Energia kontra wirusy. Jak zadbać o bezpieczeństwo informatyczne w przemyśle

gospodarka
Niedziela, 7 lutego 2016 (06:00)
Nowy Przemysł

Jeszcze niedawno infrastruktura teleinformatyczna operatorów systemów elektroenergetycznych funkcjonowała w wyizolowanych środowiskach. Teraz, kiedy to już niemożliwe, wzrosło zagrożenie sieci cyberatakami.

Niebezpieczeństwo cyberataków powiększyło się wraz z otwarciem środowiska informatycznego energetyki. Jeszcze niedawno wiele procesów nie było zautomatyzowanych, tak jak np. odczytywanie danych pomiarowych. Obecnie następuje to zdalnie.

- Obserwując rozwój systemów IT w obszarze dostawców energii, można powiedzieć, że IT staje się rdzennym elementem działalności i w związku z tym podatność na ataki rośnie - mówi Piotr Szarwas, dyrektor RWE IT Poland, zwracając przy tym uwagę na fakt, że w każdym domu instalowany jest semi-inteligentny licznik połączony z centrami danych dostawcy energii. Co więcej, w każdej stacji niskiego, średniego i wysokiego napięcia instaluje się urządzenia sieciowe, które mają dostęp do centrów danych operatorów sieci energetycznej.

Reklama

Uwaga, niska odporność!

Systemy zarządzania siecią elektroenergetyczną opierają się na komunikacji IP, która często jest współdzielona z innym ruchem sieciowym. Coraz częściej widać, że dostawcy energii stają się celem cyberataków.

- Ze względów historycznych dostawcom energii może jeszcze brakować wiedzy i doświadczenia w mierzeniu się z wyzwaniem, jakim jest cyberprzestępczość - zauważa przedstawiciel RWE.

Systemy przemysłowe mają o wiele dłuższy czas eksploatacji od zwykłych systemów biurowych. Jednocześnie, na co zwraca uwagę Adam Kozakiewicz, kierownik pracowni metod bezpieczeństwa sieci w informacji NASK, systemy sterowania wykorzystują w wielu miejscach standardowe systemy operacyjne, np. z rodziny Microsoft Windows.

- W efekcie spotykamy sieci, w których istotną rolę pełnią nadal komputery z Windows XP lub nawet starszym, w których nowo wykryte luki nie są już łatane - przestrzega. Systemów tych nie można jednak wymienić, choćby dlatego, że aplikacje sterujące mogą nie być zgodne z nowszymi rozwiązaniami. Poza tym ewentualna podmiana łączy się z długotrwałym przestojem danej instalacji, procedurami testowania nowych wersji. Koszty są zatem zaporowe.

- W efekcie systemy przemysłowe są o wiele bardziej podatne na ataki niż komputery, z którymi mamy kontakt na co dzień - mówi przedstawiciel NASK.

Cyberzagrożenia dotykające sektor energetyczny są trojakiego rodzaju. Po pierwsze, możliwe jest zakłócanie procesu sterowania, czy to przez zmianę wartości sterujących, czy wytwarzanie własnych sterowań, po drugie - odcięcie możliwości sterowania lub obserwacji danej instalacji, po trzecie - zmiana wartości obserwowanych - w celu skłonienia operatora do podjęcia błędnych decyzji.

- W każdym wariancie mowa o utracie możliwości sterowania określonymi podsystemami - wyjaśnia Kozakiewicz. - W skrajnym przypadku zmiany takie mogą doprowadzić do fizycznego uszkodzenia urządzeń, co przeważnie jest bardzo kosztowne i wymaga długotrwałej naprawy.

W przypadku systemu elektroenergetycznego może to być np. konieczność odbudowy całego bloku energetycznego. Ponadto złożone, wielkie systemy (jak właśnie elektroenergetyczny) podatne są na efekt domina, a wywołana atakiem awaria kilku lub nawet jednego kluczowego systemu może doprowadzić do destabilizacji całości i w efekcie dalszych zniszczeń.

Pobierz darmowy: PIT 2015

Jak się bronić?

Metody zabezpieczeń sieci elektroenergetycznych nie różnią się znacznie od stosowanych w zwykłych sieciach. Jest to więc ochrona strefowa, ograniczająca dostępność systemów z zewnątrz, stosowanie firewalli i systemów IDS (intrusion detection system). Sama ochrona strefowa jest możliwa i dość skuteczna, ale trudno o skuteczne zabezpieczenie systemu sterowania. Na przeszkodzie stają dwa czynniki, niewystępujące w zwykłych środowiskach biurowych.

- Po pierwsze, wielość i nietypowość stosowanych w praktyce protokołów sterowania i zarządzania - wskazuje Adam Kozakiewicz. - Ich rzadkość i niechęć właścicieli systemów do zgłaszania incydentów sprawia, że podatność implementacji nie jest szybko identyfikowana, a bazy reguł dla systemów wykrywania zagrożeń są ubogie.

Drugim czynnikiem są ograniczenia czasowe. Sterowania w systemach przemysłowych muszą dotrzeć do obiektów sterowanych w określonym czasie, niekiedy bardzo krótkim. Nie można więc bez szczególnej ostrożności wstawiać na ich ścieżce zabezpieczeń, które zawsze wprowadzają pewne opóźnienia. Nawet, jeśli to możliwe, nie można stosować dowolnie bogatych zestawów reguł - czas na zbadanie każdego pakietu jest bardzo ograniczony.

- Ochrona strefowa, czyli identyfikacja niezbędnego zakresu komunikacji między poszczególnymi systemami oraz odcięcie wszelkiego innego ruchu przy użyciu klasycznych rozwiązań, to obowiązek każdego odpowiedzialnego operatora systemów krytycznych - zwraca uwagę Adam Kozakiewicz.

Niestety, nawet to wymaganie często nie jest spełnione. A dalsze skuteczne zabezpieczenia to trudny problem - na rynku wciąż brak dojrzałych rozwiązań przeznaczonych dla systemów przemysłowych. Pojawiają się pierwsze przykłady, jest ich jednak niewiele i wymagają dalszego rozwoju.

Zabezpieczenia infrastruktury sieci elektroenergetycznych przed cyberzagrożeniami można odnieść do trzech obszarów: organizacji (pracownicy), procesów i technologii.

- Na poziomie organizacji, bezpieczeństwo jest zagadnieniem, które dotyczy każdego pracownika przedsiębiorstwa, zwłaszcza że bardzo często to właśnie oni w pierwszej kolejności mogą paść ofiarą cyberataku - wskazuje Piotr Szarwas z RWE IT Poland. Dlatego niezwykle ważne, aby każdy pracownik był regularnie szkolony w dziedzinie podstaw bezpieczeństwa informatycznego. Konieczne jest także, by pracownicy szczególnie narażeni na ataki, np. pracujący z krytycznymi systemami informatycznymi takimi jak SCADA czy pracownicy IT, dysponowali szerszą niż podstawowa wiedzą ekspercką na temat cyberbezpieczeństwa.

- Pożądane jest również powołanie w ramach organizacji specjalnej komórki, która będzie dbała o kwestie związane z bezpieczeństwem informatycznym - radzi Szarwas. Nasz rozmówca zauważa, że na poziomie procesów podejście do zagadnienia bezpieczeństwa musi być usystematyzowane i kompleksowe. Nie ma sensu zabezpieczać systemu informatycznego, jeżeli nie jest zabezpieczona serwerownia lub nie są szyfrowane dane.

Zdaniem Szarwasa, najlepiej oprzeć usystematyzowanie na uznanych standardach, takich jak ISO 27001. RWE aktualnie wdraża ten standard z zamiarem finalizacji w 2016 roku.

Mariusz Szczęsny, kierownik w zespole systemów bezpieczeństwa Asseco Poland, zwraca z kolei uwagę, że w przypadku firm elektroenergetycznych ochrona przed cyberzagrożeniami wymaga podejścia wielopłaszczyznowego. Poza ochroną sieci biurowych bardzo istotne są zabezpieczenia sieci odpowiedzialnych za sterowanie automatyką i przesyłem energii.

Zdaniem Szczęsnego, w obecnych czasach najważniejsze jest stosowanie systemów, które zapewniają analizę nie tylko bezpieczeństwa w warstwie sieciowej, ale przede wszystkim "rozumieją komunikację" i są w stanie również monitorować jej zawartość - tak, aby możliwe było wykrycie zagrożeń, które na pozór wydają się normalnym zachowaniem.

Anomalie do analizy

Podstawowym efektem wprowadzenia nowoczesnych zabezpieczeń przed cyberatakami u operatorów systemów elektroenergetycznych powinna być skuteczna eliminacja niepożądanego ruchu. Zdaniem Adama Kozakiewicza z NASK, to jednak nie wystarczy, ponieważ istnieją inne metody instalacji złośliwego oprogramowania w systemie chronionym, także w miejscach, które nie są już izolowane od najważniejszych urządzeń.

W związku z tym, kluczową funkcjonalnością nowoczesnych systemów bezpieczeństwa sieci przemysłowych są zaawansowane metody analizy anomalii, obejmujące wykrywanie i analizę prób połączeń do nieistniejących urządzeń przez systemy pułapkowe, wykrywanie nietypowych sytuacji w ruchu dopuszczalnym, weryfikację zgodności rejestrowanych przepływów z protokołami itd.

- Wykrycie niepożądanej aktywności w sieci umożliwia identyfikację i eliminację zainfekowanych komputerów - mówi Kozakiewicz. - Zaawansowane funkcje korelacji i agregacji zgłaszanych alarmów mogą zapewnić wygodny i łatwy w analizie obraz rejestrowanych zdarzeń.

Przedstawiciel NASK radzi, by nie zapominać o pobocznym kierunku potencjalnego ataku, jakim jest tzw. kanał inżynierski, czyli zdalne dostępy serwisowe dostawców sprzętu do urządzeń. Są on wykonywane w innym trybie niż pozostała łączność, z pominięciem wszelkich typowych zabezpieczeń.

- Należy pamiętać, że nawet serwisant może być atakującym, także nieświadomie, przez korzystanie z zawirusowanego komputera - przestrzega Adam Kozakiewicz. Konieczne jest zatem zapewnienie kontroli nad takimi zdalnymi dostępami, weryfikacja uprawnień, ograniczenie dostępu do urządzeń, które podlegają w danym momencie serwisowi, a także rejestracja połączeń, zapewniająca możliwość weryfikacji poprawności wykonywanych działań.

Jarosław Maślanek

Więcej informacji w portalu "Wirtualny Nowy Przemysł"

Dowiedz się więcej na temat: energetyka | kontra | cyberataki
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Reklama
Reklama
Reklama
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »