Jak ochronić urządzenia SC ADA
- 18.12.2013
Obecnie coraz bardziej narażone na atak są systemy osadzone, traktowane jako czarna skrzynka. Szczególnym przykładem takich urządzeń są systemy automatyki przemysłowej.
Przez wiele lat firmy korzystały z urządzeń praktycznie bez zabezpieczeń, poza zastosowaniem wydzielonej sieci. Dział IT uważał, że odseparowanie sieci gwarantuje ochronę. W dobie zagrożeń złośliwym kodem przenoszonym między oddzielonymi sieciami założenie to nie jest prawdziwe.
„Informatycy nie doceniają inteligencji cyberprzestępców i traktują środowisko osadzone jako wyizolowane, niepodatne na zagrożenia albo tak nieistotne z punktu widzenia firmy, że urządzenia te nie wymagają w ogóle uwagi. To poważny błąd” – mówi Maciej Iwanicki, ekspert ds. bezpieczeństwa w firmie Symantec.
Sieci się nie oddziela
Podstawową metodą ochrony urządzeń wrażliwych na atak jest odseparowanie od zagrożenia. Metoda sprawdzała się przez wiele lat, szczególnie w instalacjach, w których jedynym sposobem komunikacji był port szeregowy RS-232 i magistrala RS-485. Chociaż magistrala szeregowa nadal zapewnia dobrą komunikację, w firmach coraz częściej pojawiają się systemy wykorzystujące sieć Ethernet. Systemy automatyki przemysłowej obsługujące procesy techniczne są łączone z innymi aplikacjami. Powstaje wtedy skomplikowana struktura połączeń, gdzie nie zawsze da się odseparować urządzenia sterujące od tych, które pozyskaną z nich informację wykorzystują do dalszych analiz. Zwykłe filtrowanie za pomocą zapory sieciowej słabo chroni urządzenia. Problem sprawiają też dołączane z zewnątrz komputery, niezbędne do serwisowania i kontroli systemów automatyki przemysłowej.
Maciej Iwanicki uważa, że „w dobie łączenia urządzeń osadzonych z innymi systemami słowo ‘separacja’ powinno być traktowane inaczej niż kilka lat temu. Separacja zanikła, nie jest już tak ostra jak kiedyś, systemy są łączone między sobą. Jednym z powodów braku pełnej separacji jest także dostęp serwisanta, który wykonuje różne czynności wymagające podłączenia laptopa do wydzielonej sieci. Sytuację znacznie pogarsza fakt, że producenci nie myśleli o bezpieczeństwie podczas konstrukcji tych urządzeń”.
Do sieci chronionej, w której pracują urządzenia automatyki przemysłowej, można się włamać, nawet jeśli nie ma fizycznego połączenia do innego segmentu. Wystarczy, by istniało połączenie logiczne, związane z przenoszeniem dokumentów lub plików konfiguracyjnych za pomocą nośników wymiennych USB. Do ataku niezbędne są też podatności systemów i aplikacji w obu segmentach. Historia ataków klasy militarnej związanych z wykorzystaniem luk bezpieczeństwa w obsłudze urządzeń USB i plików na nośnikach wymiennych wskazuje, że nawet oddzielona sieć (air-gapped) może być zagrożona. Jeśli firma wykorzystuje dane z systemów SCADA do prognoz lub raportowania, zadanie jest o wiele łatwiejsze, gdyż istnieje fizyczne połączenie sieciowe, niekiedy słabo zabezpieczone.
W określonym czasie
Chociaż rozwiązania instalowane w samochodach na pozór odbiegają od urządzeń automatyki przemysłowej, niektóre zagadnienia związane z ich ochroną przed złośliwym kodem są podobne.
„Kolejne zagrożenia, których należy się spodziewać, są związane z rynkiem motoryzacyjnym. Każdy z nas podjeżdża samochodem do serwisu, a ten samochód jest tam podłączany do komputera. Systemów instalowanych w pojazdach nie da się zabezpieczyć za pomocą standardowego oprogramowania ochronnego. Na pokładzie dzisiejszego auta pracuje co najmniej kilka połączonych ze sobą komputerów” – mówi Jolanta Malak, country manager w firmie Symantec.
Czas transmisji danych można precyzyjnie określić w przypadku przełączników sieciowych, ale nie zawsze przy zaporach sieciowych i routerach. Ze względu na pracę w określonych ramach czasowych i planowaną separację sieci producenci nie wprowadzali zaawansowanych zabezpieczeń. Obecnie nie można całkiem oddzielić sieci automatyki przemysłowej od reszty firmowej infrastruktury – aplikacje korzystają z danych pochodzących z procesów przemysłowych.
Czarna skrzynka
Urządzenia osadzone są łatwym celem dla napastników i coraz więcej firm wdraża projekty zabezpieczeń urządzeń. Sposób zabezpieczenia zależy od tego, jakie oprogramowanie tam działa. Jeśli w urządzeniach pracuje własnościowy, specjalizowany system operacyjny, możliwości ochrony są ograniczone. Nie można w niego ingerować, wszelkie działania związane z usuwaniem podatności leżą po stronie producenta. Można jednak minimalizować ryzyko, wprowadzając ochronę na poziomie sieci.