyczną, aby uzyskać dostęp do zasobów cyfrowych przedsiębiorstwa. Coraz powszechniejsza możliwość ataku ma bezpośredni wpływ na kwestie operacyjne przedsiębiorstw. Jest to kluczowa kwestia, z którą obecnie musi się zmierzyć każda branża.
Zdaniem specjalistów Stormshield w tym kontekście głównymi obszarami, na które należy zwrócić największą uwagę są:
- połączenia pomiędzy fabrykami – zarządzanie rozległą pulą zasobów przemysłowych (poprzez architekturę rozproszoną), z coraz bardziej połączonymi ze sobą zakładami przemysłowymi, stanowi poważne ryzyko propagacji ataków.
- rosnąca konwergencja pomiędzy systemami przemysłowymi a systemami informatycznymi – ze swej natury systemy przemysłowe są złożone i działają z wykorzystaniem stałego, dwukierunkowego przepływu komunikacji w czasie rzeczywistym. Ponieważ współzależność technologii operacyjnej (OT) i rozwiązań z zakresu technologii informatycznych (IT) przyspiesza, otwierają się nowe przestrzenie do ataków.
- cyberzarządzanie – z jednej strony zespoły IT muszą stać się bardziej kompetentne w radzeniu sobie z wyzwaniami i specyficznymi cechami OT oraz proponować zmiany sposobu myślenia ogólnego kierownictwa dot. relacji pomiędzy budżetem i bezpieczeństwem OT. Z kolei zespoły OT powinny nauczyć się współpracować z zespołami IT w ramach ogólnej strategii bezpieczeństwa organizacji.
Siedem kroków ochrony niezbędnych przed wdrożeniem 5G lub Internetu Rzeczy
- Utrzymanie bariery między IT a OT. Oznacza to odpowiednie zaprojektowanie wszystkich elementów sieci teleinformatycznej, w tym segmentację systemów informatycznych i separację sieci. Dzięki temu możliwe jest zapewnienie podstawowego poziomu bezpieczeństwa między fabrykami i ich otoczeniem zewnętrznym.
- Segmentacja sieci przemysłowej. W dzisiejszych czasach systemy przemysłowe w fabrykach są często „płaskie”. Oznacza to brak segmentacji. Sprzęt funkcjonuje w ramach tej samej sieci. W przypadku ataku wystarczy, że skutecznie zaatakowany zostanie tylko jeden element wyposażenia, aby złośliwe działanie rozprzestrzeniło się na całą fabrykę. Wprowadzenie segmentacji pomaga zabezpieczyć określone obszary, spowolnić atak i w efekcie szybciej go powstrzymać.
- Zabezpieczenie komunikacji pomiędzy sterownikami przemysłowymi.
- Eliminowanie elementów sieci, poprzez odłączenie od niej tych urządzeń, które nie potrzebują komunikacji sieciowej.
- Stały monitoring sieci teleinformatycznej przez specjalistów ds. cyberbezpieczeństwa posiadających wyłączne, chronione uprawnienia do ochrony zasobów cyfrowych.
- Przemyślane zarządzanie polityką dostępu i uprawnień przez pracowników organizacji, która pozwoli ograniczyć potencjalne ataki wykorzystujące słabość czynnika ludzkiego.
- Konieczność kontroli i zabezpieczenia systemów IT i OT za pomocą dedykowanych przemysłowi firewalli.
