Osm způsobů kybernetického zabezpečení ICS v ultrapropojeném světě

Osm způsobů kybernetického zabezpečení ICS v ultrapropojeném světě

Implementace strategie kybernetického zabezpečení proti interním a externím hrozbám je klíčovým krokem k zabezpečení průmyslového řídicího systému (Industrial Control System – ICS).

U průmyslových řídicích systémů (ICS) lze snížit kybernetické riziko vytvořením plánu kybernetického zabezpečení na bázi hloubkové obrany a dodržováním níže uvedených osmi doporučení. V moderním věku chytré výroby přináší internet věcí (IoT) a Průmysl 4.0 významné konkurenční výhody – konektivita je tou správnou cestou pro budoucnost. Některé firmy iniciativně zavádějí kybernetické zabezpečení, jiné to však berou na lehkou váhu, dokud nezaznamenají hrozbu nebo narušení. Vybudování robustní strategie kybernetického zabezpečení pro ochranu před kybernetickými útoky vyžaduje holistický a vícevrstevný přístup. Uvádíme několik doporučení, která jsou klíčem k vypracování robustního plánu kybernetického zabezpečení systému ICS. 

Plán kybernetického zabezpečení na bázi hloubkové obrany

„Hloubková obrana“ je pojem používaný k označení strategie plánování pro zabezpečení systému ICS. Popisuje ideální stav s mnoha vrstvami systému zabezpečení a kontrolou přístupu. Začněte identifikací interních, externích, fyzických a virtuálních hrozeb pro řídicí systém. Vyhodnoťte, jak velké riziko každá hrozba představuje, a podle toho rozdělte rozpočet pro úspěšný plán  kybernetického zabezpečení. Vypracujte komplexní plán pro zmírnění těchto rizik na „přijatelnou“ úroveň (která bude pro každý subjekt odlišná). Následně vypracujte postupy, jak řešit jednotlivé hrozby nebo narušení, pokud k nim dojde. Naplánujte monitorování systému a výstrahy upozorňující uživatele na probíhající nebo proběhlé narušení.

1. Segmentace

Segmentace je strategií hloubkové obrany využívající princip rozdělení sítě za účelem omezení rozsahu škody, k níž by mohlo v případě narušení dojít. Segmentace vytváří samostatné izolované sítě (segmenty) v rámci větší sítě pro zabránění nežádoucímu přístupu a omezení zranitelnosti systému. Segmentaci lze vytvořit fyzicky pomocí doplňkového hardwaru, jako je kabeláž a přepínače, ale tento postup je časově náročný a dražší, než kdyby se realizoval virtuálně.

Izolované sítě v rámci většího systému se obvykle vytvářejí prostřednictvím místních virtuálních sítí (Virtual Local Area Networks – VLAN). Segmentace může být velmi jednoduchá, například oddělení výrobní sítě od obchodní sítě, nebo složitější, která vzniká vytvořením různých segmentů pro každou výrobní buňku.

Kupříkladu ve farmaceutickém průmyslu může být od sebe vzájemně izolována každá výrobní buňka nebo balicí linka. Pokud síťové segmenty potřebují komunikovat, dodatečnou ochranu může poskytnout firewall. Firewall je samostatným zařízením, které rozhoduje, zda povolí průchod síťového provozu nebo jej zablokuje.

Pokud má závod regionální rozsah, rozdělení na segmenty podle jednotlivých lokalit může chránit před potenciálně katastrofickým selháním celého systému. Je-li požadováno další oddělování, lze v každém závodě vytvořit segmenty pro systémy, jako jsou přístrojové, řídicí a vizualizační sítě.

2. Demilitarizovaná zóna

Zvláštním případem segmentace je demilitarizovaná zóna (DMZ). Ačkoli obecně není DMZ v systémech ICS implementována, v určitých situacích je důležitá. Správně navržená DMZ neumožňuje přechod síťového provozu přímo přes DMZ z obchodní sítě nebo internetu do sítě ICS. Uvnitř DMZ vystupují servery nebo zařízení jako prostředníci pro komunikaci napříč zónou DMZ.

3. Pravidelné zálohy a aktualizace

Zajistěte, aby byly systémy pravidelně zálohované. Vytvořte obrazy všech pevných disků, zálohujte virtuální počítače a uložte konfiguraci a programy na ukládací zařízení, jako je síťový disk NAS (Network Attached Storage). Pro posílení ochrany by měly být zálohy duplikovány na další zařízení mimo lokalitu. Bez ohledu na to, jak moc zabezpečená obrana může být, nikdy to není na 100 %. Zálohy jsou klíčovým nástrojem pro rychlé a bezproblémové obnovení.

Udržujte systémy aktualizované pomocí nejnovějších záplat a aktualizujte počítače, na nichž běží již nepodporované operační systémy. Zranitelná místa těchto zastaralých platforem jsou často veřejně známá, ačkoli výrobce již nenabízí žádné záplaty.

Přihlaste se k odběru e-mailových zpravodajů výrobců automatizačních zařízení, abyste dostávali relevantní bulletiny týkající se zabezpečení. Dále se přihlaste k odběru oznámení ICS-CERT amerického Ministerstva národní bezpečnosti.

4. Specializovaná zařízení pro zabezpečení

Několik výrobců vyrábí produkty kybernetického zabezpečení speciálně pro systémy ICS. Nástroje pro zabezpečení na bázi firewallu mají hardware a software přizpůsobené pro systémy ICS. Tyto nástroje umožňují definování pravidel a rozhodují, která zařízení smí komunikovat se systémem a které porty a protokoly mohou využívat. Firewall omezí komunikaci pouze na stávající zařízení, aby zajistil náležitý tok síťového provozu. Firewall pozná, když komunikace nevypadá tak, jak má, a síťový provoz zablokuje. Kromě zablokování síťového provozu lze nastavit také oznámení nebo alarmy.

5. Vytvořte robustní firemní kulturu dodržování zabezpečení

Kybernetické zabezpečení vyžaduje kombinaci zdravého rozumu a informovanosti. Mnoho hrozeb a útoků vzniká interně a nedopatřením, což podtrhuje nutnost angažovat pracovníky v tomto úsilí a zajistit jejich bdělost. Vytvořte průběžný plán vzdělávání a zaveďte proces vyškolení pro budoucí zaměstnance. Vyškolte zaměstnance v oblasti obvyklé taktiky sociálního inženýrství. Sociální inženýrství je umění manipulovat s lidmi tak, aby poskytli důvěrné informace – phishingové e-maily, které vypadají jako z legitimního zdroje, nebo telefonní hovory, které mají lidi lstí přimět poskytnout informace. Vysvětlete zaměstnancům, čeho si mají všímat, na co nemají klikat a jak se mají vyhnout dalším obvyklým nástrahám.

6. Využívejte omezený přístup a unikátní hesla

Využívejte strategii „co nejmenších privilegií“ a poskytněte zaměstnancům přístup výhradně jen k tomu, co potřebují ke své práci. Požadujte po uživatelích, aby měli unikátní hesla, a nikdy neponechávejte systém nastavený na výchozí heslo. Uživatelé si také nesmějí zapisovat hesla na místa dostupná veřejnosti, v blízkosti zařízení ani nikam jinam. Všude, kde je to možné, zaveďte dvoufaktorovou autentizaci prostřednictvím technologie, jako je plovoucí kód (rolling code), biometrický údaj apod. Dvoufaktorová autentizace by měla být povinná u všech zařízení poskytujících vzdálený přístup k internímu systému. 

7. Obrana fyzického přístupu

Náležitá opatření fyzického zabezpečení se často přehlížejí. U obrany fyzického přístupu začněte zabezpečením vstupu do závodu. Zvažte zavedení ochranky, systému pro kontrolu přístupu, oplocených perimetrů a zamykání dveří systému kritické infrastruktury, jako jsou servery a řídicí místnosti systému SCADA (Supervisory Control And Data Acquisition). Odstraňte klíč u programovatelných automatů (PLC), který umožňuje pozměnit program, pokud je dostupný, a uzamkněte řídicí skříně, abyste zabránili v přístupu neoprávněným osobám. Rovněž deaktivujte nebo uzamkněte porty USB řídicího systému.

Prostřednictvím těchto portů USB je možno vnášet viry nebo odcizit data. Zaměstnanci mohou neúmyslně narušit zabezpečení také tím, že si skrze tyto porty nabíjejí své mobilní telefony.

8. Udržujte dobrý vztah se systémovým integrátorem

Mít k dispozici další pár očí, který zná nazpaměť automatizační systémy firmy, je neocenitelným aktivem. Například v loňském roce se spustila série útoků ransomwaru cílená proti firmám. Systémový integrátor, kterému důvěřujete, může pomoci v průběhu kybernetického útoku nebo po něm a je schopen rychle zajistit obnovení, pokud má důvěrnou znalost aplikací a procesů systému ICS zákazníka a podrobnou dokumentaci softwarových programů, včetně nedávných záloh.

Implementace strategie kybernetického zabezpečení na bázi hloubkové obrany nemusí být nákladná ani časově náročná.

Zavedení několika vrstev obrany výrazně zvýší míru zabezpečení systému ICS. Integrátoři řídicího systému spolupracují přímo s oddělením IT zákazníka na návrhu a instalaci požadovaných technologií kybernetického zabezpečení výroby a zajistí vyškolení.

Integrátoři pracují ruku v ruce se zákazníky nebo mohou působit v případě potřeby jako poradci.

Control Engineering Česko

Control Engineering Česko je přední časopis o průmyslové automatizaci. Je vydáván v licenci amerického Control Engineering, které poskytuje novinky z této oblasti více než 60 let.

www.controlengcesko.com