Jakie są efekty ataków na przemysłowe systemy IoT i jak się bronić przed zagrożeniami

Z czego wynikają problemy w zapewnieniu bezpieczeństwa przemysłowych systemów IIoT, jakie są realne zagrożenia dla ich funkcjonowania i co można zrobić by były bardziej bezpieczne, mówi Wiliam Malik, wiceprezes w firmie Trend Micro.

Źródło: Trend Micro.

Infrastruktura przemysłowych systemów IoT (IIoT, Industrial IoT) jest skomplikowana, a przede wszystkim istotnie różni się od rozwiązań wykorzystywanych w systemach IT. Dotyczy to m.in. mechanizmów bezpieczeństwa. Na przykład procesy przemysłowe nie są traktowane jak informacje (dane) przesyłane w systemach IT. W efekcie standardowe mechanizmy ochrony stosowane w infrastrukturze IT do zabezpieczania danych nie zawsze są efektywne i możliwe do wdrożenia. Mówił podczas prezentacji w Warszawie, William J. Malik, CISA i wiceprezes Trend Micro Infrastructure Strategies.

Jeśli nawet ktoś jest wysokiej klasy specjalistą w zakresie ochrony danych i bezpieczeństwa systemów IT, to trudno mu jest zrozumieć i zaprojektować bezpieczne rozwiązanie IIoT bez dodatkowej wiedzy o mechanizmach i standardach wykorzystywanych w systemach przemysłowych.

Zobacz również:

Bo elementy wchodzące w skład przemysłowych rozwiązań IoT są nieco inne niż stosowane w systemach IT. Można tu wymienić sensory, serwomechanizmy, mechanizmy analityczne, specjalizowane platformy komputerowe, specjalizowane systemy ICS (Industrial Control Systems), rozproszone systemy kontroli DCS (Distributed Control Systems), systemy SCADA (Supervisory Control And Data Acquisition), programowalne kontrolery PLC (Programmable Logic Controller), zdalne terminale RTU (Remote Terminal Units), inteligentne urządzania elektroniczned IED (Intelligent Electronic Devices). Wiedza jak działają te elementy i jak nimi zarządzać wymaga specjalistycznych informacji i umiejętności.

Ewolucja przemysłowych systemów IoT

Rozwiązania do sterowania procesami przemysłowymi powstały, gdy określenie IoT (Internet Rzeczy) nie było jeszcze znane i używane.

Pierwsze generacje systemów, które obecnie są nazywane IoT 0.9 i 1.0 wykorzystywały sztywno zapisane dane do logowania, mechanizmy komunikacji oparte na otwartym tekście, często nie pozwały na aktualizację oprogramowania i sterowników firmware, nie były wyposażone w funkcje pozwalające na tworzenie logów i generowanie alarmów i z reguły wykorzystywały firmowe sieci i protokoły oraz względnie proste systemy do zarządzania infrastrukturą.

Druga generacja urządzeń IoT 2.0 została wyposażone w dodatkowe mechanizmy zwiększające bezpieczeństwa takie, jak m.in.: mechanizmy komunikacji wykorzystujące certyfikaty uwierzytelniające dostęp, możliwość bezpiecznej, zdalnej aktualizacji oprogramowania, funkcje monitorowania transmisji informacji i danych, mechanizmy tworzenia niemodyfikowalnych logów itp.

Urządzenia IoT 2.0 wykorzystują pełny stos modelu OSI i mogą współpracować z oprogramowaniem stosowanym do zabezpieczania systemów IT. Ale zbudowanie bezpiecznego rozwiązania IoT wymaga dobrego projektu zapewniającego jego bezpieczną integrację z infrastrukturą IT.

Tradycyjne przemysłowe systemy ICS (Industrial Control Systems) wykorzystujące przestarzałe urządzenia IoT generacji o.9 lub 1.0 oraz specjalizowane firmowe systemy sieciowe trudno jest zabezpieczyć przed atakami, podkreśla William Malik.

Wynika to m.in. z tego, że są one wyposażone w niewielką pamięć, procesory o małej wydajności i interfejsy sieciowe o bardzo małej przepustowości. Często nie mają też mechanizmów autentykacji dostarczanych wiadomości, autoryzacji użytkowników i tworzenia logów.

W latach 90. ubiegłego wieku producenci urządzeń IoT (IoT 1.0) zaczęli wykorzystywać standardowe protokoły takie jak Telnet, FTP, OCS (OLE [Microsoft Object Linking and Embedding] for Process Control), ODBC (Microsoft Open Database Connectivity) lub DCOM (Microsoft Distributed Component Object Model). Wybór tych standardów wynikał z obserwacji, że Microsoft jest niewątpliwym liderem jeśli chodzi o przetwarzanie danych przez oprogramowanie wykorzystujące architekturę rozproszoną. Producenci systemów ICS nie przeprowadzili jednak żadnej, bardziej szczegółowej analizy jakie to może nieść zagrożenia dla bezpieczeństwa sieci, które są pozbawione funkcji pozwalających na zarządzanie ich działaniem.

Pod koniec pierwszej dekady tego wieku stało się jasne, że tego typu rozwiązania są bardzo podatne na zagrożenia i należy z nich zrezygnować. Niestety planowany czas życia przemysłowych urządzeń IoT to 15-30 lat, a wcześniejsza wymiana infrastruktury jest często tak kosztowna, że firmom trudno podjąć decyzję o szybkiej wymianie infrastruktury.

W efekcie wiele przestarzałych, podatnych na zagrożenia urządzeń IoT wciąż jest i będzie w najbliższych latach wykorzystywanych. Czy tego typu systemy można zabezpieczyć wykorzystując dobrze znane i powszechnie stosowane w systemach IT mechanizmy? Niestety nie jest to zadanie łatwe do zrealizowania. Architektura IIoT (Industrial IoT) ma z reguły formę kratową, która nie pozwala na przykład na zainstalowanie klasycznej zapory sieciowej.

Jakie mogą być skutki ataków na systemy IoT

Zagrożenia nie są teoretyczne, a ich realnymi przykładami są ataki na systemy obsługujące przeładunek kontenerów w portach lub zarządzające systemami energetycznymi, mówi William Malik.

W pierwszym przypadku, zakłócenie działania systemów do kontroli procesu załadunku kontenerów może mieć fatalne skutki. Jeśli mechanizmy kontroli rozłożenia obciążeń, uwzględniającej wagę pojedynczych kontenerów, zostaną zaburzone w procesie załadunku, to efektem może być katastrofalne uszkodzenie statku, jak na załączonej ilustracji.

Nieprawidłowy rozkład obciążeń wywoływanych przez ładunek może spowodować, że kadłub statku pęknie. Źródło: Trend Micro, William J. Malik.

Nieprawidłowy rozkład obciążeń wywoływanych przez ładunek może spowodować, że kadłub statku pęknie. Źródło: Trend Micro, William J. Malik.

Drugim przykładem są zagrożenia związane z atakami na systemy energetyczne.

Systemy sterowania pracą generatorów energii są stosowane w elektrowniach od dawna. Początkowo wykorzystywały one lokalne okablowanie do przekazywania poleceń sterujących, a później systemy zostały rozszerzone o zestawy czujników i mechanizmów bezpieczeństwa, ale wciąż działających lokalnie.

Wraz z postępem technologii, funkcjonalność systemów zarządzania została rozszerzona o możliwości zdalnego zarządzania oraz raportowania stanu infrastruktury, a następnie zostały one podłączone do korporacyjnej sieci IT firmy energetycznej.

Niestety, jeśli w tym ewolucyjnym procesie, mechanizmy zapewnienia bezpieczeństwa systemu nie zostały potraktowane priorytetowo to może to mieć fatalne skutki.

Praktycznymi przykładami mogą być ataki na ukraińskie systemy energetyczne oraz jedną elektrowni w Rosji. W obu tych sytuacjach hakerzy wykorzystali luki systemu pozwalające na przechwycenie kontroli nad działaniem względnie prostych urządzeń – przełączników podłączających generatory energii elektrycznej do sieci energetycznej.

W przypadku ataku na ukraiński system energetyczny zostały one po prostu wyłączone, a ich uruchomienie (podłączenie generatorów do sieci) wymagało ręcznej interwencji pracowników firm energetycznych co było operacją względnie długotrwałą.

Atak na jedną z rosyjskich elektrowni był bardziej spektakularny. Kod określany jako Aurora spowodował odłączenie generatora od sieci, a następnie jego ponowne podłączenie w momencie gdy generator nie był z nią zsynchronizowany. Efekt, jak na załączonej ilustracji.

To nie efekt ataku bombowego, a skutki włamania do systemu sterującego blokiem wytwarzającym energię elektryczną. Źródło: Trend Micro, William J. Malik.

To nie efekt ataku bombowego, a skutki włamania do systemu sterującego blokiem wytwarzającym energię elektryczną. Źródło: Trend Micro, William J. Malik.

Dlaczego taka prosta operacja ma tak katastrofalny efekt? Można to w uproszczeniu łatwo wyjaśnić: niezsychronizowany z siecią generator zamiast dostarczać do niej prąd staje się odbiornikiem i jest przez nią napędzany. Jeśli obroty wirnika przekroczą założone normy to urządzenie może się po prostu rozpaść.

Co należy zrobić by zabezpieczyć system IoT przed zagrożeniami

William Malik zaprezentował kilka ogólnych porad, których przestrzeganie może istotnie zwiększyć bezpieczeństwo przemysłowego systemu IoT.

1. Izolacja sieci. System ICS, a zwłaszcza starsze urządzenia IoT generacji 1.0 lub starszej nie powinny być w ogóle podłączane do korporacyjnych systemów IT.

2. Zablokowanie możliwości zmian konfiguracji urządzeń. Automatyczna aktualizacja, mechanizmy wprowadzania poprawek lub instalacji oprogramowania sterującego urządzeniami powinny zostać wyłączone.

3. Kontrola urządzeń. Należy kontrolować parametry związane z typowym wykorzystywaniem urządzeń, ich poborem mocy i wymianą danych w sieci. Wszelkie anomalie w tym zakresie wymagają analizy i sprawdzenia czy nie są wynikiem ataku na system IoT i jego kompromitacji.

4. Należy wdrożyć zewnętrzne narzędzia do zapisywania logów, analizy ruchu sieciowego i generowania alarmów w przypadku wykrycia anomalii w standardowej transmisji danych.

5. Trzeba skanować ruch wychodzący pod kątem potencjalnej komunikacji z serwerami C&C, wypływem danych lub wykorzystaniem urządzeń do ataków DDoS.

6. Oprogramowanie zarządzające powinno zostać zintegrowane z działającym w firmie systemem SIEM tak by raporty o stanie systemu i pojawiających się zagrożeniach były dostępne w jednej konsoli.