Kontrolery zarządzające procesami w przemyśle z reguły pracują w sieci. Tymczasem oprogramowanie zawiera luki, które mogą posłużyć do ataku na system firmy.

Nowoczesna firma nie może się obyć bez kontrolerów przemysłowych, które zarządzają przebiegiem procesów produkcyjnych. Typowym zastosowaniem jest nadzór nad procesami chemicznymi, mechanicznymi bądź sterowanie maszynami. Kontrolery takie są przeważnie specjalizowanymi komputerami pracującymi pod kontrolą systemów czasu rzeczywistego, a więc znacznie różniącymi się od typowej stacji roboczej z Windows. W wielu przypadkach nie posiadają graficznego interfejsu użytkownika, a interfejsy wymiany danych są zestandaryzowane (LAN oraz RS-232/422/485).

Kontrolery przemysłowe są wyposażane w procesory taktowane zegarami rzędu kilkudziesięciu do kilkuset megaherców i często są to układy o architekturze RISC. Z zasady kontrolery są tak zaprojektowane, aby zapewnić wysoką stabilność działania, odporność na trudne warunki pracy (temperatura, wilgotność, drgania, obecność szkodliwych substancji), a często są wyposażane w zwielokrotnione najważniejsze elementy. Pomimo tych różnic - w porównaniu do komputerów ogólnych zastosowań - mają z nimi pewną cechę wspólną. Są podatne na błędy w oprogramowaniu. Przykładowo opublikowano niedawno kod exploita umożliwiającego przejęcie kontroli nad kontrolerami przemysłowymi. Wykorzystuje on lukę w oprogramowaniu CitectSCADA. Można ją wykorzystać, aby naruszyć bezpieczeństwo, gdyż kontroler nie jest zabezpieczony zaporą.

Wirus w fabryce chemicznej

Celem tej publikacji było zwrócenie uwagi na bezpieczeństwo takich systemów, często lekceważone przez producentów i integratorów. Jak twierdzą specjaliści, potencjalne skutki takiego włamania mogą być bardzo poważne.

Naruszenie bezpieczeństwa kontrolerów przemysłowych grozi potencjalnie znacznie poważniejszymi skutkami niż włamanie na serwer. W tym drugim wypadku można jedynie utracić dane lub serwer może zostać zablokowany. Znacznie groźniejszy byłby sabotaż kontrolerów sterujących w procesie związanym z reakcjami chemicznymi, gdy zakres dopuszczalnych parametrów (temperatura, ciśnienie, ilości reagentów) zostałby przekroczony. Oczywiście wiele z takich instalacji posiada mechaniczne urządzenia, które zabezpieczają proces przed katastrofą, chroniąc całość w razie awarii kontrolera, ale niemal zawsze zadziałanie takich zabezpieczeń równa się przestojowi fabryki. Gdy zaś takich zabezpieczeń nie ma, może dojść do katastrofy. Pracownicy często posiadają manipulatory umożliwiające ręczne przejęcie kontroli nad procesem w razie awarii, ale nie zawsze można z tych opcji skorzystać.

W odróżnieniu od serwera, który można szybko uruchomić ponownie, niektóre procesy wymagają długich przygotowań, aby uzyskać wymaganą temperaturę czy poziom ciśnienia. Dobrym przykładem jest elektrownia cieplna, której rozruch wymaga bardzo dużych ilości energii, niedostępnych, gdy elektrownia nie pracuje. Przykład takiej zależności odczuli w kwietniu br. mieszkańcy Szczecina, gdy zniszczone linie energetyczne uniemożliwiły start elektrowni.

Sposób na zabezpieczenie

Wiele systemów przemysłowych działa w reżimie pracy ciągłej i jest wyposażonych w mechanizmy zapewniające ich wysoką dostępność. W takich warunkach trudno jest aplikować łaty bezpieczeństwa, nawet jeśli są one dostarczane przez producenta, a jeszcze trudniej przetestować je przed instalacją. Dlatego systemy przemysłowe przeważnie nie są aktualizowane na bieżąco.

Wbrew pozorom nie jest to ryzykowne, bowiem bezpieczeństwo całego środowiska zapewnia się innymi metodami. Klasyczną z nich jest całkowita separacja środowiska od pozostałej części sieci. Metoda ta sprawdza się bardzo dobrze w przypadku przedsiębiorstwa, które nie musi wymieniać danych na temat procesów z innymi firmami w czasie rzeczywistym. W celu uzyskania takiej separacji, z reguły wydzielana jest osobna podsieć przeznaczona wyłącznie do kontroli procesów. W sieci tej zmian prawie nie ma, zatem można wdrożyć statyczne zabezpieczenia, takie jak restrykcje adresów sprzętowych i IP. Należy oczywiście zadbać o rezerwowe zasilanie podsieci, a także zdublowanie najważniejszych urządzeń sieciowych. Połączenie do tej sieci należy chronić zaporą sieciową, aby umożliwić połączenie jedynie z konkretnych maszyn. Należy jednak mieć na uwadze, że kontrolery przemysłowe nie zawsze pozwalają na ustawienie listy dostępu ACL. Niemniej, gdy wprowadzone zostaną mechanizmy separacji sieci, taka luka w bezpieczeństwie kontrolera, jaką zaprezentowano ostatnio, staje się mało groźna.

Innym przypadkiem jest firma, która eksploatuje krytyczne aplikacje łączące się z kontrolerami przemysłowymi i musi zapewnić ciągłą wymianę danych z innymi przedsiębiorstwami. W takim przypadku należy utworzyć most wymiany danych pomiędzy izolowaną siecią przemysłową a pozostałą częścią sieci. Na tym etapie należy zabezpieczyć połączenie tak, by dane wymieniane między węzłami były rygorystycznie sprawdzane. Więcej o współpracy między krytycznymi aplikacjami pisaliśmy 15 maja 2007 r. w artykule Koniec Izolacji.